BÁO CÁO BÀI TẬP LỚN tìm hiểu về hệ thống thanh toán POS (thanh toán bằng thẻ)

Nguôn gốc lịch sử Hệ thống POS phát triển từ một loại máy tính tiền cơ khí sử dụng các thanh ghi dịch mechanical cash registers vào đầu thế kỷ 20.. Nó sử dụng cho các shop bán lẻ retail

BAN CO YEU CHÍNH PHỦ HOC VIEN KY THUAT MAT MA

HOC PHAN

An toan Internet & Thuong mai dién tir

BAO CAO BAI TAP LON

Tim hiéu vé hé thong thanh toan POS (thanh toan bang thé)

Giang vién : Bùi Việt Thắng

Nguyén Thu Trang — AT 140247 HotenSV =: Phan Thị Hà- AT140213

Nguyên Tiên Nam — AT140225

Hà Nội, 2021

Trong những năm qua, Thương mại điện tử (TMĐT) đã dần dần khắng định được vai trò của mình trong việc trao đôi thông tỉn, giao dịch mua bán qua mạng Vào Việt Nam từ kế từ năm 1998 đến nay, tốc độ phát triển Internet tăng trưởng rất nhanh Tính đến tháng I1 năm 2009 số người sử dụng internet đã là 22.479.065 người, chiếm hơn dân số Và trong thời gian vừa qua dịch bệnh gây ra nhiều xáo trộn trong cuộc sống của mọi người khi mọi người phải thực hiện giãn cách thì Thương mại điện tử đã càng thế hiện được những lợi ích cảu nó so với các hình thức trước kia Một phần không thẻ thiêu của Thương mại điện tử, luôn đi kèm với

nó đó là Thanh toán điện tử

Thanh toán điện tử được định nghĩa là bất kỳ hình thức chuyền tiền nào được thực hiện thông qua các thiết bị điện tử Thanh toán bằng hệ thống này có thế được thực hiện qua Internet, hệ thống chuyền tiên điện tử, các hệ thống thanh toán bù trừ liên

ngân hàng và hệ thống trao đôi dữ liệu điện tử tài chính Trong tài liệu này, nhóm

em sẽ thực hiện tìm hiểu hệ thống thanh toán POS-một hình thức thanh toán tiêu

biểu của việc thanh toán điện tử

Chúng em xin chân thành cảm ơn những hướng dẫn, góp ý của thày về đề tài Qua buổi báo cáo nhóm em đã thực hiển bổ sung, sửa chữa bản báo cáo, Dưới đây là bản báo cáo của nhóm chúng em!

MỤC LỤC

2

Chương 1 : Giới thiệu chung về hệ thông thanh toán POS 4

8 ƒ-210).818i10.8.20277277 4

3 Các loại hệ thống thanh toán POS << < 5 55 Sex eeeeeeeeseseeeeeee 5

3.1 Hệ thống điểm bán hàng di động <2 «se s<sssesseseseses 5 3.2 Hệ thống máy tính bảng POS 2 5-5-5 < cccscscsesesesesesee 5

3.4 Hệ thống điểm bán hàng trực tuyỀn << s «se ssscsesescses 6

3.6 Hệ thông POS đa kênh << 5% S xxEsESEEEE£E£Eg x9 evrsrsrsee 7

3.7 Hệ thông POS mã nguồn mỞ - << < 2s EEeS£E£s£s£eEeEeEeseses 7 Chương 2 : Cách thức hoạt động của Hệ thống thanh toán POS 7

1 Nguyên lý hoạt động - co 2s 5 9 999 99999909996.06 05 0 06069960908 08 7

2 Mã hóa Q0 00.0 0 0 000 08000000 9

3 Chỉ phí khi thanh toán bằng POS - << <5 55s sex eeeeeeeeseses 11

Chương 3: Giải pháp bảo mật cho hệ thống thanh toán POS 11

1 Các van dé bảo mật của hệ thống POS 5-5-5 =esee<=<c<cesescse 11 1.1 Khả năng truy CậD SG SG ĐC 0 9009000000 00 00 000606666666689666 12 1.2 Thiếu mã hóa point to point (P2PE;) 2- 5 << ss=£esesesesessee 12 1.3 Lỗ hong PHAN MEM sscscscscsssssssesssesesescsssesssssssssessesesssescsssssssssssesesssenes 13 1.4 Tính nhạy cảm với mã đỘC 0G GGGGG 55359999999 995099 99999688888 13 1.4.1 BlackPOS co cọ 000.0 0000 0000000000004 996 14 Việc áp dụng EMV chậm 0G GG G5 G5399 95 999 000000066 669969696 14

4 Các cuộc tấn công chống lại hệ thống POS -2 5 5555 cs=esee 15

2.3 Công cụ đánh cắp dữ liệu 5-5-5 2e sex sxexeseseeeeeecee 16

3.1 Rúi ro liên quan đến quá trình thanh toán 5 5-5 <5 5< =5 17 3.2 Rủi ro tại ngần hàng thanh fOáII 5G 2G G2 33955555555 55585995 18

3.3 Rúi ro đối với elhủ thẻ -s 5< +s< sex +rserterkekeerkersrksrksrrsrksred 18

6 Cac giai phap bao mat cho POS

Chương 1 : Giới thiệu chung về hệ thông thanh toán POS

1 Nguôn gốc lịch sử

Hệ thống POS phát triển từ một loại máy tính tiền cơ khí sử dụng các thanh ghi dịch (mechanical cash registers) vào đầu thế kỷ 20 Những ví dụ của loại máy tính tiền này như là sử dụng thanh ghi NCR(crank) và loại cao hơn đó là thanh ghi Burroueh Các thanh ghi này phi lại dữ liệu vào các cuộn bang tir (journal tapes) va doi hoi phải sao chép lại các thông tỉn này vào hệ thống của người quản lý bán lẻ Bước tiếp theo trong quá trình phát triển là việc sử dụng điện cho các máy tính tiền Một thí dụ cho loại này la thanh ghi NCR Class 5 Vao nam 1973 một loại máy mới ra đời được dẫn hướng băng máy tính được giới thiệu là IBM 3653 Store System và NCR 2150 Một số loại khác dựa trên sự cơ sở máy tính như là Regitel, TRW, và Datachecker Vào năm 1973 lần đầu tiên giới thiệu máy đọc mã vạch UPC/EAN có trong hệ thống POS Nam 1986, các hệ thông POS chủ yếu dựa trên kỹ thuật máy tính với sự ra đời của IBM 4683

Suốt trong những năm 1980 đến 90 các thẻ tín dụng hoạt động độc lập được tích hợp phát triển xử lý các thẻ tín dụng có trong hệ thống POS có thể dễ dàng và an toàn Model được giới thiệu ở đây là VeriFone Tranz 330, Hypercom T7 Plus, hay Lipman Nurit 2085 Nó là các thiết bị đơn giản Một số hệ thống POS không dây sử dụng cho các cửa hàng ăn không chỉ cho phép xử lý thanh toán di động, chúng còn cho phép server xử lý chính xác tất cả các món ăn Vào năm 2005, hệ thông POS dùng cho bán lẻ không những phục vụ mục đích bán lẻ mà cho khả năng kết nối mạng sử dụng trong thương mại Trên thực tế, rất nhiều hệ thống bán lẻ POS hoạt động hơn là một “point of sale" Khi chỉ phục vụ cho 4@&Š nhà bán lẻ, có nhiều hệ thống POS tích hợp nhiều account, quan ly théng minh, mở dự báo bán hàng, quản

lý quan hệ khách hàng (customer relation management CRM), quản lý dịch vụ, số tiên thuê, và sô tiên phải trả cho nhân viên

Với những tùy chọn phong phú, một điều trở nên phố biến mà dễ dàng ta sẽ phải nghe tới đó là các sản phẩm phan mém cho POS nhu: retail management software, business management software, POS system, and point of sale software

2 Dinh nghia

POS hay PoS là một thuật ngữ viết tắt của Point of Sale (hay point-of-sale, hoặc point of service) Nó sử dụng cho các shop bán lẻ (retail shop), tại quây thanh toán tiền (check out counter) trong shop, hay là một vị trí có thể thay đôi được khi mà giao dịch xuất hiện trong loại của môi trường kiểu này Thêm nữa, point of sale thỉnh thoảng đáp ứng giống như một hệ thống tính tiền (electronic cash register system) PoS được sử dụng trong các nhà hàng ăn uống, khách sạn, sân vận động, casino, nói chung nó thích hợp cho môi trường bán lẻ Tóm lại, nó là thứ phục vụ cho việc bán hàng, một điểm bán hàng trong một hệ thống bán hàng (point of sale system)

Là sự kết hợp sử dụng giữa phần cứng và phần mềm cho quay tinh tiền, và có thể đó

là một vị trí lưu động, với các hệ thống không dây (wireless systems)

3 Các loại hệ thông thanh toán POS

3.1 Hệ thống điểm bán hàng di động

Dịch vu POS trên điện thoại thông minh và máy tính bảng có thể xử lý thanh toán và quản lý một số khoảng không quảng cáo và thông tin khách hàng Trong hâu hết các trường hợp ứng dụng miễn phí để đổi lấy việc xử lý thanh toán Các bộ xử lý thanh toán tốt nhất sẽ gửi cho bạn trình đọc thẻ tín dụng miễn phí Đây là một lựa chọn POS phù hợp nếu bạn không quản lý nhiều hàng tồn kho và bạn cần phải di chuyền Hau hét sẽ hoạt động với máy in hóa đơn di động hoặc bạn có thể gửi biên nhận qua email cho khách hàng của mình trực tiếp từ ứng dụng

3.2 Hệ thông may tinh bang POS

Pad và các giải pháp điểm bán hàng của Android ngày càng phổ biến kế từ khi họ yêu câu tối thiểu đầu tư trả trước vốn và bạn thường có thể sử dụng máy tính bảng

mà bạn đã sở hữu Một số dịch vụ máy tính bảng POS là "miễn phí" với việc xử lý

thẻ tín dụng: một số khác yêu cầu đăng ký hàng tháng rất nhỏ nhưng cho phép bạn chọn bộ xử lý thẻ tín dụng của riêng mình Nhiều hỗ trợ phần cứng tương thích như máy đọc mã vạch, ngăn kéo đựng tiền và giá đỡ máy tính bảng

3.3 Hệ thống POS đầu cuối

Hệ thống điểm bán hàng đầu cuối là loại bạn quen nhìn thấy tại quầy Mặc dù chúng dựa trên phần cứng và phan mém, hau hết vẫn yêu cầu quyền truy cập internet và thậm chí có thể sử dụng phần mềm dựa trên đám mây Chúng thường được bán dưới dạng các giải pháp tất cả trong một bao gồm máy quét mã vạch, ngăn kéo đựng tiên Nhiều dịch vụ trong số này cung cấp hỗ trợ 24/7/365 và sao lưu đám mây Các hệ thông này giúp dé dàng hạn chế quyên truy cập internet của nhân viên, vì chúng có thể được định câu hình chỉ để chạy phần mềm POS Các giải pháp nhà

hàng có thê tích hợp với các thiết bị di động Wi-Fi, đặt hàng máy tính bảng khách

hàng quen và đặt hàng trực tuyến Các loại máy bán lẻ có thể bao gồm các công cụ kiểm kê mở rộng in nhãn và tích hợp thương mại điện tử Một số được "miễn phí"

để đôi lấy việc thanh toán cho quá trình xử lý thẻ tín dụng

3.4 Hệ thống điểm bán hàng trực tuyến

Với POS trực tuyến, bạn có thể sử dụng phan cứng của riêng mình, có thể là PC

hoặc máy tính bảng Một lợi thế khác là chỉ phí bắt đầu là rất nhỏ Các giải pháp PC

không thẻ thay thế sự tiện lợi của màn hình cảm ứng: tuy nhiên, nêu doanh nghiệp của bạn có doanh số bán vé lớn, số lượng lớn, thì doanh nghiệp của bạn có thé du nhanh dé đáp ứng nhu cầu của bạn Kinh doanh số lượng ít cũng làm cho việc sử dụng một máy in tiêu chuẩn trở nên khả thi Bạn có thế đăng nhập vào các giải pháp trực tuyến từ mọi nơi, sử dụng mọi thiết bị

3.5 Self-service kiosk POS

Hau hết các hệ thông POS kiosk là các giải pháp chuyên biệt cho một mục đích cụ thể Ví dụ: bạn có thể cung cấp một ki-ốt tự phục vụ cho khách hàng quen mua vé xem phim hoặc quản lý thời gian chỗ đậu xe và các khoản thanh toán Một tùy chọn hữu ích khác là thiết lập một vài ki-6t trong cửa hàng bán lẻ lớn của bạn để cho phép khách hàng của bạn tra cứu giá cả và tính sẵn có của sản phẩm Các mục đích sử dụng non-POS khác bao gồm đăng ký bệnh nhân và nguồn nhân lực (chăng hạn như

chấp nhận đơn xin việc) Trong một số ngành, ứng dụng dành cho thiết bị di động có thể thay thế một số cách sử dụng phố biến, chăng hạn như đăng ký và tra cứu sản

phẩm hoặc thậm chí là bán vé

3.6 Hệ thông POS đa kênh

Nếu doanh nghiệp của bạn bán sản phẩm của mình ở nhiều địa điểm trực tuyến hoặc trực tiếp bạn sẽ được hưởng lợi rất nhiều từ các hệ thống POS đa kênh Loại hệ thống POS này tích hợp tất cả doanh số bán hàng trên cửa hàng trực tuyến của bạn, các trang mạng xã hội và phía trước cửa hàng Do đó bạn ít có khả năng hết hàng

hơn

3.7 Hệ thống POS mã nguồn mở

Với các hệ thống POS mã nguồn mở, bạn có thê tùy chỉnh giao diện phần mềm POS của mình đề hoạt động theo cách bạn muốn Bạn sẽ cần các kỹ sư phần mềm đề thực hiện điều này và vì các kỹ sư phần mềm thường tính phí cao, nên máy POS mã nguôn mở chỉ phí sẽ cao hơn Tuy nhiên, nó có thể là lựa chọn duy nhất cho các doanh nghiệp lớn hơn với nhu cầu sử dụng máy POS độc nhất vô nhị

Chương 2 : Cách thức hoạt động của Hệ thông thanh toán

POS

Nguyên lý hoạt động

Có ba cách để thiết bị đầu cuối POS có thê chấp nhận thanh toán bằng thẻ:

Quẹt thẻ: thẻ có dải từ được quẹt để bắt đầu giao dịch

Chèn: thẻ có vi mạch được đưa vào máy POS và nó vẫn ở đó trong suốt quá trình giao dịch

Nhân: Thẻ chip Europay, MasterCard và Visa (EMV) cũng có thể sử dụng giao tiếp trường gần (NFC) để thanh toán không tiếp xúc băng cách nhân vào thiết bị đầu cuối POS

Dữ liệu cần thiết cho giao dịch được truyền dưới dạng mã hóa qua sóng vô tuyến để thiết lập kết nỗi giúp giao dịch nhanh chóng và an toàn Điều này giúp loại bỏ sự cần thiết phải quẹt hoặc lắp thẻ hoặc thậm chí giao thẻ cho người bán

Khi thanh toán được thực hiện trong thiết bị đầu cuỗi POS:

Bước 1: Dữ liệu giao dịch thẻ được mã hóa và chuyển đến bộ chuyên đổi ngân hàng bên mua

Bước 2: Thẻ được nhận dạng dựa trên loại thẻ cho dù đó là thẻ MasterCard hay thẻ VISa, V.V

Bước 3: Mạng thanh toán trên cơ sở số BIN xác định ngân hàng của khách hàng và định tuyến giao dịch theo đó Thông thường 6 chữ số đầu tiên trên thẻ được gọi là Số nhận dạng ngân hàng (BIN) giúp xác định ngân hàng phát hành

Bước 4: Ngân hàng phát hành xác định khách hàng và cho phép thực hiện giao dịch Bước 5: Thông báo thành công hoặc thất bại được tra về máy PoS và máy sẽ thông báo gd thành công hay that bại

Mã hóa

Decryption

with DUKPT

Mỗi khi thẻ được quẹt trên thiết bị đầu cuối PoS, dữ liệu thẻ như số thẻ, CVV, tên và

chỉ tiết giao dịch được mã hóa Việc mã hóa hoặc giải mã dữ liệu tài khoản được thực hiện băng DEK (Khóa mã hóa dữ liệu) DUKPT (Khoá duy nhất được tạo ra cho mỗi giao dịch) là một phương pháp quản lý khoá sử dụng khoá duy nhất cho mỗi giao dịch và ngăn chặn việc tiết lộ bất kỳ khoá nào trong quá khứ được sử dụng bởi PoS bắt nguồn từ giao dịch

Về cơ bản, một Khóa khởi động cơ sở (BDK) được sử dụng để bắt đầu quá trình DUKPT Bản thân BDK không bao giờ được hiến thị mà thay vào đó được sử dụng

để tạo ra một khóa khác, được gọi là khóa ban đầu Khóa ban đầu này được đưa vào thiết bị POS moi cling voi Số sê-ri khóa chứa thông tin nhận dạng cho ứng dụng chủ Khóa ban đầu được sử dụng để tạo một nhóm các khóa mã hóa và trong mỗi giao dịch, một trong các khóa được chọn từ nhóm để mã hóa thông tin Sau khi dữ liệu được gửi đi, khóa hiện tại được sử dụng để tạo các khóa bồ sung trong tương lai, sau đó khóa sẽ bị xóa, xóa mọi thông tin về giao dịch trước đó

10

Các khóa có nguồn gốc giữ thông tin an toàn Không thể đảo ngược quá trình để dẫn trở lại BDK và nếu một trong các chìa khóa bị xâm phạm trong thiết bị POS, nó sẽ ngay lập tức được thay thế băng một chìa khóa mới trong giao dịch tiếp theo Thông qua việc phát sinh, DUKPT tạo thành một hệ thống tự tái chế nhằm thúc đây tính

bảo mật, hiệu quả và dễ thực hiện

Quản lý khóa DUKPT thường được sử dụng cho các khóa 3DES (hoặc AES) được

sử dụng trong các thiết bị đầu cuối POS Quản lý khóa này

chương trình có thể được sử dụng riêng để mã hóa khối PIN (số nhận dạng cá nhân) của thẻ và cũng để mã hóa đữ liệu giao dịch thanh toán Những kỹ thuật này đã được

sử dụng trong thiết kế của thiết bị đầu cuối POS di động

Hệ thống sẽ sử dụng BDK cùng với Số sê-ri khóa (KSN) duy nhất của thiết bị để tạo

Khóa mã hóa PIN ban đâu (IPEK) cho thiết bị(1 khóa BDK có thể dung cho nhiều thiết bị)

-DID(device identifier): số serial của thiết bi

-TC(transaction counter): day dém sé luong giao dich(21 bits cudi)

BDK sẽ được kết hợp với KSN để tạo ra IPEK, IPEK này sẽ được gán cho may POS duy nhất, sử dụng nó để tạo danh sách 21 future keys ban đâu nó sẽ sử dụng để mã hóa các thông điệp của mình

11