® InfoJur.ccj.ufsc.br
Empresas de cartões de credito desenvolvem novo protocolo de autenticação e segurança
Sempre existirão preocupações com segurança
do comércio através da internet, mas as transações
com cartões de crédito, pelo menos, em breve terão
maior privacidade. Uma questão relevante para aqueles que quiserem
lidar com o comércio eletrônico em 1998 será: você
está usando o SET? O protocolo, Secure Electronic Transation ( SET)
é resultado da criação das duas maiores empresas de
cartões de crédito mundiais, a MasterCard International e
a Visa International. Por ser fruto de empresas concorrentes, o protocolo
teve uma gestação complicada, mas um acordo foi finalmente
alcançado em fevereiro e o padrão SET 1.0 ,publicado em junho.
A segurança e a autenticação do SET complementam o
Secure Sockres Layer (SSL), a ferramenta existente, baseada em Browsers
da World Wide Web, para proporcionar segurança nas transações
baseadas em TCP /IP. ambos utilizam tecnologias de criptografia como encriptação
por chave pública e certificados digitais X.509 para assegurar a
privacidade, a integridade e a autenticação das mensagens.
Mas o SSL sozinho não foi suficiente. Especialistas apontam duas
coisas que faltam ao SSL. A primeira é a noção de
que pode haver mais de dois participantes envolvidos em uma transação
– um consumidor, um comerciante e um ou mais bancos. O SSL não tem
capacidade de garantir a integridade ou confidencialidade de mensagens
em um ambiente de múltiplos participantes. A segurança é
que o SSL tem um enfoque de tamanho único para a segurança
– todas as mensagens são encriptadas usando um comprimento de chave
comum. O SET melhora o SSL de várias maneiras. É um protocolo
multi – participantes, e não ponto a ponto. Em uma transação
SET, os componentes do pedido e do cartão de crédito são
encriptados separadamente, de modo que as informações da
conta do proprietário do cartão podem ser analizadas para
o banco que está adquirindo a transação sem serem
expostas ao comerciante. E como o SET pode usar diferentes níveis
de criação para diferentes componentes, as mensagens podem
ser menores, permitindo processamento mais veloz - até duas vezes
mais rápido que no SSL, segundo testes da IBM. com o apoio de grandes
empresas tanto de tecnologia da informação quanto da área
financeira, o SET está sendo amplamente testado No chase ManhattanBank,
por exemplo, os testadores estão usando o chase MasterCard, copatrocinado
pela Wal – Mart Stores, para fazer compras on – line em um site da Wal
– Mart na Web. Para os testes, o chase está emitindo para os proprietários
de cartões uma " carteira eletrônica " da IBM, que se integra
com o browser Web do usuário e armazena informações
do cartão de crédito. No lado do varejo, um servidor de comércio
habilitado para SET recebe os dados do pedido e pasa as informações
de pagamento encriptadas para o gateway de pagamento do chase, administrando
pela First Data. O Wal – Mart é notificado de que a compra está
aprovada.
PEDRA FUNDAMENTAL
O analista do Yankee Group, Dan Amdur, acha que o SET é um pacote
misto. "Ele é uma solução mais segura, mas ano é
a melhor." E observa: " O SET exigirá um componente do software
no lado do computador do usuário final ". Os bancos e outras instituições
financeiras são a pedra fundamental da transação SET,
segundo Steve Hers, vice - presidente sênior da Visa Internacional
para comércio da internet. Para que uma compra tenha prosseguimento,
essas entidades precisam antes autenticar seus relacionamentos com o proprietário
do cartão e o comerciante, fornecendo certificados digitais. Depois
elas devem certificar o comerciante de que ele será pago. Para os
adquirentes – as instituições financeiras que processam as
transações de cartões para os clientes dos comerciantes
-, a tarefa á frente dos gerentes de sistemas será integrar
os gateways de pagamentos nos sistemas de processamento de retaguarda já
existentes,ao mesmo tempo assegurando que essas novas conexões com
a internet sejam seguras. A consultoria técnica sênior da
Iternet Division da IBM, Lore Eisen Staedt, identifica dois desafios que
os gerentes de rede das instituições financeiras terão
de encarar: configurar o código de tradução que converte
os dados SET em uma mensagem que possa ser lida pelo host e certificar-se
de que a segurança seja mantida. O gateway está falando de
uma lado com a Internet, e outro com a rede privativa que está acessando
os sistemas de retaguarda, explica ela. " É preciso proteger o gateway
além dos comerciantes, e é importante Ter certeza de que,
ao estabelecer o gateway, nada é habilitado que permita outro contato
que não as trasações SET que devem entrar ",explica
a consultora. Ela sugere proteção de firewall para o gateway,
mas diz que é preciso considerar se o gateway SET deve estar conectado
a uma LAN que não ofereça acesso a outros sistemas.
LANTIMES BRASIL
29 de Setembro de 1997