Безопасность электронных платежных систем в интернет
Министерство
образования и науки РФ
Томский
университет систем управления и радиоэлектроники
(ТУСУР)
Кафедра
радиотехнических систем
(РТС)
Безопасность
электронных платежных систем в интернет
Реферат по
курсу «Основы информационной безопасности»
Выполнил: студент гр. 1с9
_________ Спицына Е.О.
г.
Оглавление
Введение
. Основы
безопасности электронной коммерции
.1 Традиционная
и электронная коммерция
.2 Безопасность
платежных систем традиционной коммерции
.3 Инфраструктура
безопасности электронной коммерции
. Безопасность
электронных транзакций в системах B2C и С2С
.1 Безопасность
заочных карточных транзакций
.2 Протокол
безопасных электронных транзакций SET
.3 Новые
протоколы безопасности заочных платежей
.4 Безопасность
транзакций с использованием электронных денег
.5 Безопасность
платежных смарт-карт и электронных кошельков
. Безопасность
электронных транзакций в системах B2B
.1 Безопасность
систем «Клиент - Банк»
.2 Безопасность
систем межбанковских расчетов
. Правовые
вопросы электронной коммерции
. Российские
платежные системы электронной коммерции и их безопасность
Заключение
Список
литературы
Введение
Узкоспециальная, мало кому интересная еще лет 10 назад тема электронных
платежей и электронных денег в последнее время стала актуальной не только для
бизнесменов, но и конечных пользователей. Модные слова "e-business",
"e-commerce" знает, наверное, каждый второй, кто хоть изредка читает
компьютерную или популярную прессу. Задача дистанционной оплаты (перевода денег
на большие расстояния) из разряда специальных перешла в повседневные. Однако
обилие информации по этому вопросу вовсе не способствует ясности в умах
граждан. Как из-за сложности и концептуальной не проработанности проблемы
электронных расчетов, так и в силу того, что многие популяризаторы работают
зачастую по принципу испорченного телефона, на бытовом-то уровне все, конечно,
понятно каждому. Но это до тех пор, пока не настанет черед практического
освоения электронных платежей. Вот тут-то и обнаруживается непонимание того, насколько
уместно использование электронных платежей в тех или иных случаях.
Между тем задача приема электронных платежей становится все более
актуальной для тех, кто собирается заниматься коммерцией с использованием
Интернета, а равно и для тех, кто собирается совершать покупки через Сеть. Эта
статья предназначена и тем, и другим.
Основной проблемой при рассмотрении систем электронных платежей для
новичка является многообразие их устройства и принципов работы и то, что при
внешней похожести реализации в их глубине могут быть сокрыты достаточно разные
технологические и финансовые механизмы.
Стремительное развитие популярности глобальное сети Интернет привело к
возникновению мощного импульса развития новых подходов и решений в самых
различных областях мировой экономики. Новым течениям поддались даже такие
консервативные системы, как системы электронных платежей в банках. Это
выразилось в появлении и развитии новых систем платежей - систем электронных
платежей через Интернет, главное преимущество которых заключается в том, что
клиенты могут осуществлять платежи (финансовые транзакции), минуя изнурительные
и иногда технически трудноосуществимый этап физической транспортировки
платежного поручения в банк. Банки и банковские учреждения также заинтересованы
во внедрении данных систем, так они позволяют повысить скорость обслуживания
клиентов и снизить накладные расходы на осуществление платежей.
В системах электронных платежей циркулируют информация, в том числе и
конфиденциальная, которая требует защиты от просмотра, модификации и
навязывании ложной информации. Разработка соответствующих технологий защиты,
ориентированных на Интернет, вызывает серьезные затруднения в настоящее время.
Причина этого в том, что архитектура, основные ресурсы и технологии сети
Internet ориентированы на организацию доступа или сбора открытой информации.
Тем не менее, в последнее время появились подходы и решения, свидетельствующие
о возможности применения стандартных технологий Интернет в построении систем
защищенной передачи информации через Интернет.
1. Основы безопасности электронной коммерции
.1 Традиционная и электронная коммерция
В наши дни в связи со всеобщей информатизацией и компьютеризацией
банковской деятельности значение информационной безопасности удаленных
транзакций многократно возросло. В результате повсеместного распространения
электронных платежей, пластиковых карт, компьютерных сетей объектом
информационных атак стали непосредственно денежные средства как банков, так и
их клиентов. Совершить попытку хищения может любой - необходимо лишь наличие
компьютера, подключенного к сети Интернет.
Удаленная банковская транзакция - это совокупность операций, которые
сопровождают удаленное взаимодействие покупателя и платежной системы. В
качестве примеров удаленных транзакций можно привести оплату товаров через
Интернет, использование банкоматов, расчеты в точках продаж. Обычно транзакция
включает в себя запрос, выполнение задания и ответ. Однако в случает банковских
транзакций эти три составляющие представляют собой денежные средства передаваемые
по линиям связи. Поэтому вопрос защиты удаленных банковских транзакций является
актуальным и существует большое количество механизмов и средств их защиты. В
этом направлении прилагаются серьезные усилия, как в практическом, так и в
теоретическом плане, используются самые последние достижения науки,
привлекаются передовые технологии.
В наиболее общем виде любая экономика состоит из процесса производства
товаров и коммерческой деятельности, основной целью которой является получение
прибыли посредством реализации произведенного товара. Коммерческая
деятельность, или просто коммерция - это широкое понятие, которое не сводится
лишь к продаже какого-либо товара и получению оплаты за него.
Традиционная коммерция - это типичный бизнес-процесс, который можно
представить в виде коммерческой транзакции, включающей в себя несколько этапов.
Сначала компания производит новую продукцию, затем выходит с ней на рынок,
распространяет и обеспечивает послепродажную поддержку. Потребители определяют
свою потребность в какой-либо продукции, знакомятся с информацией о ней, ищут
места покупки, сравнивают возможные варианты с учетом цены, уровня
обслуживания, репутации производителя и лишь после этого что-либо приобретают.
Коммерческая транзакция включает также переговоры о цене, форме оплаты и сроках
доставки товара, заключение сделки, оплату и выполнение заказа, фиксацию в виде
документа факта совершения сделки. Кроме потребителей и поставщиков участниками
транзакции являются также платежные системы, банки и другие финансовые
учреждения, обеспечивающие перемещение финансовых средств, а также агенты
доставки, выполняющие физическую доставку товара потребителям.
В качестве потребителей и поставщиков могут выступать:
· - отдельные граждане (физические лица);
· - организации и предприятия (юридические лица).
После этапа рекламы и маркетинга поставщик предъявляет потребителю
каталог товаров или услуг. Потребитель производит заказ, в котором указывает
наименование и тип товара. На основании заказа поставщик направляет ему предложение
заключить сделку (оферту).
Оферта может выполняться в виде договора либо, в упрощенном варианте, в
виде счета. В случае согласия потребитель возвращает поставщику акцепт. Акцепт
может быть реализован в виде подписанного договора либо каким-то другим способом.
Оплата товара, в зависимости от возможностей потребителя и поставщика, может
быть осуществлена наличным либо безналичным способом. Оплата товара должна быть
взаимосвязана с этапом физической поставки товара или услуги потребителю.
Коммерческая транзакция завершается этапом фиксации факта окончания сделки, в
процессе этого этапа оформляются итоговые документы (счет-фактура, акт,
накладные). В простейшем случае, например при розничной продаже товаров
относительно невысокой стоимости, оферта представляет собой счет, который
передается потребителю по почте, по факсу или при личной встрече. Акцепт в этом
случае реализуется в виде оплаты выставленного счета.
Электронная коммерция - это разновидность коммерческой деятельности, в
которой взаимодействие между ее участниками на всех или некоторых ее этапах
осуществляется электронным способом. Иначе говоря, электронная коммерция
предполагает взаимодействие между партнерами с использованием информационных
технологий, что существенно повышает гибкость, эффективность и масштабность
бизнес-процессов. Электронная коммерция включает в себя не только операции,
связанные с куплей-продажей товаров и услуг, но и операции, направленные на
поддержку извлечения прибыли, создание спроса на товары и услуги,
послепродажную поддержку клиентов и т.п. Электронная коммерция, т.е. технология
поддержания внешних бизнес-контактов - это одна из двух базовых составляющих
электронного бизнеса. Вторая составляющая - это комплексная автоматизация
внутренней деятельности компании.
Существует несколько общепризнанных категорий, на которые подразделяется
электронная коммерция. Как правило, такое размежевание проводится по целевой
группе потребителей.
Рис. 1. Модели электронной коммерции
К основным моделям электронной коммерции в Интернете относятся следующие:
· В2С (Business-to-Consumer) ─
"фирма─потребитель";
· В2В (Business-to-Business) ─
"фирма─фирма";
· С2В (Consumer-to-Business) ─
"потребитель─фирма";
· С2С (Р2Р ─ Peer-to-Peer, "равный-равный") "потребитель-потребитель";
· B2G или В2А (Business-to-Governmpnt,
Business-to-Administration) ─ "фирма-государство";
· G2B или А2В (Government-to-Business)─"государство-фирма";
· G2C или А2С (Government-to-Consumer или Administration-to-Consumer) ─
"государство-потребитель";
· C2G или С2А (Consumer-to-Government) ─
"потребитель-государство";
· G2G или А2А (Government-to-Government) ─
"государство-государство";
· Е2Е (Exchange-to-Exchange) ─
"биржа-биржа";
· интернет-банкинг;
· интернет-трейдинг;
· интернет-услуги: услуги технологической цепочки электронной
коммерции: системы электронных платежей, доставка товара; консалтинговые
услуги; исследовательские услуги; страхование через Интернет.
Схема B2B или бизнес-бизнес
Принцип осуществления подобного взаимодействия очень прост: предприятие
торгует с другим предприятием. B2B - одно из наиболее перспективных и активно
развивающихся направлений электронной коммерции на сегодняшний день.
Интернет-платформы дают возможность значительно упростить проведение операций
на всех этапах, сделать торговлю более оперативной и прозрачной. Часто, в таких
случаях представитель стороны заказчика имеет возможность интерактивного
контроля процесса выполнения заказа путем работы с базами данных продавца.
Пример сделки B2B - продажа шаблонов для сайта компаниям для последующего
использования в качестве основы дизайна собственного веб-ресурса компании.
Безусловно, сюда относятся любые взаимодействия, включающие в себя оптовые
поставки товара или аналогичное выполнение заказов.
Схема B2C или бизнес-потребитель
В этом случае предприятие торгует уже напрямую с клиентом (не
юридическим, а физическим лицом). Как правило, здесь речь идет о розничной
реализации товаров. Клиенту такой способ совершения коммерческой операции дает
возможность упростить и ускорить процедуру покупки. Ему не приходится идти в
магазин, чтобы выбрать нужный товар: достаточно просмотреть характеристики на
сайте поставщика, выбрать нужную конфигурацию и заказать продукт с доставкой.
Коммерсанту же возможности Интернета позволяют оперативнее отслеживать спрос
(помимо экономии на помещении и кадрах). Примеры этого вида торговли -
традиционные Интернет-магазины, направленные на целевую группу непосредственных
потребителей товаров.
Схема С2С или потребитель-потребитель
Такой способ осуществления электронной коммерции предполагает совершение
сделок между двумя потребителями, ни один из которых не является
предпринимателем в юридическом смысле слова. Интернет-площадки для подобной
торговли являются чем-то средним между рынком-толкучкой и колонкой объявлений в
газете. Как правило, коммерция по схеме С2С осуществляется на сайтах
Интернет-аукционов, приобретающих все большую популярность в наше время. Для
клиентов таких систем основное удобство заключается в несколько более низкой
цене товара, по сравнению с его стоимостью в магазинах.
Помимо описанных выше наиболее распространенных схем электронной
коммерции, существует и несколько других. Они не столь популярны, но, все же,
применяются в некоторых специфических случаях. Речь идет о взаимодействии как
предпринимателей, так и потребителей с государственными структурами. В
последнее время многие операции по взиманию налогов, заполнению анкет, форм для
заказа поставок, работа с таможней стали проводиться при помощи
Интернет-технологий. Это позволяет значительно облегчить работу государственных
служащих с одной стороны и дать возможность плательщикам избавиться от
некоторой доли бумажной волокиты - с другой.
Зарубежные стандарты электронной коммерции (IOTP, JEPI).
Открытый торговый протокол Интернет IOTP (Internet Open Trading Protocol)
создает базу коммерции через Интернет. Протокол не зависит от используемой
платежной системы и т.д.. IOTP способен обрабатывать ситуации, когда продавец
выступает в качестве покупателя, обеспечивает оформление и отслеживание
доставки товаров и прохождения платежей, или совмещает некоторые или все
перечисленные функции. IOTP поддерживает:
· Новые модели торговли
· Глобальную совместимость
Протокол описывает содержимое, формат и последовательность сообщений,
которые пересылаются между партнерами электронной торговли - покупателями,
торговцами и банками или финансовыми организациями. Протокол спроектирован так,
чтобы обеспечить его применимость при любых схемах электронных платежей, так как
он реализует весь процесс продажи, где передача денег всего лишь один шаг из
многих. Схемы платежей которые поддерживает IOTP включают MasterCard Credit,
Visa Credit, Mondex Cash, Visa Cash, GeldKarte, eCash, CyberCoin, Millicent,
Proton и т.д. Каждая схема содержит некоторый обмен сообщениями, который
является характерным именно для нее. Эти схемно-зависимые части протокола
помещены в приложения к данному документу. Документ не предписывает участникам,
какое следует использовать программное обеспечение или процесс. Он определяет
только необходимые рамки в пределах которых реализуется торговая операция.
Открытый торговый протокол Интернет определяет некоторое число различных
операций IOTP:
· Покупка. Осуществляет предложение, оплату и опционно
доставку.
· Возврат. Производит возврат платежа для покупки, выполненной
ранее.
· Обмен ценностями. Включает в себя два платежа, например в
случае обмена валют.
· Аутентификация. Производит проверку для организации или
частного лица - являются ли они тем, за кого себя выдают.
· Отзыв платежа. Осуществляет отзыв электронного платежа из
финансового учреждения.
· Депозит. Реализует депозит средств в финансовом учреждении.
· Запрос. Выполняет запрос состояния операции IOTP, которая
находится в процессе реализации, или уже выполнена.
· Пинг. Простой запрос одного приложения IOTP с целью проверки,
функционирует ли другое приложение IOTP.
JEPI,
(Joint Electronic Payment Initiative) - это то, что стоит между покупками
и платежами.
Стандарт
Joint Electronic Payment Initiative основан
на трех протоколах:
1._. SET (Secure Electronic Transactions) - (SET, Безопасные
электронные транзакции) - это стандартизированный протокол
<#"532919.files/image002.gif">
Рис. 2. Схема проведение платежа.
Дебетовые системы.
Дебетовые схемы платежей построены аналогично их оффлайновым прототипам:
чековым и обычным денежным. В схему вовлечены две независимые стороны: эмитенты
и пользователи. Под эмитентом понимается субъект, управляющий платежной
системой. Он выпускает некие электронные единицы, представляющие платежи
(например, деньги на счетах в банках). Пользователи систем выполняют две
главные функции. Они производят и принимают платежи в Интернет, используя
выпущенные электронные единицы.
Электронные чеки.
Электронные чеки являются аналогом обычных бумажных чеков. Это
предписания плательщика своему банку перечислить деньги со своего счета на счет
получателя платежа. Операция происходит при предъявлении получателем чека в
банке. Основных отличий здесь два. Во-первых, выписывая бумажный чек,
плательщик ставит свою настоящую подпись, а в онлайновом варианте - подпись
электронная. Во-вторых, сами чеки выдаются в электронном виде.
Проведение платежей проходит в несколько этапов:
1. Плательщик выписывает электронный чек, подписывает электронной
подписью и пересылает его получателю. В целях обеспечения большей надежности и
безопасности номер чекового счета можно закодировать открытым ключом банка.
2. Чек предъявляется к оплате платежной системе. Далее, (либо
здесь, либо в банке, обслуживающем получателя) происходит проверка электронной
подписи.
. В случае подтверждения ее подлинности поставляется товар или
оказывается услуга. Со счета плательщика деньги перечисляются на счет
получателя.
Простота схемы проведения платежей, к сожалению, компенсируется
сложностями ее внедрения в России. Здесь чековые схемы пока не получили
распространения и не имеется сертификационных центров.
Несколько слов о сертификационных центрах. Для реализации электронной
подписи используют систему шифрования с открытым ключом. При этом создается
личный ключ для подписи и открытый ключ для проверки. Личный ключ хранится у
пользователя, а открытый может быть доступен всем. Самый удобный способ
распространения открытых ключей - использование сертификационных центров. Там
хранятся цифровые сертификаты, содержащие открытый ключ и информацию о
владельце. Это освобождает пользователя от обязанности самому рассылать свой
открытый ключ. Кроме того, сертификационные центры обеспечивают аутентификацию,
гарантирующую, что никто не сможет сгенерировать ключи от лица другого
человека.
Электронные деньги.
В интернете есть уже почти все, что может понадобиться для человека.
Товары, услуги, общение, возможность самовыражения, игры и т.д.
Конечно за некоторые услуги надо платить и чем быстрее и проще система
платежей тем лучше.
Потребность в подобной платежной системе начали ощущать и продавцы, и
покупатели. И поэтому были придуманы электронные деньги.
Задача любых видов электронных денег - создание универсальной платежной
среды, объединяющей покупателей и продавцов товаров и услуг.
Цель электронных денег - повышение экономической эффективности интернета
как отрасли в целом.
Механизм электронных денег таков, что позволяет не отходя от компьютера
оплачивать товары, заключать сделки, вести коммерческую деятельность.
Электронные деньги очень похожи на электронные платежные карты, только у вас не
карта и пинкод, а логин и пароль с помощью которых вы можете совершать денежные
операции. Также в любой момент времени вы можете вывести деньги из сети или
ввести их в сеть через банк, почтовым переводом, наличными, кредитной картой и
т.п.
Электронные деньги полностью моделируют реальные деньги. При этом,
эмиссионная организация - эмитент - выпускает их электронные аналоги, называемые
в разных системах по-разному (например, купоны). Далее, они покупаются
пользователями, которые с их помощью оплачивают покупки, а затем продавец
погашает их у эмитента. При эмиссии каждая денежная единица заверяется
электронной печатью, которая проверяется выпускающей структурой перед
погашением.
Одна из особенностей физических денег - их анонимность, то есть на них не
указано, кто и когда их использовал. Некоторые системы, по аналогии, позволяют
покупателю получать электронную наличность так, чтобы нельзя было определить
связь между ним и деньгами. Это осуществляется с помощью схемы слепых подписей.
Стоит еще отметить, что при использовании электронных денег отпадает
необходимость в аутентификации, поскольку система основана на выпуске денег в
обращение перед их использованием.
Ниже приведена схема платежа с помощью цифровых денег.
. Покупатель заранее обменивает реальные деньги на электронные. Хранение
наличности у клиента может осуществляться двумя способами, что определяется
используемой системой:
· На жестком диске компьютера.
· На смарт-картах.
Разные системы предлагают разные схемы обмена. Некоторые открывают
специальные счета, на которые перечисляются средства со счета покупателя в
обмен на электронные купюры. Некоторые банки могут сами эмитировать электронную
наличность. При этом она эмитируется только по запросу клиента с последующим ее
перечислением на компьютер или карту этого клиента и снятием денежного
эквивалента с его счета. При реализации же слепой подписи покупатель сам
создает электронные купюры, пересылает их в банк, где при поступлении реальных
денег на счет они заверяются печатью и отправляются обратно клиенту.
Наряду с удобствами такого хранения, у него имеются и недостатки. Порча
диска или смарт-карты оборачивается невозвратимой потерей электронных денег.
Рис.
3. Схема платежа с помощью цифровых денег.
. Покупатель перечисляет на сервер продавца электронные деньги за
покупку.
. Деньги предъявляются эмитенту, который проверяет их подлинность.
. В случае подлинности электронных купюр счет продавца увеличивается на
сумму покупки, а покупателю отгружается товар или оказывается услуга.
Одной из важных отличительных черт электронных денег является возможность
осуществлять микроплатежи. Это связано с тем, что номинал купюр может не
соответствовать реальным монетам (например, 37 копеек).
Эмитировать электронные наличные могут как банки, так и небанковские
организации. Однако, до сих пор не выработана единая система конвертирования
разных видов электронных денег. Поэтому только сами эмитенты могут гасить
выпущенную ими электронную наличность. Кроме того, использование подобных денег
от нефинансовых структур не обеспечено гарантиями со стороны государства.
Однако, малая стоимость транзакции делает электронную наличность
привлекательным инструментом платежей в Интернет.
Кредитные системы
Рис.
4. Схема платежей через интернет с помощью кредитных карт.
Интернет-кредитные системы являются аналогами обычных систем, работающих
с кредитными картами. Отличие состоит в проведении всех транзакций через
Интернет, и как следствие, в необходимости дополнительных средств безопасности
и аутентификации.
Общая схема платежей в такой системе приведена на рисунке.
В проведении платежей через Интернет с помощью кредитных карт участвуют:
1. Покупатель. Клиент, имеющий компьютер с Web-браузером и доступом
в Интернет.
2. Банк-эмитент. Здесь находится расчетный счет покупателя.
Банк-эмитент выпускает карточки и является гарантом выполнения финансовых
обязательств клиента.
. Продавцы. Под продавцами понимаются сервера Электронной
Коммерции, на которых ведутся каталоги товаров и услуг и принимаются заказы
клиентов на покупку.
. Банки-эквайеры. Банки, обслуживающие продавцов. Каждый продавец
имеет единственный банк, в котором он держит свой расчетный счет.
. Платежная система Интернет. Электронные компоненты, являющиеся
посредниками между остальными участниками.
. Традиционная платежная система. Комплекс финансовых и
технологических средств для обслуживания карт данного типа. Среди основных
задач, решаемых платежной системой, - обеспечение использования карт как
средства платежа за товары и услуги, пользование банковскими услугами,
проведение взаимозачетов и т.д. Участниками платежной системы являются
физические и юридические лица, объединенные отношениями по использованию кредитных
карт.
. Процессинговый центр платежной системы. Организация,
обеспечивающая информационное и технологическое взаимодействие между
участниками традиционной платежной системы.
Расчетный банк платежной системы. Кредитная организация, осуществляющая взаиморасчеты
между участниками платежной системы по поручению процессингового центра.
Теперь вернемся к схеме платежей.
1. Покупатель в электронном магазине формирует корзину товаров и
выбирает способ оплаты "кредитная карта".
2. Далее, параметры кредитной карты (номер, имя владельца, дата
окончания действия)должны быть переданы платежной системе Интернет для
дальнейшей авторизации. Это может быть сделано двумя способами:
· через магазин, то есть параметры карты вводятся
непосредственно на сайте магазина, после чего они передаются платежной системе
Интернет;
· на сервере платежной системы.
Очевидны преимущества второго пути. В этом случае сведения о картах не
остаются в магазине, и, соответственно, снижается риск получения их третьими
лицами или обмана продавцом. И в том, и в другом случае при передаче реквизитов
кредитной карты, все же существует возможность их перехвата злоумышленниками в
сети. Для предотвращения этого данные при передаче шифруются.
Шифрование, естественно, снижает возможности перехвата данных в сети,
поэтому связи покупатель/продавец, продавец/платежная система Интернет,
покупатель/платежная система Интернет желательно осуществлять с помощью
защищенных протоколов. Наиболее распространенным из них на сегодняшний день
является протокол SSL (Secure Sockets Layer). Подробнее о нем можно будет
узнать в разделе "Защита информации". Здесь лишь отметим, что в его
основе лежит схема асимметричного шифрования с открытым ключом, а в качестве
шифровальной схемы используется алгоритм RSA. Ввиду технических и лицензионных
особенностей этого алгоритма он считается менее надежным, поэтому сейчас
постепенно вводится стандарт защищенных электронных транзакций SET (Secure
Electronic Transaction), призванный со временем заменить SSL при обработке
транзакций, связанных с расчетами за покупки по кредитным картам в Интернет.
Среди плюсов нового стандарта можно отметить усиление безопасности, включая
возможности аутентификации всех участников транзакций. Его минусами являются
технологические сложности и высокая стоимость.
3. Платежная система Интернет передает запрос на авторизацию
традиционной платежной системе.
4. Последующий шаг зависит от того, ведет ли банк-эмитент
онлайновую базу данных (БД) счетов. При наличии БД процессинговый центр
передает банку-эмитенту запрос на авторизацию карты и затем, получает ее
результат. Если же такой базы нет, то процессинговый центр сам хранит сведения
о состоянии счетов держателей карт, стоп-листы и выполняет запросы на
авторизацию. Эти сведения регулярно обновляются банками-эмитентами.
. Результат авторизации передается платежной системе Интернет.
. Магазин получает результат авторизации.
. При положительном результате авторизации
· магазин оказывает услугу, или отгружает товар;
· процессинговый центр передает в расчетный банк сведения о
совершенной транзакции. Деньги со счета покупателя в банке-эмитенте
перечисляются через расчетный банк на счет магазина в банке-эквайере.
Для проведения подобных платежей в большинстве случаев необходимо
специальное программное обеспечение. Оно может поставляться покупателю,
(называемое электронным кошельком), продавцу и его обслуживающему банку.
Безопасность использования пластиковых карт с магнитной
полосой.
· При расчётах через Интернет и получении наличности через
фальшивые банкоматы возможна электронная кража денег со счёта. Поэтому следует
быть крайне осторожным. Для этого требуется не использовать сомнительные
платёжные шлюзы, особенно на порнографических сайтах. В некоторых странах существуют
фальшивые банкоматы, считывающие магнитные полосы и коды, после чего деньги
уходят к мошенникам. Такие банкоматы могут даже выдать наличные. Поэтому в
таких странах рекомендуется пользоваться банкоматами при банках и крупных
торговых центрах. Также не рекомендуется говорить номер своей карты и код
CVV2/CVC2 на обратной стороне (в связи с тем, что данных реквизитов обычно
достаточно для совершения платежей в Интернет). Замурованный в стену банкомат
или банкомат, находящийся в здании банка - более надёжный способ снятия денег
со счёта.
· При
получении денег через банкомат и многих терминалах требуется ввести PIN-код
<#"532919.files/image005.gif">
Рис. 5. Схема операции покупки по пластиковой карте
Обычно процесс покупки выглядит следующим образом. Клиент с помощью
персонального компьютера (или другого устройства), подключенного к сети
Интернет, выбирает интересующие его товары в виртуальной витрине товаров сайта
торговой точки. Подтвердив выбор товаров и согласие с их стоимостью, клиент
сообщает торговой точке о желании заплатить за покупку с помощью пластиковой
карты.
Далее происходит диалог между торговой точкой и владельцем карты, целью
которого является получение реквизитов карты покупателя для их представления в
сеть в виде стандартного авторизационного запроса. В течение этого диалога
торговая точка и покупатель иногда имеют возможность аутентифицировать друг
друга, что обеспечивает безопасность транзакции.
Полученные от клиента данные о реквизитах карты (кстати, торговая точка
может и «не видеть» эти данные) торговая точка передает своему обслуживающему
банку, который на основе этих данных формирует и представляет в сеть
авторизационный запрос. Начиная с этого момента, транзакция обрабатывается по
тем же правилам, что и обычная операция покупке по пластиковой карте.
Авторизационный запрос обслуживающего банка в виде сообщения в формате,
принятом в соответствующей платежной системе, передается банку-эмитенту
клиента, который авторизует транзакцию и о результате авторизации сообщает
обслуживающему банку. Обслуживающий банк передает торговой точке решение
эмитента, которое сообщается владельцу карты. В случае успешного завершения
транзакции клиент получает электронный чек, содержащий адрес торговой точки в
Интернете, ее название, сумму покупки и т. п.
Способы решения проблемы безопасности транзакций в электронной коммерции
С самого начала внедрения электронной коммерции стало очевидно, что
методы идентификации владельца карты, применяемых в обычных транзакциях,
являются неудовлетворительными для транзакций электронной коммерции.
Действительно,
при совершении операции покупки в физическом магазине продавец имеет право
рассмотреть предъявляемую для расчета пластиковую карту
<#"532919.files/image006.gif">
Рис. 6. Схема способа выполнения транзакций через Интернет.
В мире пластиковых карт с магнитной полосой самым надежным способом
защиты транзакции от мошенничества является использование PIN-кода для
идентификации владельца карты его банком-эмитентом. Секретной информацией,
которой обладает владелец карты, является PIN-код. Он представляет собой
последовательность, состоящую из 4-12 цифр, известную только владельцу карты и
его банку-эмитенту. PIN-код применяется всегда при проведении транзакции
повышенного риска, например при выдаче владельцу карты наличных в банкоматах.
Выдача наличных в банкоматах происходит без присутствия представителя обслуживающего
банка (ситуация похожа на транзакцию электронной коммерции). Поэтому обычных
реквизитов карты для защиты операции «снятия наличных в банкомате» недостаточно
и используется секретная дополнительная информация - PIN-код.
Более того, общая тенденция развития платежных систем - более активное
использование PIN-кода для операций «покупки» по дебетовым картам. Казалось бы,
использование подобного идентификатора могло бы помочь решить проблему
безопасности , однако это не так. К сожалению, в приложении к электронной
коммерции этот метод в классическом виде неприменим.
Использование PIN-кода должно производиться таким образом, чтобы этот
секретный параметр на всех этапах обработки транзакций оставался зашифрованным
(он должен быть известен только владельцу карты и банку-эмитенту). В реальном
мире это требование реализуется за счет использования в устройствах ввода
транзакции специальных физических устройств, называемых PIN-PAD и содержащих
Hardware Security Module - аппаратно-программные устройства защиты, позволяющие
хранить и преобразовывать поступающую информацию надежным образом. Эти
устройства хранят специальным образом защищенный секретный коммуникационный
ключ, сгенерированный обслуживающим банком данной торговой точки. Когда
владелец карты вводит значение PIN-кода, оно немедленно шифруется
коммуникационным ключом и отправляется внутри авторизационного запроса на хост
обслуживающего банка. На хосте обслуживающего банка зашифрованный
идентификационный код перекодируется внутри Hardware Security Module хоста
(хост обслуживающего банка также имеет свой устройство шифрования) в блок,
зашифрованный на коммуникационном ключе платежной системы, и передается в сеть
для дальнейшего предъявления эмитенту. По дороге к эмитенту PIN-код будет
преобразовываться еще несколько раз, но это не важно. Важно другое - для того,
чтобы следовать классической схеме обработки PIN-кода, каждый владелец карты
должен хранить криптограммы коммуникационных ключей всех обслуживающих банков,
что на практике невозможно.
Классическую схему можно было бы реализовать с помощью применения
асимметричных алгоритмов с шифрованием PIN-кода владельца карты открытым ключом
торговой точки. Однако для представления PIN-кода в платежную сеть его
необходимо зашифровать, как это принято во всех платежных системах,
симметричным ключом.
Существует другое, неклассическое решение по использованию PIN-кода.
Например, можно на компьютере владельца карты шифровать PIN-код плюс некоторые
динамически меняющиеся от транзакции к транзакции данные на ключе, известном
только эмитенту и владельцу карты. Такой подход потребует решения задачи
распределения секретных ключей. Эта задача является весьма непростой (очевидно,
что у каждого владельца карты должен быть свой индивидуальный ключ), и если уж
она решается, то использовать ее решение имеет смысл для других, более
эффективных по сравнению с проверкой PIN-кода методов аутентификации владельца
карты.
В то же время идея проверки PIN-кода была реализована для повышения
безопасности транзакций в электронной коммерции по картам, базы данных которых
хранятся на хосте процессора STB CARD. В общих чертах STB CARD реализует
следующую схему. Владельцы карт, эмитенты которых держат свою базу данных
карточек на хосте STB CARD, могут получить дополнительный PIN-код, называемый PIN2.
Этот код представляет собой последовательность из 16 шестнадцатеричных цифр,
которая распечатывается в PIN-конверте, передаваемом владельцу карты, и
вычисляется эмитентом с помощью симметричного алгоритма шифрования,
примененного к номеру карты и использующего секретный ключ, известный только
эмитенту карты.
Далее во время проведения транзакции на одной из торговых точек,
обслуживаемом банком STB CARD, у владельца карты в процессе получения данных о
клиенте запрашивается информация по PIN2. Клиент вводит это значение в
заполняемую форму и возвращает ее торговой точке.
Здесь следует заметить, что владелец карты в действительности ведет
диалог в защищенной SSL-сессии не с торговой точкой, а с виртуальный
POS-сервером, через который работает торговая точка.
Возвращаясь к схеме STB CARD, отметим, что, конечно же, в заполненной
клиентом форме PIN2 не содержится, а в действительности все выглядит следующим
образом: торговая точка (точнее, сервер Assist), определив, что имеет дело с
картой банка STB CARD, передает владельцу карты форму, содержащую подписанный
java-апплет, реализующий некоторый симметричный алгоритм шифрования. При этом
PIN2 играет роль секретного ключа этого алгоритма шифрования, а шифруемые
данные получаются в результате применения хэш-функции к номеру карты, сумме и
дате транзакции, а также случайному числу Nn генерируемому торговой точкой.
Таким образом, в заполненной владельцем карты форме присутствует только
результат шифрования перечисленных выше данных о транзакции на ключе PIN2.
Далее торговая точка формирует авторизационное сообщение, передаваемое на
хост обслуживающего банка, содержащее помимо “стандартных” данных транзакции
еще результат шифрования и случайное число Nn.
Эмитент карты, получив сообщение торговой точки, по номеру карты вычисляет
значение PIN2, и далее по номеру карты, сумме и дате транзакции, а также по
случайному числу Nn, вычисляет результат шифрования этих данных на ключе PIN2.
Если полученная величина совпадает с аналогичной величиной полученной из
сообщения торговой точки, верификации PIN-коды считается выполненной успешно. В
противном случае транзакция отвергается.
Таким образом, технология проверки PIN-кода, принятая в системе STB CARD,
в действительности обеспечивает не только динамическую аутентификацию клиента,
но еще и гарантирует «сквозную» целостность некоторых данных о транзакции
(сумма транзакции, номер карты). Под «сквозной» целостностью здесь понимается
защита от модификации данных на всем протяжении от их передачи от клиента до
банка-эмитента.
Минусы данного подхода состоят в следующем:
для реализации схемы проверки значения PIN-кода необходимо, чтобы
торговая точка умела формировать соответствующую форму с java-апплетом, что
сразу сужает область применения схемы в относительно небольшом множестве
торговых точек;
использование длинного (16 hex цифр) ключа делает его применение на
практике крайне неудобным для владельца карты;
защита от подставки (форма, запрашивающая PIN2, предоставляется клиенту
не торговой точкой, а мошенником, с целю узнать PIN2) основана на надежности
аутентификации клиентом сервера торговой точки, а также на подписывании апплета
секретным ключом сервера торговой точки. Поскольку нарушение обоих защит
приводит только к появлению на экране монитора владельца карты соответствующего
предупреждения, сопровождаемого вопросом продолжить сессию или нет, то особенно
доверять этим формам защиты не стоит;
использование хэш-функции в алгоритмах шифрования, как известно данная
функция обратима;
В результате проведенного анализа платежные системы сформировали основные
требования к схемам проведения транзакции в электронной коммерции,
обеспечивающим необходимый уровень ее безопасности.
Эти требования сводятся к следующему:
Аутентификация участников покупки (покупателя, торговой точки и ее
обслуживающего банка). Под аутентификацией покупателя (продавца) понимается
процедура, доказывающая (на уровне надежности известных криптоалгоритмов) факт
того, что данный владелец карты действительно является клиентом некоторого
эмитента-участника (обслуживающего банка-участника) данной платежной системы.
Аутентификация обслуживающего банка доказывает факт того, что банк является
участником данной платежной системы.
Реквизиты платежной карты (номер карты, срок ее действия, CVC2/CVV2 и т.
п.), используемой при проведении транзакции, должны быть конфиденциальными для
торговой точки.
Невозможность отказа от транзакции для всех участников транзакции, то
есть наличие у всех участников неоспоримого доказательства факта совершения
покупки (заказа или оплаты).
Гарантирование магазину платежа за электронную покупку - наличие у
торговой точки доказательства того, что заказ был выполнен.
SSL
(англ.
<#"532919.files/image007.gif">
Рис.
7. Схема процесс взаимодействия участников платежной операции в соответствии со
спецификацией SET.
На
рисунке:
· Держатель карточки - покупатель делающий заказ.
· Банк покупателя - финансовая структура, которая выпустила
кредитную карточку для покупателя.
· Продавец - электронный магазин, предлагающий товары и услуги.
· Банк продавца - финансовая структура, занимающаяся
обслуживанием операций продавца.
· Платежный шлюз - система, контролируемая обычно банком
продавца, которая обрабатывает запросы от продавца и взаимодействует с банком
покупателя.
· Сертифицирующая организация - доверительная структура,
выдающая и проверяющая сертификаты.
Взаимоотношения участников операции показаны на рисунке непрерывными
линиями (взаимодействия описанные стандартом или протоколом SET) и пунктирными
линиями (некоторые возможные операции).
Динамика взаимоотношений и информационных потоков в соответствии со
спецификацией стандарта SET включает следующие действия :
1. Участники запрашивают и получают сертификаты от сертифицирующей
организации.
2. Владелец пластиковой карточки просматривает электронный каталог,
выбирает товары и посылает заказ продавцу.
. Продавец предъявляет свой сертификат владельцу карточки в
качестве удостоверения.
. Владелец карточки предъявляет свой сертификат продавцу.
. Продавец запрашивает у платежного шлюза выполнение операции
проверки. Шлюз сверяет предоставленную информацию с информацией банка,
выпустившего электронную карточку.
. После проверки платежный шлюз возвращает результаты продавцу.
. Некоторое время спустя, продавец требует у платежного шлюза
выполнить одну или более финансовых операций. Шлюз посылает запрос на перевод
определенной суммы из банка покупателя в банк продавца.
Представленная схема взаимодействия подкрепляется в части информационной
безопасности спецификацией Chip Electronic Commerce, созданной для
использования смарт-карточек стандарта EMV в Интернете (www.emvco.com). Ее
разработали Europay, MasterCard и VISA. Сочетание стандарта на микропроцессор
EMV и протокола SET дает беспрецедентный уровень безопасности на всех этапах
транзакции.
Компания "Росбизнесконсалтинг" 20 июня 2000 г. поместила на
своем сайте сообщение о том, что одна из крупнейших мировых платежных систем
VISA обнародовала 19 июня 2000 г. свои инициативы в области безопасности
электронной коммерции. По словам представителей системы, эти шаги призваны
сделать покупки в Интернете безопаснее для покупателей и продавцов. VISA
полагает, что внедрение новых инициатив позволит сократить количество споров по
транзакциям в Интернете на 50%. Инициатива состоит из двух основных частей.
Первая часть - это Программа аутентификации платежей (Payment Authentication
Program), которая разработана для снижения риска неавторизованного
использования счета держателя карточки и улучшения сервиса для покупателей и
продавцов в Интернете. Вторая - это Глобальная программа защиты данных (Global
Data Security Program), цель которой - создать стандарты безопасности для
компаний электронной коммерции по защите данных о карточках и их держателях.
Участники системы расчетов и криптографические средства защиты
транзакций.
Протокол SET изменяет способ взаимодействия участников системы расчетов.
В данном случае электронная транзакция начинается с владельца карточки, а не с
коммерсанта или эквайера.
Коммерсант предлагает товар для продажи или предоставляет услуги за
плату. Протокол SET позволяет коммерсанту предлагать электронные
взаимодействия, которые могут безопасно использовать владельцы карточек.
Эквайером (получателем) является финансовое учреждение, которое открывает счет
коммерсанту и обрабатывает авторизации и платежи по кредитным карточкам.
Эквайер обрабатывает сообщения о платежах, переведенных коммерсанту посредством
платежного межсетевого интерфейса. При этом протокол SET гарантирует, что при
взаимодействиях, которые осуществляет владелец карточки с коммерсантом,
информация о счете кредитной карточки будет оставаться конфиденциальной.
Финансовые учреждения создают ассоциации банковских кредитных карточек, которые
защищают и рекламируют данный тип карточки, создают и вводят в действие правила
использования кредитных карточек, а также организуют сети для связи финансовых
учреждений друг с другом. Системы кредитных карт утвердились в значительной
степени в качестве платежного средства для приобретения товаров непосредственно
у продавца. Основное отличие использования кредитных карт в сети Internet
заключается в том, что в соответствии со стандартом SET для защиты транзакций
электронной торговли используются процедуры шифрования и цифровой подписи. Сеть
Internet рассчитана на одновременную работу миллионов пользователей, поэтому в
коммерческих Internet-приложениях невозможно использовать только симметричные
криптосистемы с секретными ключами (DES, ГОСТ28147-89). В связи с этим применяются
также асимметричные криптосистемы с открытыми ключами. Шифрование с
использованием открытых ключей предполагает, что у коммерсанта и покупателя
имеются по два ключа-один открытый, который может быть известен третьим лицам,
а другой-частный (секретный), известный только получателю информации. Правила
SET предусматривают первоначальное шифрование сообщения с использованием
случайным образом сгенерированного симметричного ключа, который, в свою
очередь, шифруется открытым ключом получателя сообщения. В результате
образуется так называемый электронный конверт. Получатель сообщения
расшифровывает электронный конверт с помощью своего частного (секретного)
ключа, чтобы получить симметричный ключ отправителя. Далее симметричный ключ
отправителя используется для расшифрования присланного сообщения.
Целостность информации и аутентификации участников транзакции
гарантируется использованием электронной цифровой подписи. Для защиты сделок от
мошенничества и злоупотреблений организованы специальные центры (агентства) сертификации
в Internet, которые следят за тем, чтобы каждый участник электронной коммерции
получал бы уникальный электронный сертификат. В этом сертификате с помощью
секретного ключа сертификации зашифрован открытый ключ данного участника
коммерческой сделки. Сертификат генерируется на определенное время, и для его
получения необходимо представить в центр сертификации документ, подтверждающий
личность участника (для юридических лиц-их легальную регистрацию), и затем,
имея “на руках” открытый ключ центра сертификации, участвовать в сделках.
Рассмотрим пример шифрования. Коммерсант Алиса хочет направить
зашифрованное сообщение о товаре покупателю Бобу в ответ на его запрос. Алиса
пропускает описание товара через однонаправленный алгоритм, чтобы получить
уникальное значение, известное как дайджест сообщения. Это своего рода цифровой
слепок с описания товара, который впоследствии будет использован для проверки
целостности сообщения. Затем Алиса шифрует этот дайджест сообщения личным
(секретным) ключом для подписи, чтобы создать цифровую подпись. После этого
Алиса создает произвольный симметричный ключ и использует его для шифрования
описания товара, своей подписи и копии своего сертификата, который содержит ее
открытый ключ для подписи. Для того чтобы расшифровать описание товара, Бобу
потребуется защищенная копия этого произвольного симметричного ключа.
Сертификат Боба, который Алиса должна была получить до инициации безопасной
связи с ним, содержит копию его открытого ключа для обмена ключами. Чтобы
обеспечить безопасную передачу симметричного ключа, Алиса шифрует его,
пользуясь открытым ключом Боба для обмена ключами. Зашифрованный ключ, который
называется цифровым конвертом, направляется Бобу вместе с зашифрованным
сообщением. Наконец, она отправляет сообщение Бобу, состоящее из следующих
компонентов: • симметрично зашифрованного описания товара, подписи и своего
сертификата; • асимметрично зашифрованного симметричного ключа (цифровой
конверт). Продолжим предыдущий пример и рассмотрим процедуру расшифрования. Боб
получает зашифрованное сообщение от Алисы и прежде всего расшифровывает
цифровой конверт личным (секретным) ключом для обмена ключами с целью
извлечения симметричного ключа. Затем Боб использует этот симметричный ключ для
расшифрования описания товара, подписи Алисы и ее сертификата. Далее Боб
расшифровывает цифровую подпись Алисы с помощью ее открытого ключа для подписи,
который получает из ее сертификата. Тем самым он восстанавливает оригинальный
дайджест сообщения с описанием товара. Затем Боб пропускает описание товара
через тот же однонаправленный алгоритм, который использовался Алисой, и
получает новый дайджест сообщения с расшифрованным описанием товара. Потом Боб
сравнивает свой дайджест сообщения с тем дайджестом, который получен из
цифровой подписи Алисы. Если они в точности совпадают. Боб получает
подтверждение, что содержание сообщения не изменилось во время передачи и что
оно подписано с использованием личного (секретного) ключа для подписи Алисы.
Если же дайджесты не совпадают, это означает, что сообщение либо было
отправлено из другого места, либо было изменено после того, как было подписано.
В этом случае Боб предпринимает определенные действия, например уведомляет
Алису или отвергает полученное сообщение. Протокол SET вводит новое применение цифровых
подписей, а именно- использование двойных цифровых подписей. В рамках протокола
SET двойные цифровые подписи используются для связи заказа, отправленного
коммерсанту, с платежными инструкциями, содержащими информацию о счете и
отправленными банку. Например, покупатель Боб хочет направить коммерсанту Алисе
предложение купить единицу товара и авторизацию своему банку на перечисление
денег, если Алиса примет его предложение. В то же время Боб не хочет, чтобы в
банке прочитали условия его предложения, равно как и не хочет, чтобы Алиса
прочитала его информацию о счете. Кроме того, Боб хочет связать свое
предложение с перечислением так, чтобы деньги были перечислены только в том
случае, если Алиса примет его предложение. Все вышесказанное Боб может выполнить
посредством цифровой подписи под обоими сообщениями с помощью одной операции
подписывания, которая создает двойную цифровую подпись. Двойная цифровая
подпись создается путем формирования дайджеста обоих сообщений, связывания двух
сообщений вместе, вычисления дайджеста итога предыдущих операций и шифрования
этого дайджеста личным ключом для подписи автора. Автор обязан включить также
дайджест другого сообщения, с тем чтобы получатель проверил двойную подпись.
Получатель любого из этих сообщений может проверить его подлинность, генерируя
дайджест из своей копии сообщения, связывая его с дайджестом другого сообщения
(в порядке, предусмотренном отправителем) и вычисляя дайджест для полученного
итога. Если вновь образованный дайджест соответствует расшифрованной двойной
подписи, то получатель может доверять подлинности сообщения. Если Алиса
принимает предложение Боба, она может отправить сообщение банку, указав на свое
согласие и включив дайджест сообщения с предложением Боба. Банк может проверить
подлинность авторизации Боба на перечисление и дайджеста сообщения с
предложением Боба, предоставленного Алисой, чтобы подтвердить двойную подпись.
Таким образом, банк может проверить подлинность предложения на основании
двойной подписи, но банк не сможет прочитать условия предложения.
.3 Новые протоколы безопасности заочных платежей
Стандарт
SPA/USAF от MasterCard International.
Корпорация MasterCard International представила Secure Payment
Application (SPA) - новое решение для обеспечения безопасности кредитных и дебетовых
платежей между владельцами карточек, продавцами и финансовыми учреждениями. SPA
является последней новинкой в ряду интернет-решений MasterCard в сфере защиты
всех сторон, участвующих в онлайновых денежных операциях - владельца карточки,
продавца и эмитента карточки.представляет собой схему обеспечения безопасности,
которая использует преимущества инфраструктуры Universal Cardholder
Authentication Field (UCAF) корпорации MasterCard. UCAF это система передачи
данных, способная, сопоставив данные банка-эмитента карты и информацию,
известную онлайн-продавцу, гарантировать, что сделка осуществляется реальным
держателем карты. В системе USAF существует 23-байтное поле, закрытое шифром от
торговой точки и эквайрера. Оно передается от держателя карты к эмитенту через
торговую точку и эквайрера, которые не имеют доступа к шифру. Эмитент
производит авторизацию. Таким образом, торговая точка с минимальными
усовершенствованиями получает гарантию оплаты, что является одним из ключевых
моментов в электронной торговле. При этом, инфраструктура UCAF поддерживает
транзакции как с кредитными картами MasterCard, так и с дебетовыми картами
Maestro. Следует заметить, что USAF поддерживает множество приложений для
идентификации и защиты эмитента, включая SPA, смарт-карты и многое другое.
Сочетание UCAF и SPA позволяет удостоверить личность владельца счета,
генерирует и передает подтверждение, что, сделка авторизована законным
владельцем, и создает основу для гарантии платежа электронным торговым
предприятиям.
Принцип действия Технология SPA аналогична электронному чеку,
выписываемому от имени владельца счёта. Система предполагает использование
Покупателем цифрового кошелька - e-wallet (SPA-совместимого кошелька). Для
этого Покупатель должен скачать специальное программное обеспечение с сайта
MasterCard. Каждый раз, когда зарегистрированный владелец счета осуществляет
сделку, система генерирует ее специфический атрибут - "показатель
удостоверения владельца счета" (Accountholder Authentication Value, AAV),
представляющий собой 32-значный код, содержащий информацию описывающие именно
эту сделку (информация о владельце счёта и проводимой транзакции, включая
наименование товара и сумму платежа). Таким образом, уникальное значение этой
переменной, меняющееся с каждой транзакцией, позволяет идентифицировать
держателя карты, фактически связывая владельца счета со сделкой, имевшей место
по отношению к определенному торговому предприятию на определенную сумму.
Совпадение значения этой переменной, меняющегося с каждой следующей транзакцией,
будет подтверждать легитимность использования карты для запрашивающей стороны.
Преимущества технологии SPA (Secure Payment Application):
SPA не требует больших финансовых затрат, поскольку интегрируется в уже
существующие системы защиты. Эта система предоставляет продавцу эквивалент
подписи владельца карточки, подтверждая, что эмитент уже проверил владельца
карточки еще до завершения платежной операции.обеспечивает идентификацию
владельца карточки.никак не влияет на продолжительность времени, необходимого
для совершения онлайновых покупок или для подтверждения платежа.
Рис. 8. Схема совершения онлайновых покупок
Ответственность за мошеннические транзакции, не санкционированные владельцем
карточки, снимается с онлайновой торговой точки и компании, осуществляющей
эквайринг.поддерживает применение различных устройств доступа в Интернет для
совершения транзакций (например, транзакции с мобильного телефона)
Недостатки:
Основным недостатком технологии можно считать, более сложную реализацию
системы SPA, чем, например, технологии 3D-Secure от Visa International
Так же недостатком является то, что пользователю приходиться
предварительно скачивать дополнительное приложение, с web-страницы банковского
учреждения.
-D Secure (протокол трех доменов).
Архитектура 3-D Secure
Виза разработала протокол 3-D Secure (так называемый протокол трех
доменов), чтобы увеличить эффективность онлайновых транзакций и ускорить рост
электронной коммерции.
Развитие и внедрение этого протокола должно принести выгоду всем
участникам онлайновой транзакции, предоставив банкам-эмитентам возможность
аутентифицировать держателей карт во время онлайновой покупки. Это повысит
надежность и безопасность транзакций и уменьшит возможность мошеннического
использования кредитных карт в Интернете - если покупки будут совершаться с
использованием технологии 3D-secure.
Рис. 9. Архитектура 3-D Secure.
Преимущества данного протокола состоят в следующем:
использование 3-D Secure уменьшает возможные потери денег всеми
участниками транзакции, поскольку существенно уменьшает количество чарджбэков,
инициированных держателями карт по причине того, что карта была использована
мошенниками. - Чтобы использовать протокол, клиентам не обязательно приобретать
новое аппаратное или программное обеспечение - Протокол может быть расширен и
дополнен банком-эмитентом, чтобы наилучшим образом соответствовать требованиям
клиентов без необходимости банкам-эквайрам и мерчантам вводить дополнения в
протокол со своей стороны. - Протокол может использоваться на таких
перспективных для развития электронной коммерции платформах, как мобильные
телефоны, карманные компьютеры, цифровые телевизоры. - Он основан на широко
применяющихся технических стандартах, поддерживаемых международными
организациями. - Предоставляет возможность ведения (и доступа к)
централизованному архиву аутентификаций, который будет полезен для принятия
решения по спорным транзакциям.
Архитектура 3-D Secure:
Виза разработала модель трех доменов как основу новых решений для
платежных систем. Основная идея модели в том, что весь процесс аутентификации,
обеспечивающий безопасность транзакций, разбивается на три домена (или другими
словами области):Domain (Домен эмитента)- его назначение в том, что
обслуживающий банк производит аутентификацию своей торговой точки на основе
правил и методов, установленных самим обслуживающим банком (т. е. в этом случае
вся ответственность за аутентификацию ложиться на обслуживающий банк торговой
точки);Domain (Домен эквайра) - его назначение в том, чтобы определить правила
и процедуры обмена информацией между доменами эмитента и эквайра, гарантирующие
этим доменам взаимную аутентификацию друг друга.
Владелец карты находится в домене эмитента, а торговое предприятие
(мерчант) находится в домене эквайра, которые в свою очередь взаимодействуют
между собой через домен Interoperability (Межоперационный).
Сервер контроля доступа (Access control server - ACS) Сервер контроля
доступа выполняет две функции:
. Проверка возможности 3-D Secure аутентификации для номера карты 2.
Аутентификация владельца карты для конкретной транзакции или обеспечение
подтверждения попытки аутентификации в случае, если аутентификация недоступна
(невозможна). Хотя эти функции и описаны, как осуществляемые одиночным
логическим ACS, физических серверов, обеспечивающих реализацию функций ACS,
может быть много. Например каждый из этих серверов «обслуживает» определенный
диапазон номеров карт.
Сервер истории аутентификаций Данный сервер находится под управлением
Виза. Его основные функции таковы: - получить сообщение от сервера контроля
доступа для каждой попытки аутентификации (независимо от успешности попытки) -
сохраняет полученные записи
Копия данных, сохраняемых сервером истории аутентификаций, может быть
передана эквайрам и эмитентам для решения спорных вопросов.
Относительно аутентификации платежей VisaNet выполняет свою традиционную
роль: - Получает запросы на авторизацию от эквайра - Пересылает их эмитенту -
Пересылает ответы эмитента к эквайру - Предоставляет эквайрам и эмитентам
прочие сервисы (клиринг, установка и т п).
Как работает аутентификация платежа.
Рис. 10. Схема аутефекации платежа.
Владелец карты совершает покупку. Когда владелец кредитной карты
намеревается совершить покупку, он либо должен предоставить информацию о своем
счете (карте), либо использует специальное программное обеспечение (например,
цифровой кошелек), чтобы это сделать. Когда владелец карты подтверждает свое
желание сделать покупку, запускается плагин сервера мерчанта (ПСМ) Merchant
Server Plug-in (MPI). Программа ПСМ может находиться на сайте
интернет-магазина, у эквайера или у процессингового центра третьей стороны.
Запрос к Виза Директори
ПСМ посылает сообщение к серверу Виза Директори, чтобы определить,
возможно ли провести аутентификацию для данной кредитной карты. Если ПСМ
получает ответ, что держатель карты зарегистрировался предварительно (заявка на
возможность участия в 3-D Secure отправляется держателем карты банку-эмитенту)
и возможно провести аутентификацию, ответное сообщение к ПСМ будет содержать
инструкции, как связаться с сервером контроля доступа соответствующего
эмитента. Если номер счета клиента находится за пределами интервала, в котором
расположены номера допущенных к 3-D Secure карт, сервер Виза Директори
возвращает транзакцию к серверу мерчанта через ПСМ, после чего мерчант может
отправлять стандартный запрос на авторизацию.
Аутентификация владельца карты
ПСМ посылает запрос на аутентификацию к серверу контроля доступа. Обычно
эта отсылка производится с помощью броузера покупателя. Сервер контроля доступа
производит аутентификацию - путем вывода на компьютер покупателя диалогового
окна, в которое необходимо ввести пароль, или использует другой метод
аутентификации сообразно типу кредитной карты (например, в случае чип-карты)
Сервер контроля доступа формирует ответ и заверяет его цифровой подписью, затем
возвращает его к ПСМ.
.4 Безопасность транзакций с использованием электронных денег
Термин «электронные деньги» является относительно новым и часто
применяется к широкому спектру платежных инструментов, которые основаны на
инновационных технических решениях. Следствием этого является отсутствие
единого, признанного в мире определения электронных денег, которое бы
однозначно определяло их экономическую и правовую сущность.
Электронным
деньгам свойственно внутреннее противоречие - с одной стороны они являются
средством платежа, с другой - обязательством эмитента, которое должно быть выполнено
в традиционных неэлектронных деньгах. Такой парадокс можно пояснить с помощью
исторической аналогии: в свое время банкноты тоже рассматривались, как
обязательство, которое подлежит оплате монетами
<#"532919.files/image011.gif"> представляет собой доступное средство быстрого проведения платежей в
широком диапазоне сумм в рамках всемирной сети Internet. В отличие от
традиционного Интернет-банкинга, по сути заменяющего только личный визит
клиента с платежными документами в банк, эта система позволит обеспечить более
быстрое движение денежных средств в виде электронных банковских обязательств.
Банк «Таврический» совместно с группой компаний «Алкор» первым в России подал
документы в Банк России на право эмиссии и распространения «предоплаченных
финансовых продуктов, выпущенных в электронной форме» - так, по мнению
Центрального банка Российской Федерации, должны называться электронные
банковские обязательства, которые в мировой практике принято называть
“электронными деньгами”. Эта разработка защищена двумя международными
патентами. Первая, пилотная, версия системы, проходящая проверку с февраля
1999г в российском Интернете, стала лауреатом Национальной Интел Интернет
Премии Российской Академии Интернет в номинации «Новые технологии».
Технология PayCash
(ПэйКэш)
Создание PayCash стало возможным после появления в криптографии одного из
вариантов электронно-цифровой подписи - слепой подписи (blind signature). Хотя
алгоритм проверки подлинности электронных денег является абсолютно открытым (он
опубликован на сайте PayCash, прошел независимую западную экспертизу и
запатентован), создать на его основе платежные книжки невозможно без
банка-участника PayCash., в отличие от карточных систем, позволяет сделать
доходными операции мелких и микроплатежей. По оценкам Visa, ежегодный объем
операций стоимостью менее $10 превышает оборот по всем выпущенным банковским
картам. Главными же преимуществами системы PayCash является анонимность
платежей, безопасность и скорость проведения расчетов. Для работы с PayCash не
обязательно быть привязанным к конкретному счету или быть владельцем кредитной
карты. Каждому пользователю системы PayCash достаточно открыть «платежную
книжку», которая представляет собой длинную последовательность цифр с текущей
информацией, причем любой участник системы может быть как плательщиком, так и
получателем платежа. При оплате покупки соответствующий код пересылается в
компьютер продавца, который связывается с банком-оператором PayCash, проверяя
подлинность платежной книжки. Кроме того, система запоминает истраченную
стоимость книжки и таким образом защищает себя от копирования электронных денег
- перерасход стоимости книжек будет автоматически отсечен системой. Для
пользователей системы открываются возможности свободного управления
собственными денежными средствами. Пользователи системы могут совершать покупки
в интернет-магазинах и осуществлять платежи различного характера в широком
диапазоне сумм. К примеру, интернет-доступа или внесение абонентной платы за
пейджер можно осуществить, посетив соответствующий раздел WEB-сайта платежной
системы PayCash (www.paycash.ru).
Банк «Таврический» в течение трех лет вложил значительные
интеллектуальные и финансовые ресурсы в Интернет-проект PayCash. Теперь
созданная технология востребована и усовершенствуется. Планируется широкое
распространение системы PayCash на основе сети равноправных партнеров,
связанных системой договоров и проводящих взаимный клиринг или зачет.
Следующий шаг в развитии PayCash - интеграция системы с банковским
программным обеспечением, что позволит пользователям PayCash безопасно
управлять реальным банковским счетом в России.
На базе технологии PayCash к 2009 году функционируют некоторое количество
платежных системы:
· Яндекс.Деньги
<#"532919.files/image012.gif">
Рис. 6. Финансовая модель платежной системы «WebMoney Transfer»
Для работы с системой используется клиентское программное обеспечение:
· WM Keeper Classic - устанавливается на ПК
· WM Keeper Mobile - программа для мобильных устройств
· WM Keeper Light - веб-интерфейс
Конфиденциальность и анонимность платежей в системе WebMoney
В системе WebMoney Transfer персонализация счета обязательна, анонимность
платежей поддерживается и остается на усмотрение пользователя. Пользователь
системы имеет возможность получить цифровое свидетельство, составленное на
основании предоставленных им персональных данных. Такое свидетельство
называется «аттестатом». Аттестаты имеют следующие уровни:
· Аттестат псевдонима - аттестат, данные которого не проходят
верификацию.
· Формальный аттестат - аттестат с обязательным включением
паспортных данных, которые не будут проходить проверки до тех пор, пока не возникнет
потребности обналичить WM-units. Формальный Аттестат дает возможность
пользователю системы обращаться к сервису Banking WebMoney Transfer, который
позволяет вводить и выводить из системы денежные средства с помощью банковских
платежей, почтовым переводом и через системы мгновенного пополнения (терминалы)
· Начальный Аттестат - предоставляется после проверки
паспортных данных Персонализатором, участником партнерской программы
Аттестационного Центра. Процедура получения Начального Аттестата не является
бесплатной: минимальная стоимость определена в 1WMZ, фактическую стоимость
определяет конкретный аттестатор-персонализатор. Начальный Аттестат дает
возможность пользователю системы участвовать в работе кредитной биржи; получает
доступ к действующему бюджетному автомату Capitaller. Для такого аттестата в
системе действует упрощенная схема восстановления контроля над
WM-идентификатором и еще ряд дополнительных преимуществ.
· Персональный Аттестат - Аттестат, получаемый у Регистраторов,
участников партнерской программы Центра аттестации. Минимальная стоимость
такого аттестата - 5 WMZ. Преимущества Персонального Аттестата перед Начальным:
o получение статуса консультанта системы
o возможность размещения новостей на различных сайтах системы
o участие в партнерской программе Центра аттестации по выдаче
вышеописанных аттестационных свидетельств
o возможность обращения в Арбитраж
· Аттестат Регистратора - высший уровень аттестатации,
получаемый после личной встречи с представителем Центра Аттестации. Для получения
аттестата Регистратора необходимо заключить гражданско-провового "Договора
Поручения" (гл. 49 ст. 971-979 ГК РФ) с оператором системы WM Transfer Ltd
и внести гарантийного взноса в размере 2000 WMZ. Аттестованный в качестве
Регистратора, пользователь является участником партнерской программы Центра
Аттестации и имеет право участвовать в работе Арбитражного сервиса в качестве
арбитра.
Заключение
Электронные деньги все более явно начинают становиться нашей повседневной
реальностью, с которой, как минимум, уже необходимо считаться. Конечно, никто в
ближайшие лет пятьдесят (наверное) не отменит обычные деньги. Но не уметь
управляться с электронными деньгами и упускать те возможности, которые они с
собой несут, - значит добровольно возводить вокруг себя «железный занавес»,
который с таким трудом раздвигался за последние полтора десятка лет. Многие
крупные фирмы предлагают оплату своих услуг и товаров через электронные
расчеты. Потребителю же это значительно экономит время.
Бесплатное программное обеспечение для открытия своего электронного
кошелька и для всей работы с деньгами максимально адаптировано для массовых
компьютеров, и после небольшой практики не вызывает у рядового пользователя
никаких проблем. Наше время - время компьютеров, Интернет и электронной
коммерции. Люди, обладающие знаниями в этих областях и соответствующими
средствами, добиваются колоссальных успехов. Электронные деньги - деньги,
получающие все более широкое распространение с каждым днем, открывающие все
больше возможностей для человека, имеющего доступ в Сеть.
Так же рассмотрели инфраструктуры безопасности и технологические методы
снижения рисков в системах электронной коммерции.
Список литературы
1.
«Безопасность платежей в Интернете» Автор: И. Голдовский. Издательство: Питер;
Серия: Электронная коммерция; 240 стр., 2006 г.
. «Бизнес в
Интернете. Финансы, маркетинг, планирование» Автор: Родион Костяев.
Издательство: BHV - Санкт - Петербург, 2007 г.
. «Как
продать товар и получить деньги в Internet» (введение в электронную коммерцию)
Автор: А. Крупник. Издательство: МикроАрт; 240 стр., 2004 г.
.
«Интерактивный бизнес. Краткий курс». Автор: Балабанов И.Т. Издательство:
"Питер", 128 стр. Дата выпуска: 2005 год
. «Практика
малого бизнеса» Авторы: В.М. Попов, С.И. Ляпунов. Издательства: Кнорус, Гном и
Д; 424 стр., 2006 г.
. «Принцип
электронного бизнеса. О фантазерах, мистиках и реалистах. Идея и способ
функционирования новой экономики» Авторы: Прабудда Банерджи, Роджер Баумер,
Сюзанна Бек и др. Издательство: Открытые Системы. 224 с., Дата выпуска: 2005.
. «Шагни в
будущее. Стратегия в эпоху электронного бизнеса» Автор: Дэвид Сигел.
Издательство: Олимп - Бизнес; 384 стр., 2006 г.
.
«Электронная коммерция: мировой и российский опыт» Автор: Соколова А.Н.,
Геращенко Н.И. Издательство: Открытые Системы. 224 с., Дата выпуска: 2005.
.
«Электронная коммерция» Автор: И.Т. Балабанов. Издательство: Питер; Серия:
Учебники для вузов; 336 стр., 2006 г.
.
«Энциклопедия Интернет-бизнеса» Автор: И. Успенский. Издательство: Питер;
Серия: Электронная коммерция; 432 стр., 2005 г.
. Журнал «Мир
электронной коммерции»
. Журнал
«Инфо-Бизнес»
13.
Журнал «Business Online»