Добрый день!

Какие есть методы для защиты подарочных сертификатов от подделки?

1.Плотность бумаги — 100 г/м.кв. (уровень «А», «Б»);
2.Содержание хлопкового волокна — 50% (уровень «А»), 25% (уровень «Б»);
3.Фоновое свечение под УФ-лампой — темное (уровень «А», «Б»);
4.Оригинальный водяной знак;
5.Прозрачная полимерная нить с микротекстом, люминисцирующая под УФ-светом желто-зеленым свечением (уровень «А», «Б»);
6.Невидимые защитные волокна, люминисцирующие под УФ-лампой (уровень «А», «Б»);
7.Видимые защитные волокна, люминисцирующие под УФ-лампой (уровень «А», «Б»);
8.Видимые защитные волокна синего цвета (уровень «А», «Б»);
9.Гильоширная рамка с элементами негативного и позитивного исполнения (уровень «А», «Б»);
10.На лицевой стороне бланка — двойная гильоширная сетка переменного шага (нераппортная) со связанным рисунком (уровень»А», «Б»);
11.Ирисовый раскат - плавный переход одного цвета гильоширной сетки в другой, уровень «А», «Б») ;
12.На оборотной стороне бланка защитная гильоширная сетка постоянного шага (раппортная), отпечатана с ирисовым раскатом (уровень «А», «Б»);
13.Микротекст - текст высотой до 200 мкм, уровень «А», «Б»;
14.Двукрасочная бордюрная линия вдоль одной из сторон бланка с высокоточным совмещением красок (по типу «орловской» печати) — на оборотной стороне бланка (уровень «А»);
15.Видимое и (или) невидимое изображение, люминисцирующее под УФ-светом (люминофор — разных цветов) (уровень «А», «Б»);
16.Нумерация красной или черной магнитной краской (уровень «А», «Б»), светящейся под УФ-светом (уровень»А»);  
17.По желанию заказчика - дублирующая нумерация краской со спецэлементом «И», флюоресцирующим под ИК-светом как множество зеленых точек (уровень «А»).

(0) их учёт уникальных серий
пред активаций

(1) Давай по порядку. Пункт "1.Плотность бумаги — 100 г/м.кв". Подходит покупатель к кассиру и предъявляет сертификат с такой плотностью бумаги. Как кассир определит что у сертификата именно такая плотность?

И вообще, можно ли где-то прочитать как каждый метод применяется на практике?

(3) Что это даст на практике? В чем защита?

(5)

1. сертификат продан
2. покупатель его как-то активирует -- ему приходит смс-ом кодовое слово -- например Солнце
3. покупатель дарит сертификат, но им воспользоваться можно только с помощью кодового слова

(0) Какая модель угроз? От какой подделки защищаете?

(6) Кодовое слово можно спрятать за скретч-панелью прямо на сертификате. В общем-то будет тоже самое.

На каждом сертификате случайный длинный код. Код хранится в базе.

(0) Некоторые практикуют пластиковые карты для подарочных сертификатов.

(7) Если бы я знал...

(11) я думаю пока не узнаете обсуждение бессмысленно

(8) значит два кодовых слова на сертификате
одно стирает одоряемый для активации, а другое оператор для подтверждения
если оператор увидит, что слово оператора стёрто => серт не действителен

(9) Плюсадин. В таком виде их хоть от руки на туалетной бумаге рисовать можно - без базы данных с кодами подделывать что-либо бессмысленно.

(12) В общем Случае хватит не стандартного рисунка типографской печати и штрих кода в тором хранится номер Хешем

(6) Покупает злоумышленник сертификат. Активирует его. Приходит ему на смс кодовое слово Солнышко. Он копирует сертификат, раздает его 10-ти сообщникам. Приходит первый в магазин и отоваривается. Приходит 2-й в магазин - система запрещает. Как доказать что он мошенник?

(14) сделал копию карты и воспользовался раньше, чем покупатель

(9) А толку? Купит мошенник такой сертификат, размножит, продаст/подарит. Как потом людям объяснять что у них подделка?

(10) Что это дает?

(16) значит тогда 13

(18) Это проблемы купивших

(19) Копию пластиковой карты изготовить несколько сложнее, чем напечатать бумажку (особенно, если она с магнитной лентой или чипом, а не просто со штрих-кодом). Поэтому меньше вероятность, что кто-нибудь будет заморачиваться с подделкой :)

(13) (20) - одна фигня.
Купил злоумышленник такой сертификат. И подделал. Сделал 10 штук. Первый сертификат нормально активируется/подтвердится, другие нет.

(18) Размножит качественную типографскую печать на хорошей бумаге нюню

(0) поставьте на сертификат печать и подпись продавца

тогда если подделали то легко будет посадить, после того как отследили (у нас контроль по номерам при выдаче и приемке в оплату)

Пластиковые карты с номиналом и уникальным дизайном
Подделать 10 штук нужно либо оборудование либо знакомые.
Никто заморачиваться не будет. Карта после покупки сдается обратно.

(23) нельзя воспользоваться активированным сертификатом, если стёр второй код

(22) У нас есть БСК ридеры. Думал об этом - надо узнавать у производителя - сможет ли он на заказ изготовить карты с одинаковыми номерами.

(25)+ реально за >20 лет случаев подделки не было

вот что "утерянные" сертификаты потом кто нить приносил такое было

(28) Как раз номера должны быть разные. Зачем одинаковые?

(24) Для этого ему придется обратится в типографию где ему объявят минимальную партию в 500 штук. И это будет дороже чем покупка еще одно сертификата.

(31) купи свой станок =)

(32) Ради сертификата на пару тройку тысяч? :))

(25) Кого сажать то? Я пока от клиентов защищаюсь а не от сотрудников:)

(30) Это я со стороны злоумышленника мыслю: ему то нужно будет одинаковые заказать.

(27) А второй код и не будет стерт на подделках. Только первый.

(35) Зачем? Ему-то пофиг...

Делайте с кодом под скретчем, такое подделать непросто + чужим кодом не воспользуешься.

(0) Вот интересно, можно ли требовать паспорт при покупке и оплате сертификатом?

(38) Смотря что покупают. Если автомобиль - то обязательно паспорт нужен.

(38) Почему бы и нет? Только в условия использования добавить необходимость предъявления паспорта и все.

Поступите наоборот. Печатайте сертификаты так что бы их мог подделать школьник, хоть на обычной бумаге. Но на сертификате пишите коды зарегистрированные в базе. Тогда даже домохозяйка поймет, что если мужик в подворотне продает сертификаты, то они явно подделка...

(41) ТруЪ мошенники никогда не бывают "мужиками в подворотне".

(36) в любом случае возможна одна активация

(38) не требовать, указать условия покупки

(40) Только вот что это даст?

(43) Активация и будет одна. Представь, что это группа лиц, действующих сообща. Они один активирую, а с других коды постирают. Потом придут и начнется: "как это у меня сертификат уже погашен?! Такого не может быть... верните деньги"...

(45) Вряд ли ворюга будет показывать паспорт при совершении мошенничества:)

(39) это где такое требование ?

(46) а для этого и нужна первая активация продажи -- там будет привязка к номеру

(48) При покупке ТС заключается договор. А для заключения договора нужен паспорт :)

(45) Для защиты - хз, разве что психологический эффект (47). Впрочем, сам мошенник вряд ли этими сертификатами будет пользоваться.

А для маркетингового отдела эта инфа очень полезна. Персонифицированные данные сейчас все более востребованы, особенно с развитием big data технологий и автоматизацией сбора инфы из соцсетей.

1) Уникальный номер на каждом сертификате
2) Относительная сложность изготовления подделок - не купон, распечатанный на принтере, а хорошая бумага с тиснением или магнитная карта
3) Хранение всех операций с сертификатами в базе
4) Хранение сертификатов после их погашения (не выбрасывать и не использовать повторно)

Но это т.н. "защита от честных людей", ибо (46)
(47) Почему нет? Ты никак не докажешь, что он мошенник.

(50) я заключаю много с кем договоры и нигде не указываю свои паспортные данные

(16) какое нафиг ясное Солнышко? каша в голове. Кодовое слово. ну хотя бы цыхры штук 10, в которых будет закодировано дата/время активации+ контрольная сумма

(53) Я рад за тебя.

(54) пусть будет солнышко

(55) спасибо, я тоже сам за себя рад

(54) Чтобы ты там не кодировал, мошенники воспользуются схемой (16)

(57) Про ПТС ты тоже не в курсе? :)

(49) Можешь схему подробно описать?

(59) в птс паспортные данные указываются о_О

(23) А ваша ли это проблема, вообще говоря?

(62) Смотря как договорюсь с заказчиком.

Не знаю, мне кажется все надумано.
Печатай сертификат на обычной бумаге, на обычном принтере, вкладывай его в красивую упаковку (открытку).

Кто первый предъявил, того и тапки.

Остальные идут лесом.

(64) Конечно надумано. Я пока только разрабатываю концепцию защиты, и думаю:)

(0) Берешь штрихкод EAN-13 и делаешь свою систему кодирования. Например, последние шесть цифр получены из первых шести цифр за вычетом единицы.
Пишешь процедуру генерации случайного штрихкода и процедуру проверки штрихкода.
Печатать можно на обычном принтере. Злоумышленнику придется расшифровать алгоритм... И чем хитропопее будет твой алгоритм, тем надёжнее будет система.

(66) Зачем Есть же RSA

+(66) Для примера, можешь глянуть алгоритм генерации проверочного 13-го числа в том же EAN-13.

(66) Злоумышленник просто купит один сертификат и размножит его. А потом с ними припрется. Вот от этого я пытаюсь защитится. И понимаю что это можно сделать только с использованием закрытых БСК карт.

(66) такие алгоритмы расшифровываются за пару часов, фактически любой сложности
(67) +1

(69) <только с использованием закрытых БСК карт.>

не только БСК, ещё с чиповыми картами

(69) тогда тебе к (1)

(69) но опять же, я приду к вам с полностью идентичной картой но с нечитаемым чипом (или БСК), что будете делать?

(69) Напиши: Сертификат действителен только вместе с чеком.

(74) И вообще больше ничего делать не придется

(75) круть будет когда несколько человек придут с одинаковыми чеками ;) Чек подделать вообще раз плюнуть

(76) Давай свой вариант.

(77) знал бы, предложил. кроме как увеличивать сложность изготовления бумажки ничего в голову не приходит

(69) И вообще, с таким подходом как ты защитишься от меня: я на обычной офисной бумаге разработаю свой шаблон сертификата от твоего магазина, распечатаю и продам. К тебе придут покупатели с моими сертификатами и...

Есть еще вариант воровства.
Если у вас в магазине работает недобросовестный сотрудник. Перепишет все коды, сделает такие же сертификаты, обналичит, то что продали недавно.
Я думаю скреч полоса - это самое то. Защита как от внешней угрозы, так и от внутренней.

Короче, покупка сертификата где-то на рынке, а не в твоем магазине ответственность с твоего магазина снимает, поэтому обычный сертификат на цветной офисной бумаге + чек.

(80) Согласен, код на сертификате должен быть скрыт. Спасибо.

(81) смотри (80)

(83) Сам смотри (79)...
Купил сертификат с рук - где гарантия, что это настоящий сертификат?

(80) А ещё недобросовестный сотрудник может по программе оплатить сертификатом, а деньги за покупку себе в карман положить. Т.е. процесс оплаты должен быть автоматизирован.

(84) Дело не в защите покупателя, точнее не только в защите покупателя. Я так понимаю защищается продавец, от левых продаж по сертификатам.

(85) А вот нет: выручка = деньги в кассе + стоимость полученных от покупателей сертификатов...

(87) Точно. Нужно сохранять принятые сертификаты.

(86) А что, тебе жалко что ли? Это ж реклама как-никак. Ну продашь ты 10 сертификатов, а покупателей придет 12 - ну и что? Потери небольшие, за-то кто-то тебе рекламу сделал...

Делай минимальную защиту и забей.

К тому же сертификаты все срочные. Систему защиты можно менять периодически...

Кстати, если не печатать сертификаты самому, а заказать в типографии, то получится ненамного дороже, зато подделать кустарным методом не получится. И каждый год новый макет. Я думаю, этого (ну и, может + чек) будет достаточно.

(90) Даже чек не нужен, можно просто пронумерованные делать. Если возникнут подозрения - по номерам можно будет проверить, есть ли задвоенные номера или нет.

используем сертификаты.
количество сертификатов небольшое (несколько десятков в месяц)
защита примитивная
1. типографская печать фирменного бланка (без спец защиты)
2. штрих код генерится в программе + учет в программе что продан (т.е. чек)
3. при гашении программа проверяет что гашение не повторное и что такой сертификат был действительно продан.
4. программа фиксиреут факт гашения и к отчету смены вместе с z-отчетом прилагаются сертификаты.
5. с некоторой периодичностью проверяется количество оставшихся бланков и сравнивается с количеством отпечатынвх минус количество выданых сертификатов

в итоге за 5 лет работы 2-3 обращения (неверно оформили продажу). пара попыток повторного гашения. попыток подделок не было (ну или мы этого не знаем).
основная защита - это учет в отгрузочной программе.

(92) какой номинал?

Нагенерировать ключи длиной 126, 256 в зависимости от степени паранойи. Открытые ключи напечатать на  сертификатах в штрихкод code128 или QRcode. При гашении проверять по закрытому ключу, после гашения закрытый удалить.

свободный или услуги
среднее 3000-5000

(94) (92) Это все работает, пока у вас не завелась крыса.

(96) Если у тебя в штате завелась грамотная крыса, ты от неё уже не защитишься

(97) Ну почему же, можно сделать переливание крови - всех уволить и нанять новых :)

(98) А где гарантия, что в новых нету крыс?

(96)как раз от них и избавлялись переходя на эту схему.

(99) Как говориться, если у вас паранойя, это совсем не значит, что за вами никто не следит :)

(+100) как раз основные проблемы были: повторно гасили, гасили не проданные, копии делали.

+(102) я всё жду, когда же появится: "А теперь только я меняю продажу, на подходящую сумму на продажу сертификата и после работы гашу его, покупая продукты домой, а инвентаризация потом всё спишет"...

На прошлой фирме, в разных городах по одному сертификату отоварились.
Наделали копий, договорились о времени и накупили товар.
На точках стояла розница локальная(РИБ), поэтому данные об использовании сертификата пришли только через час.

"На прошлой фирме" - по ходу это ты обналичил :))

(104) они знали и багофиче, поэтому им приз за догадливость

(104) Опытные мошенники... :)

Самое любопытно, угадать время рассылки... Пакеты могут улететь сейчас, а могут и через 10 минут. Ну и через час :)

(104) нужен единый центр сертификации, в которой хранятся сертификаты с датами активации и погашения -например самописька по https

пришли гасить - сертификат не продавался или уже погашен - идут лесом

+(109) на случай граблей с тырнетом - звонок/письмо другу - по телефону в "центре сертификации" или по электропочте то же самое (активирован/погашен)

+(110) сертификаты должны быть с уникальными номерами

(109) Это не исключает варианта, когда поддельный сертификат, изготовленный путем копирования не будет предъявлен раньше оригинала.

Только скретч-панель с секретным кодом, хранящимся в БД + активация кассиром (кассиру должен быть предъявлен неактивированный сертификат). Но и в этом случае могут быть накладки.

(112) Программными средствами нельзя исключить этот вариант вообще - при условии, если поддельный сертификат точная копия настоящего.
(113) Что-то я не пойму, как это спасет - мы же говорим о точной копии оригинала.

(112) поддельный сертификат - это скан сертификата, напечатанный на лазерном принтере?

нормальные конторы хотя бы на пластике печатают

Покушай рыбу, в ней фосфор.

(112) сертификаты это же авансы (денежки реальные)

поэтому должны быть иметь (слово то какое) минимальную защиту от хитрож.пых

(97) кроме программиста крысы быть не может)

(117) А какова себестоимость этой бумажки? А какова стоимотсная оценка?

(118) сертификат с закрытым открытым ключем никакой продавец не украдет, если нет доступа к системе) в любом случае виноват админ/программист) очень локализовано

закрытая часть например на магнитной ленте записана

а лучше в базе вашей)

(0) Что бы легче прошли твои выходные

я "плохой покупатель" прихожу в твой магазин и покупаю подарочный сертификат на сумму 10000 руб.

делаю полную копию(и) - мой друг (знакомый) идет(ут) отоваривается в твоем магазине(ах).

я смело прихожу к тебе и отовариваю свой сертификат (он у меня оригинальный и чек с собой оригинальный)

знаю как минимум три сети (которых хорошо прокатили)

(123) но тебе же товары нафиг не нужны. смело приходишь делаешь возвраты

(119) оптимальная - баланс между жадностью и степенью защиты

обычно достаточно пластика в типографии - дешево и сердито

а в числовом выражении?

(126) поешь рыбу

тяму не хватает? купи калькулятор и подели.

(124) и твои паспортные данные оседают у заинтересованных в возмездии лиц))

(124) ОЧЕНЬ многие магазины пишут что подарочные сертификаты не подлежат возврату и обмену (но это развод для приезжих и полное нарушение прав потребителя)

(130)  а как же невозвратные дешевые билеты на самолет/?

невозвратный сертификат тоже может исключать риски возврата, и быть дешевле

(131) для авиабилетов вроде как исключение в правилах

(130) возвращают товар оплаченный серфтификатами, получают денежку

(116) Как часто советчики не следуют своим советам.
Вот (123) уже написал пример, который я хотел тебе привести

Ты тоже покушай, а потом еще раз прочитай. Если не поможет - еще разок покушай и снова прочитай.

Если и после эт ого не наступит дзен - найди PLUTа и столкнитесь с ним лбами. Будет не дзен, а дзынь.

(136) Ага, еще слив мне засчитай, интернет-мачо.
Написал фигню - имей смелость это признать; но нет, тявкаешь про рыбу

Говори еще. Размер пузырей которые ты пускаешь сидя в луже впечатляют.

(0) стоимость изготовления должна быть выше стоимости номинала

Звездец просто. Нахера его защищать??? Если только у Вас бизнес не по продаже Защищенных сертификатов... Как кодера, твоя задача обеспечить целостность данных в сети на момент платежа сертификатом - это так. А если нет денег на каналы быстрые, с дублированием и т.п., то чё на отсутствие голограммы пенять... Я выдаю примерно 1200 сертов (дарю) в год, на 1800 руб каждый: если один раз кто-то попробует реализовать копию, то сам сразу говорить приеду конечно. Но каналы позволяют иметь целостность бд и просто нах слать, ЕСЛИ ВДРУГ ТАКОЕ КОГДА-ЛИБО В СТРАШНОМ СНЕ СЛУЧИТСЯ...

(141) ну не знают люди что такое дисконтный сервер, и зачем он нужен, бывает

Да, забыл как его назвать правильно ;--)

Расстраивает то, что на к
пересилить и нанять уже много лет - ну просто гомнокод... Ну кроме отчетности и т.п. конечно...

Расстраивает то, что на кодера собственник хочет свои проблемы повесить. Мне сложнее - оба в одном лице... Не могу пересилить и нанять уже много лет - ну просто гомнокод... Ну кроме отчетности и т.п. конечно...

Матофильтр на гов_нокод- это вообще за гранью добра ;--)