КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Стандарт SET
Протокол SSL
SSL — стандарт, основанный на криптографии с открытыми ключами. Протокол обеспечивает защиту данных, передаваемых в сетях TCP/IP по протоколам приложений за счет шифрования и аутентификации серверов и клиентов. Это означает, что шифруется вся информация, передаваемая и получаемая Web-броузером, включая URL-адреса, все отправляемые сведения (такие как номера кредитных карт), данные для доступа к закрытым Web-сайтам (имя пользователя и пароль), а также все сведения, поступающие с Web-серверов. Три основные функции безопасности, гарантированные в SSL, основаны на криптографии с открытым ключом:
1. Конфиденциальность сообщений – используется метод шифрования
2. Достоверность и целостность сообщений – используется метод цифровой подписи
3. Взаимная аутентификация – используется метод цифровых сертификатов
Согласно проводимым исследованиям, одной из основных причин медленного роста электронной коммерции является озабоченность покупателей надежностью средств, применяемых при выполнении платежей в Интернете с использованием кредитных карт. Основные причины обеспокоенности связаны со следующими факторами.
1. Отсутствие гарантии конфиденциальности — кто-либо может перехватить передаваемые данные и попытаться извлечь ценную информацию, например данные о кредитных картах. Это может произойти как во время передачи информации, так и непосредственно после совершения покупки с торговых Web-сайтов.
2. Недостаточный уровень проверки (аутентификации) участников операции — покупатель, посещая электронный магазин, не уверен, что представленная на нем компания именно та, за кого она себя выдает, а у продавца нет возможности проверить, что покупатель, сделавший заказ, является законным обладателем кредитной карты.
3. Нет гарантии целостности данных — даже если отправитель данных может быть идентифицирован, то, возможно, третья сторона изменит данные во время их передачи.
Описанный выше протокол SSL позволяет решить часть названных проблем безопасности, однако его роль в основном ограничивается обеспечением шифрования передаваемых данных. Поэтому для комплексного решения перечисленных выше проблем была разработана спецификация и создан набор протоколов, известные как стандарт SET (Secure Electronic Transaction, Безопасные электронные транзакции).
В основе системы безопасности, используемой SET, лежат стандартные криптографические алгоритмы DES и RSA. Инфраструктура SET построена в соответствии с инфраструктурой открытого ключа (Public Key Infrastructure, PKI) на базе сертификатов, соответствующих стандарту Х.509 организации по стандартизации (ISO). Главная особенность SET — регламентация использования системы безопасности, которая устанавливается международными платежными системами.
Требования Visa и Europay к процессинговому центру на основе SET включают, во-первых, традиционные требования к процессингу пластиковых карт (защита помещений, контроль над доступом, резервное энергоснабжение, аппаратная криптография и т. п.),во-вторых, специфические дополнения — межсетевые экраны (firewalls) для защиты каналов Интернета.
Такой подход позволяет использовать единые методики оценки рисков при проведении электронных платежей вне зависимости от способа аутентификации клиента (традиционная карта с магнитной полосой, смарт-карта или цифровой сертификат). Это позволяет участникам платежной системы разрешать спорные ситуации по отработанным механизмам и сконцентрироваться на развитии своего электронного бизнеса.
Для получения актуальной информации о распространении SET, включая информацию о банках, имеющих сертификаты Visa и Europay/ MasterCard, и торговых/сервисных компаниях, принимающих SET-платежи, можно обратиться на сайт set-sites.com или сайты международных платежных систем.
Платежная система в Интернете — это система проведения расчетов между финансовыми, коммерческими организациями и пользователями Интернета в процессе покупки/продажи товаров и услуг через Интернет. В системе электронной коммерции платежи совершаются при соблюдении ряда условий.
1. Соблюдение конфиденциальности. При проведении платежей через Интернет покупатель хочет, чтобы его данные (например, номер кредитной карты) были известны только организациям, имеющим на это законное право. 2. Сохранение целостности информации. Информация о покупке никем не может быть изменена. 3. Аутентификация. Покупатели и продавцы должны быть уверены, что все стороны, участвующие в сделке, являются теми, за кого они себя выдают. 4. Средства оплаты. Возможность оплаты любыми доступными покупателю платежными средствами. 5. Авторизация. Процесс, в ходе которого требование на проведение транзакции одобряется или отклоняется платежной системой. Эта процедура позволяет определить наличие средств у покупателя. 6. Гарантии рисков продавца. Осуществляя торговлю в Интернете, продавец подвержен множеству рисков, связанных с отказами от товара и недобросовестностью покупателя. Величина рисков должна быть согласована с поставщиком услуг платежной системы и другими организациями, включенными в торговые цепочки, посредством специальных соглашений. 7. Минимизация платы за транзакцию. Плата за обработку транзакций заказа и оплаты товаров, естественно, входит в их стоимость, поэтому снижение цены транзакции увеличивает конкурентоспособность. Важно отметить, что транзакция должна быть оплачена в любом случае, даже при отказе покупателя от товара.Все платежные системы можно разделить на два основных направления: кредитные системы, или, как их иногда называют, системы управления счетами через Интернет и дебетовые схемы — системы выпуска электронных денежных эквивалентов, позволяющие владельцам пользоваться ими как видом бессрочных денежных обязательств.
К первому виду систем относятся системы управления банковскими счетами через Интернет (Интернет-банкинг), предлагаемые различными банками в России и за рубежом, а также системы с использованием кредитных карт. Кредитные карты являются ничем иным, как средством управления счетом, переданным банком владельцу счета во временное пользование. По сути, любая система управления счетом заменяет только личный визит клиента в банк, а все остальные действия, связанные с реальным переводом денежных средств, осуществляются по существующим банковскими каналам. Единственным существенным преимуществом следует считать то, что при личном визите платежные документы будут приняты банком только в часы его работы, а при передаче их через Интернет можно обеспечить круглосуточный прием платежных документов.
Ко второму виду систем относятся платежные системы на основе смарт-карт и так называемые «электронные наличные». В отличие от первого рода систем, при использовании электронных денежных обязательств между участниками сделки происходит передача информации, представляющей самостоятельную финансовую ценность. Эта информация может быть тут же проверена на подлинность и платежеспособность стороной, принимающей платеж или выпустившей эти обязательства, и тут же использована для следующего платежа или переведена в другие, не электронные платежные средства.
В настоящий момент в России реально работают только несколько платежных инструментов и поддерживающие их технологические решения. Выбор адекватных платежных инструментов, являющийся ключевым вопросом для развития рынка платежей в Интернете, должен быть обусловлен целым рядом критериев, в число которых входят:
· удобство пользования, · надежность и скорость проведения операции, · безопасность, · невысокая стоимость инструмента и его поддержки для всех участников платежей — покупателей, продавцов, банков.вверх
Лидирующее положение среди существующих платежных систем занимают системы на основе пластиковых карт и, прежде всего, кредитных карт. Большинство транзакций в Интернете совершаются с использованием именно этого вида платежа.
Пластиковая карта — это персонифицированный платежный инструмент, предоставляющий пользующемуся картой лицу возможность безналичной оплаты товаров и услуг, а также получения наличных средств в отделениях банков и банковских автоматах (банкоматах). Принимающие карту предприятия торговли/услуг и отделения банков образуют сеть точек обслуживания карты. Пластиковая карта представляет собой пластину стандартных размеров (85,6 х 53,9 х 0,76 мм), изготовленную из специальной устойчивой к механическим и термическим воздействиям пластмассы. Одна из основных функций пластиковой карты — обеспечение идентификации использующего ее лица как субъекта платежной системы. Для этого на пластиковую карту наносятся логотипы банка-эмитента и платежной системы, обслуживающей карту, имя держателя карты, номер его счета, срок действия карты и пр. Кроме этого, на карте может присутствовать фотография держателя и его подпись. Алфавитно-цифровые данные — имя, номер счета и др. — могут быть выполнены тиснением (рельефным шрифтом). Это дает возможность при ручной обработке принимаемых к оплате карт быстро перенести данные на чек с помощью специального устройства, импринтера, осуществляющего «прокатывание» карты (в точности так же, как получается второй экземпляр при использовании копировальной бумаги).
На сегодняшний день наиболее распространенными являются магнитные карты — карты с магнитной полосой — в обращении находится свыше двух миллиардов карт подобного типа. Магнитная полоса располагается на обратной стороне карты и, согласно стандарту ISO 7811, состоит из трех дорожек: первые две предназначены для хранения идентификационных данных, на третью можно записывать информацию (например, текущее значение лимита дебетовой карты). Однако из-за невысокой надежности многократно повторяемого процесса записи/считывания запись на магнитную полосу, как правило, не практикуется, и такие карты используются только в режиме считывания информации.
Гарантом выполнения платежных обязательств, возникающих в процессе обслуживания пластиковых карт, является выпустивший их банк-эмитент. Поэтому карты на протяжении всего срока действия остаются собственностью банка, а клиенты — держатели карт — получают их лишь в пользование. Характер гарантий банка-эмитента зависит от платежных полномочий, предоставляемых клиенту и фиксируемых классом карты. При выдаче карты клиенту осуществляется ее персонализация — на нее заносятся данные, позволяющие идентифицировать карту и ее держателя, а также осуществить проверку платежеспособности карты при приеме ее к оплате или выдаче наличных денег. Процесс утверждения продажи или выдачи наличных по карте называется авторизацией. Для ее проведения точка обслуживания делает запрос платежной системе о подтверждении полномочий предъявителя карты и его финансовых возможностей. Наиболее распространена автоматическая авторизация, когда карта помещается в POS-термииал (POS — Point Of Sale), данные считываются с карты, кассиром вводится сумма платежа, а держателем карты со специальной клавиатуры — секретный ПИН-код (ПИН — персональный идентификационный номер). После этого терминал осуществляет авторизацию либо устанавливая связь с базой данных платежной системы (авторизация в режиме подключения), либо осуществляя дополнительный обмен данными с самой картой (авторизация в автономном режиме). В случае выдачи наличных денег процедура носит аналогичный характер с той лишь особенностью, что деньги выдаются специальным устройством — банкоматом, который и проводит авторизацию.
При осуществлении расчетов держатель карты ограничен рядом требований. Характер ограничений и условия их использования могут быть весьма разнообразными. Однако в большинстве случаев ситуация сводится к двум основным сценариям: держатель дебетовой карты должен заранее внести на свой счет в банке-эмитенте некоторую сумму или может не вносить предварительно средства, а получить в банке-эмитенте кредит. Подобная схема реализуется при оплате посредством кредитной карты. В этом случае лимит связан с величиной предоставленного кредита, в рамках которого держатель карты может расходовать средства. Кредит может быть как однократным, так и возобновляемым. Возобновление кредита в зависимости от договора с держателем карты происходит после погашения либо всей суммы задолженности, либо некоторой ее части.
Выпуском карт и гарантом выполнения финансовых обязательств, связанных с использованием выпущенной им пластиковой карты как платежного средства, является банк-эмитент. Однако он не занимается деятельностью, обеспечивающей ее прием предприятиями торговли и сферы услуг. Эти задачи решает банк-эквайер, осуществляющий весь спектр операций по взаимодействию с точками обслуживания карт:
· обработку запросов на авторизацию, · перечисление на расчетные счета точек средств за товары и услуги, предоставленных по картам, · прием, сортировку и пересылку документов (бумажных и электронных), фиксирующих совершение сделок с использованием карт, · распространение стоп-листов (перечней карт, операции по которым по тем или иным причинам приостановлены) и др.Кроме того, банк-эквайер может осуществлять выдачу наличных по картам как в своих отделениях, так и через принадлежащие ему банкоматы. Банк может совмещать функции эквайера и эмитента. Следует отметить, что основными, неотъемлемыми функциями банка-эквайера являются финансовые функции, связанные с выполнением расчетов и платежей точкам обслуживания. Что же касается перечисленных выше технических атрибутов его деятельности, то они могут быть делегированы эквайером специализированным сервисным организациям — процессинговым центрам.
Использование кредитных карт для проведения платежей связано с определенными техническими недостатками, что позволяет мошенникам пользоваться чужими денежными средствами и товарами и тем самым подрывает авторитет карточных систем как средства платежа через Интернет:
· Сделки через Интернет, относящиеся в международной классификации сделок к типу mail order/telephone order (mo/to), были достаточно распространены еще в предшествующие Интернету времена в странах с развитыми карточными платежными системами, но в силу специфики товаров, выставляемых на продажу в Интернете, оказались мало защищенными от мошенничества, будучи просто перенесенными в Интернет. При оформлении сделок mo/to с получением номера карты вне Интернета у продавца всегда есть возможность провести аутентификацию (определение личности) клиента при доставке товара. Правила торговли по картам предполагают обязательную аутентификацию покупателя как держателя предъявленной карты, будь то платеж в магазине с прокатыванием карты, когда кассир удостоверяется в том, что берет оплату именно с держателя карты, или доставка товара по заказу, сделанному по телефону, когда служба доставки несет ответственность за доставку товара именно заказчику. В полной мере соблюсти эти правила в Интернете не представляется возможным. · Возможность просмотра посторонними передаваемой через Интернет информации о карте; · Возможность предъявления данных о карте и ее владельце в поддельный магазин, собирающий эту информацию с криминальными целями; · Возможность утраты данных о карте, переданных держателем магазину, в случае взлома или иных причин.Частичным решением указанных проблем может быть использование описанного выше протокола SSL. Однако и он обладает некоторыми недостатками. Хотя перехватить информацию во время транзакции практически невозможно, важная информация в случае недобросовестного ее хранения на сервере продавца может находиться под угрозой доступа к ней злоумышленников. К тому же существует возможность подделки или подмены торговца или личности пользователя (identity) как продавцом, так и покупателем. Фирма может предоставить о себе недостоверную информацию, а покупатель может произвести покупку, а затем отказаться от оплаты — доказать, что это именно он пользовался своей картой, практически невозможно из-за отсутствия подписи. Самым надежным вариантом является применение специальных протоколов, такого как SET, который является сегодня наиболее защищенным протоколом, но в силу различных причин еще не получил достаточного распространения и не достиг критической массы участников.
· Еще одним из ограничений использования пластиковых карт является ограничение на нижний предел производимых покупок, составляющий около 3—5 долларов. Так как за проведение каждой транзакции эмитент карты берет порядка 1,5-3 % от суммы транзакции, но не менее 20 центов, то производить оплату товаров в нижнем ценовом диапазоне становится невыгодно.
Вверх
Попытки кардинально устранить недостатки платежных систем в Интернете на основе кредитных карт привели к разработке альтернативных видов платежных систем — так называемых «дебетовых систем», наиболее широкое распространение среди которых получили сегодня «электронные деньги». Дебетовые схемы платежей в Интернете построены аналогично их традиционным прототипам: чековым и обычным денежным схемам. В схему вовлечены две независимые стороны: эмитенты и пользователи. Под эмитентом понимается субъект, управляющий платежной системой. Он эмитирует электронные денежные единицы. Пользователи систем выполняют две главные функции: производят и принимают платежи через Интернет, используя выпущенные электронные единицы.
|
|
Дата добавления: 2014-01-07; Просмотров: 1030; Нарушение авторских прав?; Мы поможем в написании вашей работы!