Hệ thống thanh toán thẻ được cung cấp bởi các đối tác cổng thanh toán (“Đối Tác Cổng Thanh Toán”) đã được cấp phép hoạt động hợp pháp tại Việt Nam. Theo đó, các tiêu chuẩn bảo mật thanh toán thẻ tại web Greencraft.vn đảm bảo tuân thủ theo các tiêu chuẩn bảo mật ngành.
2. Quy định bảo mật
Chính sách giao dịch thanh toán bằng thẻ quốc tế và thẻ nội địa (Internet banking) đảm bảo tuân thủ các tiêu chuẩn bảo mật của các Đối Tác Cổng Thanh Toán gồm:
- Thông tin tài chính của Khách hàng sẽ được bảo vệ trong suốt quá trình giao dịch bằng giao thức SSL (Secure Sockets Layer).
- Chứng nhận tiêu chuẩn bảo mật dữ liệu thông tin thanh toán (PCI DSS) do Trustwave cung cấp.
- Mật khẩu sử dụng một lần (OTP) được gửi qua SMS để đảm bảo việc truy cập tài khoản được xác thực.
- Tiêu chuẩn mã hóa MD5 128 bit.
- Các nguyên tắc và quy định bảo mật thông tin trong ngành tài chính ngân hàng theo quy định của Ngân hàng nhà nước Việt Nam.
Chính sách bảo mật giao dịch trong thanh toán của web Greencraft.vn áp dụng với Khách hàng:
- Công ty cung cấp tiện ích lưu giữ token - chỉ lưu chuỗi đã được mã hóa bởi Đối Tác Cổng Thanh Toán cung cấp cho Công ty. Công ty không trực tiếp lưu trữ thông tin thẻ khách hàng. Việc bảo mật thông tin thẻ thanh toán Khách hàng được thực hiện bởi Đối Tác Cổng Thanh Toán đã được cấp phép.
- Đối với thẻ quốc tế: thông tin thẻ thanh toán của Khách hàng mà có khả năng sử dụng để xác lập giao dịch không được lưu trên hệ thống của web Greencraft.vn Đối Tác Cổng Thanh Toán sẽ lưu trữ và bảo mật.
Đối với thẻ nội địa (Internet banking), Công ty chỉ lưu trữ mã đơn hàng, mã giao dịch và tên ngân hàng. Công ty cam kết đảm bảo thực hiện nghiêm túc các biện pháp bảo mật cần thiết cho mọi hoạt động thanh toán thực hiện trên sàn giao dịch thương mại điện tử web Greencraft.vn
Phần lớn các chuyên gia an toàn mạng nhận thức được vấn đề xác thực SSL (Secured Sockets Layer Certificates) và phần quan trọng mà chúng đóng góp trong giao diện an toàn web tổng thể của bạn. Tuy nhiên, có một giao thức có khả năng bảo vệ đối với truy cập website còn ít được biết đến SGC (Server Gated Cryptography).
Sử dụng một xác thực SSL có SGC sẽ làm tăng mức mã hoá sẵn có đối với nhiều truy cập website và thực tế đã cho thấy hầu hết những truy cập website có thể thực hiện sẽ liên kết ở mức mã hoá 128 bit hoặc mạnh hơn. Hai mức mã hoá SSL Mã hoá SSL xuất hiện hai mức cơ bản, mã hoá mức thấp và mã hoá mức cao. Mã hoá SSL mức thấp là mã hoá 40 hoặc 56 bit. Mã hoá SSL mức cao là mã hoá 128 bit hoặc 256 bit. Việc một phiên SSL nào đó xuất hiện ở mã hoá mức cao hay mức thấp phụ thuộc vào cả cấu hình hệ thống client và kiểu xác thực SSL đặt trong máy chủ web. Nhiều hệ thống client không thể sử dụng mã hoá SSL 128 bit trừ khi có xác thực SGC. Sự khác nhau giữa các mức mã hoá này là rất đáng kể. Mã hoá 128 bit đưa ra nhiều hơn 288 lần phép kết hợp so với mã hoá 40 bit, mạnh hơn xấp xỉ 300 triệu luỹ thừa 7 lần.
Dạng phá mã thông thường nhất đó là tính toán kiểu “tấn công vét cạn” (brute force). Năm 1997, SSL 40 bit đã bị một sinh viên phá trong thời gian khoảng 4giờ nhờ sử dụng phương pháp tính toán này, và ngày nay một hacker chuyên nghiệp với máy tính trong tay có thể phá chỉ trong vài phút. Nếu như hacker cũng sử dụng cách này để phá một phiên SSL 128 bit thì phải mất hơn một tỷ năm mới có thể thực hiện được. Những yếu tố xác định mức mã hoá Việc xác định những client nào sẽ thực hiện mã hoá SSL 128 bit và những client nào sẽ không mã hoá không chỉ phụ thuộc vào phiên bản trình duyệt client đó đang dùng mà còn phụ thuộc vào hệ điều hành cài đặt trên máy đó. Cả hai yếu tố này đều tác động đến việc thực thi các mức mã hoá SSL khác nhau trên client. Điều quan trọng cần chú ý là những vấn đề cấu hình này hoàn toàn tồn tại trên máy tính truy cập vào website; phần cứng, phần mềm và hệ điều hành của máy chủ không có ảnh hưởng gì tới khả năng truy cập thực thi mã hoá 128 bit. Các trình duyệt chia làm 3 loại. Loại đầu tiên đơn giản không có khả năng kết nối ở mức 128 bit. Những trình duyệt này quá cũ, đến mức chúng đã không được dùng trước khi có khả năng này, và không một xác thực SSL nào hiện tại có thể kết nối tới chúng với mã hoá 128 bit. Những trình duyệt này là Internet Explorer các phiên bản trước 3.2 và Netscape các phiên bản trước 4.02. Các Client đang chạy những trình duyệt quá cổ này chỉ là những máy truy cập sẽ được kết nối tới một xác thực SSL có SGC thấp hơn 128 bit. Những trình duyệt cổ này hiện nay rất hiếm. Loại trình duyệt thứ hai gồm các phiên bản Internet Explorer sau 3.02 những trình duyệt ra đời trước 5.5 và các phiên bản Netscape sau 4.02 và tới 4.72. Chúng thực thi mã hoá 128 bit khi kết nối tới những xác thực SSL có SGC và không sử dụng mã hoá 128 bit khi kết nối với những xác thực SSL không có mức xác thực như vậy. Những trình duyệt này hiện vẫn còn dùng trên phân nửa hệ thống sử dụng hiện nay nhưng vẫn có một sự hiện diện quan trọng trong thị trường. Những phiên bản trình duyệt mới nhất, Internet Explorer bắt đầu với phiên bản 5.5 và những phiên bản Netscape sau 4.72. Những trình duyệt này có khả năng cung cấp các phiên mã hoá 128 bit cho cả hai kiểu xác thực SSL - miễn là hệ điều hành cho phép nó. Một số trong các trình duyệt này cũng có khả năng kết nối ở mức mã hoá 256 bit nếu như máy chủ Web cũng có khả năng mã hoá 256 bit. Nhiều người, ngay cả các chuyên gia về an toàn web, không nhận ra rằng hệ điều hành của máy client cũng có thể gây ra một phiên SSL không thực thi được mã hoá 128 bit. Cụ thể, nhiều hệ thống Windows 2000 không thực thi được mã hoá 128 bit trừ khi xác thực SSL hỗ trợ SGC. Điều quan trọng cần phải hiểu là điểm yếu về an toàn này xuất hiện chủ yếu trên các phiên bản Internet Explorer đang chạy trên client. Thậm chí những máy tính này đang chạy phiên bản Internet Explorer gần đây nhất vẫn không thực thi được mã hoá 128 bit. Bất kỳ phiên bản copy nào của Windows 2000 xuất hiện trước tháng 3/2001 sau đó không được cập nhật thường xuyên sẽ phải chịu sự giới hạn này. Số lượng chính xác những hệ thống chịu ảnh hưởng nào vẫn chưa rõ, tuy nhiên, tháng 9 năm 2005, Yankee Group một hãng phân tích công nghệ hàng đầu kết luận rằng “hàng chục triệu” hệ thống client không thể thực thi mã hoá mạnh nếu không có một xác thực SSL có SGC. Mỗi nhà quản trị website cần phân biệt sự khác nhau giữa hai kiểu xác thực SSL và lựa chọn một trong số hai loại này để đảm bảo an toàn nhất cho hầu hết những truy cập site. Những xác thực có SGC là cách duy nhất bạn có thể bảo vệ mỗi phiên SSL có mã hoá mạnh nhất sẵn có đối với mỗi truy cập vào site đó.
- Từ khóa:
- TRÌNH DUYỆT
- SSL
- AN TOÀN THÔNG TIN
- SGC
- WEB