CAPITOLO 5

Transcript

CAPITOLO 5

Capitolo 5 - I processi, la sicurezza e i pagamenti
CAPITOLO 5
Il processo di acquisto, la sicurezza e i sistemi
di pagamenti
5.1 Il processo di vendita on line
Bisogna con realismo e convinzione riconoscere che nessun processo di vendita on
line potrà mai sostituire la trattativa tradizionale, cioè quella in cui s’incontrano due
persone e si confrontano apertamente con tutta la loro umanità e personalità per
definire il prezzo e la forma di pagamento.
Internet schematizza il processo di vendita in alcuni fondamentali passaggi: la prevendita, la transazione di vendita e il post-vendita.
La figura 5.1 descrive il processo di vendita on line.
Offerta
Pre-vendita
Formulazione ordine
Riscontro prodotto
Riscontro prezzo
Transazione di vendita
Contratto di vendita
Solvibilità cliente
Processo
di vendita
Pagamento
Fatturazione
Post-vendita
Evasione ordine
Logistica
Servizio
Reclami
Figura 5.1
www.dettaglidilusso.it
191
5.1.1 Pre-vendita
La pre-vendita comprende tutti gli elementi conoscitivi per suscitare l’interesse
dell’utente-cliente e portarlo ad un’eventuale decisione d’acquisto, comprende
informazioni sui prodotti e servizi e soprattutto sull’azienda, sui produttori e sui
rispettivi recapiti.
La fase di prevendita deve generare fiducia nell’acquirente, se si instaura questa
fiducia con il potenziale cliente la transazione on line andrà avanti, il successo di
un’offerta on line infatti dipende dall’interesse che è in grado di suscitare, dalla
chiarezza e dalla completezza degli elementi che la formano e con cui viene
recepita, dalla personalizzazione che è in grado di assicurare.
Un’offerta ben gestita, anche se non raggiunge un immediato ordine, resta pur
sempre una fruttuosa semina, uno spunto per un eventuale vendita.
La pre-vendita comprende informazioni su:
profilo dell’azienda;
recapiti e indirizzi;
creatore del sito;
data realizzo del sito;
prodotti e servizi;
forme di pagamento,
logistica,
Customer care.
5.1.2 La transazione di vendita
La transazione on line è una transazione diretta (anche se attraverso l’uso del
computer) e soprattutto in tempo reale.
Dovrà essere condotta in maniera trasparente senza lasciare spazi a dubbi,
interpretazioni troppo soggettive, malintesi ed eventuali conflittualità, il sito deve
guidare il cliente potenziale attraverso i passaggi che caratterizzano la transazione.
La transazione si articola nelle seguenti fasi:
riscontro del prodotto, del servizio e del prezzo: il cliente individua i
prodotti nel catalogo con tutte le loro caratteristiche, individua il servizio
fornito, il prezzo dei prodotti, la forma di pagamento;
condizioni di vendita e contratto: le condizioni di vendita riguardano una
serie di aspetti che si rivelano di grande importanza per la conclusione del
192
contratto on line, devono essere leggibili e consultabili facilmente dal
cliente;
formulazione dell’ordine: attraverso un “shopping cart” cioè un carrello
virtuale, per permettere al cliente di avere sotto gli occhi i suoi acquisti, il
carrello permette di selezionare i prodotti dal catalogo con i relativi prezzi,
il cliente deve completare le informazioni previste e il processo d’acquisto
è completato;
solvibilità del cliente: le garanzie di solvibilità del cliente sono necessarie
nel B2C, in base alle notizie trapelate dalla transazione di vendita
l’azienda deve decidere il livello di fiducia da assegnare al cliente e
decidere la modalità di pagamento accettabile;
pagamento: con il pagamento la vendita on line è arrivata al coronamento
del successo, il cliente deve avere la possibilità di poter scegliere la forma
di pagamento più consona;
fatturazione: deve corrispondere a quanto predisposto nel formulario
d’ordine.
5.1.3 Il post-vendita
La transazione commerciale non può essere considerata ultimata al momento
dell’acquisto del prodotto da parte del cliente, ma sono necessari servizi di postvendita per l’assistenza, la gestione dei reclami e servizi d’informazione.
Il servizio della post-vendita è un ottima occasione per avere un diretto e continuo
contatto con il cliente, per testare le sue caratteristiche ed instaurare un rapporto
duraturo ed interattivo, il post-vendita si articola nelle seguenti fasi:
puntale evasione dell’ordine: il successo della vendita oltre che essere
condizionato da aspetti commerciali e di marketing, dipende anche da
fattori organizzativi aziendali in grado di eseguire efficacemente e
puntualmente tutta l’evasione dell’ordine;
logistica: essa ha sicuramente una grande importanza nel processo di
vendita poiché provvede al trasferimento dei prodotti e quindi alla loro
consegna;
customer care: oltre agli aspetti tecnici e logistici grande importanza del
post-vendita è attribuita al servizio di assistenza del cliente sia per la
gestione dei reclami e delle problematiche sui prodotti, sia per la
diffusione di informazioni.
193
5.2 Il processo di vendita di www.dettaglidilusso.it
5.2.1 Il processo di acquisto lato utente
Il processo d’acquisto lato utente è indicato in figura 5.2.
Il processo di acquisto lato utente
Utente
Navigazione nel negozio
Acquisto
diretto
Visione dei prodotti,
visione delle condizioni di vendita
ed eventuale scelta d’acquisto
Acquisto
Procedura d’ordine
Uscita negozio
MYdettaglidilusso
Pagamento
Navigazione nel negozio
per trovare informazioni e
leggere articoli e commenti.
Uscita negozio
Figura 5.2
L’utente che entra in www.dettaglidilusso.it può navigare nel sito web senza nessun
obbligo di registrazione, l’utente può visualizzare i prodotti e tutto il contenuto
informativo ad essi associato ( foto, immagini, descrizioni, commenti ), se decide di
acquistare un prodotto o un servizio l’utente inizia la procedura d’acquisto, se decide
di uscire dal negozio lo può fare senza nessuna registrazione.
L’utente che diventa cliente ha due possibilità di acquisto:
se è già registrato compie l’acquisto nella pagina MYdettaglidilusso;
se non è registrato o non vuole effettuare nessuna registrazione compie
l’acquisto seguendo la procedura d’ordine.
194
I prodotti acquistati vengono messi nel carrello virtuale per eventuali acquisti o
modifiche delle quantità, alla fine della visita il cliente effettua il pagamento tramite il
processo descritto nel proseguo del capitolo in figura 4.9.
Effettuato il pagamento l’utente cliente può scegliere di uscire dal negozio virtuale
oppure rimanere all’interno del sito web per leggere commenti e articoli sul mercato
e sugli stili del momento e può effettuare ulteriori acquisti.
5.2.2 Il processo d’acquisto lato merchant
Il beneficiario di tutti i pagamenti è il gestore del sito, la figura 5.3 descrive il
processo di acquisto lato merchant.
Il processo d’acquisto lato merchant
Verifica successo della transazione
Insuccesso transazione
Successo transazione
Aggiornamento entrate
Aggiornamento % su
intermediazione
Figura 5.3
Il software di gestione della piattaforma aggiorna i dati delle transazioni, i prodotti
venduti, le commissioni per l’attività di intermediazione.
195
5.3 Le forme di pagamento
Il pagamento è certamente il momento più delicato di una transazione on line, infatti
vi sono problematiche a livello di sicurezza e protezione dei dati forniti,
problematiche di certezza di identificazione del cliente e dei dati che fornisce
(numeri e dati di carte di credito) che rendono questa fase della transazione molto
rischiosa.
Le varie tipologie di pagamento sviluppate in internet rappresentano le versioni
elettroniche dei sistemi di pagamento tradizionali, la differenza consiste nel fatto che
mentre nelle forme tradizionali siamo in presenza di operazioni materiali, di scambi
di
valuta,
nei
pagamenti
elettronici
abbiamo
delle
operazioni
gestite
elettronicamente ed in tempo reale, le forme di pagamento che un negozio virtuale
mette a disposizione possono essere raggruppate in due categorie:
pagamento on line;
pagamento off line.
La categoria dei pagamenti on line include: i micropagamenti, le carte intelligenti,
electronic billing e carte di credito.
La categoria dei pagamento off line include: il bonifico bancario, l’assegni, il vaglia o
bollettino postale, il pagamento alla consegna.
5.3.1 I sistemi di pagamento on line
Nel caso dei mezzi di pagamento on line ci si riferisce invece a quegli strumenti che
utilizzano lo stesso mezzo tramite il quale viene effettuato l’ordine d’acquisto, cioè
Internet.
I micropagamenti sono tecnologie che permettono agli utenti di effettuare
pagamenti nell’ordine di poche decine di centesimi di euro, sono utilizzati per il
pagamento di uno o più articoli di una rivista, vedere un video, ascoltare una
canzone, scaricare un software.
Il vantaggio dei micropagamenti è che i fondi non devono essere ricaricati per ogni
transazione e le cifre minime in gioco nelle transazioni sono molto inferiori a quelle
normali delle carte di credito.
I principali svantaggi sono i tempi lunghi di attesa per l’utente e l’assenza di uno
standard di controllo e protezione delle transazioni.
Inoltre dal punto di vista del cliente il sistema dei micropagamenti ha uno svantaggio
evidente, il cliente può non avere nulla in contrario a pagare pochi centesimi di euro
per leggere un articolo o per accedere ad informazioni specifiche, ma incomincerà
196
ad esasperarsi quando dovrà moltiplicare il pagamento per alcune volte all’interno
della stessa sessione nel web.
Vengono usati molti termini per descrivere le carte intelligenti o smart card: chip
card, carte a circuito integrato, database su scheda, per poi riunirsi sotto la
medesima definizione, ossia chip a circuiti integrati incorporati in un rettangolo di
plastica.
Quando si parla di questo strumento di pagamento lo si deve intendere sia come
moneta elettronica su file che come moneta elettronica su smart card, il pagamento
su file prevede il coinvolgimento di un intermediario per ogni transazione, quella su
smart card è assimilabile al comune denaro contante.
Sono note le caratteristiche insite nelle smart card, si pensi alla capacità di resistere
ad attacchi di tipo fisico, è possibile immagazzinare fino a cinque valute
contemporaneamente, i pagamenti avvengono molto facilmente, proprio come nel
caso del denaro contante, si tratta, infatti, di semplici trasferimenti di valore
monetario.
Uno dei grandi vantaggi dell'
utilizzo delle smart card nei pagamenti è che, a
differenza ad esempio dei tradizionali assegni, il commerciante riceve il valore di cui
è creditore istantaneamente.
Tale valore viene infatti prelevato dalla carta a microprocessore e trasferito sul
terminale del venditore, il quale potrà poi connettersi in rete alla banca per
depositarlo sul proprio conto corrente o potrà accumularlo su una propria smart card
da scaricare poi presso appositi sportelli bancari.
A differenza dei pagamenti con carta di credito, non occorrono autorizzazioni e
identificazione delle parti, questa tipologia si adatta in modo particolare a pagamenti
di piccole dimensioni di denaro.
L’electronic billing, cioè il pagamento dei conti direttamente via web, è adatto sia
al B2B sia al B2C, questa pratica, che sta sbocciando solo ora, ha attivato
l’interesse di parecchie aziende che hanno permesso lo sviluppo della fatturazione
elettronica anche in ambito B2C, la fatturazione elettronica consente la
presentazione, il pagamento a l’invio di fatture su internet, una tipica transazione di
electronic billing è costituita da quattro passaggi:
1. verifica e presentazione della fattura al cliente da parte dell’emettitore;
2. pagamento fattura da parte del cliente;
3. notifica del successo del pagamento all’emettitore;
4. invio ricevuta al cliente.
197
I micropagamenti, le carte intelligenti e la fatturazione on line hanno tutti un ruolo
interessante e importante nel commercio elettronico, ma le tre principali società di
carte di credito gestiscono oltre il 98% di tutti gli acquisti effettuati sul web.
Infatti le transazioni via carta di credito costituiscono la forza trainante del
commercio elettronico fra aziende e consumatori finali.
Una transazione via carta di credito è un prestito da parte di un’istituzione ad un
cliente, se il cliente ripaga il debito alla data prevista, il prestito è senza interessi, in
caso contrario il tasso di interesse sarà molto elevato.
La carte di credito e di debito sono carte di pagamento, cioè documenti che il titolare
può usare per acquistare beni o servizi evitando un esborso immediato di denaro
contante, in base alle modalità di pagamento, le carte si suddividono in:
carte di credito: l'
organizzazione che emette la carta concede un credito
al titolare fino a un determinato importo di spesa, l'
esborso di denaro non
è contemporaneo alla transazione; le operazioni effettuate, infatti, sono
addebitate mensilmente al titolare;
carte di debito: il pagamento avviene attraverso una procedura immediata
di accredito/addebito nei conti correnti rispettivamente del venditore e
dell'
acquirente (es.: Bancomat);
carte
prepagate
o
assimilabili:
il
titolare
versa
una
somma
all'
organizzazione che emette la carta, e può utilizzare quest'
ultima fino
all'
esaurimento di tale somma (es.: borsellino elettronico).
In relazione alle organizzazioni emittenti, le carte possono essere:
bancarie, emesse e distribuite tramite istituti bancari;
non bancarie o pure, gestite da organizzazioni non bancarie.
Gli istituti che emettono le carte di credito e di debito possono assumere l'
importante
ruolo di certificatori della sicurezza delle transazioni informative, commerciali e
finanziarie.
Nonostante sia ancora vivo il ricordo della carta di credito che viene introdotta,
insieme alla nota di spesa, in una macchina del negoziante al fine di imprimere su
tale nota informazioni come la data di emissione e di scadenza, il numero della carta
e il nome del titolare, in Italia oggi il sistema delle carte di credito prevede una
procedura automatizzata anche per tale fase.
In tal modo si elimina la necessità, per il commerciante-creditore, di depositare
presso la propria banca la nota di spesa firmata dal titolare della carta, affinché la
invii poi all'
emittente.
198
Un collegamento diretto dai luoghi di vendita permette, con la semplice lettura della
banda magnetica presente sulla plastica della carta di credito per mezzo di un
apposito terminale, l'
invio degli stessi dati direttamente alla banca.
Molti sono gli inconvenienti dell'
adattamento del sistema delle carte di credito
all'
utilizzo in rete, un pericolo importante è che dei pirati informatici possano copiare
dati rilevanti, come il numero della carta, inoltre in un normale negozio il
commerciante ha modo di controllare la nostra identità (e così noi la sua) e di
verificare così che l'
utilizzo da noi effettuato sia un utilizzo legittimo, in rete questo
non si può fare.
Un altro pericolo è che i dati da noi inviati vengano alterati da terzi, rischiando di
vederci addebitare somme da noi mai spese, infatti i dati immessi in rete, prima di
giungere a destinazione, in gran parte dei casi passano attraverso nazioni lontane
con il rischio di venire intercettati da malintenzionati.
Per dare una risposta a queste esigenze Visa e Mastercard, assieme ad altri partner
(tra cui Verisign, IBM, Microsoft), hanno collaborato per la creazione del protocollo
SET1 per garantire la sicurezza delle transazioni.
Quest'
ultimo fa uso di algoritmi crittografici e riesce così ad assicurare la segretezza
delle informazioni trasmesse, l'
integrità dei pagamenti e la validazione dei
contraenti.
5.3.2 Gli standard per il commercio elettronico
Ogni servizio di pagamento deve fornire sicurezza mediante l’utilizzo del protocollo
SSL2 e cifratura ed autenticazione attraverso il protocollo SET.
Il protocollo SSL è un protocollo di sicurezza per la trasmissione di informazioni
relative a pagamenti fra un acquirente ed un venditore.
Il protocollo SSL protegge la trasmissione dei dati inerenti la carta di credito tramite
la crittografia, è veloce ed efficace, non necessita di programmi specifici né di
password, il suo unico difetto consiste, però, nell’impossibilità di identificare
l’acquirente rendendo la transazione ripudiabile.
Il protocollo SET è uno standard di internet progettato per offrire un livello elevato di
sicurezza e protezione contro le frodi per quanto riguarda la transazioni via carta di
credito, presenta le medesime caratteristiche del protocollo SSL con la differenza
che si utilizza tramite un software, ancora poco diffuso, e un PIN da richiedere
1
2
Secure Electronic Transaction.
Secure Socket Layer.
199
presso la società che ha emesso la carta di credito in questione: la maggior
laboriosità della procedura permette, tuttavia, l’identificazione dell’acquirente.
5.3.3 Il funzionamento generale
Le problematiche riguardanti il pagamento attraverso internet sono sempre state un
elemento che ha scoraggiato i possibili acquirenti a effettuare acquisti on line.
Oggi giorno sia il fatto che internet è entrata a far parte della nostra quotidianità sia il
fatto che le tecnologie attualmente a disposizione permettono di effettuare
transazioni bancarie sicure hanno migliorato l’approccio verso questo tipo di
commercio.
Solitamente per effettuare un pagamento elettronico ci si deve avvalere di una
azienda esterna che fornisca tale servizio e solitamente si tratta di un istituto di
credito, il processo d’acquisto con pagamento on line coinvolge quattro attori
principali:
1. acquirente;
2. negozio virtuale;
3. server dell’istituto bancario dedicato a tale servizio;
4. sistema d’autorizzazione e addebito.
L'
acquirente utilizza un browser per collegarsi dapprima al negozio virtuale e quindi
al server della banca, mediante una redirect comandata dal negozio virtuale.
La connessione fra il browser dell’utente e tale server è avviene tramite il protocollo
SSL garantendo la connessione privata su internet, a questo punto il server della
banca con una struttura software ed eventualmente hardware gestisce la
connessione con un sistema di autorizzazione e addebito POS.
Il flusso di pagamento tipico è decritto nelle seguenti fasi:
1. l’acquirente riempie il carrello virtuale con i prodotti selezionati;
2. il negozio virtuale propone di procedere all'
acquisto e l'
acquirente attiva la
funzione;
3. il negozio predispone i dati dell'
ordine da comunicare al server per il
pagamento on line e attiva la ridirezione a tale server;
4. il server riceve la richiesta di pagamento e crea le pagine HTML necessarie
a procedere al pagamento, tipicamente l'
acquirente compilerà una form con i
dati di pagamento tipici del tipo di pagamento scelto;
5. il server inoltra la richiesta sul canale relativo al tipo di pagamento attivato;
200
6. al ricevimento della risposta il server invia all’utente una pagina HTML con il
risultato dell’autorizzazione e l’iperlink per tornare al negozio, inoltre accoda
la notifica d’autorizzazione avvenuta che sarà trasmessa al negozio virtuale
tramite Secure Channel;
7. il messaggio di notifica fornisce al negozio un identificativo univoco di
autorizzazione che sarà usato dal negozio per richiedere successivamente la
conferma del pagamento autorizzato o l’annullamento dell’operazione.
Questo è il funzionamento generale per i sistemi di pagamento on-line attualmente
offerti, ciascun istituto di credito, in ogni caso, ha un sistema che può differire da
quello appena illustrato.
5.3.4 I sistemi di pagamento off line
Le tipologie di pagamento tradizionale utilizzate dai siti e-commerce sono quattro:
bonifico bancario,
assegno;
vaglia o bollettino postale;
pagamento alla consegna.
Utilizzare una delle alternative indicate presenta un elevato grado di sicurezza e non
presuppone il trasferimento di informazioni riservate tramite la Rete; si sfruttano
però in modo limitato le potenzialità di Internet e gli unici vantaggi rispetto agli
acquisti tradizionali derivano dalla possibilità di valutare le offerte direttamente on
line e di ordinare in modo telematico e quindi immediato.
Il bonifico bancario è un pagamento effettuato tramite la banca su disposizione del
cliente, il venditore invierà la merce acquistata allorché la banca comunicherà
l’avvenuto pagamento tramite bonifico bancario, è una forma di pagamento
semplice e molto usata, non presenta alcun rischio visto che è la banca ad
effettuare il pagamento.
L’assegno è la soluzione più semplice e tradizionale, il cliente dà ordine alla banca
o invia un assegno a copertura dell’acquisto on line, questa forma presenta alcuni
svantaggi come la lunghezza dei tempi di ricezione, il costo dei giorni-valuta
applicati dalla banca all’incasso, l’insicurezza sulla solvibilità del cliente dell’assegno
bancario.
201
Il vaglia o bollettino postale è una soluzione semplice e diffusa al grande pubblico,
richiede più tempo nella riscossione, comporta oneri di una certa consistenza,
presenta qualche incertezza sino a pagamento avvenuto.
Il pagamento alla consegna risponde all’esigenza di colui che vende che vuole il
pagamento assicurato e di colui che compera che entra in possesso del bene
acquistato on line nel momento in cui paga, questa forma è relativamente costosa,
richiede tempi per la sua formulazione, presenta l’inconveniente che, se al momento
della consegna l’acquirente è assente, dopo qualche giorno d’attesa, il prodotto
verrà rispedito al mittente.
5.4 Le forme di pagamento di www.dettaglidilusso.it
5.4.1 Il mercato dei sistemi di pagamento in Italia
Il quinto Osservatorio FTI-SSB3 presenta una fotografia esaustiva e ricca
dell’evoluzione dello scenario dei sistemi di pagamento in Italia e in Europa.
Come afferma Giorgio Pacifici, Presidente FTI : “Una crescita inarrestabile quella
delle carte elettroniche di pagamento, che diventano sempre di più lo strumento
tradizionale per i pagamenti. Come dimostrano i dati, l’Italia tende quindi ad
allinearsi con quanto avviene negli altri paesi europei, numeri e tendenze che si
confermeranno con l’incremento degli standard di sicurezza che la tecnologia del
microcircuito consente”.
Il processo di globalizzazione dei mercati e l’innovazione tecnologica su vasta scala,
accompagnati dall’evoluzione dell’utilizzo degli strumenti di pagamento hanno
determinato la forte crescita delle carte e dei pagamenti elettronici in tutta Europa.
In particolare, in Italia sono diffuse oltre 46 milioni di carte di pagamento, delle quali
oltre 24 milioni sono carte di debito e 22 milioni circa sono carte di credito, carte che
possono essere utilizzate su una rete di oltre 37 mila sportelli automatici
multifunzione e in più di 800 mila punti vendita dotati di POS.
Sempre guardando al mercato italiano, nel 2003 il numero di possessori di conti on
line in Italia ha raggiunto circa i 6 milioni di utenti (+ 30% della quota e-banking
3
FTI, Forum per la Tecnologia dell’Informazione; SSB, Società per i Servizi Bancari, leader nei sistemi
di pagamento, con oltre 5 miliardi di transazioni gestite nel 2003.
202
rispetto al 2002) e le operazioni in rete con carte di credito hanno rappresentato il
7,4% del totale delle operazioni effettuate con carte, anche le operazioni di bonifico
via Internet, pari a circa 15 milioni di operazioni, sono più che raddoppiate rispetto
all’anno precedente, mentre l’uso delle carte prepagate è addirittura quintuplicato.
L’Osservatorio Anee sul commercio elettronico relativo al 2003 indica che,
nonostante la sua “cattiva fama” presso gli utenti, la carta di credito resta lo
strumento preferito dalle imprese che fanno e-commerce, il 90% delle imprese
analizzate consente agli utenti il pagamento on line tramite carta di credito, ma
affiancato per il 75% dei siti da forme di pagamento off line.
La figura 5.4 riassume le forme di pagamento utilizzate dai siti di e-commerce.
Strumenti per il pagamento on line
Carte di credito
Pagamento off line
Bonifico
Edi
Contante digitale
Pagobancomat
0%
20%
40%
60%
80%
100%
Figura 5.4 Fonte: Osservatorio Anee
5.4.2 La scelta di www.dettaglidilusso.it
In base ai dati diffusi dall’Osservatorio Anee sugli strumenti di pagamento più
utilizzati in rete, www.dettaglidilusso.it ha deciso di implementare due sistemi di
pagamento:
pagamento tramite bonifico bancario;
pagamento tramite carta di credito.
203
5.4.2.1 Il pagamento tramite bonifico bancario
Il progetto decide di affiancare ai sistemi di pagamento on line una modalità di
pagamento off line quali il bonifico bancario, strumento efficacie ed economico e,
soprattutto, per volumi di transato bassi, ha costi bassi e gestione semplificata.
Il bonifico bancario prevede il versamento della somma di denaro direttamente sul
conto corrente del negoziante mediante una semplice operazione bancaria in cui
occorre specificare le coordinate bancarie del conto corrente del negoziante.
Oggi con i conti on line è possibile effettuare bonifici bancari direttamente da casa e
senza alcuna spesa, il costo è tutto a carico del cliente che effettua il bonifico ed è
nullo o comunque molto basso per bonifici nazionali, i bonifici internazionali invece
hanno costi elevati (anche fino a 25 euro).
Molti istituti bancari effettuano il bonifico bancario nazionale del tutto gratuita,
sopratutto per i possessori di conti correnti personali on line.
5.4.2.2 Il pagamento tramite carta di credito
Il pagamento tramite carta di credito di www.dettaglidilusso.it avviene tramite la
protezione del protocollo SSL, originalmente sviluppato da Netscape, SSL è stato
universalmente accettato sul World Wide Web per la crittografia e l’autenticazione
delle comunicazioni tra client e server
Il protocollo di controllo della transazione /protocollo internet (TCP/IP) governa il
trasporto ed il percorso dei dati su Internet, SSL usa TCP/IP a nome dei protocolli di
più alto livello e nel processo permette ad un server che usa SSL di autenticare un
client che usa SSL, al client di autenticare il server e ad entrambe le macchine di
stabilire un collegamento cifrato.
L’autenticazione SSL del server consente all'
utente di confermare l'
identità del
server stesso, il software del cliente usa le tecniche standard di crittografia a chiave
pubblica per controllare che l’ID pubblica del server sia valida e sia emessa da
un’autorità di certificazione presente nella lista del cliente tra le autorità di
certificazione di fiducia.
Questa conferma potrebbe essere importante se l'
utente, per esempio, sta
trasmettendo il numero della carta di credito in rete e desidera controllare l'
identità
del server che la riceverà.
L'
autenticazione SSL del cliente consente al server di confermare l'
identità del
cliente, usando le stesse tecniche usate per l’autenticazione del server, il software
204
del server può controllare che il certificato e la ID pubblica del cliente siano validi e
siano pubblicati da un’autorità di certificazione (CA) presente nella lista dei CA di
fiducia.
Questa conferma potrebbe essere importante se il server, per esempio, è una
banca che sta trasmettendo informazioni finanziarie confidenziali al cliente e
desidera controllare l'
identità del destinatario.
Un connessione cifrata SSL richiede che tutte le informazioni trasmesse tra un
cliente ed un server siano cifrate dal software di trasmissione e decriptate dal
software di ricezione, fornendo così un alto grado di riservatezza.
La riservatezza è importante per entrambe le parti in tutte le transazione private,
inoltre tutti i dati trasmessi con una connessione cifrata SSL sono protetti da un
meccanismo che rileva l'
alterazione, cioè per determinare automaticamente se i dati
sono stati alterati durante il trasporto.
Il protocollo SSL include due sotto-protocolli: il protocollo di registrazione SSL e il
protocollo SSL handshake (lett. la stretta di mano dello SSL ).
Il protocollo di registro definisce il formato usato per trasmettere i dati; il protocollo
handshake riguarda l’uso del protocollo di registro SSL per scambiare una serie di
messaggi fra un server e un cliente quando per la prima volta stabiliscono un
collegamento SSL.
Questo scambio di messaggi è mirato a facilitare le seguenti azioni:
permette al client di autenticare il server;
permette al client e al server di selezionare gli algoritmi di crittografia, o
sistemi di cifratura, che entrambe supportano;
permette eventualmente al server di autenticare il client;
permette di usare tecniche di crittografia a chiave pubblica per generare
documenti segreti comuni;
stabilisce un collegamento cifrato SSL
Per garantire maggiormente la privacy ed evitare utilizzi fraudolenti degli estremi
delle carte di credito attualmente si usa trasmettere questi ultimi non direttamente al
venditore ma ad un intermediario che può essere la banca o la società emittente di
carta di credito.
Questo sistema permette ai venditori di dare in outsourcing ad intermediari
specializzati parte del sistema di pagamento, quella più delicata e complicata da
gestire, normalmente gli intermediari specializzati sono istituti bancari definiti
gateway.
205
5.4.2.2.1 Le soluzioni sul mercato italiano
Riguardo alle società gateway, la situazione italiana vede attualmente ancora pochi
attori nel ruolo di gateway di pagamento, cioè società incaricate di eseguire le
transazioni nei circuiti bancari degli attori, sollevando quindi problemi di scarsa
concorrenza, le soluzioni sono comunque complete (le più diffuse carte di credito) e
richiedono un minimo sforzo tecnico per abilitare un sito alle transazioni
economiche.
La tabella 5.5 indica le soluzioni analizzate dal progetto.
Soluzione4
ICS Virtual POS
Caratteristiche
Pacchetto di offerte per i pagamenti elettronici:
carte di credito più diffuse;
nessun plug-in da installare;
crittografia SSL 128 bit;
numero illimitato di transazioni;
procedura in tempo reale;
area di monitoraggio per i merchant.
SSB TELEPay Light
Soluzione per pagamenti elettronici:
nessun plug-in;
crittografia SSL 128 bit;
procedura in tempo reale;
nessun POS virtuale necessario;
naturale evoluzione di Telepay classic
Payment Banca Sella
Pacchetto di pagamento elettronico:
Visa e Mastercard;
crittografia SSL 128 bit.
Tabella 5.5
5.4.2.2.2 La soluzione scelta: GestPay di Banca Sella
Dettaglidilusso.it ha deciso di utilizzare il payment gateway di Banca Sella poiché è
la soluzione più diffusa tra i siti web italiani dedicati al commercio elettronico.
La Banca Sella è un vero e proprio Istituto Bancario in grado di erogare il servizio di
4
Le soluzioni payment gateway sono software che gestiscono l’interfaccia tra sistemi, protocolli e
standard, è l’entità che gestisce le transazioni tra un commerciante e un acquirente, è l’entità
finanziaria gestore delle carte di credito.
206
payment gateway nel proprio pacchetto servizi, il merchant convenzionato con
Banca Sella consentirà ai propri clienti di inserire le informazioni di pagamento
direttamente sul canale sicuro della banca senza trattenere alcun dato.
GestPay è la piattaforma di pagamento su internet con carta di credito che
garantisce la sicurezza delle transazioni, grazie alla garanzia Verified by Visa, ed
una facile implementazione, le informazioni inserite relative ai dati della carta di
credito vengono inviate a Banca Sella attraverso un server sicuro che utilizza il
protocollo SSL3 a 128 bit, lo standard di sicurezza più elevato per l’invio di
informazioni sensibili attraverso la rete internet, il protocollo è emesso, certificato e
garantito da Verisign.
La soluzione è concessa con la sottoscrizione di un contratto con una commissione
sull’importo transato, ha tre livelli differenti di licenze: BAS (licenza base), ADV
(licenza advanced), PROF ( licenza professional).
La tabella 5.6 indica le caratteristiche della piattaforma.
BAS5
ADV6
PROF7
Abilitazione a tutti i sistemi di pagamento
SI
SI
SI
Sicurezza lato merchant e lato consumer
SI
SI
SI
Supporto valuta: Euro, Sterlina inglese, Dollaro
SI
SI
SI
Auto-test
SI
SI
SI
Tool di gestione del rischio
SI
SI
SI
Protocollo SET
SI
SI
SI
Back Office con gestione utente
SI
SI
SI
Back Office multilingue
SI
SI
SI
Personalizzazione pagina di pagamento
NO
SI
SI
Active report light
SI
SI
SI
Active report full
NO
NO
SI
Caratteristiche GestPay
Tabella 5.6
5
Licenza base
Licenza advanced
7
Licenza professional
6
207
Il progetto www.dettaglidilusso.it decide di utilizzare la licenza professional, la
tabella 5.7 indica i costi della soluzione.
Costo licenza e spese
PROFESSIONAL
Spese attivazione
400 euro
Commissione su transato
3%
Canone mensile per licenza
18,08 euro+Iva
Modulo Server To Server
500 euro+Iva
Tabella 5.7
Le carte di credito accettate sono quelle appartenenti ai circuiti Visa-Mastercard.
La tabella 5.8 riassume i costi per le forme di pagamento di www.dettaglidilusso.it.
Soluzione
1° anno
2° anno
3° anno
GestPay di Banca Sella
1.260,35 euro
260,35 euro
260,35 euro
Tabella 5.8
5.4.3 Il processo di pagamento
Il processo di pagamento di www.dettaglidilusso.it è indicato in figura 5.9.
Scelta forma di pagamento
Contrassegno
e bonifico
Carta di credito
GestPay
Banca Sella
Verifica del successo della transazione
Figura 5.9
208
L’utente, una volta confermato l’ordine, sceglie come effettuare il pagamento, può
scegliere tra:
carta di credito;
bonifico bancario.
Nel primo caso gli utenti vengono dirottati sul form di Banca Sella, la procedura di
pagamento tramite GestPay di Banca Sella si articola in cinque fasi:
1. l’acquirente del negozio virtuale richiede il pagamento on line a Banca Sella;
2. la banca Sella richiede l’autorizzazione al pagamento ai circuiti internazionali
(Visa e Mastercard);
3. i circuiti internazionali comunicano l’esito di richiesta a Banca Sella;
4. la Banca Sella comunica l’esito all’acquirente e all’esercente in tempo reale;
5. ulteriore conferma del successo del pagamento via e-mail all’acquirente ed
all’esercente.
5.4.4 La certificazione di Qualità
I rischi cui sono potenzialmente sottoposti gli acquirenti, come ricordato in
precedenza, possono riguardare anche il venditore, si può infatti nutrire diffidenza
nei confronti di un operatore sconosciuto, e temere di subire raggiri e truffe.
Instaurare il necessario clima di fiducia è l’obiettivo che sta alla base della
certificazione della qualità dei siti Web.
I marchi di qualità più noti a livello nazionale e/o internazionale sono:
E-commerce Quality Mark, rilasciato dall’ISEC (Istituto per lo Sviluppo del
Commercio Elettronico);
Qweb, rilasciato da Certicommerce (nato per iniziativa di Unioncamere e
CISQ - Certificazione Italiana Sistemi Qualità Aziendali);
Web Trust, rilasciato dal Consiglio Nazionale Dottori Commercialisti, si
propone di certificare l’esistenza dell’impresa e la presenza sul sito di
informazioni complete nel rispetto della privacy e della sicurezza
informatica;
Web Trader, rilasciata da Altroconsumo con il patrocinio dell’UE, si tratta
di una certificazione gratuita;
Certisek, rilasciato dal Gruppo Securitas (fornitura di servizi e dati per fidi
e marketing), comprova l’identità dell’azienda proprietaria del sito di
commercio elettronico.
209
La certificazione di qualità dei siti prevede tre fasi di verifica: verifica di tipo, verifica
documentale, verifica ispettiva in azienda.
La verifica di tipo si basa sulla navigazione del sito volta al controllo della sua
funzionalità, della completezza e chiarezza delle informazioni ed infine della
protezione dei dati.
La verifica documentale consiste nel controllo dei documenti non riscontrabili on line
ossia delle procedure descrittive dei processi.
La verifica ispettiva in azienda si pone l’obiettivo di verificare l’effettivo rispetto di
quanto promesso al cliente sul sito.
In caso di mancanza di conformità con i requisiti della specifica viene concordato un
periodo in cui l'
azienda si impegna ad uniformarsi alle richieste.
L’assegnazione del marchio, però, non esaurisce l’attività dell’Ente Certificatore, che
provvederà ad eseguire verifiche periodiche in cui l’azienda dovrà dimostrare di
mantenere i requisiti richiesti anche a distanza di tempo.
Per ottenere la certificazione di qualità il sito deve possedere determinate
caratteristiche:
il fornitore del bene o del servizio deve essere ben identificato, tramite
ragione sociale, sede legale, sede operativa, registrazione presso enti di
competenza, numero di partita IVA, recapiti telefonici e postali, ecc.;
i beni e servizi offerti devono essere descritti dettagliatamente e il prezzo
deve comprendere eventuali imposte o dazi doganali applicabili nei
diversi
paesi;
le
offerte
promozionali
devono
essere
inoltre
espressamente indicate;
le condizioni di consegna, resa e trasporto devono essere definite così
come quelle di pagamento, vanno riportati, inoltre, i riferimenti a garanzie
relative a beni e servizi, a modalità per ottenere riparazioni in garanzia e
assistenza post vendita, nonché i termini e le modalità per ottenere
eventuali risarcimenti;
il diritto di recesso deve essere espressamente riportato, così come la
gestione delle controversie e dei reclami ed eventuali assicurazioni
disponibili, al potenziale cliente deve essere offerta la possibilità di
abbandonare l’ordine senza concluderlo e di essere avvertito nel caso in
cui i beni ordinati non siano disponibili;
il sito deve essere correttamente registrato e fruibile tramite i browser più
diffusi e, nel caso in cui servano software specifici, deve essere offerta la
210
possibilità
di
scaricarli,
importante
è
anche
la
data
dell’ultimo
aggiornamento che deve essere espressamente riportata.
Il rispetto della privacy è particolarmente enfatizzato: devono essere specificate le
informazioni che verranno richieste, le finalità e modalità di utilizzo delle stesse, il
nome del responsabile del trattamento dei dati, in quali circostanze i dati possono
essere divulgati e la richiesta di esplicito consenso da parte del cliente.
Quest’ultimo deve essere, inoltre, sempre in grado di verificare i propri dati ed
eventualmente di aggiornarli.
In tema di sicurezza devono essere presenti informazioni circa le modalità di
trasmissione dei dati ed in generale circa le misure utilizzate nel sito (sicurezza
fisica e logica) e i protocolli di crittografia.
L’ultima parte della specifiche per ottenere la certificazione di qualità, riguarda l’etica
e la responsabilità sociale: il venditore si deve astenere dall’offrire prodotti contrari
alla morale, al buon costume, contraffatti o comunque di origine illecita; deve inoltre
astenersi dal pubblicare informazioni false o fuorvianti.
5.5 La sicurezza
La sicurezza è di basilare importanza in qualsiasi tipo di transazione elettronica e
costituisce uno degli elementi fondamentali per lo sviluppo delle attività di ecommerce.
La realizzazione e il miglioramento dei sistemi di sicurezza sono oggetto di un
processo continuo e presuppongono il coinvolgimento attivo di tutte le diverse
funzioni aziendali, infatti lo sviluppo dell’e-commerce porta con sé una serie di
problemi dal punto di vista della sicurezza: come garantire transazioni sicure, in che
modo evitare truffe o intrusioni indesiderate, come essere davvero certi del prodotto
che si acquista; dovute al fatto che internet crea una serie di opportunità per
l’azienda, ma pone anche molti potenziali rischi alla sicurezza.
L’aspetto della sicurezza è alla base dello scetticismo che coglie il potenziale
acquirente nel momento di accedere alla transazione elettronica, infatti più di due
terzi dei navigatori italiani non si sentono tutelati dai sistemi antifrode attivati da chi
opera in rete, digitare il numero della propria carta di credito sul sito di un venditore
211
on line è un ostacolo secondo solamente al timore di acquistare prodotti che poi non
risultino conformi alle aspettative.
La questione della sicurezza nel commercio elettronico si sviluppa su due aspetti:
la sicurezza lato merchant;
la sicurezza lato utente.
Spesso le aziende affrontano questi problemi concentrandosi solo sull’hardware e
sul software necessari per tenere hacker8 e virus lontani dai loro sistemi, ma
hardware e software costituiscono solo uno primo strato della sicurezza.
5.5.1 La sicurezza lato merchant
5.5.1.1 La sicurezza del negozio virtuale
Le principali minacce per l'
azienda fanno riferimento alla pirateria informatica e
all'
azione dei cosiddetti virus, infatti gli hacker continuano ad inventare nuove
tecniche per accedere alle reti interne e ai personal computer e la diffusione dei
virus è una minaccia ormai costante, ma altresì il gestore di un sito web deve
definire procedure, politiche di sicurezza e di amministrazione del sito.
La scelta delle componenti (hardware e software) che possono garantire un livello di
sicurezza ottimale è legata al modello di e-commerce scelto, l'
impresa deve infatti
trovare un adeguato bilanciamento tra probabilità e gravità di eventuali danni,
necessità di protezione e costi da sostenere.
È soprattutto indispensabile che il sistema adottato fornisca le garanzie necessarie
a creare fiducia fra i diversi attori coinvolti negli scambi.
I requisiti che un sistema di sicurezza deve comunque garantire sono:
l'
integrità, o capacità di trasferire dati e informazioni intatti, escludendo la
possibilità di modifiche da parte di persone non autorizzate o secondo
modalità non previste;
l'
autenticità, o sicurezza fornita al destinatario circa la reale identità del
mittente di un messaggio e viceversa;
la riservatezza, o capacità di impedire l'
intercettazione di informazioni e
messaggi da parte di soggetti non autorizzati;
la non ripudiabilità, o impossibilità da parte del mittente di disconoscere la
volontà espressa tramite l'
invio di un messaggio, e da parte del
destinatario di negarne la ricezione.
8
E’ una persona che viola i sistemi di protezione informatici.
212
La definizione di politiche e procedure di sicurezza comprendono:
la sicurezza del sistema informativo e dei server;
la sicurezza della rete;
le regole per l’accesso remoto;
la prevenzione dei virus;
la protezione delle applicazioni di commercio.
Il sistema informativo e i server richiedono il loro insieme di regole e dispositivi di
sicurezza, è necessario utilizzare firewall e server proxy per proteggere i server web
da minacce esterne, ma altresì tenere i server in una stanza chiusa ad accesso
limitato può limitare il rischio di intrusioni, infatti una componente importante e
spesso trascurata è la sicurezza fisica delle macchine e dei locali dove sono
custoditi i sistemi informativi aziendali.
Bisogna definire diritti di accesso di utente, di server e di gruppo per file e directory,
bisogna stabilire chi abbia accesso in lettura, scrittura, cancellazione e modifica alle
directory e ai file del sistema.
E’ utile mettere i file di sistema in una partizione separata per facilitare la gestione
delle informazioni, inoltre limitare drasticamente gli accessi “root” poiché se
qualcuno ha accesso root può eseguire sul sistema praticamente qualsiasi
comando, quindi aggiungere, cancellare e controllare i file.
Fondamentale è l’utilizzo di password per accedere alle tastiere dei server e per
poter accedere al sistema.
Le politiche e le procedure di sicurezza della rete riguardano la definizione
dell’accesso a internet e la sicurezza delle porte, la definizione dell’accesso alla rete
prevede di stabilire dei gruppi principali (acquirenti, fornitori, partner) che hanno
bisogno di un accesso definito ed un livello di accesso alle informazioni sul sito.
La definizione dei gruppi facilita l’accesso e il raggiungimento delle informazioni
cercate.
La sicurezza delle porte è fondamentale per le politiche di sicurezza per internet, le
porte devono essere abilitate per consentire ai clienti di vedere le informazioni
presenti nel sito.
Sono necessarie politiche e procedure per fornire accesso a server in cui si può
entrare attraverso linee telefoniche esterne, quando si installa un server remoto
sono necessarie procedure di sicurezza e per l’accesso.
213
Dato che i virus nuovi e aggiornati sono una minaccia costante, è necessario
installare un software antivirus su tutti i computer aziendali e che questo venga
aggiornato con regolarità.
Necessarie sono procedure e misure di protezione dei sistemi aziendali, per
esempio proibire ai dipendenti di copiare o installare file o programmi dal computer
domestico a quello aziendale.
La sicurezza delle applicazioni di commercio elettronico comporta definire gli utenti
e i gruppi che hanno l’autorizzazione a eseguire attività ben specifiche sul server di
commercio.
Definire diritti di accesso per stabilire chi ha la possibilità di aggiungere, modificare o
cancellare informazioni relative a prodotti, approvare ordini dei clienti, modificare la
struttura del sito, in sostanza diritti amministrativi per l’esecuzione di tutte le attività
sul sito web.
5.5.1.2 Strumenti per la sicurezza del sistema
I principali strumenti per la protezione di un sito web a livello merchant vengono
racchiusi in due ambiti:
sicurezza perimetrale;
sicurezza interna.
5.5.1.2.1 La sicurezza perimetrale
Firewall, router e server proxy sono i dispositivi preposti al controllo ed alla
protezione del colloquio tra Internet e la rete interna, che comprende tutte le
macchine del sito Web.
La funzione principale del router è quella di instradare pacchetti di rete, tutti i
pacchetti che transitano all’interno della rete indirizzati ad Internet vengono rigirati
all’esterno e tutti quelli che arrivano da Internet e sono destinati al sito, vengono
instradati verso la rete interna, un router di frontiera, oltre a questo compito di
instradatore, svolge anche il compito di screening router, ovvero indaga tutti i
pacchetti verificandone la legittimità in base ad alcune regole.
Una regola potrebbe, per esempio, essere che tutti i pacchetti che provengono da
Internet con indirizzi privati non devono entrare sulla rete interna (infatti, dato che
non possono circolare su Internet i pacchetti che provengono da macchine con
indirizzi privati, quei pacchetti sono anomali e, di conseguenza, sospetti).
214
Il firewall viene di solito situato tra il router ed il sito, con un’interfaccia di rete
collegata alla rete esterna ed un’interfaccia collegata con la rete interna che deve
proteggere, il suo compito è quello di vagliare tutto ciò che arriva dalla rete esterna
prima di passarlo alla rete interna.
I livelli di analisi del traffico che un firewall fa sono due:
analisi a livello di pacchetto;
analisi a livello di protocollo.
L’analisi a livello di pacchetto: in questo caso viene controllato come è fatto il
pacchetto di rete (il pacchetto è un treno di informazioni che deve avere un formato
standard, a seconda della tecnologia utilizzata; ad esempio,un pacchetto Ethernet
ha un certo formato e non sono ammessi pacchetti con formati diversi).
L’analisi a livello di protocollo o circuito: in questo caso il livello di intelligenza
necessario è più elevato perché il firewall deve conoscere il comportamento di ogni
tipo di protocollo.
Su Internet sono usati molti protocolli diversi per poter erogare i vari servizi: ad
esempio, il protocollo usato da un browser è l’HTTP, quello usato per il
trasferimento di un file è l’FTP, quello usato per la spedizione di posta elettronica è
l’SMTP e così via, se il sistema conosce la logica di funzionamento di ciascun
protocollo è anche in grado di capire se siano o meno in atto tentativi di porre in
essere attività non legittime usando un protocollo legittimo.
Ad esempio, il protocollo SMTP, quello che gestisce la posta elettronica, è basato
su una serie di comandi che vengono scambiati tra il server e il richiedente, tutti i
comandi previsti sono ovviamente legittimi, ma alcuni di essi si prestano anche per
un uso improprio; uno di questi comandi è il VRFY, con il quale è possibile
interrogare un sistema chiedendogli se un determinato utente è presente nella lista
degli utenti noti, attraverso VRFY, quindi, è possibile anche appropriarsi illegalmente
di informazioni di proprietà di un determinato sistema.
5.5.1.2.2 La sicurezza interna
Una volta che viene garantita la protezione perimetrale, intorno al sito Web, è
necessario provvedere anche ad un adeguato livello di sicurezza interna.
Le intrusioni si presentano tipicamente come una sequenza di azioni che, prese
singolarmente, sono legittime ma nel loro insieme costituiscono un attacco vero e
proprio, volto a minare il funzionamento del sistema.
215
Esse si configurano quindi come delle attività illegali “travestite” da attività legittime,
messe in atto allo scopo di compromettere o il sistema o le informazioni a bordo del
sistema.
I sistemi di rilevazione delle intrusioni (Intrusion Detection System) sono addestrati
per riconoscere gli attacchi (“pattern”) e per suscitare la reazione più appropriata.
Di solito i “pattern”, cioè la sequenza dei comportamenti che contraddistinguono un
determinato tentativo di intrusione, vengono pubblicati: esistono su Internet siti
appositi che raccolgono queste informazioni, inserendo le informazioni nei sistemi di
Intrusion Detection, questi “imparano” a riconoscere i comportamenti sospetti ed a
reagire di conseguenza.
Una difesa specifica va data anche a tutti gli altri servizi del sito, come il DNS ed il
sistema di Directory, che devono essere protetti dall’interno, e in generale, su ogni
server dovrebbe essere svolta un’attività di “hardening” cioè deve essere fatto tutto
ciò che è necessario per rendere sicuro intrinsecamente ogni singolo server.
Un elevato livello di attenzione deve essere rivolto anche alle applicazioni, e non
solo ai sistemi operativi: anch’esse devono essere sviluppate e configurate per
funzionare in modo sicuro.
Il firewall non può conoscere tutte le applicazioni all’interno del sistema e non può
garantire che le regole che conosce siano sufficienti a non far passare nulla di
illegittimo, di conseguenza vanno protetti anche tutti i server interni, in maniera
singola e puntuale.
Ad esempio, i virus non sono rilevabili a livello di pacchetto e nemmeno di
protocollo; quindi, solo l’applicazione destinataria del virus è in grado di reagire ad
esso; tuttavia un virus scanner è in grado di intercettare solo i virus che conosce.
Tutti i sistemi, quindi, vanno protetti singolarmente contro i virus, inoltre, occorre
avere dei sistemi locali per la protezione dalle intrusioni.
Un sistema locale molto utilizzato è l’uso di password strettamente personali e
legate all’identità del dipendente dell’azienda, l’uso di password è indispensabile per
il funzionamento del sistema, le password devono avere una lunghezza superiore
agli otto caratteri e formate da caratteri alfanumerici.
216
5.5.2 La sicurezza lato utente
I principali rischi a cui sono sottoposti i potenziali acquirenti si possono suddividere
in due gruppi: nel primo sono compresi quelli che dipendono dal canale di vendita,
nel secondo invece quelli che hanno a che fare con il venditore e con il contratto di
acquisto.
I principali rischi del canale di vendita sono:
l’intercettazione dei dati inerenti la carta di credito;
l’intercettazione dei dati personali;
la perdita dei dati contenenti i riferimenti dell’operazione;
la perdita o la alterazione di informazioni rilevanti dovuta ad attacchi alla
rete.
I principali rischi del contratto di vendita sono:
l’inesistenza del venditore;
il mancato rispetto delle condizioni contrattuali;
il mancato rispetto delle specifiche dell'
ordine, che può causare una
perdita di denaro (rischio ancora maggiore per chi opera nel mercato
azionario, in cui la variabile del tempo è essenziale per le operazioni di
vendita ed acquisto);
il timore che il venditore rivenda dati personali riguardanti gli acquirenti.
5.5.2.1 I rischi del canale di vendita
Per quanto riguarda i rischi che dipendono dal canale di vendita bisogna distinguere
il caso in cui l’attenzione è rivolta ai dati stessi da quello in cui il focus si sposta sugli
strumenti informatici che ne trattano il trasferimento tramite la Rete.
Quando i dati sono localizzati nel sistema informativo aziendale è importante che
siano garantite: la riservatezza ovvero che abbiano accesso agli stessi solo addetti
autorizzati, l’integrità in modo da escludere la possibilità che i dati vengano
modificati da persone non autorizzate e la disponibilità per far sì che i dati siano
visibili agli addetti autorizzati solo in base ai profili specifici di abilitazione e solo per i
periodi di tempo necessari.
Se si passa a considerare invece il trasferimento tramite Internet dei dati, oltre a
integrità e riservatezza, bisogna considerare anche l’autenticità, ovvero la certezza
del mittente e il non ripudio, l’impossibilità per il mittente di negare l’invio del
messaggio e, viceversa, per il destinatario l’impossibilità di negarne il ricevimento.
217
Per l’infrastruttura del sito il problema principale è rappresentato dagli attacchi da
parte di persone estranee all’azienda che si introducono nel sistema al fine di
ottenere l’accesso ai dati aziendali per sottrarli, modificarli o renderli inutilizzabili.
L’accesso viene consentito solo agli utenti autorizzati che vengono identificati
tramite un codice e una password; assume un ruolo fondamentale anche la fase
dell’autenticazione, che prevede il controllo dell’identità del richiedente tramite
controlli dell’indirizzo di rete di provenienza o dell’indirizzo di posta elettronica.
Per rendere le informazioni in transito incomprensibili anche in caso di
intercettazione, si utilizza la crittografia, una tecnica di cifratura dei dati che soddisfa
le esigenze di riservatezza, integrità, autenticità e non ripudio.
5.5.2.2 I rischi del contratto
I rischi facenti parte del secondo gruppo sono principalmente la possibilità di frodi e
il mancato rispetto di ciò che è stato incluso nel contratto.
Nel primo caso l’eventualità più temuta è la probabilità che il sito di commercio
elettronico non sia regolarmente registrato, non appartenga a nessuna azienda
esistente e abbia come unico obiettivo la raccolta di pagamenti a cui poi non
corrisponderà alcuna prestazione.
Nel secondo caso, invece, si fa riferimento all’insoddisfazione derivante dalla scarsa
qualità delle prestazioni del sito.
L’ultimo rischio, riguarda l’eventualità che i dati immessi da parte dell’acquirente
vengano rivenduti ad altre società.
La presenza di numerose offerte e di una concorrenza particolarmente agguerrita
rende necessaria la predisposizione di campagne di marketing mirate, possibili solo
se si è in possesso dei dati personali dei potenziali clienti, se tali dati vengono
utilizzati da aziende che li hanno ottenuti indirettamente e senza il consenso dei
titolari, ci si potrebbe trovare davanti a fenomeni di comunicazione abusiva e non
autorizzata (spamming nel caso della posta elettronica).
Queste pratiche sono espressamente vietate dalla legge sulla privacy 675/96, che
attribuisce all’acquirente la possibilità di decidere a che soggetti sarà possibile
divulgare le informazioni: è importante quindi che tale legge sia inclusa nei contratti
di commercio elettronico in quanto tutela legalmente il cliente nei casi analoghi a
quello descritto in precedenza.
È quindi importante che le comunicazioni fra utente e gestore del sito avvengano nel
rispetto di alcune regole che garantiscano l’autenticazione (semplice o mutua),
218
l’autorizzazione a compiere azioni, l’integrità e la riservatezza dei dati scambiati, la
riservatezza e inviolabilità dei contenuti, il non ripudio dell’utente, la disponibilità del
sistema a rispondere ai nostri comandi, la tracciabilità delle azioni compiute nel
sistema.
5.5.2.3 I sistemi che garantiscono la sicurezza dell’utente
Le tecniche difensive utilizzate dalle aziende venditrici si basano su:
procedure di controllo degli accessi e metodi di autenticazione;
tecniche di crittografia e firma elettronica.
Il metodo più semplice ed utilizzato è l’autenticazione tramite nome utente e
password, l’autenticazione si usa per identificare utenti e programmi e per
concedere livelli di accesso diversi in funzione delle informazioni sulla rete.
Quando l’utente vuole entrare in un’area protetta il sistema gli richiede una
password, l’utente digita tale password e, se essa è corretta, entra dove desidera.
Il principale vantaggio dell’utilizzo di password di accesso è il fatto che tale sistema
è molto semplice per l’utente, ma esso ha diversi svantaggi:
le password devono essere adeguatamente conservate, ciò significa
difficoltà di gestione e costi legati ai database che immagazzinano i dati;
sono leggibili durante la trasmissione o comunque facilmente indovinabili,
tanto più che gli utenti tendono ad utilizzare le stesse password per motivi
di comodità ma a danno della sicurezza;
non vi sono prove per verificare la vera identità di chi utilizza la password;
vi è impossibilità di assicurare il non ripudio;
il server deve leggere in chiaro la password per poter accertare che sia
quella giusta.
Per rendere meno pericoloso l’utilizzo di password, si può forzarne la lunghezza ad
almeno otto caratteri, ricordare all’utente di utilizzare parole non presenti nel
dizionario, di cambiarla di frequente, e di utilizzare lettere, cifre e caratteri speciali
nel comporle.
Nella maggior parte dei casi la tecnologia dell’autenticazione può basarsi solamente
su login e password, ma per l’accesso a dati riservati o a server particolari si usano
metodi più avanzati.
Sono efficaci tesserini intelligenti, carte intelligenti, dispositivi per misure biometriche
come l’impronta del pollice, del palmo, l’esame della retina e il riconoscimento
vocale.
219
La cifratura è la trasformazione dei dati in una forma tale da non poter essere letti o
interpretati senza disporre dell’opportuna chiave di lettura e di traduzione
(decifrazione), i processi di cifratura e decifratura richiedono l’uso di particolari
informazioni comuni, chiavi o algoritmi di chiave.
La crittografia è l’unico modo pratico per proteggere le informazioni trasmesse per
via elettronica, quali documenti, contratti e ordini di pagamento, in modo tale da non
poter essere letti da hacker, concorrenti e spie.
Esistono due tipologie di crittografia:
a chiave segreta o crittografia simmetrica;
a chiave pubblica o crittografia asimmetrica.
La crittografia a chiave segreta, usata per grosse quantità di dati, prevede che la
chiave per crittografare, quella del mittente, sia uguale a quella per decriptare,
ovvero uguale alla chiave del destinatario, si ha dunque una chiave per ogni coppia
o gruppo di utenti ed il numero di chiavi è molto elevato.
La crittografia a chiave pubblica, utilizzata per cifrare piccole quantità di dati, a
causa dell’alto carico di elaborazione, si avvale di chiavi differenti per mittente e
destinatario.
Tali chiavi sono generate a coppie di chiave privata + chiave pubblica; le chiavi
hanno funzionalità reciproca, i dati generati con una chiave possono essere decifrati
solo con l’altra.
La firma digitale rappresenta un indispensabile strumento per lo sviluppo delle
attività di e-commerce, in quanto consente di garantire l'
integrità delle informazioni
scambiate attraverso le infrastrutture digitali, l'
identità di chi le ha inviate e
l'
impossibilità di disconoscere i documenti inviati (non ripudiabilità).
Dal punto di vista legale, la firma digitale assicura, nel rispetto della normativa
italiana ed europea in vigore, la validità e la rilevanza di un documento informatico a
tutti gli effetti di legge.
Dal punto di vista tecnico, invece, la firma digitale costituisce un'
applicazione dei
sistemi di crittografia detti "a chiavi pubbliche" o "asimmetriche".
Il funzionamento della firma digitale è il seguente: il mittente tramite il proprio
browser appone la firma al documento, il browser provvede alla cifratura con la
chiave privata, uno speciale algoritmo di cifratura chiamato “funzione di hash”
produce una sintesi del documento (digest) che viene successivamente cifrata con
la chiave privata ed allegata al documento originale.
220
Al ricevimento del documento, il browser del destinatario, tramite la chiave pubblica
del mittente, separa il documento dalla firma, ricava il documento e, a partire dallo
stesso, genera la sintesi mediante la ”funzione di hash”.
Se le due sintesi, creata e ricevuta, sono identiche, si può asserire che il documento
non è stato alterato e che la firma è autentica ed è stata quindi posta da parte del
mittente.
Il procedimento che porta alla certificazione della firma elettronica prevede che
l’individuo si rechi presso uno sportello autorizzato, dichiari la sua identità che viene
sottoposta ad accertamento, si doti di un dispositivo di firma, generi le proprie chiavi
di cifratura e invii ad un Ente Certificatore quella pubblica.
Dopo gli accertamenti del caso (identità del richiedente, autenticità della richiesta e
corretto funzionamento delle chiavi), l’Ente Certificatore emette un certificato che
contiene la chiave pubblica, i dati identificativi del soggetto che l’ha richiesta, le
informazioni sulla scadenza della chiave e sull’Ente Certificatore.
In questo processo assume un ruolo fondamentale l’Ente Certificatore che
garantisce che le chiavi privata e pubblica corrispondano effettivamente al mittente:
senza un ente sopra le parti non si avrebbe la garanzia che il titolare delle chiavi sia
un individuo realmente esistente e soprattutto che qualcuno non stia firmando
documenti sotto false generalità.
La firma elettronica assume particolare importanza soprattutto se le parti non si
conoscono personalmente ed è fondamentale che ogni contraente sia chi dice di
essere.
Tale meccanismo funziona solamente se l’Ente Certificatore gode della fiducia degli
individui: per questo motivo la normativa italiana prevede che l’Autorità di
certificazione possa essere sia un soggetto pubblico che privato che soddisfi
particolari requisiti, tra cui essere inseriti in un apposito elenco predisposto
dall’AIPA9 , alcuni dei requisiti necessari sono:
la forma di società per azioni e un capitale sociale non inferiore ad un
ammontare di 6,5 milioni di euro se si tratta di soggetti privati;
il possesso da parte dei rappresentanti legali e dei soggetti preposti
all’amministrazione dei requisiti di onorabilità richiesti ai soggetti che
svolgono funzioni di amministrazione, direzione e controllo presso le
banche;
il rispetto delle regole tecniche da parte del personale certificatore;
9
Autorità per l’Informatica nella Pubblica Amministrazione
221
processi informatici prodotti sulla base di standard di qualità riconosciuti a
livello internazionale.
I certificatori devono procedere all’identificazione della persona che fa richiesta di
certificazione; rilasciare il certificato e renderlo pubblico; specificare, in caso di
richiesta, la sussistenza dei poteri di rappresentanza, di altri titoli relativi all’attività
professionale o a cariche rivestite; rispettare le regole tecniche previste per la
certificazione; informare i richiedenti sulla procedura di certificazione e sui requisiti
necessari; rispettare le norme di sicurezza dei dati informatici e sul trattamento dei
dati personali; non rendersi depositari di chiavi private; procedere tempestivamente
alla revoca in caso di abusi o di specifica richiesta del titolare; dare immediata
comunicazione della revoca o della sospensione delle chiavi; in caso di cessazione
dell’attività darne comunicazione all’AIPA ed agli utenti interessati con almeno sei
mesi di anticipo.
Al mese di agosto 2004 le società certificatori iscritti nell’elenco dell’Aipa sono:
Infocamere SC.p.A. (dal 06/04/2000);
Saritel S.p.A. (dal 20/04/2000);
Postecom S.p.A. (dal 20/04/2000);
Centro Tecnico per la RUPA (dal 15/03/2001);
In.Te.S.A. S.p.a. (dal 22/03/2001);
ENEL.IT S.p.a. (dal 17/05/2001);
Trust Italia S.p.a. (dal 07/06/2001);
Cedacri S.p.A. (dal 15/11/2001);
Actalis S.p.A. (dal 28/03/2002);
Consiglio Nazionale del Notariato (dal 12/09/2002);
I.T. Telecom S.p.a. (dal 06/02/2003);
Comando C4 - IEW (dal 10/04/2003);
Consiglio Nazionale Forense (dal 11/12/2003);
SOGEI S.p.a. (dal 26/02/2004);
Sanpaolo IMI S.p.a. (dal 08/04/2004);
Monte dei Paschi di Siena S.p.a. (dal 03/08/2004).
Il beneficio più evidente della firma elettronica è la possibilità di identificare con
esattezza venditore ed acquirente in caso di vendite on line, per proteggere
l’acquirente e venditore da frodi.
Esistono anche altri benefici meno evidenti, ma comunque importanti sia per i
venditori/proprietari dei siti sia per gli acquirenti/navigatori.
222
Un certificato digitale contiene, infatti, i seguenti elementi:la chiave pubblica del
titolare; il nome del titolare o un suo pseudonimo; la data di scadenza del certificato;
il numero seriale del certificato; il nome dell’Ente Certificatore che ha rilasciato il
certificato; la firma digitale dell’ente che ha rilasciato il certificato; eventuali
informazioni complementari come l’indirizzo fisico e e-mail, l’età, la nazione di
provenienza ecc…
La diffusione dei certificati permette ai proprietari dei siti di soddisfare le esigenze
base del Web Marketing:
implementare un unico processo di registrazione;
personalizzare le informazioni o i messaggi pubblicitari da indirizzare a
determinati utenti;
conoscere gli utenti in modo da determinare profili di comportamento;
controllare gli accessi a particolari informazioni o servizi;
predisporre campagne marketing mirate;
ridurre i costi di mantenimento dei database delle password;
rendere i messaggi e-mail maggiormente sicuri.
I benefici riconducibili agli utenti sono, invece:
possibilità di effettuare un’unica registrazione evitando di ricordare
numerosi nomi utente e password;
aumento della sicurezza nella trasmissione dei dati che transitano in rete
una volta sola;
possibilità di verificare l’identità del venditore nel caso in cui anche lo
stesso sia certificato.
5.5.2.4 Cenni sul quadro normativo
L'
e-commerce è di per sé un fenomeno internazionale, quando si stipula un
contratto in Rete, esso dovrà essere regolato da una legge che ne determina gli
elementi caratteristici.
La legge applicabile al contratto dovrà essere scelta dalle parti contraenti.
Nella strutturazione di un contratto si dovrà avere cura di scegliere una legge la cui
applicazione consenta di essere certi delle conseguenze che ne derivano.
Nel caso in cui la legge applicabile sia quella italiana, oltre alle norme generali
civilistiche, occorre evidenziare la normativa peculiare dell'
e-commerce.
223
Tre sono essenzialmente le aree di particolare interesse per l'
e-commerce
disciplinate dalla normativa italiana:
la conclusione di contratti in Rete, regolata dalle norme in materia di
documento informatico e firma digitale previste dalla legge 59/97 e dai
successivi regolamenti attuativi. Il primo di questi, approvato con il DPR
n.513/97, ha dettato le regole per la formazione, l'
archiviazione e la
trasmissione dei documenti informatici e ne ha sancito la validità giuridica;
la tutela del consumatore nelle transazioni elettroniche, attuata sia dalle
disposizioni del decreto legislativo n. 50/92 (attuazione della Direttiva
n.85/577/CE), che disciplina la vendita al di fuori dei locali commerciali,
sia dal recente decreto legislativo n.185/99, che dà attuazione alla
Direttiva n. 97/4/CE riguardante la protezione dei consumatori nella
conclusione di contratti a distanza;
i problemi della fiscalità applicabile all'
e-commerce i quali sono
tentativamente in corso di definizione presso varie sedi internazionali.
Il quadro normativo che si presenta in tema di e-commerce è complesso; ciò,
tuttavia, non deve scoraggiare chi inizia una attività di vendita di beni e servizi in
Rete, per farlo, è opportuno considerare, nella predisposizione della propria offerta,
alcuni fattori specifici.
Occorre, innanzitutto, tenere presente la distinzione fondamentale tra B2B e B2C;
solo in quest'
ultimo caso, infatti, è necessario applicare all'
offerta commerciale la
normativa posta a tutela dei consumatori, si dovrà inoltre decidere se l'
offerta è
valida per tutto il mercato globale della Rete, o è limitata solo ad alcune sue aree.
In funzione di tale scelta, si dovrà stabilire quale sia la legge applicabile più
favorevole per l'
offerente, fermo restando che, in ogni caso, il richiamo preliminare
ad una legge applicabile costituisce un presupposto indispensabile per evitare di
vedere regolamentata la propria offerta da una legge che altri ed in altre sedi
sceglieranno.
Sarà inoltre opportuno definire con precisione le condizioni generali di contratto che
dovranno essere accettate dalla controparte. Infine, potrà essere opportuno stabilire
se la propria offerta sia immediatamente vincolante e per quanto tempo, o
costituisca un invito a negoziare; in quest'
ultimo caso, infatti, l'
offerente si riserva di
accettare o meno le proposte fatte da potenziali acquirenti.
224
Più in generale, si dovrà tener presente che i prodotti e servizi venduti in Rete
necessitano di una disciplina specifica a seconda delle loro caratteristiche; una cosa
è infatti vendere libri, altra cosa è distribuire pellicole cinematografiche in Rete.
Sarà bene, in ogni caso, avvalersi della consulenza di esperti qualificati.
5.5.2.4.2 La normativa italiana
La normativa italiana relativa all'
e-commerce e al riconoscimento del valore del
documento informatico pone il nostro Paese all'
avanguardia.
Tale normativa verrà ulteriormente integrata dalle norme di adattamento alle
Direttive o Proposte di Direttive attualmente in via di elaborazione presso la
Commissione Europea e il Parlamento Europeo.
La normativa italiana prevede:
la rilevanza giuridica del documento informatico a tutti gli effetti, compreso
il requisito legale della forma scritta;
la firma digitale, risultato di una procedura informatica che consente al
sottoscrittore ed al destinatario di un documento elettronico di dichiararne
e verificarne la provenienza e l'
integrità. La firma digitale equivale a quella
apposta sui documenti cartacei, e come questa ha gli effetti probatori
previsti dalla legislazione corrente;
la validità a tutti gli effetti di legge dei contratti stipulati con strumenti
informatici o per via telematica mediante l'
uso della firma digitale;
la
validità
dei
pagamenti
informatici
tra
privati,
tra
pubbliche
amministrazioni e tra queste e privati, se effettuati secondo le regole
tecniche stabilite dalla normativa;
l'
obbligo del trattamento dei dati personali delle persone fisiche e
giuridiche, in questo contesto, nel rispetto della legge 675/96 (c.d.
privacy);
la protezione dei consumatori attraverso norme apposite relative ai
contratti negoziati a distanza, per i quali sono stabiliti il diritto di recesso e
la nullità od opponibilità di clausole abusive o vessatorie.
Non hanno ancora trovato soluzione i problemi della fiscalità in tema di imposizione
diretta, IVA e diritti doganali.
In varie sedi internazionali si stanno dibattendo i complessi e delicati problemi di tale
materia
225
5.5.3 La scelta in termini di sicurezza di www.dettaglidilusso.it
5.5.3.1 La sicurezza del sistema
Il progetto www.dettaglidilusso.it decide di utilizzare i seguenti strumenti per la
sicurezza del sistema, la tabella 5.10 evidenzia le soluzioni esaminate.
Soluzione
Kenio WinRoute Firewall
SecIdentity
Web-Identity
Caratteristiche
Firewall per piccole e grandi aziende
Soluzione software per la sicurezza del sistema
Soluzione per la sicurezza delle transazioni
NetCat security
Servizio per la sicurezza del sistema
Digitaltrust
Servizio per l’affidabilità del sistema
BizGuardian
Firewall per la protezione del sito web
Xfolder
Security Global Solution
Software per la protezione del negozio on line
Soluzione per la sicurezza del sito web
Tabella 5.10
WinRoute Firewall, della Kerio Technologies Inc., evoluzione dell'
ormai noto
WinRoute Pro 4, è ad oggi la soluzione Firewall con il rapporto qualità/prezzo più
interessante del mercato, con il quale è possibile proteggere la propria rete, filtrare il
traffico degli utenti con la funzione di Proxy e rendere accessibili da Internet, in tutta
sicurezza, web server, server di posta od ogni altro servizio.
L'
installazione è molto semplice ed un wizard aiuta nella configurazione di base.
L'
amministrazione del Firewall si esegue attraverso un interfaccia grafica intuitiva
che rende la gestione pratica e veloce.
Le caratteristiche principali sono:
Stateful network firewall con il quale è possibile definire regole dettagliate
per effettuare una stateful inspection di tutti il traffico Internet sia in uscita
che in ingresso;
Antivirus protection: prevista l'
opzione per lo scanning da virus per il
traffico HTTP e FTP in ingresso e in uscita;
Content and web filtering: necessario poter bloccare l'
accesso a siti web
che offrono contenuti offensivi o contro producenti, Kerio WinRoute
226
Firewall può verificare il contenuto o la classificazione dei siti web
contenuti nel database del Cobion Orange Filter Service;
Protocol inspection. l'
ispezione di protocollo permette alle applicazioni con
protocollo proprietario (non originariamente pensate per un utilizzo dietro
ad un firewall) di essere utilizzate in reti messe in sicurezza, diversi
protocolli possono essere verificati, filtrati e modificati, ottenendo un
aumento di capacità restrittiva e di controllo del firewall stesso;
Network administration: la console amministrativa di Kerio WinRoute
Firewall può essere utilizzata da remoto, permettendo una gestione
completa lontani dalla console.
Il costo è di 300 euro annui, la soluzione supporta solo le piattaforme Windows.
SecIdentity è una tecnologia di soluzioni e prodotti che consentono di rendere
sicuro il proprio PC e i propri dati dall'
accesso esterno, SecIdentity permette anche
all'
utente finale di disporre dei benefici dell'
identità digitale, l'
applicazione è di
immediato utilizzo e risolve alcune tra le più sentite esigenze nel campo della
sicurezza informatica.
In particolare con SecIdentity è possibile agire sui seguenti livelli di sicurezza:
crittografia dati: per impedirne l'
accesso a persone non autorizzate
(Modulo SecIdentity Key-File);
posta sicura: per la firma e la crittografia dei messaggi di posta (Modulo
SecIdentity Key-Mail);
protezione del logon per proteggere l'
accesso al PC usando un token
USB (Modulo SecIdentity Key-Logon);
firma digitale: per garantire la provenienza e l'
integrità dei documenti
informatici (Modulo SecIdentity Key-Sign);
memorizzazione sicura dei dati: per archiviare in maniera protetta
informazioni quali username & password o numeri di carte di credito
(Modulo SecIdentity Key-Password).
Il costo della suite è di 195 euro annui, la suite supporta le piattaforme Windows.
WebIdenty è un sistema che permette di colloquiare in modo del tutto sicuro con siti
web che richiedono accesso riservato.
Può essere utilizzato da qualsiasi società che richiede un accesso riservato ai propri
clienti o partner, le comunicazioni tra computer e sito web vengono crittografate e
dunque non intercettabili da terzi.
227
Tra le applicazioni possibili ricordiamo il Remote Banking, la gestione accessi e
autorizzazioni a database Web-based, la vendita di servizi Internet, la vendita di
software e servizi informatici su Internet, la gestione servizi a consumo su Internet,
la gestione remota di reti di vendita, la distribuzione controllata di informazioni su
Internet/Intranet/Extranet
Il sistema si basa su una chiave USB che, inserita nella porta USB del Pc, permette
di riconoscere ed autenticare univocamente l'
utente di un'
applicazione Web ad
accesso riservato e di stabilire con esso transazioni protette e crittografate sulla rete
Internet.
WebIdentity risolve i problemi di attaccabilità e replicabilità dei sistemi basati su
username e password in modo semplice e funzionale.
Tra i punti di forza dello strumenti si ricordano:
completa sicurezza: l'
identificazione di chi vuole accedere e la sicurezza
delle transazioni sono basate sulle caratteristiche del device, dotato di un
microprocessore implementato per funzioni di Security, e su algoritmi di
crittografia a chiave privata tempovariabile;
massima semplicità d'
uso: occorre solo collegare la chiave, comoda e
pratica da portare con sé, alla porta USB del Pc (oppure in cascata ad altri
dispositivi);
basso costo: WebIdentity rappresenta la soluzione più economica rispetto a
qualsiasi altro device hardware per l'
identificazione dell'
utente.
Il sistema supporta la piattaforma Windows.
I servizi di Netcat security prevedono:
Security Scanning: permette di avere un quadro aggiornato della sicurezza
della propria rete; sapere in ogni momento quali elementi siano visibili e
possano essere oggetto di attacchi e tentativi di intrusione non autorizzati.
La ricerca delle vulnerabilità è condotta utilizzando strumenti che
ripropongono, in modo non intrusivo, la metodologia seguita comunemente
dagli hackers per sfruttare gli errori di configurazione e le debolezze insite
nei protocolli e negli applicativi utilizzati, attraverso un'
analisi puntuale delle
macchine interessate, il servizio è in grado di identificare e segnalare le
vulnerabilità di sicurezza, suggerire le modifiche del caso e, soprattutto,
evidenziare possibili "buchi" che potrebbero rappresentare una debolezza
del sistema per il futuro;
228
Intrusion Detection System: oltre ai sistemi di filtraggio, quali i Firewall, che
operano in modo passivo, i sistemi IDS intervengono attivamente,
sorvegliando il traffico in ingresso ed uscita e valutandone dinamicamente la
morfologia (data pattern);
consulenza e progettazione: si parte dall'
analisi della rete, alle scelte
implementative fino alla definizione delle policy, alla scelta delle tecnologie e
dei prodotti che maggiormente soddisfano le esigenze di security e
specifiche per il cliente.
La soluzione supporta qualsiasi piattaforma.
Digitaltrust offre i propri servizi e consulenze per la sicurezza alle aziende per
proteggere e migliorare l'
affidabilità di reti, host, applicativi, dati ed informazioni dei
sistemi informativi internet da attacchi o intrusioni esterne, con una gamma di offerte
che vanno dall'
auditing dei sistemi alla formazione aziendale.
Un elemento innovativo della metodologia proposta da Digitrust sta nell'
impostare
un rapporto costruttivo con gli utenti degli strumenti informatici, favorendo lo
sviluppo di una maggiore "consapevolezza" e "fiducia" nelle relazioni e nelle
interazioni innescate dal sistema informativo aziendale al fine di raggiungere un
accettabile livello di sicurezza informatica nell'
organizzazione.
I servizi ed i prodotti si basano principalmente su soluzioni opensource
in outsourcing e si dividono in servizi di base e servizi avanzati.
I servizi di base più utilizzati per l'
implementazione della sicurezza a livello
infrastrutturale:
Firewall gestito;
Antivirus Gateway Based;
Vulnerability Analysis;
Strong Authentication.
Servizi di livello superiore per organizzazioni che hanno già raggiunto un livello di
sicurezza elevato:
Analisi e procedure di incident response;
Risk Management;
Security Policy.
BizGuardian è un completo firewall che permette di proteggere il network della
propria azienda in modo efficace.
229
Una delle particolarità sta nel fatto che tutta l'
amministrazione è raggiungibile via
web con un normale browser e non sarà necessario disporre di un monitor o di una
tastiera sul pc in cui verrà installato il software.
Da notare che, principalmente, l'
accesso al pannello di controllo deve avvenire dalla
rete locale ma è possibile anche, impostando i parametri per una connessione
sicura, accedere da internet.
L'
installazione avviene in modo abbastanza semplice è il software girerà su un
kernel UNIX incorporato direttamente nel setup.
Per provare il software è prevista una versione trial valida per 10 giorni a cui è
allegata la documentazione per l'
installazione, i prezzi variano a seconda delle
macchine nell'
azienda: da un minimo di 4 postazioni per una singola licenza fino alla
licenza illimitata.
Il costo è di 150 euro annui per quattro postazioni.
Xfolder è un software che permette di rendere inaccessibili ed invisibili files e
cartelle presenti su hard disk, rete locale o dischi removibili, é rivolto a tutte le
persone che desiderano proteggere l’accesso alle loro informazioni private, siano
segreti industriali o semplici documenti personali.
Installando il pacchetto i possibili usi del software sono:
protezione di accesso ai file riservati sul proprio PC, si tratti di immagini,
suoni, documenti, email, archivi, programmi o qualsiasi altro formato
rappresentabile con un file;
avviare la crittografia a tempo tramite apposito screen saver, per non far
visualizzare un insieme di documenti o programmi in caso di dimenticanza;
avviare la crittografia automaticamente all'
avvio di Windows, per non far
visualizzare un insieme di documenti o programmi in caso di dimenticanza;
trasportare file importanti senza il timore che la perdita o il furto del supporto
fisico, sia esso un disco magnetico, ottico o un notebook, costituisca
diffusione di informazioni riservate;
distruzione di files in modo che non siano recuperabili con gli appositi
software.
Solo l'
utilizzo delle funzioni avanzate per l'
automazione è leggermente più
complesso, ma basta una breve lettura all'
introduzione di queste funzioni per
capirne la logica di funzionamento.
Per ogni tipo di acquisto la licenza viene sempre fornita esclusivamente tramite
email, il costo è di 85 euro annui.
230
Security Global Solution comprende una serie di soluzioni per la gestione della
sicurezza di un sito Web,le soluzioni proposte variano da esigenza ad esigenza, da
sistema a sistema, tra le più importanti troviamo:
Security Audit ed Ethical Hacking del sistema informativo aziendale: il
servizio consente di simulare alcuni attacchi alla rete telematica al fine di
reperire eventuali bug o falle del sistema;
autenticazione: servizi che consentono di rendere operativi all'
interno di siti
internet o lan aziendali sistemi di autenticazione di utenti;
Enterprise User Management: la gestione della sicurezza passa anche
attraverso la gestione dei dati posseduti, centralizzare i dati relativi agli
utenti, password e diritti, ha il principale vantaggio di una gestione snella,
elimina problematiche di sincronizzazione e riduce il livello di know-how
richiesto da parte delle risorse interne sui diversi sistemi operativi ed
applicazioni;
Secure Single Sign On, Password Syncronization ed Access Control:
per snellire e rendere più efficiente le politiche di autenticazione all'
interno di
un sito web complesso, per chi possiede diverse tipologie di server e molti
utenti e vuole rendere uniche le password di accesso, senza doverle
distribuire su più supporti.
5.5.3.1.1 La scelta di www.dettaglidilusso.it
Il progetto www.dettaglidilusso.it decide di utilizzare la soluzione BizGuardian per la
protezione del sito web da attacchi esterni.
La tabella 5.11 indica le caratteristiche della soluzione.
BizGuardian
Funzione
Requisiti hardware
Piattaforme
Modalità acquisto
Utilizzo
Caratteristiche
Firewall per proteggere l’intero network da attacchi esterni.
Pentium 166 MHz o superiore
Windows e Linux
Acquisto licenza software per numero di stazioni.
Necessaria installazione del software
Tabella 5.11
231
5.5.3.2 Antivirus
Il progetto www.dettaglidilusso.it decide di utilizzare i seguenti strumenti per la
protezione da virus, la tabella 5.12 indica le soluzioni esaminate.
Antivirus
Avast Enterprise Edition
eScan Antivirus
F-Secure Antivirus
Caratteristiche
Soluzione per la protezione della rete
Software antivirus
Soluzione per la sicurezza dei contenuti
Norton Antivirus
Soluzione antivirus
Server Protect
Soluzione antivirus
Tabella 5.12
Avast Enterprise Edition contiene le caratteristiche fondamentali di tutti i
programmi antivirus offerti da BLUFILE in un pacchetto solo, è indicato per
proteggere una rete locale intera tra cui tutte le workstation, i server, i mail server e i
firewall Windows.
Contiene la possibilità di scansione su richiesta con due interfacce (semplice per
principianti e avanzato per utenti esperti), scansione all'
avvio con lo Standard Shield
(che protegge contro l'
esecuzione e l'
apertura di programmi malware) e la
scansione automatica delle e-mail capace di testare l'
integrità delle e-mail in
ingresso e in uscita. Naturalmente offre la completa protezione antivirus per il
traffico di posta basato sul protocollo SMTP.
eScan Antivirus è un antiVirus che controlla files, e-mail, allegati, pagine web e
tutto il traffico TCP/IP proveniente da internet per filtrare virus, parole o frasi vietate,
contenuto dannoso e inappropriato e per garantire una sicurezza senza precedenti
in tempo reale.
Tra le caratteristiche del prodotto ricordiamo:
Content Security: eScan controlla il contenuto di files, email, allegati e
pagine web, la scansione consente di filtrare virus, parole o frasi vietate, e
oggetti incorporati come ad es. gli applet Java etc... prima che raggiungano il
destinatario. eScan scansiona tutti i più conosciuti file compressi quali: ZIP,
ARJ, CAB, CAB, WiseSFX, GZIP, etc.; i file eseguibili (EXE), gli oggetti
incorporati nei file di Word, Excel e Power Point;
232
E-mail Content Scanning: controlla i messaggi e-mail alla ricerca di dati
confidenziali (in base a keywords, frasi, etc.), dimensione degli allegati, o
contenuto proibito;
Riconoscimento Virus on the Fly: eScan protegge le applicazioni e il sistema
operativo intercettando virus mentre si scaricano file da Internet, si naviga
sul web, si copiano file da floppy disk, si avvia una qualsiasi applicazione
dalla rete, si apre un documento di Microsoft Word o Excel;
Potente Motore Antivirus: eScan fornisce una completa protezione grazie al
potente motore AntiVirus basato sul famoso AVP (Antiviral Toolkit Pro) di
Kaspersky Lab;
sicurezza estesa: eScan esegue un autocontrollo dei propri file, rilevando
eventuali problemi. Questo lo rende praticamente a prova di manomissione;
sistema completo di help on line: eScan fornisce un sistema di help on line
per semplificare le procedure di installazione e di aggiornamento del
software.
F-Secure Anti-Virus per Internet Mail offre una soluzione per la sicurezza dei propri
contenuti che protegge il traffico email SMTP dal codice maligno, il prodotto
riconosce e rimuove i virus sia dalla posta in arrivo che da quella in uscita e dai
relativi allegati.
Il package contiene:
F-Secure Anti-Virus Agent per Internet Mail;
F-Secure Content Scanner Server;
F-Secure Policy Manager.
Riconoscimento dei Virus: se viene rilevato un virus, potrà essere inviato un segnale
d'
allarme destinatario, all'
amministratore e al mittente, gli allegati possono essere
disinfettati automaticamente ed inviati al destinatario desiderato. Inoltre una volta
che la protezione è installata a livello gateway, gli utenti non potranno baipassare il
servizio.
Lo scanning server è in grado di ricevere gli aggiornamenti del database
automaticamente senza alcun intervento da parte dell'amministratore.
Tutte le configurazioni e i reports di F-Secure Anti-Virus per Internet Mail possono
essere monitorati e gestiti mediante F-Secure Policy Manager. F-Secure Policy
Manager ovviamente è incluso nel prodotto.
E' possibile installare F-Secure Anti-Virus Agent per Internet Mail e F-Secure
Content Scanner Server sulla stessa macchina, se questa ha sufficienti risorse per
233
poter gestire simultaneamente il traffico di posta e la scansione. Si consiglia tuttavia,
al fine di ottimizzare le prestazioni, di installare F-Secure Content Scanner Server su
un computer dedicato.
Norton Antivirus Corporate Edition fornisce una protezione multipiattaforma a
ogni livello di rete, dalle odierne minacce sempre piu'sofisticate che impiegano
metodi operativi e hanno effetti diversi, quali Trojan, codice ActiveX e applet Java, e
che richiedono la protezione antivirus a ogni livello della rete, groupware, gateway,
server e client.
Gli amministratori possono gestire le operazioni da una singola console centrale,
per tenere aggiornati e configurati correttamente desktop e server DOS, Windows
3.x, Windows 9.x, Windows 2000, Windows NT e NetWare.
La tecnologia Digital Immune System, con la sua funzione Closed Loop Automation,
fornisce l'
accesso a meccanismi di risposta via Internet che assicurano operazioni di
rilevazione, analisi e riparazione veloci, affidabili e automatiche. Inoltre, la tecnologia
di scansione e riparazione estensibile di NAVEX (Norton AntiVirus Extension)
consente la rapida implementazione multipiattaforma e l'
aggiornamento automatico
dei motori di scansione/riparazione durante le normali operazioni di aggiornamento
delle definizioni dei virus.
Il sistema Central Quarantine offerto nel pacchetto, centralizza la gestione dei virus
consentendo di dirottare tutti i file infetti da virus non riparabili in un'
area “sicura”
situata su un server centrale dove possono essere ulteriormente ispezionati.
Fornisce una maggiore protezione rimuovendo i virus dall'
ambiente di elaborazione
principale e impedendo che si diffondano all'
interno dell'
organizzazione.
Norton Antivirus 7.6 per Small Business Total Protection con questa nuova release
e' compatibile con Microsoft Terminal Servers e con Microsoft Windows XP,
consentendo alle aziende di sfruttare una protezione ininterrotta nelle fasi di
migrazione alle tecnologie.
Il supporto tecnico per i pacchetti da 5 licenze e'limitato a un numero stabilito di
richieste annue.
ServerProtect di Trend Micro per Network Appliance filers fornisce una soluzione
antivirus completa per Network Appliance filers.
Gestito tramite una consolle, il software esegue la scansione antivirus,
l'
aggiornamento delle definizioni, i rapporti degli eventi e la configurazione antivirus
in modo centralizzato.
Le caratteristiche di questo software comprendono:
234
i rapporti di registro tracciano e gestiscono tutti gli eventi del programma e
quelli relativi ai virus sulla rete;
i messaggi di allarme notificano agli amministratori gli eventuali attacchi da
parte di virus informatici e le condizioni di emergenza.
ServerProtect fornisce un sistema di gestione di server e domini multipli Windows
NT e Novell NetWare da un'
unica consolle di gestione, tale consolle consente agli
amministratori di configurare simultaneamente dei server nello stesso dominio e
genera rapporti integrati sugli incidenti da tutti i server.
La gestione remota comprende le seguenti caratteristiche:
installazione, aggiornamento e disinstallazione di ServerProtect verso server
remoti;
aggiornamento di file di definizione dei virus, motori di scansione e patch di
programma;
scansione e rimozione dei virus da server remoti.
La scansione contro i virus informatici è efficace solo a fronte di un continuo
aggiornamento.
ServerProtect
può
essere
configurato
per
scaricare
gli
aggiornamenti delle definizioni dei virus e del motore di scansione in maniera
automatica per poi distribuirli ai server designati.
La diffusione delle nuove definizioni dei virus ricorre a un meccanismo di
aggiornamento incrementale, ciò significa che è sufficiente che un server scarichi le
nuove firme dei virus aggiunte nel tempo intercorso dall'
ultima versione.
I rapporti di registro consentono di rintracciare e gestire un ampio numero di eventi
antivirus, comprese le infezioni da virus, gli aggiornamenti delle definizioni o del
programma, i messaggi di allarme virus, lo svolgimento dei compiti, l'
esame dei file
infetti, l'
attività di scansione e le modifiche apportate all'
integrità della schermatura
antivirus.
5.5.3.2.1 La scelta di www.dettaglidilusso.it
Il progetto www.dettaglidilusso.it decide di utilizzare la soluzione Norton Antivirus
per la protezione antivirus di desktop e file server.
Norton Antivirus è uno tra i più diffusi software per la sicurezza del proprio pc ed è
caratterizzato da una notevole semplicità di utilizzo, ben supportata da un'
interfaccia
grafica molto intuitiva.
Le funzionalità offerte sono elevate e prevedono oltre la scansione di interi volumi di
disco, anche un controllo in realtime e sulle e-mail (inviate e ricevute).
235
L'
aggiornamento delle definition list è forse la fase più importante e delicata per il
mantenere l'
efficenza del controllo; NAV permette una gestione totalmente
automatizzata di queste procedure.
Le caratteristiche principali sono:
fornisce
protezione
e
monitoraggio
avanzati
dei
virus
per
tutta
l'
organizzazione da un'
unica console di gestione;
funzione di rilevamento e categorizzazione delle minacce estese riconosce
le applicazioni indesiderate quali spyware e adware;
identificare l'
origine degli attacchi delle minacce di tipo blended che si
diffondono tramite condivisione aperte dei file (ad esempio Nimda);
Symantec VPN Sentry garantisce che i sistemi siano totalmente conformi
alle politiche aziendali prima di accedere alle risorse di rete dell'
azienda;
la funzione di memorizzazione e inoltro degli avvisi assicura che i
computer non collegati alla rete memorizzino e inoltrino i dati sugli eventi agli
amministratori quando si ricollegano alla rete;
la scansione della memoria interna rileva le minacce e può terminare i
processi sospetti presenti nella memoria prima che causino danni ,
funzioni centralizzate di controllo della rete aiutano a identificare i nodi non
protetti, oltre a quelli protetti da Symantec AntiVirus Corporate Edition e
da altri prodotti di sicurezza di terze parti.
Symantec AntiVirus Corporate Edition fornisce protezione antivirus scalabile e
cross-platform per workstation e server di rete nell'
intera azienda.
Symantec System Center abilita la configurazione, la distribuzione, la gestione delle
politiche e il reporting centralizzati, consentendo agli amministratori di controllare la
rete per identificare i nodi suscettibili di attacchi da parte dei virus.
Gli amministratori possono gestire i gruppi di client e server in maniera logica e
creare, distribuire e bloccare le politiche e le impostazioni di sicurezza per
mantenere i sistemi aggiornati e configurati in modo appropriato.
Le funzioni di rilevamento delle minacce estese e di categorizzazione delle
minacce individuano spyware e adware indesiderati, mentre il tracer minacce aiuta
gli amministratori a identificare l'
origine delle minacce di tipo blended diffuse tramite
le condivisioni aperte di file.
Il blocco dei comportamenti avanzato impedisce di utilizzare i sistemi client per
attività dannose in uscita, quale l'
invio di worm tramite e-mail.
236
La tecnologia LiveUpdate consente agli amministratori di configurare aggiornamenti
automatici delle definizioni dei virus, compresi quelli di definizioni obsolete.
La soluzione assicura anche che i computer non collegati alla rete memorizzino e
inoltrino i dati sugli eventi agli amministratori quando si ricollegano alla rete.
Una funzione di applicazione dei contenuti gestibili assicura che le organizzazioni
abbiano contratti di licenza aggiornati, per evitare che si verifichino buchi di
protezione.
La tabella 5.13 indica le caratteristiche dell’antivirus.
Norton Antivirus
Caratteristiche
Funzione
Soluzione per la protezione antivirus di desktop e file server
Requisiti hardware
Piattaforme
Modalità acquisto
Utilizzo
Pentium 166 MHz o superiore
Windows e Linux
Acquisto licenza per numero di stazioni.
Necessaria installazione dell’antivirus
Tabella 5.13
5.5.3.3 Autenticazione utente
Dettaglidilusso.it decide di autenticare i clienti tramite l’utilizzo di password poiché
ritiene che sia il sistema che offre le migliori prestazioni a fronte di costi di
implementazione contenuti.
237
5.6 Il piano delle risorse per la sicurezza e i pagamenti
La tabella 5.14 riassume i costi per le forme di pagamento di www.dettaglidilusso.it.
Soluzione
1° anno
2° anno
3° anno
GestPay di Banca Sella
1.260,35 euro
260,35 euro
260,35 euro
Tabella 5.14
La tabella 5.15 riassume i costi per la sicurezza di www.dettaglidilusso.it
Soluzione
1° anno
2° anno
3° anno
BizGuardian
150 euro
150 euro
150 euro
Norton Antivirus
368 euro
368 euro
368 euro
Tabella 5.15
Il piano operativo per la protezione del sito e per la scelta delle forme di pagamento
circa 36 ore retribuite in base alle mansioni utilizzate, il piano è definito in tabella
5.16.
Sicurezza
Ore Risorsa
Identificazione rischi
10
Costo
6 ore M&C manager
324 euro
2 ore Project manager
160 euro
2 ore content manager
86 euro
570 euro
Implementazione soluzione
10
6 ore Analista programmatore
258 euro
4 ore Sistemista
300 euro
558 euro
Forme di pagamento
Ore Risorsa
Identificazione forme di pagamento
6
Costo
4 ore M&C manager
216 euro
1 ora Project manager
80 euro
1 ora Content manager
43 euro
339 euro
Contatto partner commerciali
10
10 ore M&C manager
540 euro
Totale piano
36
36 ore
2.007 euro
Tabella 5.16
238
5.7 Il test finale del progetto
Il test finale del progetto comprende l’analisi del funzionamento della struttura, la
valutazione dei risultati, l’implementazione dell’attività di gestione del sito web e lo
sviluppo dei sistemi di verifica del servizio.
La tabella 5.17 riassume le risorse utilizzate.
Test finale
Ore
Risorsa
Costo
Monitoraggio
40
40 ore Sistemista
3.000 euro
Valutazione dei risultati
20
5 ore project manager
400 euro
4 ore web designer
172 euro
4 ore sistemista
2 ore analista programmatore
5 ore security manager
Sistemi di verifica
Piano per criticità
20
80
430 euro
800 euro
20 ore sistemista
1.500 euro
1.230 euro
1.290 euro
270 euro
374 euro
4.234 euro
160 euro
6 ore sistemista
450 euro
180
1.419 euro
5 ore security manager
Totale
375 euro
800 euro
5 ore M&C manager
20
172 euro
Attività di gestione
300 euro
-
516 euro
1.126 euro
11.009 euro
Tabella 5.17
239

CAPITOLO 5

Transcript

Documenti analoghi

Visualizza il PDF dell`indice

clamwin - sommaruga andrea guido

Stampa - Allarme virus ``innamorato`

Mazzo: FORNO BONOMI

I Fiori delle Fate delle Acque capitolo n.1 di una

Carte West Bromwich - Albion

Presentazione 3 Introduzione IZ L`influsso etrusco - i5 I

Prodotti e Servizi per gli

Dopo aver installato AVG Antivirus Free, aprire il AVG Control

Chi paga le “liaisons dangereuses” tra medici e industria?