К ВОПРОСУ О БЕЗОПАСНОСТИ ПЛАТЕЖНЫХ СИСТЕМ
1. Электронные платежные системы, основанные на пластиковых карточках.
2. Электронные платежные системы, основанные на электронных деньгах.
Большой положительный момент в использовании пластиковых карт универсальность, так как покупатель может расплачиваться ими не только через Интернет, но и в реальной жизни. На сегодняшний день расчеты с помощью пластиковых карт самые распространенные среди он-лайновых.
Существуют и свои сложности, в первую очередь это касается обеспечения безопасности расчетов. Иногда данные о карте при оплате через Интернет попадают в руки посторонних лиц. Разработчики прилагают немалые усилия для защиты конфедициальныхданных, но полной гарантии пока быть не может.
Для того чтобы самостоятельно осуществлять процессинг и авторизацию пластиковых карт, владельцу Интернет-магазина надо закупать дорогое оборудование. Для упрощения этого процесса созданы специальные платежные системы, такие, например, как Assist () и ЭлИТ-Карт ( card). Принцип работы таких систем состоит в том, что клиент заходит на сайт магазина, выбирает товар и оплачивает его карточкой.
Магазин переадресует клиента на авторизационный сервер платежной системы, который в режиме on line осуществляет авторизацию карточки в расчетном банке. Банк системы, в свою очередь, проверяет, есть ли такой магазин в наличии, есть ли какие-либо заранее оговоренные ограничения на его операции, и лишь затем выдает разрешение или запрет на платеж. Если разрешение на транзакцию получено, то со счета клиента списывается необходимая сумма.
Подключение к данным платежным системам вашего Интернет-магазина происходит не бесплатно.
Так, подключение к ЭлИТ Карт стоит $ 250, а абонентная плата составляет $ 25 в месяц. ЭлИТ Карт работает с ассоциациями VISA, MasterCard, Europay, Union Card.
Стоимость подключения к системе Assist зависит от расчетного банка, с которым заключается договор, разброс цен составляет от $ 100 до $ 250 (более подробно смотри на сайте). Помимо платы за подключение с каждой транзакции взимаются комиссионные 3-5% с суммы платежа.
Все расчеты производятся в течение трех дней со дня авторизации. Assist работает с картами систем VISA, Europay, MasterCard, DCI.
Одна из самых крупных российских он-лайновых платежных систем система CyberPlat (), владельцем которой является компания CyberPlat.com. В настоящее время к ней подключено более 100 он-лайновых коммерческих площадок. Система была создана специалистами банка Платина.
Она получила собственный авторизационный сервер и продолжает работать с банком Платина как с расчетным банком. Системы Assist и CyberPlat занимают вместе почти 90% рынка Интернет-расчетов. CyberPlat считается универсальной, в ней интегрированы четыре основных компонента:
¦ расчеты по крупным оптовым операциям для бизнеса;
¦ обслуживание частных покупателей;
¦ элементы открытой платежной системы, т. е. к ней могут подключаться любые участники;
¦ система банк-клиент, работающая через Интернет.
В данной системе действует два разных механизма платежей для обслуживания процессов В2В и В2С. Корпоративные клиенты могут использовать систему для оперативного заключения договоров, выбирая схемы взаиморасчетов, оптимальных с точки зрения платежных инструментов.
Для розничной торговли система хороша именно своей универсальностью.
Платеж происходит по следующей схеме: покупатель и І-магазин должны иметь открытый счет в банке Платина, далее покупатель подключается к web-серверу магазина и складывает нужный товар в корзину (формирует корзину заказа), после чего отправляет запрос. Магазин, в свою очередь, получив запрос, направляет покупателю подписанный электронной цифровой подписью счет, в котором указываются код магазина, наименование и цена товара, дата совершения операции. Покупатель должен подтвердить согласие на платеж своей личной электронно-цифровой подписью (содержит 512 разрядов), которой подписывает присланный документ. Счет, подписанный двумя подписями покупателя и магазина, становится, таким образом, чеком и направляется магазином в банк для авторизации.
После обработки чека банком происходит списание средств со счета клиента, если все в порядке. Через систему CyberPlat можно проводить платежи и при помощи пластиковых карточек, достаточно иметь счет в банке Платина. CyberPlat работает с картами систем VISA, MasterCard, DCI, Europay.
Для совершения платежей клиенту необходимо зарегистрировать свою карточку в системе. За проведение платежей в CyberPlat взимается 2% от суммы платежа.
Абонентная плата не взимается. Для обеспечения безопасности существует специальный отдел, который занимается отслеживанием подозрительных транзакций. Проблемы мошенничества стоят остро для всех платежных систем в Сети.
Главный недостаток расчетов картами отсутствие анонимности. Увы, при современном уровне знаний и техники практически любой пользователь Сети может найти способ воспользоваться индивидуальными данными не принадлежащей ему карточки.
Тем не менее, простота в использовании пластиковых карт делает расчеты с ними популярными и распространенными (см. табл. 4).
Если традиционные карточные системы расчетов развивались банками, то основу для создания платежных систем на основе использования электронной наличности заложили технологические компании.
Платежи в Сети, основанные на электронных деньгах, стали появляться в России сравнительно недавно. К электронным платежным системам, которые используются в нашей стране, относятся: PayCash () и WebMoney Transfer ().
Платежная система PayCash поддерживается банком Таврический (г. Санкт-Петербург). Она разработана банком Таврический совместно с группой компаний Алкор-Холдинг.
По официальным данным, на программную разработку продукта банк затратил $ 2 млн, при этом ее разработчик Алкорсофт получил три патента.
Принцип работы PayCash заключается в следующем. Клиент, который хочет подключиться к системе, получает программное обеспечение, с помощью которого открывает счет в банке. После перевода на этот счет денег клиента (любым существующим способом) на собственном компьютере клиента создается одна или несколько платежных книжек, куда переводятся деньги со счета.
При расчетах в данной системе все равно кому принадлежит книжка, так как средства клиента превращаются в виртуальные деньги. Важно, что клиент имеет возможность управлять счетом, обналичивать электронные деньги в реальные и т. п.
Выше мы говорили о проблемах юриспруденции при любой эмиссии денежных средств. Платежи, происходящие с электронными деньгами, очень быстры во времени, а сами электронные деньги по своей сути лишь информация о реально существующих средствах.
Можно дать следующее определение электронных денег: Электронные деньги бессрочные денежные обязательства банковской или другой коммерческой структуры, выраженные в электронной форме, подписанные электронно-цифровой подписью и погашаемые в момент предъявления обычными денежными средствами. Из всего вышеизложенного становится ясно, что самые большие проблемы в расчетах в Интернете обеспечение их безопасности и признание законности новых платежных систем.
В последнем немалую роль играет Банк России как центральный банк государства, занимающийся вопросами денежного обращения в стране.
В работе с платежной системой WebMoney Transfer тоже необходима установка специального программного обеспечения, которое постоянно обновляется (см. последние версии на сайте системы: ). Программное обеспечение устанавливается на компьютере пользователя, затем производится необходимое соединение с сервером авторизации, для чего вам понадобится доступ к порту 2802. При работе с универсальными титульными знаками WebMoney Transfer устанавливается их эквивалент, равный реальным денежным единицам: по операциям с реквизитом Z $ 1, по операциям с реквизитом R 1 российский рубль.
Проводить можно два типа платежей: 1. Обычный платеж, когда деньги сразу перечисляются покупателем на счет продавца.
2. Платеж с протекцией торговой сделки, когда деньги переводятся на счет продавца, но он не сможет ими воспользоваться, пока покупатель не сообщит ему специальный код. Можно сказать, что это вариант формы предоплаты в Интернете.
Конечно же, ясно, что в обоих случаях рискует какая-либо из сторон: или продавец (второй вариант), или покупатель (первый).
Есть еще несколько платежных систем, которые мы не будем рассматривать подробно, так как они относятся больше не к электронным деньгам, а к такой услуге, как Интернет-банкинг. Надо сказать, что долгое время системы платежей в Интернете были не более чем пилотными проектами или экспериментами. В последнее время ситуация изменилась (см. табл.
11 по данным журнала Эксперт 31 от 28 августа 2000 г.), но, по всей видимости, карточные системы своего лидерства еще долго не уступят.
Для более наглядного понимания, как действуют системы платежей с использованием пластиковых карт в Интернете, посмотрите рис. 4.
Покупатель передает реквизиты карточки или системе напрямую, или магазину, после чего тот передает их платежной системе. Интернет-система отсылает запрос в процессинговый центр традиционной платежной системы, процессинговый центр связывается с Центром авторизации банка-эмитента карточки, получает результат и пересылает его Интернет-системе.
Система, в свою очередь, передает результат покупателю и магазину. Если разрешение есть, то магазин высылает покупателю товар, а процессинговый центр сообщает расчетному банку сведения о совершенной транзакции, после чего средства со счета покупателя в банке-эмитенте перечисляются за период с января по август 2000 года.
* 1 подключение к системе; 2 комиссионные в % от суммы платежа.
через расчетный банк на счет магазина, находящийся в банке-эквайере. Как видите, система практически не отличается от традиционных карточных расчетов. Единственное существенное отличие заключается в том, что карту в руках держит только сам покупатель, поэтому идентификация происходит по условленным кодам.
Таким образом, проблема обеспечения безопасности расчетов по-прежнему не теряет своей актуальности.
При расчетах же электронной наличностью (см. рис. 5) покупатель перечисляет деньги в банк-эмитент или напрямую, или через банк участник системы.
Взамен он получает электронные наличные, оплачивает ими товар в Интернет-магазине, после чего магазин отсылает товар и перечисляет электронные деньги банку-эмитенту, а тот переводит обычные денежные средства на счет магазина в банке. В таких расчетах действуют условные деньги, которые подменяют реальные в момент нахождения их в расчетах в сети.
Рис. 5. Расчеты в ИНТЕРНЕТЕ электронными деньгами
Выбирая системы расчетов для своего Интернет-магазина, исходите из того, какие объемы покупок вы планируете обслуживать и не съедят ли комиссионные вашу прибыль. Стоит ли на начальном этапе развития вашего магазина сочетать традиционные способы расчетов с новейшими разработками?
Все эти вопросы необходимо проанализировать заранее, чтобы не торопиться в последний момент и не хвататься за любую первую попавшуюся систему расчетов, когда первый покупатель уже сделал свой заказ.
К ВОПРОСУ О БЕЗОПАСНОСТИ ПЛАТЕЖНЫХ СИСТЕМ
При создании платежных систем необходимо уделить как можно больше внимания защите и обеспечению их безопасности. Обычно различается внутренняя и внешняя безопасность. Внутренняя безопасность должна обеспечивать целостность программ и данных, обеспечение нормальной работы всей системы.
Внешняя должна защищать от любых угрожающих сбоем в системе проникновений. В настоящее время существует два подхода к построению защиты платежных систем:
* комплексный подход объединяет разнообразные методы противодействия угрозам;
* фрагментарный подход противодействие определенным угрозам (антивирусные средства и т. п.).
Комплексный подход применяется для защиты крупных систем (например, международные межбанковские сети). В 1985 г. Национальным центром компьютерной безопасности Министерства обороны США была опубликована Оранжевая книга, в которой был приведен свод правил и норм, а также основные понятия защищенности информационно-вычислительных систем.
В дальнейшем эта книга превратилась в настоящее руководство к действию для специалистов по защите информации. В ней определяются описанные ниже понятия.
* Политика безопасности, т. е. совокупность норм, правил и методик, на основе которых в дальнейшем строится деятельность
информационной системы в области обращения, хранения, распределения критичной информации.
Политика безопасности определяет:
1. Цели, задачи, приоритеты системы безопасности.
2. Гарантированный минимальный уровень защиты.
3. Обязанности персонала по обеспечению защиты.
4 Санкции за нарушение защиты.
5. Области действия отдельных подсистем.
Ф Анализ^жка, который состоит из нескольких этапов:
1. Описание состава системы (т. е. документация, аппаратные средства, данные, персонал и т. д.).
2. Определение по каждому элементу системы уязвимых мест.
3. Оценка вероятности реализации угроз.
4 Оценка ожидаемых размеров потерь.
5. Анализ методов и средств защиты.
6. Оценка оптимальности предлагаемых мер.
Окончательно анализ риска выливается в стратегический план обеспечения безопасности, важным при этом является разбивка информации на категории. Наиболее простой метод такого разграничения информации следующий:
* конфиденциальная информация доступ к которой строго ограничен;
Ф открытая информация доступ к которой посторонних не связан с материальными и другими потерями.
Для коммерческой деятельности такой градации вполне достаточно.
Наиболее распространенными угрозами безопасности являются:
несанкционированный доступ, т. е. получение пользователем доступа к объекту без соответствующего разрешения;
взлом системы, т. е. умышленное проникновение (основную нагрузку защиты в этих случаях несет программа входа); маскарад, т. е. выполнение каких-либо действий одним пользователем банковской системы от имени другого; * вирусные программы, т. е. воздействие на систему специально созданными программами, которые сбивают процесс обработки информации, и т. д.
Проблема обеспечения своей информационной безопасности выходит за рамки одной страны. Ни один из пользователей сети не защищен на все 100%. Вырабатываются новые программы защиты, но рано или поздно находится умник, который проходит через все хитроумные преграды.
Одно из самых крупных проникновений в банковскую сеть за последние годы попытка снять более $ 12 млн из Ситибанка (крупнейший банкАмерики и крупнейший в мире торговец валютой) нашим соотечественником Левиным в 1994 г. Больше четверти миллиона этой суммы до сих пор не найдено, и перспектив найти и вернуть деньги их законному владельцу пока нет. Все чаще и чаще средства массовой информации сообщают о хакерах, взламывающих защиту в виртуальных магазинах и делающих покупки по чужим кредитным карточкам.
Идет своего рода состязание между взломщиками и защитниками, и кто кого одолеет, пока неизвестно.
В зависимости от существующих угроз, различают следующие направления защиты электронных систем:
1. Защита аппаратуры и носителей информации от повреждения, похищения, уничтожения.
2. Защита информационных ресурсов от несанкционированного использования.
3. Защита информационных ресурсов от несанкционированного
доступа.
4 Защита информации в каналах связи и узлах коммутации (блокирует угрозу подслушивания),
5. Защита юридической значимости электронных документов.
6. Защита систем от вирусов.
К классу технических средств относятся: средства физической защиты территорий, сети электропитания, аппаратные и аппаратнопрограммные средства управления доступом к персональным компьютерам, комбинированные устройства и системы. К классу программных средств защиты относятся: проверка паролей, программы шифрования (криптографического преобразования), программы цифровой подписи, средства антивирусной защиту программы восстановления и резервного хранения информации.
Например, разработчики платежной системы Webmoney Transfer предприняли повышенные меры безопасности для всех сообщений в системе с помощью их кодировки. Использование специального алгоритма защиты информации (похожего на алгоритм RSА, где длина ключа более Ю24 бит) и использование специальных ключей при каждом сеансе передачи информации позволяет защитить информацию о назначении и сумме платежа от чужого любопытства.
Руководящие документы в области защиты информации разработаны в России Государственной технической комиссией (ГТК) при президенте РФ. Для коммерческих структур эти документы носят рекомендательный характер.
В государственном секторе и при наличии информации, относящейся к государственной тайне, они обязательны для исполнения. Технологий защиты данных много, однако постоянно появляются новые.
Компания Intel, процессорами которой оснащены 85% всех персональных компьютеров в мире, объявила, что скоро начнет выпускать чипы, в которых данные будут защищаться на аппаратном уровне, автоматически. СШАуста-новили ограничения на экспорт мощных шифровальных технологий, в России такими технологиями вообще нельзя пользоваться без разрешения ФАПСИ (Федерального агентства правительственной связи и информации при президенте РФ).
Ни западных, ни наших сертифицированных программ защиты платежей, проводимых через Интернет, пока нет. В общем, проблем достаточно, но виртуальная экономика не может не развиваться. Любые платежи и банковские услуги в Интернете выгодны для клиентов, выгодны для банков, выгодны для коммерсантов, поскольку себестоимость любых электронных транзакций в несколько раз ниже обычных.
Это шанс для российских банков стать известными на международном уровне и получить мировое признание, причем в самые короткие сроки.
ЗАКЛЮЧЕНИЕ
Еще недавно мы и не помышляли о пластиковых карточках, о возможностях электронных сетей, в частности Интернета. Перед Россией стоит уникальная возможность, используя все последние достижения и наработки, существующие в мире, сделать большой шаг вперед в использовании достижений научно-технической мысли, минуя промежуточные этапы. В настоящее время многие компании уже работают в сфере Интернет-бизнеса, несмотря на то что по многим параметрам это работа больше на перспективу, чем на получение огромных доходов на сегодняшний день. Если вы решились на вложение капитала в создание Интернет-магазина, не ждите быстрой отдачи.
Занять свою нишу в сети очень непросто, тем более, что как показывает опыт, предложение самых приобретаемых товаров в Интернете (книги, CD, DVD, компьютеры, комплектующие) уже превышает спрос. Удивить и заинтересовать потенциального розничного покупателя чем-либо сложно, однако это вовсе не означает, что Интернет-бизнес бесперспективен. Одно из самых очевидных преимуществ в занятии Интернет-коммерцией отсутствие географических границ и ограничений времени. Это хорошая возможность расширить границы своего бизнеса, ведь сколько бы ни выражалось недовольства нашими расчетными системами, но они все-таки позволяют работать с зарубежными клиентами и партнерами.
Не исключено, что уже в ближайшее время появятся новые разработки, которые максимально устроят всех контрагентов и государство в том числе. Применяйте уже выработанные до вас методы оценки эффективности (например, оценка эффективности рекламы в Интернете CTR Click/ThroughRatio отношение числа нажатий на баннер к числу его показов, или, как его еще называют, отклик баннера), отслеживайте как можно больше информации по интересующим вас вопросам, посетите уже известные сайты I-магазинов и фирм-разработчиков.
Учитесь на чужих ошибках, дабы максимально избежать своих. Процесс виртуализации экономики в России пошел это уже факт, не вызывающий сомнений ни у кого. Прежде чем заняться разработкой системы электронной коммерции применительно к своему уже существующему бизнесу, определитесь, с какой целью вы хотите ее использовать (для продаж, для рекламы, для расширения партнерских связей и т. п.).
Исходя из поставленных целей идите дальше в определении ближайших задач и планов на перспективу. От того, насколько правильно вы сориентировали свои задачи на начальном этапе, зависит, будет итог вашей работы положительным или нет. Следует заранее просчитывать вариант на случай резких изменений в технологиях и, особенно для России, в государственной экономической политике.
Разрабатываемый вами проект должен быть универсален и гибок, чтобы иметь возможность быстро перестроить хотя бы основные бизнес-схемы, если это понадобится. Общее развитие мировой экономики в целом будет определяться развитием информационных технологий и ужесточением конкуренции во всех сферах.
Уже сегодня тот, кто опережает конкурентов по возможностям анализа доступной коммерческой информации, имеет значительное преимущество. Современная экономика динамично развивающийся процесс и в области производства новых товаров и услуг, и в области появления новых расчетных схем, и в области потребления. Ясно одно, что появление Интернета дало человечеству возможность интегрировать свою деятельность независимо ни от чего, кроме развития сетей передачи информации (т. е. каналов телекоммуникации).
С помощью использования Интернет-технологий в сфере инвестиций можно решать задачи международного сотрудничества, содействия организации профессионального информационного обеспечения, практически любые международные экономические проблемы. Интернет все больше проникает во все сферы деятельности человека.
В технически развитых странах уже есть наработки по регулированию деятельности в Сети, но в России эта проблема еще находится на стадии разрешения. В любом случае, практика показывает, что требуется четкая законодательная база по вопросам Интернет-коммерции и вопросам безопасности проведения платежей.
Не воспринимайте Интернет как что-то особенное это просто новая среда передачи информации, которую человек всячески пытается подстроить под свои нужды, поэтому не надо бояться пробовать свои силы в этой новой области экономики.
Мы будем рады, если эта книга помогла вам в понимании некоторых вопросов Интернет-коммерции.
ОСНОВНЫЕ ПОНЯТИЯ
¦ Аутосорсинг аренда программного обеспечения.
¦ Банк-эмитент банк, осуществляющий выпуск в обращение пластиковых карточек или цифровой наличности.
¦ Банк-эквайер банк, заключивший договор сиредприятием-мерчантом, обслуживающий ведение его расчетных операций.
¦ Броузер программа поиска и просмотра информации в WWW.
¦ Виртуальный банк банк, находящийся и осуществляющий свои услуги в глобальной сети в установленных компьютерных режимах времени.
¦ Виртуальный магазин специальный сайт, с помощью которого можно в интерактивном режиме покупать или продавать товары и услуги.
¦ Виртуальная торговля осуществление торговой деятельности посредством сети Интернет.
¦ Гипертекст средство соединения информации, содержащейся в web-документе.
¦ Дискета специальный магнитный диск для записи информации с компьютера.
¦ Домен электронное имя, по которому можно найти имеющего его пользователя. ¦ Интернет открытая мировая коммуникационная инфраструктура, объединяющая компьютерные сети, дающая возможность обмена информацией между ними и обеспечивающая доступ к удаленной информации.
¦ Интерфейс набор правил и сигналов для передачи информации на границе двух сред (от человека к компьютеру и т. п.).
¦ Информационный сервер (server слуга) специальный компьютер, на котором находится полная информация о том, что и где находится в Интернете.
¦ Киберсквоттинг (cyber squatting столбление) выкуп доменных имен с целью их дальнейшей перепродажи.
¦ Мерчант предприятие торговли или сервиса, которое принимает к расчету банковские карточки определенных платежных систем.
¦ Модем устройство для передачи информации по телефонным линиям связи.
¦ Провайдер (provide обеспечивать, снабжать) фирма, предоставляющая специальную программу, сетевой адрес и номер телефона для выхода в Интернет за оговоренную плату.
¦ Процессинговый центр компания, которая обеспечивает информационное взаимодействие между участниками платежной системы.
¦ Рунет российский сегмент сети Интернет.
¦ Сетевой фильтр прибор для сглаживания колебаний напряжения в электрической сети и устранения импульсных помех.
¦ Транзакция последовательность сообщений, вырабатываемых участниками платежной системы, которая может передаваться в автоматическом режиме.
¦ Эмбоссирование метод нанесения данных на пластиковую карточку рельефными знаками.
¦ Электронная сеть аппаратные средства, обеспечивающие взаимные соединения и передачу информации между абонентами сети.
