Защита информации в электронных платежных Internet-системах

Платежная Internet-система – это система проведения расчетов между финансовыми, бизнес-организациями и Internet-пользователями в процессе покупки/продажи товаров и услуг через Internet. Именно платежная система позволяет превратить службу по обработке заказов или электронную витрину в полноценный магазин со всеми стандартными атрибутами: выбрав товар или услугу на сайте продавца, покупатель может осуществить платеж, не отходя от компьютера.

В системе электронной коммерции платежи совершаются при соблюдении ряда условий:

1. Соблюдение конфиденциальности. При проведении платежей через Internet покупатель хочет, чтобы его данные (например, номер кредитной карты) были известны только организациям, имеющим на это законное право.

2. Сохранение целостности информации. Информация о покупке никем не может быть изменена.

3. Аутентификация. Покупатели и продавцы должны быть уверены, что все стороны, участвующие в сделке, являются теми, за кого они себя выдают.

4. Средства оплаты. Возможность оплаты любыми доступными покупателю платежными средствами.

5. Авторизация. Процесс, в ходе которого требование на проведение транзакции одобряется или отклоняется платежной системой. Эта процедура позволяет определить наличие средств у покупателя.

6. Гарантии рисков продавца. Осуществляя торговлю в Internet, продавец подвержен множеству рисков, связанных с отказами от товара и недобросовестностью покупателя. Величина рисков должна быть согласована с провайдером платежной системы и другими организациями, включенными в торговые цепочки, посредством специальных соглашений.

7. Минимизация платы за транзакцию. Плата за обработку транзакций заказа и оплаты товаров, естественно, входит в их стоимость, поэтому снижение цены транзакции увеличивает конкурентоспособность. Важно отметить, что транзакция должна быть оплачена в любом случае, даже при отказе покупателя от товара.

Все указанные условия должны быть реализованы в платежной Internet‑системе, которая, в сущности, представляют собой электронные версии традиционных платежных систем.

Таким образом, все платежные системы делятся на:

— дебетовые (работающие с электронными чеками и цифровой наличностью);

— кредитные (работающие с кредитными карточками).

Дебетовые системы

Дебетовые схемы платежей построены аналогично их оффлайновым прототипам: чековым и обычным денежным. В схему вовлечены две независимые стороны: эмитенты и пользователи. Под эмитентом понимается субъект, управляющий платежной системой. Он выпускает некие электронные единицы, представляющие платежи (например, деньги на счетах в банках). Пользователи систем выполняют две главные функции. Они производят и принимают платежи в Internet, используя выпущенные электронные единицы.

Электронные чеки являются аналогом обычных бумажных чеков. Это предписания плательщика своему банку перечислить деньги со своего счета на счет получателя платежа. Операция происходит при предъявлении получателем чека в банке. Основных отличий здесь два. Во-первых, выписывая бумажный чек, плательщик ставит свою настоящую подпись, а в онлайновом варианте - подпись электронная. Во-вторых, сами чеки выдаются в электронном виде.

Проведение платежей проходит в несколько этапов:

1. Плательщик выписывает электронный чек, подписывает электронной подписью и пересылает его получателю. В целях обеспечения большей надежности и безопасности номер чекового счета можно закодировать открытым ключом банка.

2. Чек предъявляется к оплате платежной системе. Далее, (либо здесь, либо в банке, обслуживающем получателя) происходит проверка электронной подписи.

3. В случае подтверждения ее подлинности поставляется товар или оказывается услуга. Со счета плательщика деньги перечисляются на счет получателя.

Рис. 43. Схема проведения платежей с электронными чеками

Простота схемы проведения платежей (рис. 43), к сожалению, компенсируется сложностями ее внедрения из-за того, что чековые схемы пока не получили распространения и не имеется сертификационных центров для реализации электронной подписи.

В электронной цифровой подписи (ЭЦП) используют систему шифрования с открытым ключом. При этом создается личный ключ для подписи и открытый ключ для проверки. Личный ключ хранится у пользователя, а открытый может быть доступен всем. Самый удобный способ распространения открытых ключей - использование сертификационных центров. Там хранятся цифровые сертификаты, содержащие открытый ключ и информацию о владельце. Это освобождает пользователя от обязанности самому рассылать свой открытый ключ. Кроме того, сертификационные центры обеспечивают аутентификацию, гарантирующую, что никто не сможет сгенерировать ключи от лица другого человека.

Электронные деньги полностью моделируют реальные деньги. При этом, эмиссионная организация - эмитент - выпускает их электронные аналоги, называемые в разных системах по-разному (например, купоны). Далее, они покупаются пользователями, которые с их помощью оплачивают покупки, а затем продавец погашает их у эмитента. При эмиссии каждая денежная единица заверяется электронной печатью, которая проверяется выпускающей структурой перед погашением.

Одна из особенностей физических денег - их анонимность, то есть на них не указано, кто и когда их использовал. Некоторые системы, по аналогии, позволяют покупателю получать электронную наличность так, чтобы нельзя было определить связь между ним и деньгами. Это осуществляется с помощью схемы слепых подписей.

Стоит еще отметить, что при использовании электронных денег отпадает необходимость в аутентификации, поскольку система основана на выпуске денег в обращение перед их использованием.

На рисунке 44 приведена схема платежа с помощью электронных денег.

Рис. 44. Схема проведения платежей с электронными деньгами

Механизм осуществления платежа следующий:

1. Покупатель заранее обменивает реальные деньги на электронные. Хранение наличности у клиента может осуществляться двумя способами, что определяется используемой системой:

— на жестком диске компьютера;

— на смарт-картах.

Разные системы предлагают разные схемы обмена. Некоторые открывают специальные счета, на которые перечисляются средства со счета покупателя в обмен на электронные купюры. Некоторые банки могут сами эмитировать электронную наличность. При этом она эмитируется только по запросу клиента с последующим ее перечислением на компьютер или карту этого клиента и снятием денежного эквивалента с его счета. При реализации же слепой подписи покупатель сам создает электронные купюры, пересылает их в банк, где при поступлении реальных денег на счет они заверяются печатью и отправляются обратно клиенту.

Наряду с удобствами такого хранения, у него имеются и недостатки. Порча диска или смарт-карты оборачивается невозвратимой потерей электронных денег.

2. Покупатель перечисляет на сервер продавца электронные деньги за покупку.

3. Деньги предъявляются эмитенту, который проверяет их подлинность.

4. В случае подлинности электронных купюр счет продавца увеличивается на сумму покупки, а покупателю отгружается товар или оказывается услуга.

Одной из важных отличительных черт электронных денег является возможность осуществлять микроплатежи. Это связано с тем, что номинал купюр может не соответствовать реальным монетам (например, 37 копеек).

Эмитировать электронные наличные могут как банки, так и небанковские организации. Однако до сих пор не выработана единая система конвертирования разных видов электронных денег. Поэтому только сами эмитенты могут гасить выпущенную ими электронную наличность. Кроме того, использование подобных денег от нефинансовых структур не обеспечено гарантиями со стороны государства. Однако, малая стоимость транзакции делает электронную наличность привлекательным инструментом платежей в Интернет.

Кредитные системы

Internet-кредитные системы являются аналогами обычных систем, работающих с кредитными картами. Отличие состоит в проведении всех транзакций через Internet, и как следствие, в необходимости дополнительных средств безопасности и аутентификации.

В проведении платежей через Internet с помощью кредитных карт участвуют:

1. Покупатель. Клиент, имеющий компьютер с Web-браузером и доступом в Internet.

2. Банк-эмитент. Здесь находится расчетный счет покупателя. Банк-эмитент выпускает карточки и является гарантом выполнения финансовых обязательств клиента.

3. Продавцы. Под продавцами понимаются сервера Электронной Коммерции, на которых ведутся каталоги товаров и услуг и принимаются заказы клиентов на покупку.

4. Банки-эквайеры. Банки, обслуживающие продавцов. Каждый продавец имеет единственный банк, в котором он держит свой расчетный счет.

5. Платежная система Internet. Электронные компоненты, являющиеся посредниками между остальными участниками.

6. Традиционная платежная система. Комплекс финансовых и технологических средств для обслуживания карт данного типа. Среди основных задач, решаемых платежной системой, - обеспечение использования карт как средства платежа за товары и услуги, пользование банковскими услугами, проведение взаимозачетов и т.д. Участниками платежной системы являются физические и юридические лица, объединенные отношениями по использованию кредитных карт.

7. Процессинговый центр платежной системы. Организация, обеспечивающая информационное и технологическое взаимодействие между участниками традиционной платежной системы.

8. Расчетный банк платежной системы. Кредитная организация, осуществляющая взаиморасчеты между участниками платежной системы по поручению процессингового центра.

Общая схема платежей в такой системе приведена на рисунке 45.

1. Покупатель в электронном магазине формирует корзину товаров и выбирает способ оплаты "кредитная карта".

2. Далее, параметры кредитной карты (номер, имя владельца, дата окончания действия) должны быть переданы платежной системе Internet для дальнейшей авторизации. Это может быть сделано двумя способами:

— через магазин, то есть параметры карты вводятся непосредственно на сайте магазина, после чего они передаются платежной системе Internet (2а);

— на сервере платежной системы (2б).

Очевидны преимущества второго пути. В этом случае сведения о картах не остаются в магазине, и, соответственно, снижается риск получения их третьими лицами или обмана продавцом. И в том, и в другом случае при передаче реквизитов кредитной карты, все же существует возможность их перехвата злоумышленниками в сети. Для предотвращения этого данные при передаче шифруются.

Рис. 45. Общая схема платежей в кредитной Internet-системе

Шифрование, естественно, снижает возможности перехвата данных в сети, поэтому связи покупатель/продавец, продавец/платежная система Internet, покупатель/платежная система Internet желательно осуществлять с помощью защищенных протоколов. Наиболее распространенными из них на сегодняшний день является протокол SSL (Secure Sockets Layer), а также стандарт защищенных электронных транзакций SET (Secure Electronic Transaction), призванный со временем заменить SSL при обработке транзакций, связанных с расчетами за покупки по кредитным картам в Internet.

3. Платежная система Internet передает запрос на авторизацию традиционной платежной системе.

4. Последующий шаг зависит от того, ведет ли банк-эмитент онлайновую базу данных (БД) счетов. При наличии БД процессинговый центр передает банку-эмитенту запрос на авторизацию карты (см. введение или словарь) (4а) и затем, (4б) получает ее результат. Если же такой базы нет, то процессинговый центр сам хранит сведения о состоянии счетов держателей карт, стоп-листы и выполняет запросы на авторизацию. Эти сведения регулярно обновляются банками-эмитентами.

5. Результат авторизации передается платежной системе Internet.

6. Магазин получает результат авторизации.

7. Покупатель получает результат авторизации через магазин (7а) или непосредственно от платежной системы Internet (7б).

8. При положительном результате авторизации:

— магазин оказывает услугу, или отгружает товар (8а);

— процессинговый центр передает в расчетный банк сведения о совершенной транзакции (8б). Деньги со счета покупателя в банке-эмитенте перечисляются через расчетный банк на счет магазина в банке-эквайере.

Для проведения подобных платежей в большинстве случаев необходимо специальное программное обеспечение. Оно может поставляться покупателю, (называемое электронным кошельком), продавцу и его обслуживающему банку.