Технология снижения рисков платежной системы в интернете

НЕГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО  ОБРАЗОВАНИЯ

КУЗБАССКИЙ ИНСТИТУТ ЭКОНОМИКИ И ПРАВА

ЭКОНОМИЧЕСКИЙ ФАКУЛЬТЕТ

КАФЕДРА ЭКОНОМИКИ

 

КОНТРОЛЬНАЯ РАБОТА

• по дисциплине «Электронный бизнес»

 

НА ТЕМУ:

 

Технология  снижения рисков платежной системы в интернете

 

 

 

 

	Выполнила студентка гр. Э-212
	Старикова А.Л.
	Руководитель

 

                                                        

 

 

 

 

 

                 КЕМЕРОВО 2014

 

 

СОДЕРЖАНИЕ

 

Введение....................................................................................................................3

1. Технологии снижения рисков платежных систем в интернете 3

2. Стандарты и протоколы— SSL, SET, OBI,OFX, IOTP 10

3. Система управления счетом 12

Заключение 16

Список литературы 17

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

Вместе с изобретением сформировались различные платежные системы. Платежная система -это совокупность правил, процедур и технической инфраструктуры, которые обеспечивают перевод какой-либо стоимости от одного субъекта экономики к другому. Однако с течением времени количество способов представления денег возрастало, и каждый виток развития экономики приносил в эту область новые элементы, обеспечивая тем самым развитие и систем проведения платежей. После того, когда общество налог с бартера, оно прошло через введение банкнот, платежных поручений, чеков, а в последнее время - кредитных карт, и, наконец, электронных платежных систем.

Так что же такое электронная платежная  система. Электронная платежная система- это система расчетов между различными организациями и Интернет-пользователями при покупке либо продаже какого-либо товара или услуги через Интернет. Актуальность данной темы состоит в том, что в настоящее время широко используются электронные платежные системы¹.

Целью работы является определение понятия электронных  платежных систем. Задачей же является рассмотрение сравнительных характеристик  электронных платежных систем.

1. Технологии снижения рисков платежных систем в интернете

В настоящее время наиболее универсальная и распространенная разновидность пластиковых карт — кредитные карты. Схема оплаты по картам, разработанная под традиционные формы продажи, не подходит для интернет-торговли. Основной ее недостаток — низкая надежность. Существует три схемы передачи информации о реквизитах пластиковых карт при оплате в Интернете².

1. Передача данных открытым текстом. Это самый простой способ передачи информации (как при телефонном или почтовом заказе). Недостатки очевидны: информация легко может быть перехвачена с помощью специальных фильтров и использована во вред владельцу карты. У продавца возможны неприятности, связанные с отказами от оплаты. Этот способ утратил свою практическую ценность.

2. Шифрование передаваемых реквизитов карты. Несколько более защищенный вариант по сравнению с предыдущим — передача с помощью защищенных протоколов (например, протокола SSL). Хотя воспользоваться перехваченной во время трансакции информацией практически невозможно, такая информация находится под угрозой изъятия на сервере продавца. К тому же существует возможность мошенничества у покупателя: приобрести информационные товары, а затем инициировать процедурувозврата платежа (чарджбэк), поскольку доказать, что это именно он пользовался своей картой, а не мошенник, магазину весьма трудно.

3. Использование электронных удостоверений — специальных защищенных протоколов обмена информацией с удостоверяющими клиента и продавца электронными сертификатами и ЭЦП, исключающих возможность отказа от выполнения условий соглашения и "подмену" идентификатора клиента. В таких системах информация о реквизитах пластиковой карты попадает в процессинговый центр, минуя сервер продавца, на основе защищенных протоколов обмена. Использование дополнительных методов идентификации держателя пластиковой карты

Большинство интернет-магазинов для того, чтобы  удостовериться, что осуществляющее в Интернете расчеты по пластиковой карте лицо является держателем данной карты, просит его предоставить следующую информацию:

- имя держателя, указываемое на пластиковой карте;

- номер карты (карт-счета);

- дата истечения срока действия карты;

- адрес получения стейтментов;

- домашний (рабочий) телефон держателя карты;

- адрес электронной почты держателя карты;

- имя получателя товара;

- адрес доставки;

- номер телефона, установленного по месту доставки заказа, и т.д.

Имя, номер  счета и адрес держателя карты  используются для предварительной идентификации плательщика. Банк-эмитент определяет, соответствуют ли представленные адрес и имя той информации, которая зарегистрирована для данного номера карт-счета.

Адрес электронной  почты тоже играет важную роль. Исследования в области онлайновых мошенничеств показали, что 97,3% всех поддельных заказов содержали адреса, зарегистрированные в бесплатных службах электронной почты. Для дополнительной проверки таких заказов проводят сравнение адреса плательщика с адресом доставки. Несовпадение адресов должно вызывать подозрение, особенно в тех случаях, когда адрес доставки находится за рубежом. Далее служба доставки осуществляет телефонный звонок для согласования времени доставки, Принадлежность телефонного номера заказчику тоже может быть проверена³.

Параллельно определяется местоположение заказчика  по IP-адресу его компьютера- оно сравнивается с адресом держателя карты и адресом доставки. Несовпадение адресов увеличивает вероятность того, что трансакция мошенническая.

Кроме того, системами  безопастности предприятий интернет-торговли отслеживаются повторяющиеся попытки оформления заказов, поступающие с одного и того же IP-адреса, но с разными номерами карт. Это может свидетельствовать об использовании генератора номеров пластиковых карт.

Более сложные  системы выявления мошенничества  основаны на использовании нейронных сетей. Нейронная сеть может анализировать трансакции, сравнивая их с содержащимися в базе данных шаблонами известных типов мошеннической деятельности. Эти системы, называемые также системами упреждающего статистического моделирования, обладают достаточно высокой точностью. Но их внедрение и настройка требуют больших затрат времени и труда.

Альтернативный  подход заключается в использовании  услуг третьих фирм, имеющих собственную  службу удостоверения личности клиента. В процессе идентификации покупатель перенаправляется на соответствующий веб-ресурс, который пытается удостовериться в подлинности его личности. Недостатком этого подхода является то, что клиенты (покупатели) должны предварительно устанавливать отношения с третьей фирмой, предоставляя ей удостоверяющие документы. Нужно отметить, что для пластиковых карт, используемых в традиционной торговой сети, самым простым способом защиты трансакции от мошенничества является использование ПИН-кода для идентификации держателя карты его банком-эмитентом. В интернет-коммерции этот способ неэффективен.

Идея проверки ПИН-кода была реализована для повышения безопасности трансакций по картам STB CARD. При выпуске карты STB клиент может получить не только обычный ПИН-код, но и код, называемый ПИН-2. ПИН-2 представляет собой 16-значный буквенно-цифровой код, используемый специально для расчетов в сети Интернет. Оформив заказ в интернет-магазине и выбрав оплату с помощью карты STB, клиент переключается магазином на авторизационный сервер (подробнее рис. 6.7, вариант трансакции 26), который производит все операции, связанные с проведением платежа. Клиент заполняет предоставленную авторизационным сервером специальную форму, где указывает номер карты, срок ее действия, свои реквизиты и ПИН-2. ПИН-2 используется для формирования платежного документа и подписи реквизитов платежа, что позволяет в дальнейшем подтвердить их целостность и принадлежность владельцу карты. Бла-годаря использованию технологии ПИН-2 .решается проблема отказов от платежей покупателями (чарджбэков), так как такая трансакция признается сторонами совершенной с использованием аналога собственноручной подписи держателя карты. Минусы данного подхода состоят в следующем:

- использование длинного (шестнадцать шести ад цате ричных цифр) ключа делает его применение на практике крайне неудобным для держателя карты⁴;

- защита от подмены основана на надежности аутентификации клиентом сервера интернет-магазина (форма, запрашивающая ПИН-2, может быть представлена держателю карты мошенником, выдающим себя за интернет-магазин. Обеспечить надежную защиту от указанной подмены можно с помощью электронного бумажника клиента (специального программного обеспечения, которое клиент может "скачать" на свой компьютер с сайта платежной системы). Такой электронный бумажник может использовать сколь угодно мощные средства шифрования данных. Секретные ключи держателя карты могут храниться в порядке повышения надежности их хранения на диске компьютера, дискете или микропроцессорной карте. Доступ к электронному бумажнику должен производиться по паролю его владельца.

В качестве дополнительной проверки помимо номера карты, срока ее действия некоторые торговые предприятия требуют сообщить специальный цифровой код, называемый в системе VISA – Card Verification Value 2 (CVV2), в системах Europay и MasterCard – Card VerificationCode 2 (CVC2), а также Four-digit Batch Code (4DBQ для American Express. В случае CW2/ CVC2 этот цифровой код состоит из трех десятичных цифр и получается с помощью специального открытого алгоритма, применяемого к таким параметрам карты, как номер карты и срок ее действия. Алгоритм использует пару секретных ключей, известных только эмитенту карты. Таким образом, зная номер карты и срок ее действия, вычислить цифровой код без знания секретных ключей невозможно.

Использование цифрового кода CW2/CVC2 в некоторой степени помогает борьбе с мошенничеством, но не решает проблемы в целом. Действительно, несмотря на то, что применение этого кода потребует от мошенника знания дополнительного шифра, сам код — статическая информация и, следовательно, рано или поздно попадет в руки мошенников теми же способами, что и номер карты.

Существует  еще один способ повышения безопасности трансакции  использование метода VISA Address Verification System (A VS). Суть метода состоит в следующем. Система AVS запрашивает у клиента адрес, на который держателю карты приходят выписки — стейтменты, выполняет проверку соответствия этого адреса адресу, зарегистрированному эмитентом карты, и возвращает код, указывающий соответствуют ли друг другу эти адреса. У метода AVS два недостатка. Во-первых, он так же, как и методы проверки ПИН-2 и CW2/CVC2, статичен и, следовательно, попадание в руки мошенников нового параметра — лишь дело времени. Во-вторых, этот метод поддерживается только системойVISA и, хотя на долю этой платежной системы в мире приходится более 50% всех трансакций, это все-таки не весь рынок платежей в Интернете. Иными словами, метод AVS на сегодняшний день не универсален. Другими средствами дополнительной идентификации стали айндент-принтер, печатающий информацию на карте в углублениях, нанесение подписи и другой информации при помощи лазера, "Track-2 DataExtension" — использование второй дорожки (для магнитных карт), использование специальных оттенков цветов для разных карточных продуктов, а также введение голограмм. Многие эмитенты помещают на карту фото ее держателя.

Снизить риски операций в Интернете позволяют закрытые клубные системы приема карточных  платежей, например система "Ассист" (www. assist.ru) банка "Платина", система Internet Billing Company (www.ibill.com) и т. п. Обычно участники такой системы должны специально зарегистрироваться или разместить средства в страховом фонде (например, на выделенном банковском счете), с тем чтобы их было легко найти для разрешения возникшей спорной ситуации. Один из подходов, используемых разработчиками электронных систем взаиморасчетов, установка на компьютере покупателя специального программного обеспечения, которое шифрует данные пластиковой карты прямо на компьютере пользователя и передает их на сервер системы взаиморасчетов, где они расшифровываются и далее по закрытым банковским сетям передаются в банк-эмитент карты или процессинговый центр. Другой подход к защите электронных платежных трансакций состоит в выдаче пользователям персонального идентификатора, который они и используют вместо данных пластиковой карты. Персональный идентификатор передается на сервер системы взаиморасчетов, где преобразуется в данные пластиковой карты, и далее по закрытым банковским сетям они пересылаются в процессинговый центр, где используются для подтверждения кредитоспособности покупателя, перевода денег на счет продавца и других необходимых операций. Для получения от покупателя подтверждения покупки, перед тем как дать команду на перечисление средств, можетиспользоваться электронная почта. Один из способов снижения вероятных потерь от "взлома" пластиковой карты — это использовать для платежей в Интернете отдельную карту. Интернет-карты- виртуальные "карты" (без физической, пластиковой основы), имеющие все атрибуты реальной кредитной (или дебетовой) карточки. При этом очевидны преимущества — такая карта дешевле обычной в обслуживании, как правило, на ней хранится именно столько денег, сколько нужно для осуществления текущих платежей. Использование интернет-карт предполагает использование интернет-банкинга: держатель карты переводит деньги для совершения покупок в Интернете с другого банковского счета, используемого как основной. Таким образом, средства на основном счете не могут попасть к мошенникам.