Защита подарочного сертификата от подделки #750128

Добрый день! Какие есть методы для защиты подарочных сертификатов от подделки?

Добрый день! Какие есть методы для защиты подарочных сертификатов от подделки?

1.Плотность бумаги — 100 г/м.кв. (уровень «А», «Б»); 2.Содержание хлопкового волокна — 50% (уровень «А»), 25% (уровень «Б»); 3.Фоновое свечение под УФ-лампой — темное (уровень «А», «Б»); 4.Оригинальный водяной знак; 5.Прозрачная полимерная нить с микротекстом, люминисцирующая под УФ-светом желто-зеленым свечением (уровень «А», «Б»); 6.Невидимые защитные волокна, люминисцирующие под УФ-лампой (уровень «А», «Б»); 7.Видимые защитные волокна, люминисцирующие под УФ-лампой (уровень «А», «Б»); 8.Видимые защитные волокна синего цвета (уровень «А», «Б»); 9.Гильоширная рамка с элементами негативного и позитивного исполнения (уровень «А», «Б»); 10.На лицевой стороне бланка — двойная гильоширная сетка переменного шага (нераппортная) со связанным рисунком (уровень»А», «Б»); 11.Ирисовый раскат - плавный переход одного цвета гильоширной сетки в другой, уровень «А», «Б») ; 12.На оборотной стороне бланка защитная гильоширная сетка постоянного шага (раппортная), отпечатана с ирисовым раскатом (уровень «А», «Б»); 13.Микротекст - текст высотой до 200 мкм, уровень «А», «Б»; 14.Двукрасочная бордюрная линия вдоль одной из сторон бланка с высокоточным совмещением красок (по типу «орловской» печати) — на оборотной стороне бланка (уровень «А»); 15.Видимое и (или) невидимое изображение, люминисцирующее под УФ-светом (люминофор — разных цветов) (уровень «А», «Б»); 16.Нумерация красной или черной магнитной краской (уровень «А», «Б»), светящейся под УФ-светом (уровень»А»);   17.По желанию заказчика - дублирующая нумерация краской со спецэлементом «И», флюоресцирующим под ИК-светом как множество зеленых точек (уровень «А»).

их учёт уникальных серий пред активаций

Давай по порядку. Пункт "1.Плотность бумаги — 100 г/м.кв". Подходит покупатель к кассиру и предъявляет сертификат с такой плотностью бумаги. Как кассир определит что у сертификата именно такая плотность? И вообще, можно ли где-то прочитать как каждый метод применяется на практике?

Что это даст на практике? В чем защита?

1. сертификат продан 2. покупатель его как-то активирует -- ему приходит смс-ом кодовое слово -- например Солнце 3. покупатель дарит сертификат, но им воспользоваться можно только с помощью кодового слова

Какая модель угроз? От какой подделки защищаете?

Кодовое слово можно спрятать за скретч-панелью прямо на сертификате. В общем-то будет тоже самое.

На каждом сертификате случайный длинный код. Код хранится в базе.

Некоторые практикуют пластиковые карты для подарочных сертификатов.

Если бы я знал...

я думаю пока не узнаете обсуждение бессмысленно

значит два кодовых слова на сертификате одно стирает одоряемый для активации, а другое оператор для подтверждения если оператор увидит, что слово оператора стёрто => серт не действителен

Плюсадин. В таком виде их хоть от руки на туалетной бумаге рисовать можно - без базы данных с кодами подделывать что-либо бессмысленно.

В общем Случае хватит не стандартного рисунка типографской печати и штрих кода в тором хранится номер Хешем

Покупает злоумышленник сертификат. Активирует его. Приходит ему на смс кодовое слово Солнышко. Он копирует сертификат, раздает его 10-ти сообщникам. Приходит первый в магазин и отоваривается. Приходит 2-й в магазин - система запрещает. Как доказать что он мошенник?

сделал копию карты и воспользовался раньше, чем покупатель

А толку? Купит мошенник такой сертификат, размножит, продаст/подарит. Как потом людям объяснять что у них подделка?

Что это дает?

значит тогда 13

Это проблемы купивших

Копию пластиковой карты изготовить несколько сложнее, чем напечатать бумажку (особенно, если она с магнитной лентой или чипом, а не просто со штрих-кодом). Поэтому меньше вероятность, что кто-нибудь будет заморачиваться с подделкой :)

- одна фигня. Купил злоумышленник такой сертификат. И подделал. Сделал 10 штук. Первый сертификат нормально активируется/подтвердится, другие нет.

Размножит качественную типографскую печать на хорошей бумаге нюню

поставьте на сертификат печать и подпись продавца тогда если подделали то легко будет посадить, после того как отследили (у нас контроль по номерам при выдаче и приемке в оплату)

Пластиковые карты с номиналом и уникальным дизайном Подделать 10 штук нужно либо оборудование либо знакомые. Никто заморачиваться не будет. Карта после покупки сдается обратно.

нельзя воспользоваться активированным сертификатом, если стёр второй код

У нас есть БСК ридеры. Думал об этом - надо узнавать у производителя - сможет ли он на заказ изготовить карты с одинаковыми номерами.

+ реально за >20 лет случаев подделки не было вот что "утерянные" сертификаты потом кто нить приносил такое было

Как раз номера должны быть разные. Зачем одинаковые?

Для этого ему придется обратится в типографию где ему объявят минимальную партию в 500 штук. И это будет дороже чем покупка еще одно сертификата.

купи свой станок =)

Ради сертификата на пару тройку тысяч? :))

Кого сажать то? Я пока от клиентов защищаюсь а не от сотрудников:)

Это я со стороны злоумышленника мыслю: ему то нужно будет одинаковые заказать.

А второй код и не будет стерт на подделках. Только первый.

Зачем? Ему-то пофиг... Делайте с кодом под скретчем, такое подделать непросто + чужим кодом не воспользуешься.

Вот интересно, можно ли требовать паспорт при покупке и оплате сертификатом?

Смотря что покупают. Если автомобиль - то обязательно паспорт нужен.

Почему бы и нет? Только в условия использования добавить необходимость предъявления паспорта и все.

Поступите наоборот. Печатайте сертификаты так что бы их мог подделать школьник, хоть на обычной бумаге. Но на сертификате пишите коды зарегистрированные в базе. Тогда даже домохозяйка поймет, что если мужик в подворотне продает сертификаты, то они явно подделка...

ТруЪ мошенники никогда не бывают "мужиками в подворотне".

в любом случае возможна одна активация

не требовать, указать условия покупки

Только вот что это даст?

Активация и будет одна. Представь, что это группа лиц, действующих сообща. Они один активирую, а с других коды постирают. Потом придут и начнется: "как это у меня сертификат уже погашен?! Такого не может быть... верните деньги"...

Вряд ли ворюга будет показывать паспорт при совершении мошенничества:)

это где такое требование ?

а для этого и нужна первая активация продажи -- там будет привязка к номеру

При покупке ТС заключается договор. А для заключения договора нужен паспорт :)

Для защиты - хз, разве что психологический эффект . Впрочем, сам мошенник вряд ли этими сертификатами будет пользоваться. А для маркетингового отдела эта инфа очень полезна. Персонифицированные данные сейчас все более востребованы, особенно с развитием big data технологий и автоматизацией сбора инфы из соцсетей.

1) Уникальный номер на каждом сертификате 2) Относительная сложность изготовления подделок - не купон, распечатанный на принтере, а хорошая бумага с тиснением или магнитная карта 3) Хранение всех операций с сертификатами в базе 4) Хранение сертификатов после их погашения (не выбрасывать и не использовать повторно) Но это т.н. "защита от честных людей", ибо Почему нет? Ты никак не докажешь, что он мошенник.

я заключаю много с кем договоры и нигде не указываю свои паспортные данные

какое нафиг ясное Солнышко? каша в голове. Кодовое слово. ну хотя бы цыхры штук 10, в которых будет закодировано дата/время активации+ контрольная сумма

Я рад за тебя.

пусть будет солнышко

спасибо, я тоже сам за себя рад

Чтобы ты там не кодировал, мошенники воспользуются схемой

Про ПТС ты тоже не в курсе? :)

Можешь схему подробно описать?

в птс паспортные данные указываются о_О

А ваша ли это проблема, вообще говоря?

Смотря как договорюсь с заказчиком.

Не знаю, мне кажется все надумано. Печатай сертификат на обычной бумаге, на обычном принтере, вкладывай его в красивую упаковку (открытку). Кто первый предъявил, того и тапки. Остальные идут лесом.

Конечно надумано. Я пока только разрабатываю концепцию защиты, и думаю:)

Берешь штрихкод EAN-13 и делаешь свою систему кодирования. Например, последние шесть цифр получены из первых шести цифр за вычетом единицы. Пишешь процедуру генерации случайного штрихкода и процедуру проверки штрихкода. Печатать можно на обычном принтере. Злоумышленнику придется расшифровать алгоритм... И чем хитропопее будет твой алгоритм, тем надёжнее будет система.

Зачем Есть же RSA

+ Для примера, можешь глянуть алгоритм генерации проверочного 13-го числа в том же EAN-13.

Злоумышленник просто купит один сертификат и размножит его. А потом с ними припрется. Вот от этого я пытаюсь защитится. И понимаю что это можно сделать только с использованием закрытых БСК карт.

такие алгоритмы расшифровываются за пару часов, фактически любой сложности +1

<только с использованием закрытых БСК карт.> не только БСК, ещё с чиповыми картами

тогда тебе к

но опять же, я приду к вам с полностью идентичной картой но с нечитаемым чипом (или БСК), что будете делать?

Напиши: Сертификат действителен только вместе с чеком.

И вообще больше ничего делать не придется

круть будет когда несколько человек придут с одинаковыми чеками ;) Чек подделать вообще раз плюнуть

Давай свой вариант.

знал бы, предложил. кроме как увеличивать сложность изготовления бумажки ничего в голову не приходит

И вообще, с таким подходом как ты защитишься от меня: я на обычной офисной бумаге разработаю свой шаблон сертификата от твоего магазина, распечатаю и продам. К тебе придут покупатели с моими сертификатами и...

Есть еще вариант воровства. Если у вас в магазине работает недобросовестный сотрудник. Перепишет все коды, сделает такие же сертификаты, обналичит, то что продали недавно. Я думаю скреч полоса - это самое то. Защита как от внешней угрозы, так и от внутренней.

Короче, покупка сертификата где-то на рынке, а не в твоем магазине ответственность с твоего магазина снимает, поэтому обычный сертификат на цветной офисной бумаге + чек.

Согласен, код на сертификате должен быть скрыт. Спасибо.

смотри

Сам смотри ... Купил сертификат с рук - где гарантия, что это настоящий сертификат?

А ещё недобросовестный сотрудник может по программе оплатить сертификатом, а деньги за покупку себе в карман положить. Т.е. процесс оплаты должен быть автоматизирован.

Дело не в защите покупателя, точнее не только в защите покупателя. Я так понимаю защищается продавец, от левых продаж по сертификатам.

А вот нет: выручка = деньги в кассе + стоимость полученных от покупателей сертификатов...

Точно. Нужно сохранять принятые сертификаты.

А что, тебе жалко что ли? Это ж реклама как-никак. Ну продашь ты 10 сертификатов, а покупателей придет 12 - ну и что? Потери небольшие, за-то кто-то тебе рекламу сделал... Делай минимальную защиту и забей. К тому же сертификаты все срочные. Систему защиты можно менять периодически...

Кстати, если не печатать сертификаты самому, а заказать в типографии, то получится ненамного дороже, зато подделать кустарным методом не получится. И каждый год новый макет. Я думаю, этого (ну и, может + чек) будет достаточно.

Даже чек не нужен, можно просто пронумерованные делать. Если возникнут подозрения - по номерам можно будет проверить, есть ли задвоенные номера или нет.

используем сертификаты. количество сертификатов небольшое (несколько десятков в месяц) защита примитивная 1. типографская печать фирменного бланка (без спец защиты) 2. штрих код генерится в программе + учет в программе что продан (т.е. чек) 3. при гашении программа проверяет что гашение не повторное и что такой сертификат был действительно продан. 4. программа фиксиреут факт гашения и к отчету смены вместе с z-отчетом прилагаются сертификаты. 5. с некоторой периодичностью проверяется количество оставшихся бланков и сравнивается с количеством отпечатынвх минус количество выданых сертификатов в итоге за 5 лет работы 2-3 обращения (неверно оформили продажу). пара попыток повторного гашения. попыток подделок не было (ну или мы этого не знаем). основная защита - это учет в отгрузочной программе.

какой номинал?

Нагенерировать ключи длиной 126, 256 в зависимости от степени паранойи. Открытые ключи напечатать на  сертификатах в штрихкод code128 или QRcode. При гашении проверять по закрытому ключу, после гашения закрытый удалить.

свободный или услуги среднее 3000-5000

Это все работает, пока у вас не завелась крыса.

Если у тебя в штате завелась грамотная крыса, ты от неё уже не защитишься

Ну почему же, можно сделать переливание крови - всех уволить и нанять новых :)

А где гарантия, что в новых нету крыс?