8-1 PAYMENT CARD SECURITY Oauth 2.0 Protocol Flow

ECOSYSTEM OF PAYMENT DEVICES, APPLICATIONS, INFRASTRUCTURE AND USERS

1. 오프라인 파트너 매장에서 “ShopBack” 을 제공받기 위해서는 사용하는 신용카드 또는 직불카드를 DONA 모바일 APP에 등록해야 합니다. 많은 유사한 카드 연동 앱이 사용자의 소비 습관과 개인 정보를 볼 수 있다는 것을 사람들은 모릅니다. DonaBlock은 소비자의 개인 정보를 수집 및 판매하지 않으며, 카드 사용 과정에서 수집되는 정보는 안전하게 보호합니다. 소비자가 파트너 매장에서 쇼핑할 때 판매자로부터 받는 “ShopBack” 을 DonaBlock Token으로 전환하는 데 필요한 정보만 사용합니다. 가장 신뢰 있는 보안을 위해 신용카드 연동에 대해 OAuth 연결을 사용하여 암호화폐 “ShopBack” 서비스를 구축할 것입니다.

2. DONA 카드 연동 시스템은 가장 앞선 기술을 사용하여 PCI DSS 표준을 준수하고 엄격한 액세스 제어를 유지하여 사고를 방지합니다. “ShopBack” 제공을 위해 파트너 매장 및 거래 범주 및 관련 계정 유형을 계산하고 인증하는데 필요한 데이터만 수집 및 처리하며. 소비자의 신용도를 식별하지만 보관하지 않습니다. PCI DSS 표준을 준수하고 민감한 시스템에 대한 엄격한 액세스 제어를 유지합니다. 익명으로 수집된 통계는 당사가 볼 수 있지만 개인 식별 정보는 포함하지 않습니다. 우리는 “ShopBack” 제공을 위해 사용자의 카드를 DonaBlock 시스템에 연결하는데 필요한 정보만 사용합니다.

3. A) (앱→사용자)사용자 데이터에 접근하기 위한 권한을 요청한다. 개념상 앱이 사용 자에게 요청하지만, 실제 구현은 앱과 사 용자 사이에 권한 제공 기관이 중개 역할 을 하는 경우가 일반적입니다.

(B) (사용자→앱) 접근에 동의함을 증명 하는 권한 부여 동의서(Authorization Grant)를 발급합니다. RFC 6749에서는 4 가지 유형의 권한 부여 동의서를 정의하고 있습니다. 앱의 유형 및 권한 제공 기관의 지원 여부에 따라 사용할 권한 부여 동의 서의 유형이 결정됩니다.

(C) (앱→권한 제공 기관) 권한 부여 동의 서를 제출하여 접근 토큰을 요청합니다. 접근 토큰은 사용자 데이터를 잠근 자물쇠 를 여는 열쇠입니다.

(D) (권한 제공 기관→앱) 권한 부여 동의 서를 확인하여 사용자가 동의한 데이터 항 목, 범위 및 기간 등에 대한 정보가 담긴 접 근 토큰을 제공합니다. 즉, 사용자 데이터 에 접근할 때 사용할 열쇠를 제공하는 셈 입니다.

(E) (앱→데이터 제공 기관) 접근 토큰을 제출하여 사용자 데이터를 요청합니다.

(F) (데이터 제공 기관→앱) 사용자 데이터 를 제공합니다. 이때 앱이 제출한 접근 토 큰이 유효함을 확인하고, 접근 토큰의 정 보를 확인하여 제공할 데이터 항목, 범위 및 유효기간이 정해집니다유효기간이 정 해진다.