Технология снижения рисков платежной системы в интернете

Среди недостатков  этих систем можно отметить следующие:

- их использование не снимает проблему аутентификации держателя пластиковой карты;

- часть из предложенных методов не позволяют интернет-магазинам использовать технологию "One click shopping", основанную на использовании при оформлении повторных покупок сохраненных реквизитов пластиковых карт покупателей;

• пользователю необходимо "скачивать" и устанавливать дополнительное программное обеспечение.

 

2. Стандарты и протоколы — SSL, SET, OBI, OFX, IOTP

 

Протокол SSL был создан для обеспечения безопасного обмена зашифрованными сообщениями по Интернету (подробнее см.http://exec.osp.ru/). SSL не только обеспечивает защиту данных в Интернете, но также идентифицирует сервер и клиента (server/clientauthentication).

Традиционно документы пересылаются по Интернету обычными нешифрованными пакетами и могут быть перехвачены и прочитаны. В случае же использования протокола SSL сообщения перед отправкой шифруются и таким образом становятся бесполезными (поскольку их невозможно прочесть) для того, кто их перехватит. Во время соединения сервера с компьютером клиента производится верификация (при наличии электронных сертификатов) подлинности как сервера, так и клиента.

Система, построенная  таким образом, имеет множество  достоинств:

- не существует  проблем с безопасной передачей  ключа и хранения его в тайне;

- сообщения,  зашифрованные с помощью открытого  ключа, может расшифровать только владелец ключей с использованием закрытогоключа;

- нельзя отправить  сообщение другому адресату, выдавая себя за владельца открытого ключа.

Для того чтобы  отправить кому-либо зашифрованное  сообщение, необходима копия открытого  ключа, принадлежащего адресату. Перед  этим следует убедиться, что этот открытый ключ действительно принадлежит  данному адресату. Эта проблема решается при помощи электронных сертификатов.

Ввиду технических  и лицензионных особенностей протокола SSL он считается менее надежным (при его использовании невозможна однозначная аутентификация контрагентов и не обеспечивается конфиденциальность данных о реквизитах пластиковых карт в отношении торговых предприятий), поэтому в настоящее время постепенно вводится стандарт защищенных электронных трансакций SET, призванный со временем заменить SSL при обработке трансакций, связанных с расчетами по пластиковым картам в Интернете. SET разработан консорциумом во главе с Visa и MasterCard и представляет собой набор протоколов, предназначенный для использования веб-браузерами и другими приложениями

Уровень безопасности, который  может предоставить система, основанная на смарт-картах, значительно выше уровня, доступного системам карт с магнитной цолосой. Копирование и изготовление поддельных магнитных карт стало частым явлением. Убытки от мошенничества крупнейших мировых систем, таких, как VISA и MasterCard и EuroCard, исчисляются миллиардами долларов в год. Подделка микропроцессорной карты на сегодняшний день маловероятна. Защита от несанкционированных операций- первостепенная задача любой системы взаиморасчетов. В смарт-картах достоверность информации и финансовая подкрепленность платежей обеспечиваются несколькими эффективными механизмами, а именно:

- аппаратными  возможностями карты: использование  микропроцессорных карт на сегодняшний день превращает возможность их подделки в чисто теоретическую, но микрочипы пластиковых карт доступны для злонамеренного исследования вне стен банка-эмитента, что делает потенциально возможным их "взлом";

- проверкой  принадлежности карты предъявителю;

- проверкой  действительности карты и ее  принадлежности к данной системе взаиморасчетов по пластиковым картам;

- проверкой  по "черному списку", т. е.  списку карт, запрещенных к приему.  Этот механизм защиты позволяет надежно обезопасить платежную систему от украденных и потерянных карт, а также от карт банков, выбывших из системы;

- проверкой  по "белому списку" эквайера, т.  е. списку эмитентов, карты которых разрешены к приему в инфраструктуре данного эквайера;

- проверкой  по набору лимитов расходования;

- онлайновой  авторизацией внелимитных операций;

- страхованием  финансовых рисков участников платежной системы.

В числе технологических  мер безопасности можно назвать  такое исполнение микропроцессора  и блоков памяти, размещенных на карте, при которой они при  попытке вскрытия микросхем саморазрушаются. Для этого в структуру кристалла включаются специальные элементы, вызывающие ликвидацию всей занесенной на карту информации при попытке вскрытия посредством воздействия на микропроцессор и память нештатным образом. Для фиксирования факта нештатного воздействия в чип интегрируется набор датчиков-сенсоров внешних воздействий различной физической природы. Датчики температуры, напряжения питания и тактовой частоты процессора интервальные. Значение любого параметра вне допустимого интервала автоматически фиксируется. Открытие крышки чипа или послойное опиливание также контролируется специальными физическими датчиками. Комплексное применение всех перечисленных механизмов безопасности позволяет с высокой степенью надежности гарантировать защищенность платежной системы от несанкционированных операций⁵.

 

3. Системы  управления счетом

 

В рамках технологии управления счетом альтернативой магнитным  картам могут служить электронные чеки и системы "Клиент-Банк".Основные принципы таких систем:

- использование специальной про граммы-клиента для доступа к счету или управление через браузер;

- локальная защита данных (на компьютере пользователя) и в процессе передачи;

- идентификация пользователей (продавцов и покупателей) по симметричному или закрытому ключу или по электронному сертификату;

- привязка счета к реальной личности, организации или их анонимность.

Надежность, удобство и полнота реализации функций  зависят от конкретной системы управления счетом. У таких систем много достоинств: высокая степень защищенности, низкая стоимость трансакции, привычная юридическая модель.

Системы управления счетом имеют ряд технологических  ограничений и нерешенных вопросов безопасности осуществления операций в Интернете.  Эти проблемы могут быть описаны следующим образом:

- перевод (снятие) со счета всей суммы злоумышленником, получившим доступ к счету;

- отсутствие  специальной информационной среды  для проведения оперативных расчетов. Традиционная система межбанковских расчетов, использующая неттинг, в случае если счета продавца и покупателя находятся в разных банках, не позволяет продавцу получить подтверждение факта оплаты в момент ее совершения (в отличие от технологии использования авторизационных серверов в системах на основе пластиковых карт). В настоящее время эта проблема решается через информационные межбанковские шлюзы. Из рассматриваемых здесь систем управления счетом эта проблема характерна только для систем "Клиент-Банк";

- трудности  обеспечения конфиденциальности  финансовой информации (возможность трассировки платежей). Подробная информация обо всех платежах хранится в банке и может быть востребована, причем не только в интересах клиента, но и в интересах третьих лицАнонимные или псевдоанонимные (номерные) счета лишь отчасти решают задачу: система не обеспечивает достаточной приватности, все платежи с одного счета связаны и при раскрытии одного из них неизбежно раскрываются все остальные;

- рост нагрузки  на банковские серверы. С развитием  платежных систем спрос на трансакции будет расти из-за большого объема микроплатежей и обрабатывать их будет труднее.

В традиционном понимании чек — это предписание банку перевести деньги со счета покупателя на счет продавца, предъявившего чек. Электронный чек в этом смысле ничем от бумажного чека не отличается. Электронная чековая книжка в данном случае представляет собой специальное ПО, выполняющее функцию оформления электронных чеков⁶.

Электронный чек, как и его бумажный аналог, содержит код банка, в который чек должен быть предъявлен для оплаты, имя плательщика, номер счета плательщика, название (имя) получателя платежа и сумму платежа. Электронный чек имеет ЭЦП, подтверждающие, что чек исходит действительно от владельца счета и принадлежит банку. Прежде чем чек будет оплачен, он должен быть подтвержден ЭЦП получателя платежа⁷.

Платежи с  использованием электронных чеков через Интернет проходят в несколько этапов:

- плательщик  выписывает электронный чек, подписывает  его ЭЦП и пересылает получателю;

- получатель подписывает своей ЭЦП и предъявляет электронный чек эмитенту чековой книжки для авторизации и оплаты;

- в платежной системе проверяется ЭЦП плательщика, остаток и лимит средств на его счете. В результате проверок формируется разрешение или запрет на проведение платежа;

- при разрешении платежа эмитент переводит денежные средства со счета плательщика на счет получателя, передает получателю разрешение на оказание услуги (отпуск товара), получатель оказывает услугу (отпускает товар). При запрете платежа эмитент передает получателю отказ от платежа, плательщик получает отказ с описанием причины.

При использовании  электронной чековой книжки плательщик может дополнительно зашифровать номер счета открытым ключом банка, чтобы скрыть его от продавца и тем самым уменьшить возможность мошенничества. Такую схему в России предлагает платежная система CyberPlat. Единство форматов в платежной системе CyberPlat достигается путем предоставления обеим сторонам сделки специального ПО, которое позволяет подписывать документы и выставлять счета. Процесс авторизации покупателя и продавца (а также проверка подписей) происходит на сервере CyberPlat. Электронные чеки незначительно отличаются от электронных денег некоторые эксперты называют их разновидностью электронных денег. С экономической точки зрения клиент в обоих случаях размещает деньги на счете в банке и получает электронные платежные обязательства на предъя вителя, далее он может передавать их в качестве оплаты. Разница только в том, что в случае с электронными деньгами соблюдается анонимность пла тельщика, а чек по определению на это не способен. Технически все про цессы тоже можно считать одинаковыми, только ПО, находящееся у пользо вателя, в одном случае носит название "электронная чековая книжка", а вдругом — "электронный кошелек".

 

 

 

 

 

 

 

 

 

 

 

 

Заключение

 

Большинство систем ориентировано на работу по дебетовой схеме: сначала авансируешь реальными деньгами виртуальный счет, а потом их можно тратить. Примечательно, что платежные Интернет-системы, появившиеся после 2000 года, не делают ставку на кредитные карты. Очевидно, это связано с двумя тенденциями. Во-первых, покупатели Интернет-магазинов в России не очень охотно расплачиваются кредитками за покупки в Сети. Во-вторых, качественное использование кредитных карт обходиться заметно дороже для продавца. Однако число активных пользователей кредитных карт в России растет, и почти все системы намерены в ближайшем будущем позволить клиентам вводить средства с кредитных карт. Например, традиционно «карточные» системы CyberPlat и Assist интегрируют в свои интерфейсы функцию оплаты «электронными деньгами», решая таким образом проблему микроплатежей.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Список литературы

1.  Успенский, И. Энциклопедия Интернет- бизнеса : учебник / И. Успенский., изд- Спб.: Питер, 2006. - 980 с.

2.  Пластиковые карты и Internet //http://dit.perm.ru/articles/management htm.

3.  Голдовский, И. Безопасность платежей в интернете- технологий : учебник / И. Головинский., изд- М.: Книжный мир, 2008. - 540 с.

4.  "Платежные  системы Интернет" //http://www.emoney.ru/.

5. Ченцов, В. И. Интернет как эффективное средство маркетинговых коммуникаций //http://www.marketi ng. Spb. ru/read/article/catalog/5read. Htm.

6.  Достов, В. Электронные наличные как технология : учебник / В. Достов., изд- М.: Россия, 1998. - 211 с.

7.  Соколова, А. Н. Электронная коммерция: мировой и российский опыт : учебник / А. Н. Соколова., изд — М.: Открытые системы, 2000.- 660 с.

 

 

 

 

 

 

 

 

 

3. 1  Успенский, И. Энциклопедия Интернет- бизнеса : учебник / И. Успенский., изд- Спб.: Питер, 2006. С 44.

4. 2  Пластиковые карты и Internet //http://dit.perm.ru/articles/management htm.

5. 3  Голдовский, И. Безопасность платежей в интернете- технологий : учебник / И. Головинский., изд- М.: Книжный мир, 2008. С 101.

4  "Платежные системы Интернет" //http://www.emoney.ru/.

5  Ченцов, В. И. Интернет как эффективное средство маркетинговых коммуникаций //http://www.marketi ng. Spb. ru/read/article/catalog/5read. Htm.

6  Достов, В. Электронные наличные как технология : учебник / В. Достов., изд- М.: Россия, 1998. С 78.

1. 7  Соколова, А. Н. Электронная коммерция: мировой и российский опыт : учебник / А. Н. Соколова., изд — М.: Открытые системы, 2000. С 510.