🕛 Bảo Mật Trong Thương Mại Điện Tử Là Gì

Thương mại điện tử là gì? Tổng quan về TMĐT ở Việt Nam. 09/05/2022. Về tác giả. Thương mại điện tử đang ngày càng phát triển và dần trở thành xu hướng tất yếu của thị trường. Nhiều doanh nghiệp đã dần chuyển sang lĩnh vực thương mại điện tử bởi những lợi Đây là một trong những nội dung được Hiệp hội Thương mại điện tử (TMĐT) Việt Nam (VECOM) gửi tới Tổng cục Thuế, trên cơ sở tổng hợp ý kiến từ các sàn TMĐT thành viên, khi được khảo sát về việc cung cấp thông tin người bán Ngày đăng: 06/03/2015, 11:11. TIỂU LUẬN MÔN THƯƠNG MẠI ĐIỆN TỬ AN NINH BẢO MẬT TRONG THƯƠNG MẠI ĐIỆN TỬ KHÁI QUÁT CHUNG VỀ AN NINH BẢO MẬT TRONG THƯƠNG MẠI ĐiỆN TỬ • An toàn thông tin trao đổi giữa các chủ thể tham gia giao dịch. • An toàn cho các hệ thống (hệ thống máy Nội dung chính. Thương mại điện tử (E-commerce) là gì? 4 mô hình thương mại điện tử E-commerce phổ biến. Hình thức hoạt động chủ yếu của Thương mại điện tử. Internet phát triển cũng kéo theo sự lớn mạnh của E-commerce (Thương mại điện tử). Đây là một bước tiến Giải pháp bảo mật Thương mại điện tử. 1. Sử dụng HTTPS. HTTPS là tiêu chuẩn bắt buộc dành cho mọi website, đặc biệt là TMĐT. Giao thức HTTPS giúp bảo mật thông điệp truyền tải giữa server và client. Điều này không chỉ giúp bảo mật tài khoản của người dùng, mà còn jNlVrN. Bảo mật thông tin là bảo vệ thông tin dữ liệu cá nhân, tổ chức nhằm tránh khỏi sự ” đánh cắp, ăn cắp” bởi những kẻ xấu hoặc tin tặc. An ninh thông tin cũng như sự bảo mật an toàn thông tin nói chung. Việc bảo mật tốt những dữ liệu và thông tin sẽ tránh những rủi ro không đáng có cho chính cá nhân và doanh nghiệp của niệm bảo mật thông tin Bảo mật thông tin là duy trì tính bảo mật, tính toàn vẹn toàn diện và tính sẵn sàng cho toàn bộ thông tin. Ba yếu tố không thể tách rời trong việc bảo mật từ A đến Z thông tin là – Tính bảo mật Đảm bảo thông tin đó là duy nhất, những người muốn tiếp cận phải được phân quyền truy cập – Tính toàn vẹn. Bảo vệ sự hoàn chỉnh toàn diện cho hệ thống thông tin – Tính chính xác. Thông tin đưa ra phải chính xác, đầy đủ, không được sai lệch hay không được vi phạm bản quyền nội dung – Tính sẵn sàng. Việc bảo mật thông tin luôn phải sẵn sàng, có thể thực hiện bất cứ đâu, bất cứ khi nào. Tại sao phải bảo mật thông tin - Hãy cùng tìm hiểu. Cùng với sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của môi trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin của mình cho nhiều đối tượng khác nhau qua Internet hay Intranet. Việc mất mát, rò rỉ thông tin có thể ảnh hưởng nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ với khách hàng. Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạp có thể dẫn đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống thông tin của doanh nghiệp. Vì vậy an toàn và bảo mật thông tin là nhiệm vụ rất nặng nề và khó đoán trước được, nhưng tựu trung lại gồm ba hướng chính sau - Bảo đảm an toàn thông tin tại máy chủ - Bảo đảm an toàn cho phía máy trạm - Bảo mật thông tin trên đường truyền Đứng trước yêu cầu bảo mật thông tin, ngoài việc xây dựng các phương thức bảo mật thông tin thì người ta đã đưa ra các nguyên tắc về bảo vệ dữ liệu như sau - Nguyên tắc hợp pháp trong lúc thu thập và xử lý dữ liệu. - Nguyên tắc đúng đắn. - Nguyên tắc phù hợp với mục đích. - Nguyên tắc cân xứng. - Nguyên tắc minh bạch. - Nguyên tắc được cùng quyết định cho từng cá nhân và bảo đảm quyền truy cập cho người có liên quan. - Nguyên tắc không phân biệt đối xử. - Nguyên tắc an toàn. - Nguyên tắc có trách niệm trước pháp luật. - Nguyên tắc giám sát độc lập và hình phạt theo pháp luật. - Nguyên tắc mức bảo vệ tương ứng trong vận chuyển dữ liệu xuyên biên giới. Ở đây chúng ta sẽ tập trung xem xét các nhu cầu an ninh và đề ra các biện pháp an toàn cũng như vận hành các cơ chế để đạt được các mục tiêu đó. Nhu cầu an toàn thông tin An toàn thông tin đã thay đổi rất nhiều trong thời gian gần đây. Trước kia hầu như chỉ có nhu cầu bảo mật thông tin, nay đòi hỏi thêm nhiều yêu cầu mới như an ninh máy chủ và trên mạng. Các phương pháp truyền thống được cung cấp bởi các cơ chế hành chính và phương tiện vật lý như nơi lưu trữ bảo vệ các tài liệu quan trọng và cung cấp giấy phép được quyền sử dụng các tài liệu mật đó. Máy tính đòi hỏi các phương pháp tự động để bảo vệ các tệp và các thông tin lưu trữ. Nhu cầu bảo mật rất lớn và rất đa dạng, có mặt khắp mọi nơi, mọi lúc. Do đó không thể không đề ra các qui trình tự động hỗ trợ bảo đảm an toàn thông tin. Việc sử dụng mạng và truyền thông đòi hỏi phải có các phương tiện bảo vệ dữ liệu khi truyền. Trong đó có cả các phương tiện phần mềm và phần cứng, đòi hỏi có những nghiên cứu mới đáp ứng các bài toán thực tiễn đặt ra. Các khái niệm An toàn máy tính tập hợp các công cụ được thiết kế để bảo vệ dữ liệu và chống hacker. An toàn mạng các phương tiện bảo vệ dữ liệu khi truyền chúng. An toàn Internet các phương tiện bảo vệ dữ liệu khi truyền chúng trên tập các mạng liên kết với nhau. Mục đích của môn học là tập trung vào an toàn Internet gồm các phương tiện để bảo vệ, chống, phát hiện, và hiệu chỉnh các phá hoại an toàn khi truyền và lưu trữ thông tin. Nguy cơ và hiểm họa đối với hệ thống thông tin Các hiểm họa đối với hệ thống có thể được phân loại thành hiểm họa vô tình hay cố ý, chủ động hay thụ động. - Hiểm họa vô tình khi người dùng khởi động lại hệ thống ở chế độ đặc quyền, họ có thể tùy ý chỉnh sửa hệ thống. Nhưng sau khi hoàn thành công việc họ không chuyển hệ thống sang chế độ thông thường, vô tình để kẻ xấu lợi dụng. - Hiểm họa cố ý như cố tình truy nhập hệ thống trái phép. - Hiểm họa thụ động là hiểm họa nhưng chưa hoặc không tác động trực tiếp lên hệ thống, như nghe trộm các gói tin trên đường truyền. - Hiểm họa chủ động là việc sửa đổi thông tin, thay đổi tình trạng hoặc hoạt động của hệ thống. Đối với mỗi hệ thống thông tin mối đe dọa và hậu quả tiềm ẩn là rất lớn, nó có thể xuất phát từ những nguyên nhân như sau - Từ phía người sử dụng xâm nhập bất hợp pháp, ăn cắp tài sản có giá trị - Trong kiến trúc hệ thống thông tin tổ chức hệ thống kỹ thuật không có cấu trúc hoặc không đủ mạnh để bảo vệ thông tin. - Ngay trong chính sách bảo mật an toàn thông tin không chấp hành các chuẩn an toàn, không xác định rõ các quyền trong vận hành hệ thống. - Thông tin trong hệ thống máy tính cũng sẽ dễ bị xâm nhập nếu không có công cụ quản lý, kiểm tra và điều khiển hệ thống. - Nguy cơ nằm ngay trong cấu trúc phần cứng của các thiết bị tin học và trong phần mềm hệ thống và ứng dụng do hãng sản xuất cài sẵn các loại 'rệp' điện tử theo ý đồ định trước, gọi là 'bom điện tử'. - Nguy hiểm nhất đối với mạng máy tính mở là tin tặc, từ phía bọn tội phạm. Phân loại tấn công phá hoại an toàn Các hệ thống trên mạng có thể là đối tượng của nhiều kiểu tấn công - Tấn công giả mạo là một thực thể tấn công giả danh một thực thể khác. Tấn công giả mạo thường được kết hợp với các dạng tấn công khác như tấn công chuyển tiếp và tấn công sửa đổi thông báo. - Tấn công chuyển tiếp xảy ra khi một thông báo, hoặc một phần thông báo được gửi nhiều lần, gây ra các tác động tiêu cực. - Tấn công sửa đổi thông báo xảy ra khi nội dung của một thông báo bị sửa đổi nhưng không bị phát hiện. - Tấn công từ chối dịch vụ xảy ra khi một thực thể không thực hiện chức năng của mình, gây cản trở cho các thực thể khác thực hiện chức năng của chúng. - Tấn công từ bên trong hệ thống xảy ra khi người dùng hợp pháp cố tình hoặc vô ý can thiệp hệ thống trái phép. Còn tấn công từ bên ngoài là nghe trộm, thu chặn, giả mạo người dùng hợp pháp và vượt quyền hoặc lách qua các cơ chế kiểm soát truy nhập. Tấn công bị động. Do thám, theo dõi đường truyền để - nhận được nội dung bản tin hoặc - theo dõi luồng truyền tin Tấn công chủ động. Thay đổi luồng dữ liệu để - giả mạo một người nào đó. - lặp lại bản tin trước - thay đổi ban tin khi truyền - từ chối dịch vụ. Dịch vụ, cơ chế, tấn công Nhu cầu thực tiến dẫn đến sự cần thiết có một phương pháp hệ thống xác định các yêu cầu an ninh của tổ chức. Trong đó cần có tiếp cận tổng thể xét cả ba khía cạnh của an toàn thông tin bảo vệ tấn công, cơ chế an toàn và dịch vụ an toàn. Sau đây chúng ta xét chúng theo trình tự ngược lại Các dịch vụ an toàn. Đây là công cụ đảm bảo an toàn của hệ thống xử lý thông tin và truyền thông tin trong tổ chức. Chúng được thiết lập để chống lại các tấn công phá hoại. Có thể dùng một hay nhiều cơ chế an toàn để cung cấp dịch vụ. Thông thường người ta cần phải tạo ra các liên kết với các tài liệu vật lý như có chữ ký, ngày tháng, bảo vệ cần thiết chống khám phá, sửa bậy, phá hoại, được công chứng, chứng kiến, được ghi nhận hoặc có bản quyền. Các cơ chế an toàn Từ các công việc thực tế để chống lại các phá hoại an ninh, người ta đã hệ thống và sắp xếp lại tạo thành các cơ chế an ninh khác nhau. ây là cơ chế được thiết kế để phát hiện, bảo vệ hoặc khôi phục do tấn công phá hoại. Không có cơ chế đơn lẻ nào đáp ứng được mọi chức năng yêu cầu của công tác an ninh. Tuy nhiên có một thành phần đặc biệt nằm trong mọi cơ chế an toàn đó là kỹ thuật mã hoá. Do đó chúng ta sẽ dành một thời lượng nhất định tập trung vào lý thuyết mã. Tấn công phá hoại an ninh Ta xác định rõ thế nào là các hành động tấn công phá họai an ninh. ó là mọi hành động chống lại sự an toàn thông tin của các tổ chức. An toàn thông tin là bàn về bằng cách nào chống lại tấn công vào hệ thống thông tin hoặc phát hiện ra chúng. Trên thực tế có rất nhiều cách và nhiều kiểu tấn công khác nhau. Thường thuật ngữ đe doạ và tấn công được dùng như nhau. Cần tập trung chống một số kiểu tấn công chính thụ động và chủ động. Mô hình an toàn mạng Kiến trúc an toàn của hệ thống truyền thông mở OSI. ể giúp cho việc hoạch định chính sách và xây dựng hệ thống an ninh tốt. Bộ phận chuẩn hóa tiêu chuẩn của tổ chức truyền thông quốc tế International Telecommunication Union đã nghiên cứu và đề ra Kiến trúc an ninh X800 dành cho hệ thống trao đổi thông tin mở OSI. Trong đó định nghĩa một cách hệ thống phương pháp xác định và cung cấp các yêu cầu an cung cấp cho chúng ta một cách nhìn tổng quát, hữu ích về các khái niệm mà chúng ta nghiên cứu. Trước hết nói về dich vụ an toàn, X800 định nghĩa đây là dịch vụ cung cấp cho tầng giao thức của các hệ thống mở trao đổi thông tin, mà đảm bảo an toàn thông tin cần thiết cho hệ thống và cho việc truyền dữ liệu. Trong tài liệu các thuật ngữ chuẩn trên Internet RFC 2828 đã nêu định nghĩa cụ thể hơn dich vụ an toàn là dịch vụ trao đổi và xử lý cung cấp cho hệ thống việc bảo vệ đặc biệt cho các thông tin liệu X800 đưa ra định nghĩa dịch vụ theo 5 loại chính - Xác thực tin tưởng là thực thể trao đổi đúng là cái đã tuyên bố. Người đang trao đổi xưng tên với mình đúng là anh ta, không cho phép người khác mạo danh. - Quyền truy cập ngăn cấm việc sử dụng nguồn thông tin không đúng vai trò. Mỗi đối tượng trong hệ thống được cung cấp các quyền hạn nhất định và chỉ được hành động trong khuôn khổ các quyền hạn đó. - Bảo mật dữ liệu bảo vệ dữ liệu không bị khám phá bởi người không có quyền. Chẳng hạn như dùng các ký hiệu khác để thay thế các ký hiệu trong bản tin, mà chỉ người có bản quyền mới có thể khôi phục nguyên bản của nó. - Toàn vẹn dữ liệu tin tưởng là dữ liệu được gửi từ người có quyền. Nếu có thay đổi như làm trì hoãn về mặt thời gian hay sửa đổi thông tin, thì xác thực sẽ cho cách kiểm tra nhận biết là có các hiện tượng đó đã xảy ra. - Không từ chối chống lại việc chối bỏ của một trong các bên tham gia trao đổi. Người gửi cũng không trối bỏ là mình đã gửi thông tin với nội dung như vậy và người nhận không thể nói dối là tôi chưa nhận được thông tin đó. iều này là rất cần thiết trong việc trao đổi, thỏa thuận thông tin hàng ngày. Cơ chế an toàn được định nghĩa trong X800 như sau - Cơ chế an toàn chuyên dụng được cài đặt trong một giao thức của một tầng vận chuyển nào đó mã hoá, chữ ký điện tử, quyền truy cập, toàn vẹn dữ liệu, trao đổi có phép, đệm truyền, kiểm soát định hướng, công chứng. - Cơ chế an toàn phổ dụng không chỉ rõ được dùng cho giao thức trên tầng nào hoặc dịch vụ an ninh cụ thể nào chức năng tin cậy cho một tiêu chuẩn nào đó, nhãn an toàn chứng tỏ đối tượng có tính chất nhất định, phát hiện sự kiện, vết theo dõi an toàn, khôi phục an toàn. Mô hình an toàn mạng tổng quát Sử dụng mô hình trên đòi hỏi chúng ta phải thiết kế thuật toán phù hợp cho việc truyền an toàn. Phát sinh các thông tin mật khoá được sử dụng bởi các thuật toán. Phát triển các phương pháp phân phối và chia sẻ các thông tin mật. đặc tả giao thức cho các bên để sử dụng việc truyền và thông tin mật cho các dịch vụ an toàn. Mô hình truy cập mạng an toàn Sử dụng mô hình trên đòi hỏi chúng ta phải Lựa chọn hàm canh cổng phù hợp cho người sử dụng có danh tính. Cài đặt kiểm soát quyền truy cập để tin tưởng rằng chỉ có người có quyền mới truy cập được thông tin đích hoặc nguồn. Các hệ thống máy tính tin cậy có thể dùng mô hình này. Bảo mật thông tin trong hệ cơ sở dữ liệu Giới thiệu chung Các hệ cơ sở dữ liệu CSDL ngày nay như Oracle, SQL/Server, DB2/Informix đều có sẵn các công cụ bảo vệ tiêu chuẩn như hệ thống định danh và kiểm soát truy xuất. Tuy nhiên, các biện pháp bảo vệ này hầu như không có tác dụng trước các tấn công từ bên trong. ể bảo vệ thông tin khỏi mối đe dọa này, người ta đưa ra hai giải pháp. Giải pháp đơn giản nhất bảo vệ dữ liệu trong CSDL ở mức độ tập tin, chống lại sự truy cập trái phép vào các tập tin CSDL bằng hình thức mã hóa. Tuy nhiên, giải pháp này không cung cấp mức độ bảo mật truy cập đến CSDL ở mức độ bảng, cột và dòng. Một điểm yếu nữa của giải pháp này là bất cứ ai với quyền truy xuất CSDL đều có thể truy cập vào tất cả dữ liệu trong CSDL cũng có nghĩa là cho phép các đối tượng với quyền quản trị truy cập tất cả các dữ liệu nhạy cảm. Giải pháp thứ hai, giải quyết vấn đề mã hóa ở mức ứng dụng. Giải pháp này xử lý mã hóa dữ liệu trước khi truyền dữ liệu vào CSDL. Những vấn đề về quản lý khóa và quyền truy cập được hỗ trợ bởi ứng dụng. Truy vấn dữ liệu đến CSDL sẽ trả kết quả dữ liệu ở dạng mã hóa và dữ liệu này sẽ được giải mã bởi ứng dụng. Giải pháp này giải quyết được vấn đề phân tách quyền an toàn và hỗ trợ các chính sách an toàn dựa trên vai trò. Một số mô hình bảo mật cơ sở dữ liệu Để đáp ứng những yêu cầu về bảo mật cho các hệ thống CSDL hiện tại và sau này người ta đưa ra 2 mô hình bảo mật CSDL thông thường sau đây Xây dựng tầng CSDL trung gian Một CSDL trung gian được xây dựng giữa ứng dụng và CSDL gốc. CSDL trung gian này có vai trò mã hóa dữ liệu trước khi cập nhật vào CSDL gốc, đồng thời giải mã dữ liệu trước khi cung cấp cho ứng dụng. CSDL trung gian đồng thời cung cấp thêm các chức năng quản lý khóa, xác thực người dùng và cấp phép truy cập. Giải pháp này cho phép tạo thêm nhiều chức năng về bảo mật cho CSDL. Tuy nhiên, mô hình CSDL trung gian đòi hỏi xây dựng một ứng dụng CSDL tái tạo tất cả các chức năng của CSDL gốc. Sử dụng cơ chế sẵn có trong CSDL Mô hình này giải quyết các vấn đề mã hóa cột dựa trên các cơ chế sau a. Các hàm Stored Procedure trong CSDL cho chức năng mã hóa và giải mã b. Sử dụng cơ chế View trong CSDL tạo các bảng ảo, thay thế các bảng thật đã được mã hóa. c. Cơ chế “instead of” trigger được sử dụng nhằm tự động hóa quá trình mã hóa từ View đến bảng gốc. Trong mô hình này, dữ liệu trong các bảng gốc sẽ được mã hóa, tên của bảng gốc được thay đổi. Một bảng ảo được tạo ra mang tên của bảng gốc, ứng dụng sẽ truy cập đến bảng ảo này. Truy xuất dữ liệu trong mô hình này có thể được tóm tắt như sau Các truy xuất dữ liệu đến bảng gốc sẽ được thay thế bằng truy xuất đến bảng ảo. Bảng ảo được tạo ra để mô phỏng dữ liệu trong bảng gốc. Khi thực thi lệnh “select”, dữ liệu sẽ được giải mã cho bảng ảo từ bảng gốc đã được mã hóa. Khi thực thi lệnh “Insert, Update”, “instead of” trigger sẽ được thi hành và mã hóa dữ liệu xuống bảng gốc. Quản lý phân quyền truy cập đến các cột sẽ được quản lý ở các bảng ảo. Ngoài các quyền cơ bản do CSDL cung cấp, hai quyền truy cập mới được định nghĩa 1. Người sử dụng chỉ được quyền đọc dữ liệu ở dạng mã hóa. Quyền này phù hợp với những đối tượng cần quản lý CSDL mà không cần đọc nội dung dữ liệu. 2. Người sử dụng được quyền đọc dữ liệu ở dạng giải mã. Sơ lược kiến trúc của 1 hệ bảo mật CSDL Triggers các trigger được sử dụng để lấy dữ liệu đến từ các câu lệnh INSERT, UPDATE để mã hóa. Views các view được sử dụng để lấy dữ liệu đến từ các câu lệnh SELECT để giải mã. Extended Stored Procedures được gọi từ các Trigger hoặc View dùng để kích hoạt các dịch vụ được cung cấp bởi Modulo DBPEM từ trong môi trường của hệ quản tri CSDL. DBPEM Database Policy Enforcing Modulo cung cấp các dịch vụ mã hóa/giải mã dữ liệu gửi đến từ các Extended Stored Procedures và thực hiện việc kiểm tra quyền truy xuất của người dùng dựa trên các chính sách bảo mật được lưu trữ trong CSDL về quyền bảo mật. Security Database lưu trữ các chính sách bảo mật và các khóa giải mã. Xu hướng ngày nay thường là lưu trữ CSDL về bảo mật này trong Active Directory một CSDL dạng thư mục để lưu trữ tất cả thông tin về hệ thống mạng. Security Services chủ yếu thực hiện việc bảo vệ các khóa giải mã được lưu trong CSDL bảo mật. Management Console dùng để cập nhật thông tin lưu trong CSDL bảo mật chủ yếu là soạn thảo các chính sách bảo mật và thực hiện thao tác bảo vệ một trường nào đó trong CSDL để đảm bảo tối đa tính bảo mật, thông tin được trao đổi. Người đăng dathbz Time 2020-08-04 143325 Bảo mật thanh toán là một trong những vấn đề trọng yếu nhất của thương mại điện tử. Các vụ trộm cắp tài khoản và gian lận thanh toán đang ngày càng gia tăng trên các nền tảng giao dịch online. Bởi vậy, vấn đề an toàn và bảo mật đã trở thành mối quan tâm hàng đầu của khách hàng và yêu cầu tất yếu đối với các doanh nghiệp thương mại điện tử và bán lẻ. Trên thế giới, nhiều vụ việc nghiêm trọng liên quan đến gian lận thanh toán và tấn công mạng đã diễn ra. Vai trò của các giải pháp bảo mật thanh toán đối với an toàn thông tin của toàn bộ hệ thống ứng dụng thương mại là vô cùng quan trọng. Dưới đây là 10 giải pháp phù hợp điển hình mà các nhà phát triển các hệ thống thương mại điện tử cần lưu ý. Giải pháp bảo mật thanh toán điện tử 1. Hợp tác với một đơn vị thanh toán online Một đơn vị thanh toán chuyên nghiệp không chỉ mang lại giá trị về mặt kỹ thuật mà còn hỗ trợ doanh nghiệp vận hành và duy trì các chính sách để tuân thủ theo tiêu chuẩn PCI thông qua các hoạt động đào tạo, đánh giá rủi ro và cung cấp dịch vụ hỗ trợ khách hàng 24/7. Một số đơn vị còn cung cấp bảo hiểm trong trường hợp xảy ra gian lận do xâm nhập dữ liệu. Một ví dụ điển hình là việc Grab liên kết với ví điện tử Moca sau một khoảng thời gian tự triển khai cổng thanh toán GrabPay thất bại. Việc hợp tác với Moca giúp Grab lược bỏ được nhiều việc không cần thiết và tập trung vào phát triển số lượng đối tác và khách hàng để vượt mặt đối thủ. 2. Theo dõi các giao dịch đáng ngờ Doanh nghiệp thương mại điện tử cần nhận thức rõ ràng về “giao dịch đáng ngờ” nhằm theo dõi và phát hiện sớm các dấu hiệu gian lận. Đã từng xảy ra một vụ tổn thất từ giao dịch đáng ngờ cho một doanh nghiệp thời trang. Khi đó, khách hàng đăng nhập vào website từ địa chỉ IP cũ và thanh toán đơn hàng lớn với nhiều thẻ tín dụng khác nhau. Đây là dấu hiệu sử dụng trộm cắp và sử dụng thẻ tín dụng phi pháp, tuy nhiên – chủ cửa hàng không hề nhận biết được điều này cho đến khi tổn thất đã xảy ra hình thành. Đơn hàng lớn thường là dấu hiệu đáng ngờ, đặc biệt là đơn hàng yêu cầu vận chuyển ngay. Tuy nhiên một dấu hiệu riêng lẻ không thể khẳng định đó là giao dịch gian lận. 3. Xác thực địa chỉ đối với mọi giao dịch Đối với doanh nghiệp kinh doanh online, người mua và chủ thẻ có thể là một hoặc hai chủ thể khác nhau, do vậy việc phân tích, dự đoán điều này là rất cần thiết. Một kỹ thuật phổ biến để thực hiện việc này là xác thực địa chỉ. Hệ thống sẽ kiểm tra sự trùng khớp giữa địa chỉ thanh toán và địa chỉ của khách hàng được lưu trữ tại ngân hàng phát hành thẻ trước khi cấp phép giao dịch. Nhờ vậy, khách hàng sử dụng thẻ tín dụng bị đánh cắp sẽ không thể thực hiện giao dịch. Tuy nhiên, địa chỉ thanh toán không trùng khớp với thông tin thẻ chỉ là một dấu hiệu và không thể khẳng định giao dịch thanh toán bất hợp pháp. Bởi vậy doanh nghiệp cần phối hợp nhiều biện pháp bảo mật để xác định khách hàng xấu. 4. Mã hóa để Bảo mật thanh toán Mã hóa là phương pháp biến đổi thông tin thành dãy ký tự phức tạp và khó có thể giải mã nếu không có đầy đủ thông tin về thuật toán được sử dụng. Mã hóa cho phép truyền tải thông tin một cách an toàn và bảo mật. Mã hóa và quá trình mã hóa Mã hóa Văn bản gốc Thuật toán Bản mã Giải mã Bản mã Thuật toán Văn bản gốc Có nhiều phương thức mã hóa khác nhau, việc lựa chọn phương thức mã hóa phụ thuộc vào từng hoàn cảnh và yêu cầu cụ thể. Một số phương thức mã hóa phổ biến trong thương mại điện tử là Mã hóa khóa công khai Public key encryption và Mã hóa khóa đối xứng Symmetric key encryption. 5. Bảo mật thanh toán bằng Giao thức SSL Secure Socket Layer SSL là mô hình bảo mật thông qua kênh thanh toán, được phát triển và ứng dụng rộng rãi nhất trong thương mại điện tử hiện nay. Thông qua SSL, thông tin được mã hóa, truyền tải và xác thực giữa máy chủ và thiết bị kết nối của khách hàng thông qua liên kết TCP/IP, do đó thông tin được bảo mật toàn vẹn. Giao thức SSL được thiết kế để ngăn chặn những nỗ lực giả mạo thông tin trong quá trình truyền tải thông tin giữa các ứng dụng bằng mạng Internet. 6. Giao thức HTTPS Hypertext Transfer Protocol Secure HTTPS là Giao thức Truyền tải siêu văn bản HTTP được nâng cấp nhằm đảm bảo bảo mật trong quá trình xác thực, mã hóa khóa công khai và ký điện tử. HTTPS cho phép các website thương mại điện tử thực hiện giao dịch một cách bảo mật thông qua quy trình mã hóa giữa máy chủ và thiết bị của khách hàng. Công nghệ này là một sự nâng cấp liền mạch của HTTP với khả năng bảo mật tối ưu thông qua một cơ chế phòng vệ khác. Xem thêm HTTPS là gì? Tại sao website nên dùng HTTPS? 7. Tiêu chuẩn Giao dịch Điện tử An toàn SET Các cấu phần tham gia vào giao dịch điện tử an toàn Chủ thẻInternetDoanh nghiệpCổng thanh toánNgân hàng thanh toán thẻMạng lưới thanh toánNgân hàng phát hành thẻĐơn vị cấp phép thanh toán Tiêu chuẩn Giao dịch Điện tử An toàn SET được phối hợp ban hành bởi MasterCard và VISA với mục tiêu đảm bảo an toàn và bảo mật thông tin cho các cá nhân, tổ chức tham gia vào việc thanh toán điện tử để thực hiện giao dịch mua bán online. SET đưa ra tiêu chuẩn và quy trình xử lý giao dịch như Xác thực chủ thẻ và doanh nghiệpBảo mật dữ liệu thanh toánĐịnh nghĩa dịch vụ, nhà cung cấp dịch vụ bảo mật điện tử và giao thức bảo mật điện tử 8. Tuân thủ Tiêu chuẩn An ninh Dữ liệu Thẻ PCI DSS Hội đồng An ninh Dữ liệu Thẻ được thành lập năm 2006 với mục tiêu xác định tiêu chuẩn cho các tổ chức đang thực hiện nghiệp vụ chấp nhận, xử lý, lưu trữ và truyền tải thông tin thẻ tín dụng nhằm đảm bảo môi trường giao dịch an toàn. PCI DSS không phải là luật pháp mà là hệ tiêu chuẩn bảo mật được các tổ chức thẻ lớn trên thế giới như VISA, Mastercard, JCB, AMEX và Discover phối hợp ban hành. Đơn vị không tuân thủ PCI có thể bị xử phạt hành chính, phải trả phí thay thế thẻ, buộc thực hiện kiểm toán và gánh chịu tổn thất về mặt thương hiệu. Trụ cột của Tiêu chuẩn An ninh Dữ liệu Thẻ Mạng lưới bảo mật duy trì tường lửa để bảo vệ dữ liệu khách hàngBảo mật dữ liệu mã hóa và bảo vệ thông tin khách hàng trong quá trình truyền tảiQuản lý rủi ro đảm bảo an toàn hệ thống bằng cách nhận diện và xử lý nguy cơ tiềm ẩnQuản lý truy cập hạn chế quyền truy cập dữ liệu chủ thẻ Giám sát thường xuyên giám sát mạng lưới và theo dõi vết truy cập tài nguyên hệ thống Duy trì duy trì chính sách bảo mật “Phòng bệnh hơn chữa bệnh!”. Chi phí và nguồn lực cho việc phòng ngừa rủi ro có thể hạn chế tổn thất khổng lồ từ rủi ro mạng. 9. Màn hình đăng nhập an toàn Giao dịch thương mại điện tử bắt đầu với màn hình đăng nhập hệ thống. Như vậy thiết kế website thương mại điện tử cũng cần chú ý đặc biệt tới màn hình đăng nhập. Thiết kế một màn hình đăng nhập an toàn là việc đơn giản nhưng lại có thể giảm thiểu đáng kể nguy cơ bị tấn công do hacker xâm nhập và truy cập thông tin. 10. Chữ ký điện tử Chữ ký điện tử có ý nghĩa xác định danh tính khách hàng. Chữ ký điện tử thực chất là một phương thức mã hóa thông tin bằng đặc tính riêng có của khách hàng, được sử dụng để xác thực giao dịch. Thông tin Mã khóa cá nhân Chữ ký Mã khóa mở Một khi đã được xác lập, mối liên hệ giữa dữ liệu giao dịch và chữ ký là duy nhất và không thể thay thế bất cứ cấu phần nào. Ngay cả trong trường hợp một cấu phần bị thay thế, hệ thống sẽ tự động nhận diện chữ ký không hợp lệ. Tóm lại, chữ ký điện tử là công cụ cấp quyền giao dịch và bảo mật thông tin hữu hiệu. Lời kết Đến đây, có lẽ bất cứ doanh nghiệp nào cũng có thể nhận thấy lỗ hổng an ninh trong hệ thống của mình nếu thiếu một trong những giải pháp trên. Đây là những tiêu chuẩn cũng như giải pháp tối cần thiết khi xây dựng một website thương mại điện tử. Hệ thống thanh toán là nơi tài sản của khách hàng và doanh nghiệp được bảo vệ hoặc bị tấn công, tùy thuộc vào mức độ an toàn của website. Do đó đây là cấu phần quan trọng nhất của website thương mại điện tử. Nếu doanh nghiệp của bạn từng trải qua các cuộc tấn công mạng, hoặc cần hỗ trợ xây dựng một nền tảng giao dịch online an toàn, hãy tìm đến các chuyên gia trong lĩnh vực này để được tư vấn và triển khai giải pháp phù hợp. Bảo mật thanh toán là một trong những vấn đề trọng yếu nhất của thương mại điện tử. Các vụ trộm cắp tài khoản và gian lận thanh toán đang ngày càng gia tăng trên các nền tảng giao dịch online. Bởi vậy, vấn đề an toàn và bảo mật đã trở thành mối quan tâm hàng đầu của khách hàng và yêu cầu tất yếu đối với các doanh nghiệp thương mại điện tử và bán lẻ. Trên thế giới, nhiều vụ việc nghiêm trọng liên quan đến gian lận thanh toán và tấn công mạng đã diễn ra. Vai trò của các giải pháp bảo mật thanh toán đối với an toàn thông tin của toàn bộ hệ thống ứng dụng thương mại là vô cùng quan trọng. Dưới đây là 10 giải pháp phù hợp điển hình mà các nhà phát triển các hệ thống thương mại điện tử cần lưu ý. GIẢI PHÁP BẢO MẬT THANH TOÁN ĐIỆN TỬ 1. Hợp tác với một đơn vị thanh toán online Một đơn vị thanh toán chuyên nghiệp không chỉ mang lại giá trị về mặt kỹ thuật mà còn hỗ trợ doanh nghiệp vận hành và duy trì các chính sách để tuân thủ theo tiêu chuẩn PCI thông qua các hoạt động đào tạo, đánh giá rủi ro và cung cấp dịch vụ hỗ trợ khách hàng 24/7. Một số đơn vị còn cung cấp bảo hiểm trong trường hợp xảy ra gian lận do xâm nhập dữ liệu. Một ví dụ điển hình là việc Grab liên kết với ví điện tử Moca sau một khoảng thời gian tự triển khai cổng thanh toán GrabPay thất bại. Việc hợp tác với Moca giúp Grab lược bỏ được nhiều việc không cần thiết và tập trung vào phát triển số lượng đối tác và khách hàng để vượt mặt đối thủ. 2. Theo dõi các giao dịch đáng ngờ Doanh nghiệp thương mại điện tử cần nhận thức rõ ràng về “giao dịch đáng ngờ” nhằm theo dõi và phát hiện sớm các dấu hiệu gian lận. Đã từng xảy ra một vụ tổn thất từ giao dịch đáng ngờ cho một doanh nghiệp thời trang. Khi đó, khách hàng đăng nhập vào website từ địa chỉ IP cũ và thanh toán đơn hàng lớn với nhiều thẻ tín dụng khác nhau. Đây là dấu hiệu sử dụng trộm cắp và sử dụng thẻ tín dụng phi pháp, tuy nhiên – chủ cửa hàng không hề nhận biết được điều này cho đến khi tổn thất đã xảy ra hình thành. Đơn hàng lớn thường là dấu hiệu đáng ngờ, đặc biệt là đơn hàng yêu cầu vận chuyển ngay. Tuy nhiên một dấu hiệu riêng lẻ không thể khẳng định đó là giao dịch gian lận. 3. Xác thực địa chỉ đối với mọi giao dịch Đối với doanh nghiệp kinh doanh online, người mua và chủ thẻ có thể là một hoặc hai chủ thể khác nhau, do vậy việc phân tích, dự đoán điều này là rất cần thiết. Một kỹ thuật phổ biến để thực hiện việc này là xác thực địa chỉ. Hệ thống sẽ kiểm tra sự trùng khớp giữa địa chỉ thanh toán và địa chỉ của khách hàng được lưu trữ tại ngân hàng phát hành thẻ trước khi cấp phép giao dịch. Nhờ vậy, khách hàng sử dụng thẻ tín dụng bị đánh cắp sẽ không thể thực hiện giao dịch. Tuy nhiên, địa chỉ thanh toán không trùng khớp với thông tin thẻ chỉ là một dấu hiệu và không thể khẳng định giao dịch thanh toán bất hợp pháp. Bởi vậy doanh nghiệp cần phối hợp nhiều biện pháp bảo mật để xác định khách hàng xấu. 4. Mã hóa để Bảo mật thanh toán Mã hóa là phương pháp biến đổi thông tin thành dãy ký tự phức tạp và khó có thể giải mã nếu không có đầy đủ thông tin về thuật toán được sử dụng. Mã hóa cho phép truyền tải thông tin một cách an toàn và bảo mật. Mã hóa và quá trình mã hóa Mã hóa Văn bản gốc Thuật toán Bản mã Giải mã Bản mã Thuật toán Văn bản gốc Có nhiều phương thức mã hóa khác nhau, việc lựa chọn phương thức mã hóa phụ thuộc vào từng hoàn cảnh và yêu cầu cụ thể. Một số phương thức mã hóa phổ biến trong thương mại điện tử là Mã hóa khóa công khai Public key encryption và Mã hóa khóa đối xứng Symmetric key encryption. 5. Bảo mật thanh toán bằng Giao thức SSL Secure Socket Layer SSL là mô hình bảo mật thông qua kênh thanh toán, được phát triển và ứng dụng rộng rãi nhất trong thương mại điện tử hiện nay. Thông qua SSL, thông tin được mã hóa, truyền tải và xác thực giữa máy chủ và thiết bị kết nối của khách hàng thông qua liên kết TCP/IP, do đó thông tin được bảo mật toàn vẹn. Giao thức SSL được thiết kế để ngăn chặn những nỗ lực giả mạo thông tin trong quá trình truyền tải thông tin giữa các ứng dụng bằng mạng Internet. 6. Giao thức HTTPS Hypertext Transfer Protocol Secure HTTPS là Giao thức Truyền tải siêu văn bản HTTP được nâng cấp nhằm đảm bảo bảo mật trong quá trình xác thực, mã hóa khóa công khai và ký điện tử. HTTPS cho phép các website thương mại điện tử thực hiện giao dịch một cách bảo mật thông qua quy trình mã hóa giữa máy chủ và thiết bị của khách hàng. Công nghệ này là một sự nâng cấp liền mạch của HTTP với khả năng bảo mật tối ưu thông qua một cơ chế phòng vệ khác. Xem thêm HTTPS là gì? Tại sao website nên dùng HTTPS? 7. Tiêu chuẩn Giao dịch Điện tử An toàn SET Các cấu phần tham gia vào giao dịch điện tử an toàn Chủ thẻ Internet Doanh nghiệp Cổng thanh toán Ngân hàng thanh toán thẻ Mạng lưới thanh toán Ngân hàng phát hành thẻ Đơn vị cấp phép thanh toán Tiêu chuẩn Giao dịch Điện tử An toàn SET được phối hợp ban hành bởi MasterCard và VISA với mục tiêu đảm bảo an toàn và bảo mật thông tin cho các cá nhân, tổ chức tham gia vào việc thanh toán điện tử để thực hiện giao dịch mua bán online. SET đưa ra tiêu chuẩn và quy trình xử lý giao dịch như Xác thực chủ thẻ và doanh nghiệp Bảo mật dữ liệu thanh toán Định nghĩa dịch vụ, nhà cung cấp dịch vụ bảo mật điện tử và giao thức bảo mật điện tử 8. Tuân thủ Tiêu chuẩn An ninh Dữ liệu Thẻ PCI DSS Nguồn cybersecon Hội đồng An ninh Dữ liệu Thẻ được thành lập năm 2006 với mục tiêu xác định tiêu chuẩn cho các tổ chức đang thực hiện nghiệp vụ chấp nhận, xử lý, lưu trữ và truyền tải thông tin thẻ tín dụng nhằm đảm bảo môi trường giao dịch an toàn. PCI DSS không phải là luật pháp mà là hệ tiêu chuẩn bảo mật được các tổ chức thẻ lớn trên thế giới như VISA, Mastercard, JCB, AMEX và Discover phối hợp ban hành. Đơn vị không tuân thủ PCI có thể bị xử phạt hành chính, phải trả phí thay thế thẻ, buộc thực hiện kiểm toán và gánh chịu tổn thất về mặt thương hiệu. Trụ cột của Tiêu chuẩn An ninh Dữ liệu Thẻ Mạng lưới bảo mật duy trì tường lửa để bảo vệ dữ liệu khách hàng Bảo mật dữ liệu mã hóa và bảo vệ thông tin khách hàng trong quá trình truyền tải Quản lý rủi ro đảm bảo an toàn hệ thống bằng cách nhận diện và xử lý nguy cơ tiềm ẩn Quản lý truy cập hạn chế quyền truy cập dữ liệu chủ thẻ Giám sát thường xuyên giám sát mạng lưới và theo dõi vết truy cập tài nguyên hệ thống Duy trì duy trì chính sách bảo mật “Phòng bệnh hơn chữa bệnh!”. Chi phí và nguồn lực cho việc phòng ngừa rủi ro có thể hạn chế tổn thất khổng lồ từ rủi ro mạng. 9. Màn hình đăng nhập an toàn Giao dịch thương mại điện tử bắt đầu với màn hình đăng nhập hệ thống. Như vậy thiết kế website thương mại điện tử cũng cần chú ý đặc biệt tới màn hình đăng nhập. Thiết kế một màn hình đăng nhập an toàn là việc đơn giản nhưng lại có thể giảm thiểu đáng kể nguy cơ bị tấn công do hacker xâm nhập và truy cập thông tin. 10. Chữ ký điện tử Chữ ký điện tử có ý nghĩa xác định danh tính khách hàng. Chữ ký điện tử thực chất là một phương thức mã hóa thông tin bằng đặc tính riêng có của khách hàng, được sử dụng để xác thực giao dịch. Một khi đã được xác lập, mối liên hệ giữa dữ liệu giao dịch và chữ ký là duy nhất và không thể thay thế bất cứ cấu phần nào. Ngay cả trong trường hợp một cấu phần bị thay thế, hệ thống sẽ tự động nhận diện chữ ký không hợp lệ. Tóm lại, chữ ký điện tử là công cụ cấp quyền giao dịch và bảo mật thông tin hữu hiệu. LỜI KẾT Đến đây, có lẽ bất cứ doanh nghiệp nào cũng có thể nhận thấy lỗ hổng an ninh trong hệ thống của mình nếu thiếu một trong những giải pháp trên. Đây là những tiêu chuẩn cũng như giải pháp tối cần thiết khi xây dựng một website thương mại điện tử. Hệ thống thanh toán là nơi tài sản của khách hàng và doanh nghiệp được bảo vệ hoặc bị tấn công, tùy thuộc vào mức độ an toàn của website. Do đó đây là cấu phần quan trọng nhất của website thương mại điện tử. Nếu doanh nghiệp của bạn từng trải qua các cuộc tấn công mạng, hoặc cần hỗ trợ xây dựng một nền tảng giao dịch online an toàn, hãy tìm đến các chuyên gia trong lĩnh vực này để được tư vấn và triển khai giải pháp phù hợp. Nguồn Bảo mật điện tử là một nhân tố tối quan trọng cho sự phát triển bền vững của TMĐT. Tuy nhiên, đây cũng là một đề tài nhức nhối vì mọi vấn đề bao giờ cũng có mặt trái như một thể thống nhất của vạn vật và mặt trái của Internet là đã tạo ra một môi trường trú ngụ cho các tin tặc đang sở hữu những công cụ tự động hoá ngày càng phức tạp về hiệu quả phá hoại trong khi các năng lực cần thiết để làm chủ chúng lại càng giảm dần theo thời gian. Do đó, không một tổ chức hay quốc gia nào có thể nói mạnh là mình đã hoàn toàn “miễn dịch” đối với tin tặc, dù đó là Microsoft hay Chính phủ Hoa Kỳ. Ở Việt Nam, bảo mật điện tử tuy mới được đặt ra trong vài năm trở lại đây nhưng đã được các tổ chức hữu quan, đơn vị thực hiện chức năng mạng, doanh nghiệp và cộng đồng đặc biệt quan tâm và đầu tư xây dựng. Đây là cơ sở để Chính phủ ban hành Nghị định về mật mó thương mại, trong đó sẽ quy định một số tiêu chuẩn mật mó sẽ sử dụng cho các tổ chức và cá nhân hoạt động trong lĩnh vực thương mại điện tử. Hiện nay thị trường bảo mật thông tin của Việt Nam vẫn cũn bỏ ngỏ. Cỏc cụng ty tự động áp dụng các biện pháp bảo mật khác nhau. Ban Cơ yếu Chính phủ chưa có nhiều kinh nghiệm về bảo mật thông tin thương mại cũng như cung cấp dịch vụ, bao gồm cung cấp các thiết bị mật mó, cài đặt phần mềm, thiết bị xác thực. Tuy nhiên, Ban Cơ yếu Chính phủ đó xõy dựng một tiểu dự ỏn nằm trong dự ỏn quốc gia về thương mại điện tử, có tên gọi là “Xây dựng hạ tầng cơ sở bảo mật thông tin trong hệ thống thương mại điện tử của Việt Nam”, trong đó trỡnh bày tất cả những thuận lợi, khú khăn và thách thức đối với công tác bảo mật thông tin. Với năng lực bảo vệ cơ sở hạ tầng công nghệ chống lại khủng bố hệ thống mạng cũng như ngăn chặn việc sử dụng tài nguyên thông tin vào mục đích phạm pháp như ở nước ta hiện nay, bảo mật điện tử chắc chắn sẽ không đáp ứng được nhu cầu của TMĐT được dự báo sẽ phát triển như vũ bão trong những năm tới. Sự tiếp cận và phát triển TMĐT ở Việt Nam là một tất yếu trong bối cảnh và xu thế chung của nền kinh tế toàn cầu. Nhưng để có thể phát triển TMĐT ở Việt Nam nhất thiết phải cú một quỏ trỡnh chuẩn bị, tạo lập các điều kiện cần thiết. Quỏ trỡnh đó tuỳ thuộc nhiều vào quan điểm, cách nhận thức vấn đề và chiến lược thương mại điện tử. Cần coi trọng chuẩn bị môi trường lâu dài, tránh sa vào các hoạt động “phô diễn” ít hiệu quả, mà có thể đưa lại các hệ quả không mong muốn. Quyết định khó khăn khi chọn trường đào tạo nhân sự Trong quá trình ra quyết định chọn ngành thi đại học đa số các bạn học sinh ngày nay chọn ngành thiên về lĩnh vực tự nhiên nhiều hơn xã hội, điều này cũng phù hợp với thực quá trình ra quyết định chọn ngành, chọn trường thi vào nghề nhân sự thì kiến của ý cha mẹ, anh chị em trong gia đình rất quan trọng đối với các bạn, phần lớn các bạn cho rằng kiến của cha mẹ, anh chị trong gia đình là có giá trị nhất. Mặt khác các bạn học sinh ngày nay luôn tự ý thức về bản thân và gia đình, lựa chọn ngành nghề hay trường đại học phù hợp với năng lực bản thân cũng như tài chính gia đình. Hầu hết các bạn học sinh đều chọn các ngành nhân sự đều có tham vọng lớn, tầm nhìn rộng nhưng các em không biết bắt đầu từ đâu, các em nghĩ đến tương lai nhưng không hiểu quá trình học đại học ở trường sẽ giúp các em những gì. Để tham khảo thêm về nghề tổng vụ nhân sự các em nên xem thêm thông tin và chia sẻ của các chuyên gia, người đi trước tại trang web VieclamBank. Đây là một trang web chuyên tuyển dụng nhân sự cho các công ty Nhật Bản, hầu hết các ý kiến đều thực tế, bổ ích. .

bảo mật trong thương mại điện tử là gì