Финансовые системы в Интернете

В России к системе PayCash подключены и успешно функционируют более ста проектов электронной коммерции и прочих компаний (в том числе OZON, Bolero, Molotok, colibri/, РОСНО, SpyLOG и проч.), поставляющих различные товары и услуги. Технологические схемы совместной работы между проектом электронной коммерции и PayCash могут варьироваться от использования разнообразных решений по интеграции программного обеспечения PayCash с Web-сайтом клиента до работы через "Центр приема платежей", предоставляющий простое технологическое решение проблемы приема Интернет-платежей. Число частных клиентов PayCash составляет более 30 000. Используя платежную систему PayCash, клиенты могут приобрести книги, видео- и аудиокассеты, CD-диски, программное обеспечение, лекарственные препараты, страховые полисы и многое другое, а также оплатить услуги сотовой и пейджинговой связи, услуги провайдеров услуг Интернет-доступа и IP-телефонии, участие в on-line-аукционах и развлекательных порталах, членские взносы и ряд других услуг.

Заканчивая обзор, следует  отметить, что при выборе платежных  систем покупатели товаров и услуг  электронного рынка руководствуются  функциональностью отечественных  систем (показатели приведены в табл. 5.1). Что касается продавцов, то они, как правило, стремятся подключить Интернет-магазины ко всем платежным системам с тем, чтобы не потерять продажи из-за субъективных предпочтений покупателей.

Таблица 1 - Сравнение параметров российских платежных систем (по материалам www.ibusiness)

Параметр	CiberPlat	PayCash	WebMoney
Тип системы	Банковская	Цифровые наличные	Внебанковская, с высокой степенью гибкости
Сфера применения	В2В, В2С, С2С с ограничением	В2В, В2С, С2С	В2В, В2С, С2С
Транзакции между пользователями	Не реализована	Реализована	Реализована
Правовое пространство	Российская правовая база	Международная система	Международная система
Устойчивость к уничтожению	Соответствует надежности банка	Отсутствует, если деньги на кошельке	Деньги потерять невозможно
Мультивалютность	За пределами системы	Реализована, но не применяется из-за правовых ограничений	Имеется (в рамках системы - две валюты). На входе-выходе разные мировые валюты
Микро платежи	Не зависят от системы	От 0,0001 коп.	От 1 коп. (WMR) или от 1 цента (WMZ)
Комиссионные, взимаемые системой	От 0,5% до 4,5% в зависимости от суммы  перевода	1-2%. Минимальный порог не заявлен	0,8% при транзакциях и выводе денег  из системы. Ввод денег в  систему - бесплатно. Минимальный  уровень - 0,01 WM
Прием платежей по кредиткам	Реализован	Не заявлено	Возможность заявлена, но пока не реализована
Состыковка с бухгалтерией	+	+	+
Анонимность платежей	Невозможна	Возможна	Возможна
Удостоверение участников сделки	Обязательно	Возможно	Только по желанию клиентов
Кредитование	В рамках CyberCheck	Отсутствует	Поддерживается системой
Двухфазные платежи с протекцией сделки	В рамках системы не поддерживаются	Не реализованы	Поддерживаются на уровне системы
Ввод денег в систему	Только через банковский счет системы	Наличными (СПб., Москва), банковским переводом, почтовым, телеграфным переводом, через  Сбербанк, по предоплаченным картам с  ограничениями	Наличными (в 4 странах) банковским, почтовым, телеграфным переводом, через Сбербанк, Western Union, по предоплаченным картам
Сохранность денег	Не зависит от системы	При утрате файла-кошелька деньги пропадают	Деньги не уничтожимы
Вывод денег из системы	Только через банковский счет системы	Наличными (СПб., Москва), банковским переводом, почтовым, телеграфным переводом, через Сбербанк	Наличными (в 4 странах) банковским, почтовым, телеграфным переводом, через Сбербанк, Western Union
Шлюзы в зарубежные банки	Нет	Заявлено, но пока не реализовано	Шлюз в банке 1MB, Черногория
Криптография	SSL+RSA (512 бит) + "Верба"	Собственной разработки	SSL + симметричный собственной разработки 1024 бит + RSA 1048 бит

 

3. Безопасность платежей в Интернете

 

Функционирование платежных  систем в Интернете возможно только при обеспечении условий безопасности. Понятие "безопасность информации" можно определить как состояние  устойчивости информации к случайным  или преднамеренным воздействиям, исключающее  недопустимые риски ее уничтожения, искажения и раскрытия, которые  приводят к материальному ущербу владельца или пользователя информации. Решение проблемы безопасности основывается на криптографических или шифровальных системах, обеспечивающих:

конфиденциальность - информация должна быть защищена от несанкционированного доступа как при хранении, так и при передаче. Доступ к информации может получить только тот, для кого она предназначена. Обеспечивается шифрованием;

аутентификацию - необходимо однозначно идентифицировать отправителя, при однозначной идентификации  отправитель не может отказаться от послания. Обеспечивается электронной  цифровой подписью и сертификатом;

целостность - информация должна быть защищена от несанкционированной  модификации как при хранении, так и при передаче. Обеспечивается электронной цифровой подписью.

Любая система шифрования работает по определенной методологии, которая включает один или несколько  алгоритмов шифрования (математических формул), ключей, используемых этими  алгоритмами, а также системы  управления ключами. Наиболее распространены алгоритмы, объединяющие ключ с текстом. Основная проблема шифрования состоит  в безопасной процедуре генерации  и передаче ключей участникам взаимодействия.

На практике существуют два основных типа криптографических  алгоритмов: классические, или симметричные, алгоритмы, основанные на использовании  закрытых, секретных ключей, когда  и шифрование, и дешифрирование производятся с помощью одного и того же ключа; ассиметричные - алгоритмы с открытым ключом, в которых используются один открытый и один закрытый ключ.

Алгоритмы симметричного  шифрования используют ключи не очень  большой длины и могут быстро шифровать большие объемы данных. Порядок использования систем с  симметричными ключами выглядит следующим образом.

Безопасно создается, распространяется и сохраняется симметричный секретный  ключ. Отправитель использует симметричный алгоритм шифрования вместе с секретным  симметричным ключом для получения  зашифрованного текста. Отправитель  передает зашифрованный текст. Симметричный секретный ключ никогда не передается по незащищенным каналам связи. Для  восстановления исходного текста получатель применяет к зашифрованному тексту тот же самый симметричный алгоритм шифрования вместе с тем же самым  симметричным ключом, который уже  есть у получателя.

Характеристики симметричных шифров регламентируются стандартами: ГОСТ № 28147-89 РФ, DES (Data Encryption Standard) США и др.

Суть асимметричных криптосистем состоит в том, что каждым адресатом  генерируются два ключа, связанные  между собой по определенному  правилу. Хотя каждый из пары ключей подходит как для шифрования, так и для дешифрирования, данные, зашифрованные одним ключом, могут быть расшифрованы только другим ключом.

Криптографические системы  с открытым ключом используют так  называемые необратимые, или односторонние, функции. Понятие односторонней  функции было введено в теоретическом  исследовании о защите входа в  вычислительные системы. Функция f(x) называется односторонней (one-way function), если для всех значений х из ее области определения легко вычислить значения у = fix), но вычисление обратного значения практически не осуществимо. Известно несколько криптосистем с открытым ключом. Наиболее разработана на сегодня система RSA, предложенная еще в 1978 г. Этот алгоритм стал мировым стандартом де-факто для открытых систем и рекомендован МККТТ (Международный консультативный комитет по телефонии и телеграфии).

Шифрование передаваемых через Интернет данных позволяет  защитить их от посторонних лиц. Однако для полной безопасности должна быть уверенность в том, что второй участник транзакции является тем лицом, за которое он себя выдает. В бизнесе  наиболее важным идентификатором личности заказчика является его подпись. В электронной коммерции применяется  электронный эквивалент традиционной подписи - цифровая подпись (в России закон о цифровой подписи принят в январе 2003 г.). С ее помощью можно  доказать не только то, что транзакция была инициирована определенным источником, но и то, что информация не была испорчена  во время передачи. Как и в шифровании, технология электронной подписи  использует либо секретный ключ (в  этом случае оба участника сделки применяют один и тот же ключ), либо открытый ключ (при этом требуется  пара ключей - открытый и личный). И  в данном случае более простые  в использовании методы с открытым ключом (такие как RSA) более популярны.

Основной проблемой криптографических  систем является распространение ключей. Асимметричные методы более приспособлены  для открытой архитектуры Интернета, однако и здесь использование  открытых ключей требует их дополнительной защиты и идентификации для определения  связи с секретным ключом. Без  такой дополнительной защиты злоумышленник  может выдать себя за отправителя  подписанных данных или за получателя зашифрованных данных, заменив значение открытого ключа или нарушив  его идентификацию. В этом случае каждый может выдать себя за другое лицо. Все это приводит к необходимости  верификации открытого ключа. Для  этих целей используются электронные  сертификаты.

Электронный сертификат представляет собой цифровой документ, который  связывает открытый ключ с определенным пользователем или приложением. Для заверения электронного сертификата используется электронная цифровая подпись доверенного центра - Центра сертификации (ЦС). Исходя из функций, которые выполняет ЦС, он является основным компонентом всей инфраструктуры открытых ключей (ИОК или PKI - Public Key Infrastructure). Используя открытый ключ ЦС, каждый пользователь может проверить достоверность электронного сертификата, выпущенного ЦС, и воспользоваться его содержимым. Для того чтобы сертификатам можно было доверять, независимая организация, выполняющая функции ЦС и являющаяся источником сертификатов, должна быть достаточно авторитетной. В настоящее время наиболее известным источником сертификатов являются компании Thawte и VeriSign (), однако существуют и другие системы сертификации, такие как World Registry (IBM), Cyber Trust (GTE) и Entrust (Nortel). В России дистрибьютором SSL-сертификатов компании Thawte сегодня является "РосБизнесКонсалтинг" (www.rbc).

Технология цифровых сертификатов работает следующим образом. Чтобы  воспользоваться сертификатом, потенциальный  покупатель должен прежде всего получить этот сертификат у надежного источника сертификатов. Для этого ему необходимо каким-то образом доказать подлинность своей личности, возможно, явившись в эту организацию и предъявив соответствующий документ, а также передать источнику сертификатов копию своего открытого ключа. Когда после этого он захочет что-либо купить через Интернет, ему будет достаточно добавить к заказу свою электронную подпись и копию сертификата. Отдел обслуживания покупателей фирмы, в которой он совершил покупку, проверяет сертификат, чтобы убедиться, что к заказу приложен подлинный открытый ключ, а также выясняет, не аннулирован ли сертификат.

Гарантами безопасности платежных  систем являются стандарты безопасности. Наиболее распространенными стандартами  безопасности виртуальных платежей являются протокол SSL (Secure Socket Layer), обеспечивающий шифрование передаваемых через Интернет данных и стандарт SET (Secure Electronic Transactions), разработанный компаниями Visa и MasterCard и обеспечивающий безопасность и конфиденциальность совершения сделок при помощи пластиковых карт.

Протокол SSL - стандарт, основанный на криптографии с открытыми ключами. Протокол обеспечивает защиту данных, передаваемых в сетях TCP/IP по протоколам приложений за счет шифрования и аутентификации серверов и клиентов. Это означает, что шифруется вся информация, передаваемая и получаемая Web-браузером, включая URL-адреса, все отправляемые сведения (такие как номера кредитных карт), данные для доступа к закрытым Web-сайтам (имя пользователя и пароль), а также все сведения, поступающие с Web-серверов. Три основные функции безопасности, гарантированные в SSL, основаны на криптографии с открытым ключом.

Одной из основных причин медленного роста электронной коммерции  является озабоченность покупателей  надежностью средств, применяемых  при выполнении платежей в Интернете  с использованием кредитных карт. Описанный выше протокол SSL позволяет  решить часть названных проблем  безопасности, однако его роль в  основном ограничивается обеспечением шифрования передаваемых данных. Поэтому  для комплексного решения перечисленных  выше проблем была разработана спецификация и создан набор протоколов, известные  как стандарт SET (Secure Electronic Transaction - Безопасные электронные транзакции).

В основе системы безопасности, используемой стандартом SET, лежат стандартные  криптографические алгоритмы DES и RSA. Инфраструктура SET построена в соответствии с инфраструктурой открытого  ключа (Public Key Infrastructure - PKI) на базе сертификатов, соответствующих стандарту Х.509 организации по стандартизации (ISO). Главная особенность SET - регламентация использования системы безопасности, которая устанавливается международными платежными системами.

Требования Visa и Europay к процессинговому центру на основе SET включают, во-первых, традиционные требования к процессингу пластиковых карт (защита помещений, контроль над доступом, резервное энергоснабжение, аппаратная криптография и т.п.); во-вторых, специфические дополнения - межсетевые экраны (firewalls) для защиты каналов Интернета.

Такой подход позволяет  использовать единые методики оценки рисков при проведении электронных  платежей вне зависимости от способа  аутентификации клиента (традиционная карта с магнитной полосой, смарт-карта  или цифровой сертификат). Это позволяет участникам платежной системы разрешать спорные ситуации по отработанным механизмам и сконцентрироваться на развитии своего электронного бизнеса.

Для получения актуальной информации о распространении SET, включая  информацию о банках, имеющих сертификаты  Visa и Europay/MasterCard, и торговых/сервисных компаниях, принимающих SET-платежи, можно обратиться на сайт set-sites или сайты международных платежных систем.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Список использованной литературы

 

Веляевский И.К. Маркетинговое исследование: информация, анализ, прогноз. М.: Финансы и статистика, 2006.

Головеров Д.В., Кемрадж А.С. и др. Правовые аспекты использования Интернет-технологий. М.: Книжный мир, 2008.

Данько Т.П., Дьяконова  Л.Я., Завьялова Н.В., Сагинова О.В. и др. Электронный маркетинг: Учеб. пособие. М.: ИНФРА-М, 2007.

Раздьяконов Н. и др. Jump In: Учеб. пособие для слушателей курсов "Амадеус". М.; СПб.: Amadeus Russia, 2007.