Secure Electronic Transaction

O protocolo SET, abreviatura de Secure Electronic Transaction, é uma especificação de um sistema baseado em técnicas criptográficas que permite a execução de transacções comerciais seguras na Internet, em particular pagamentos com cartão de crédito. O SET veio resolver alguns problemas na área do comércio electrónico ao garantir diversos mecanismos de segurança, não dependendo dos mecanismos já existentes nas redes de comunicação utilizadas. Nomeadamente, o SET garante a confidencialidade dos dados trocados entre as entidades envolvidas (de modo a que o comprador compre apenas o que se propõe comprar), assegurando a privacidade em relação aos seus dados pessoais e que os dados utilizados na compra não sejam utilizados noutros pagamentos em seu nome. Por outro lado, o vendedor quer ter a certeza que vai receber o montante estabelecido na venda. Entre os mecanismos de segurança implementados no SET, podem-se destacar^[1]^[2]^[3]^[4]^[5]^[6]^[7]:
- Autenticação dos intervenientes na transacção garante que somente quem se encontra devidamente registado e identificado pode realizar uma transacção utilizando o SET^[3]^[4]^[7];
- A utilização de criptografia nas mensagens trocadas protege as informações confidenciais, tais como a informação bancária do cliente^[3];
- A utilização de assinaturas digitais evita a alteração das mensagens trocadas entres as entidades, garantindo-se a integridade, autenticação e não-repúdio dos dados do pagamento^[3]^[4]^[7];
- A utilização de envelopes digitais (combinação de cifragem simétrica/assimétrica) garante que somente a entidade destinatária é capaz de aceder às mensagens que lhe são enviadas^[3]^[4]^[7].

Entidades participantes no protocolo SET

Para atingir os objectivos a que se propôs, o SET distingue um conjunto de entidades participantes que estão envolvidas no comércio electrónico e que serão descritas em seguida: Cardholder - O Cardholder é a entidade cliente/comprador no ambiente de comércio electrónico. O comprador, através do seu computador pessoal (ou outro mecanismo computacional), interage com o computador do comerciante, que se encontra em local remoto utilizando uma rede onde ambos estão ligados, tipicamente a Internet. O Cardholder, durante a transacção, utiliza um cartão de pagamento bancário que terá sido emitido por um Issuer (ver a seguir), por exemplo um cartão de crédito VISA. Durante a interacção com o comerciante, o protocolo SET protege todas as informações relativas ao cartão bancário do Cardholder^[6]^[4]^[7].

Issuer - O Issuer (emissor) é a entidade financeira que estabelece uma conta bancária para o Cardholder e também emite o respectivo cartão de pagamento utilizado durante a transacção com o comerciante. O Issuer garante o pagamento das transações autorizadas que usam o cartão de pagamento conforme os regulamentos do cartão, "marca" e legislação local. Normalmente é um banco ou uma entidade financeira, como a Unicre^[6]^[4]^[7].

Merchant - O Merchant (comerciante) é a entidade que aceita pagamentos com cartões de crédito do cardholder e que disponibiliza os bens ou serviços. Caberá à Payment Gateway (ver abaixo), a recepção destes pedidos de transacção e o respectivo processamento desencadeando o pagamento ao Merchant^[6]^[4]^[7].

Acquirer - O Acquirer é uma instituição financeira (normalmente um banco), que estabelece uma conta com o comerciante (Merchant), permitindo ao comerciante receber o dinheiro relativo aos pagamentos após processamento dos dados relacionados com as transacções e respectivas autorizações de pagamento^[6]^[4]^[7].

Payment Gateway - Payment Gateway é um sistema operado pelo Acquirer ou uma outra entidade por si designada (ex:, Unicre ou SIBS), que recebe e processa as mensagens de pagamento provenientes do Merchant, contendo as autorizações de pagamento^[6]^[4]^[7].

Certificate Authority - O SET implementa um mecanismo de certificação para validar a autenticidade do Cardholder e do Merchant. A emissão e validação dos certificados é da responsabilidade de entidades externas de confiança, denominadas por Certificate Authorities. No protocolo SET, cabe ao Cardholder, que é a entidade cliente/comprador, a iniciativa de começar a transacção. Para isso, deve ser possuidor de um cartão de pagamento emitido por uma entidade bancária, Issuer. O Cardholder durante a transacção comunica com o computador do Merchant, transmitindo-lhe todas as informações necessárias à transacção. O Merchant por sua vez, obtém deste pedido os bens ou serviços encomendados pelo Cardholder, ou seja, a ordem de compra e ordem de pagamento cifrada. O Merchant envia ao Acquirer a autorização de pagamento cifrada por intermédio do Payment Gateway, que é a entidade responsável pelo seu processamento^[6]^[4]^[7].

O Payment Gateway é a entidade responsável pelo processamento das ordens de pagamento, transmitindo informações ao Acquirer para processar a transferência bancária, sendo o pagamento debitado na entidade bancária do Cardholder. O Acquirer poderá então executar a transferência bancária do Issuer (entidade emissora do cartão do Cardholder) e depois de concluída essa transferência informa o Merchant. O Merchant procederá, finalmente, ao envio dos bens ou serviços para o Cardholder. Durante todo este processo as entidades envolvidas vão sendo autenticadas pelas Certificates Authorities, por forma a detectar "falsas" entidades e evitar possíveis fraudes^[6]^[4]^[7].

As entidades certificadoras devem assegurar a autenticação das entidades participantes nas transacções, principalmente os compradores e os vendedores^[6]^[4]^[7].

Referências

↑ DE SOUZA CAVALCANTE, PAULO CESAR (2003). «O PROTOCOLO SET PARA SEGURANÇA DE COMPRAS ELETRÔNICAS» (PDF). www.liber.ufpe.br
↑ Pou, María Arias (2006). Manual práctico de comercio electrónico (em espanhol). [S.l.]: LA LEY. ISBN 9788497256964
↑ ^a ^b ^c ^d ^e Boquera, María Carmen España (dezembro de 2003). Servicios avanzados de telecomunicación (em espanhol). [S.l.]: Ediciones Díaz de Santos. ISBN 9788479786076
↑ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k ^l Gutiérrez, Jaime; Ayuso, Juan Gabriel Tena (2003). Protocolos criptográficos y seguridad de redes (em espanhol). [S.l.]: Ed. Universidad de Cantabria. ISBN 9788481023459
↑ Álvarez, Hernán Torres (2005). El sistema de seguridad jurídica en el comercio electrónico (em espanhol). [S.l.]: Fondo Editorial PUCP. ISBN 9789972426773
↑ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ Cárdenas, Erick Rincón (2006). Manual de derecho de comercio electrónico y de internet (em espanhol). [S.l.]: Universidad del Rosario. ISBN 9789588225906
↑ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k ^l «Secure Electronic Transactions: Credit Card Payment on the Web in Theory and Practice» (PDF). www.redbooks.ibm.com. 1997. Arquivado do original (PDF) em 14 de dezembro de 2010

[1] DE SOUZA CAVALCANTE, PAULO CESAR (2003). «O PROTOCOLO SET PARA SEGURANÇA DE COMPRAS ELETRÔNICAS» (PDF). www.liber.ufpe.br

[2] Pou, María Arias (2006). Manual práctico de comercio electrónico (em espanhol). [S.l.]: LA LEY. ISBN 9788497256964

[:0-3] Boquera, María Carmen España (dezembro de 2003). Servicios avanzados de telecomunicación (em espanhol). [S.l.]: Ediciones Díaz de Santos. ISBN 9788479786076

[:1-4] ↑ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k ^l Gutiérrez, Jaime; Ayuso, Juan Gabriel Tena (2003). Protocolos criptográficos y seguridad de redes (em espanhol). [S.l.]: Ed. Universidad de Cantabria. ISBN 9788481023459

[5] Álvarez, Hernán Torres (2005). El sistema de seguridad jurídica en el comercio electrónico (em espanhol). [S.l.]: Fondo Editorial PUCP. ISBN 9789972426773

[:2-6] ↑ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ Cárdenas, Erick Rincón (2006). Manual de derecho de comercio electrónico y de internet (em espanhol). [S.l.]: Universidad del Rosario. ISBN 9789588225906

[:3-7] ↑ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k ^l «Secure Electronic Transactions: Credit Card Payment on the Web in Theory and Practice» (PDF). www.redbooks.ibm.com. 1997. Arquivado do original (PDF) em 14 de dezembro de 2010

[1]

[2]

[3]

[4]

[5]

[6]

[7]