Chương 3.

Thanh toán điện tử (ecom) (215-

1. Khái niệm thương mại điện tử

2. Hệ thống thanh toán điện tử

3. Bảo mật thanh toán điện tử

4. Dịch vụ bảo mật thanh toán

1. Thương mại điện tử

- Ecom có thể định nghĩa là bất cứ giao dịch nào trao đổi giá trị hàng hóa thông qua mạng.

• B2B: ví dụ EDI
• C2B: ví dụ online shops
• C2C: chuyển tiền qua lại giữa hai người trực tiếp, tương lai gần sẽ có, ví dụ ecoin tính an toàn cao
• Customers/businesses-to-public administration transactions: ví dụ thuế điện tử, chính phủ điện
tử

- Ta sẽ tìm hiểu C2B (customer to business transactions)

2. Hệ thống thanh toán điện tử điển hình

Về mục đích, thanh toán điện tử là hệ thống cho phép các bên tham gia tiến hành mua bán được, tương
tự như các phương thức thanh toán đã có. Tuy nhiên, mặc dù bản chất là mô phỏng lại mua bán truyền
thống, nhưng các thủ tục giao dịch… đều thực hiện thông qua máy tính được nối mạng.

- Bất cứ hoạt động thanh toán nào cũng có 4 bên

- Provider sẽ quản lý cổng thanh toán

• Có thể truy cập từ mạng công cộng internet và mạng cá nhân

• Đóng vai trò trung gian giữa cơ sở hạ tầng thanh toán truyền thống và cơ sở hạ tầng thanh toán
điện tử.

- Để tham gia thì Customer và Merchant phải

 • Có thể kết nối mạng
• Đăng kí với nhà cung cấp dịch vụ thanh toán tương ứng
• Có tài khoản ngân hàng được kết nối đến mạng an toàn
o Ngân hàng của customer thường được gọi là issuer bank. (ngân hàng phát hành?)
o Issuer bank để chỉ ngân hàng thực sự phát hành phương thức thanh toán (debit/credit
card…) mà người dùng trả.
o Ngân hàng thu mua (acquirer bank) sẽ thu thập hồ sơ thanh toán (ví dụ: hóa đơn giấy
hoặc dữ liệu điện tử) từ các người bán (merchants).

- Để mua thì Customer trả một số tiền nhất định cho Merchant (bằng debit/credit card)

• Trước khi cung cấp hàng hóa, Merchant sẽ hỏi cổng thanh toán G để xác thực C và phương thức
thanh toán của C.
• G sẽ liên lạc với ngân hàng phát hành (issuer bank) để kiểm tra
• Nếu ổn, tiền sẽ được rút (hoặc ghi nợ) từ tài khoản của C và chuyển tới tài khoản của M.
• G thông báo thanh toán thành công đến M → M sẽ cung cấp hàng hóa cho C

*Trong một số trường hợp (e.g. các dịch vụ giá rẻ…) thì M sẽ cung cấp hàng hóa trước khi thanh toán
(chắc kiểu đi ăn xong mới chuyển khoản?)

3. Hệ thống Offline vs Online

- Hệ thống thanh toán Off-line

• Không kết nối tới ngân hàng của Customer/Merchant

• M sẽ không thể xác thực C bằng ngân hàng phát hành (issuer bank)
• Khó mà ngăn C không tiêu nhiều tiền hơn số tiền thực sự sở hữu
→ Hầu hết phương thức thanh toán bây giờ là online
→ Cái off-line này hiện nay có thể trong một số hệ thống e-cash (tiền điện tử)

- Hệ thống Online:

• Cần một authorization server, có thể là ngân hàng phát hành hoặc ngân hàng thu nhận
→ cần nhiều giao tiếp hơn nhưng mà bảo mật hơn

4. Debit-based vs Credit-based
4.1. Mô hình trả sau
- Với mô hình này, sự kiện “tiền thực sự chuyển từ bên mua sang bên bán” xảy ra ngay trong (paynow)
hoặc sau (paylater) giao dịch mua-bán.

- Hoạt động trên nguyên tắc tín dụng (credit).

- Credit (ví dụ: credit cards…): tín dụng, trả sau…

- Debit (ví dụ: debit card, checks…): trả ngay khi giao dịch được hoàn thành

5. Micro vs macro
- macro: tiêu lớn
- micro: tiêu nhỏ (kiểu 1,2, 50, 100 VNĐ)

→ Cấp độ lớn nhỏ trong các giao dịch đóng vai trò quan trọng trong việc thiết kế hệ thống và các chính
sách bảo mật của hệ thống. (bởi vì không ai thiết kế phương thức bảo mật đắt đỏ để bảo về các giao dịch
bé tí)

→ Trong trường hợp như vậy, thay vào đó, nên ngăn chặn các cuộc tấn công quy mô lớn có thể khiến một
lượng lớn tiền xu bị giả mạo hoặc đánh cắp.

6. Các phương thức thanh toán

- Truyền thống: Tiền giấy, thẻ tín dụng, séc….

- Các hệ thống thanh toán điện tử đã đưa ra các phương thức thanh toán mới như: tiền điện tử, séc điện
tử.

- Có hai loại phương thức chính: cash-like và check-like

• Cash-like
o Tiền được lấy khỏi tài khoản trước khi thanh toán
o Người mua sẽ rút một số tiền nhất định (có thể tiền giấy hoặc tiền điện tử) từ tài khoản.
• Check-like
o Thanh toán sau
o Người bán sẽ gửi một hóa đơn thanh toán cho người mua → tiền sẽ được rút từ tài khoản
người mua và chuyển tới người bán

7. Typical credit card transaction

- Thanh toán sử dụng credit card là phổ biến nhất. Ngày xưa thì dùng thẻ từ, bây giờ thì có smart card với
chip hoặc thậm chí thẻ ảo….

- Các bước trong thanh toán credit card: (Một chuỗi 7 bước)

1. C gửi M thông tin credit card (vd: ngân hàng phát hành, ngày hết hạn, số thẻ….)
2. M xác thực bằng bằng cách hỏi ngân hàng thu mua (acquirer bank - A)
3. A (acquirer bank) sẽ kiểm tra với I (issuer bank) và I sẽ thông báo lại cho A nếu được chấp thuận
4. M gửi hàng hóa cho C
5. M trình bày khoản phí (hoặc một loạt nhiều giao dịch) cho A.
6. (thanh toán) A gửi yêu cầu thanh toán cho I; I đặt tiền vào tài khoản thanh toán liên ngân hàng và
trừ số tiền bán hàng vào tài khoản thẻ tín dụng của C.
7. (thông báo) Sau một khoảng thời gian (tháng…). I gửi thông báo tới C về giao dịch và số tiền C cần
thanh toán. C thanh toán (bằng chuyển khoản, séc….)

5b. A đã lấy được số tiền bán hàng từ tài khoản thanh toán liên ngân hàng và đã ghi có vào tài khoản
của M.
*Vấn đề bảo mật:

- Nói chung việc sử dụng gian lận số credit card thường bằng nghe lén hoặc người bán thiếu trung thực.

- Credit card numbers có thể được bảo vệ

• Khỏi kẻ nghe lén bằng mã hóa (eg. SSL)

• Khỏi người bán thiếu trung thực bằng pseudonyms of credit card number (cái này là CVV à?)
• Bằng cách mã hóa và kí…

8. Tiền điện tử (e–money)

9. Séc điện tử
-

10. Ví điện tử
11. Bảo mật thanh toán điện tử (Security of E-payment)
- Vấn đề bảo mật của thanh toán truyền thống: Làm giả tiền, giả chữ kí…

- Thanh toán điện tử cũng có những vấn đề như thế và còn thêm:

• Tài liệu số có thể bị sao chép và dùng nhiều lần often (vì coin điện tử bản chất chỉ là số → copy
quá ez, không như tiền giấy)
• Ai biết khóa mật đều có thể tạo được chữ kí số
• Danh tính của người mua đi liền với tất cả giao dịch của họ (không ẩn danh)

→ Thương mại điện tử không thể phổ biến nếu không có các biện pháp bảo mật bổ sung cho phép hệ
thống thanh toán điện tử.

- 3 loại nguy cơ bảo mật có thể phải đối mặt

• Nghe trộm bởi kẻ bên ngoài lấy trộm số credit card…

• Tạo ra thông điệp giả
• User không trung thực cố tình làm điều gì đó không hợp pháp
11.1. Yêu cầu cơ bản cho hệ thống thanh toán
+) Xác thực thanh toán (Payment authentication)

Các bên tham gia giao thức phải chứng minh danh tính của họ là thật

(Không cần thiết là danh tính của họ bị lộ, tính ẩn danh phải được đảm bảo)

+) Tính toàn vẹn của thanh toán (Payment integrity)

Dữ liệu không thể bị bóp méo, chỉnh sửa

(Ví dụ chuyển tiền cho chỗ khác, gửi 500k nma bên nhận chỉ có 50k…)

+) Ủy quyền thanh toán (Payment authorization)

Bất cứ hành động nào phải được authorized, thân chủ cho phép

(không thể bị tiêu trộm)

+) Tính mật của thanh toán (Payment confidentiality)

11.2. Payment Security Services (mục tiêu)

- Thỏa mãn yêu cầu cơ bản của hệ thống thanh toán điện tử

- Có thể có conflict (muốn ẩn danh cho đồng coin số, nhưng cần identification của người double spendings)

- Hệ thống e-payment đòi hòi chính sách bảo mật lớn hơn micropayment

• Ẩn danh người dùng (bảo về thông tin có thể bị tiết lộ)

• Ẩn danh địa chỉ (không để lộ vị trí mà người đó thực hiện giao dịch)
• Ẩn danh người mua
• Không truy vết được giao dịch mua bán
• TÍnh bảo mật của giao dịch dữ liệu
• Chống chối bỏ tin nhắn giao dịch thanh toán
o bảo vệ chống lại việc từ chối nguồn gốc của thông điệp giao dịch
• Tính mới của tin nhắn giao dịch thanh toán
o bảo vệ chống lại việc phát lại các tin nhắn giao dịch thanh toán

12. Bảo mật tiền số

- Ngăn chặn tiêu nhiều lần (double spending)

- Chống làm giả coin

- Chống ăn trộm coin

13. Bảo mật E-check (séc) (không qtr lắm)

- Vấn đề lớn nhất của E cash

+) E-coins (chỉ là tài liệu điện tử → dễ dàng bị sao chép, giả mạo) chỉ được tiêu một lần (không được tiêu
nhiều lần)
+) Người dùng muốn hưởng tính ẩn danh như tiền mặt

+) Divisibility và tính tiện lợi

+) Giao dịch phức tạp

- Advantages & Disadvantages

Ad:

Tiện lợi, không mất phí

Ai cũng có thể sử dụng được (không như credit card)

Dis:

Rửa tiền, tống tiền (blackmail)

Trốn thuế

Dễ dàng ….