Курсовая: Способы оплаты в Интернет. Платежные системы в электронной коммерции
Российский Государственный Торгово-Экономический Университет
Ивановский Филиал
Курсовая по электронной коммерции
По теме: лСпособы оплаты в Интернет. Платежные системы в электронной коммерции
Выполнила: студентка 3 курса УФФ
Прозорова В.С.
Проверил: Сидоров С.Г.
г.Иваново, 2004
План:
Введение.
1. Способы оплаты в Интернет.
1.1. Оплата со счета мобильного телефона (m-commerce).
1.2. Оплата по картам предоплаты (скретч-картам).
1.3. Оплата электронными деньгами.
1.4. Оплата платежными картами.
2. Платежные системы.
2.1. Платежные системы: мировые, национальные, локальные.
2.2. Российские платежные системы.
2.3. Международные платежные системы.
2.4. Платежная система E-Gold.
3. Системы Интернет-платежей.
3.1. Системы Интернет-платежей: Кредитные схемы.
3.2. Системы Интернет-платежей: Дебитные схемы.
3.3. Системы Интернет-платежей: цифровая наличность.
3.4. Выбор процессинговой системы.
4. Безопасность и защита информации.
4.1. Преимущества и недостатки протокола SET.
4.2. Стандарт SPA/USAF от MasterCard International.
4.3. Криптография - основа защиты информации в Интернет.
4.4. SSL и S-HTTP - защита web-приложений.
4.5. 3-D Secure (протокол трех доменов).
5. Заключение.
Список использованной литературы.
Введение.
Электронная коммерция развивается бурными темпами. По данным консалтингового
агентства The Boston Consulting Group, рынок только розничной электронной
торговли в Северной Америке достигнет в 2001 г. уровня 65 млрд. долл. По
оценкам экспертов консалитногвой фирмы McKinsey, к 2003 году объем розничной
торговли через Интернет в России приблизится к 1 млрд. долл., а общий рынок
электронной коммерции достигнет 5,2 млрд. долл.
Пережившие кризис электронные магазины укрепили свои позиции на рынке, скупив
ме-нее удачливых конкурентов. Гиганты оффлайнового бизнеса, в 1999 году
стоившие в десятки раз дешевле своих онлайновых собратьев, после кризиса тоже
получили возможность выйти на рынок Интернета, предложив более высокое
качество услуг и громкое имя.
В России в сфере электронной коммерции традиционно работают фирмы, либо
выросшие на рынке предоставления доступа в Интернет, либо поставщики
Интернет-контента (web-порталы, поисковые машины, службы web-почты, новостные
Интернет-агенства). Здесь нет ни лидеров оффлайнового рынка, ни
представительств крупных международных Интернет-компаний.
Традиционный рынок Интернет - коммерции зарождался как рынок розничной
торговли. Но постепенно на рынке стали появляется решения, ориентированные не
на конечных потребите-лей, а на организации, так называемый рынок B2B, или
business-to-business (в противоположность B2C, business-to-customer).
Первоначально, на рынке B2B предлагались продукты, связанные с собственно
организацией розничной торговли (готовые Интернет - магазины, услуги по
рекламе, внедрение Интернет - торговли в традиционные бизнес - процессы и
т.п.). Но постепенно через Интернет стали продаваться решения,
непосредственно с Интернет не связанные (коммерческое программное
обеспечение, услуги по автоматизации, оптовая торговля, брокерские услуги,
кон-салтинг и т.п.). По прогнозам агентства McKinsey, к 2003 году рынок B2B
будет занимать 90% всего рынка Интернет-услуг, и его объем превысит 400 млрд.
долл. По прогнозу IDC, к тому же 2003 году объем всего рынка Интернет
превысит 1,6 триллиона долл., причем 1,4 триллиона будет приходиться на B2B.
1. Способы оплаты в Интернет.
Традиционные методы оплаты, включая наличные деньги, банковские переводы,
чеки, пластиковые карточки, изобретены задолго до возникновения электронной
коммерции. Поэтому нет ничего удивительного в том, что они не полностью
соответствуют ее потребностям. Безусловно, при покупке обычного "физического"
товара деньги можно взять с покупателя при доставке. Но если приобретается
"цифровой" товар или информация, обязательно должен быть способ оплатить
покупку прямо "на месте", то есть на сайте продавца. Вот почему в электронной
коммерции чрезвычайно остро стоит вопрос разработки универсального способа
оплаты покупок в Интернет, который бы позволил делать дешевые и безопасные
платежи в режиме реального времени.
К способам оплаты покупок в Интернет, проводимым электронным путём, можно
отнести следующие:
1. Оплата со счета мобильного телефона (m-commerce)
2. Оплата по картам предоплаты (скретч-картам)
3. Оплата электронными деньгами
4. Оплата платежными картами
1.1. Оплата со счета мобильного телефона (m-commerce).
Мобильная коммерция это использование мобильных портативных устройств для
общения, развлечения, получения и передачи информации, совершения транзакций
через общественные и частные сети.
Сегодня на рынке появилась прекрасная возможность оплачивать услуги или
товары различных компаний через мобильный телефон. Вы можете делать покупки в
Интернет - магазинах, оплачивать коммунальные платежи и даже переводить
деньги по банковским реквизитам. Вне зависимости оттого, что и как Вы
оплачиваете, процесс оплаты занимает всего 1-2 минуты, а сам платеж
происходит практически мгновенно.
Некоторые мобильные компании предоставляют эту услугу бесплатно, как часть
обычного пакета пользователя мобильного телефона. Деньги, которые будут
использованы владельцем мобильного телефона для покупки товаров или услуг
могут быть сняты со счёта владельца телефона или со специальной карты,
которую нужно сначала купить, а затем активировать со своего телефона.
Оплата услуги или товара происходит с помощью посылки секретного сообщения
(SMS), включающего в себя цепочку информации типа номер счёта владельца
телефона/сумма к оплате или кодовый номер товара или услуги/ номер счёта
продавца.
В случае если размер совершаемого платежа превышает остаток средств на
текущей карте, необходимо активировать новую карту. При этом неиспользованные
остатки денежных средств с предыдущих карт прибавляются к номиналу
активированной карты.
Важно отметить, что для того, чтобы Вы могли использовать эту функцию ваш
телефон должен быть оснащён функцией WAP или некоторым собственным
микробраузером. Мобильная коммерция делает пользователя еще более
независимым, не привязанным к стационарным устройствам, предоставляя все
вышеперечисленные возможности при наличии одного только мобильного телефона
или карманного компьютера. Это очень важно для делового человека: часто
многое зависит от мгновенно принятого решения, и этому не должны
препятствовать такие факторы, как невозможность быстрого оформления сделки
или отсутствие доступа к информационным каналам.
1.2. Оплата по картам предоплаты (скретч-картам).
Скретч-карты являются картами предоплаты поскольку, покупая их, вы делаете
предоплату сервиса или товара, который собираетесь заказать. Своё название
они получили от английского слова лscratch, что значит царапать. Именно
наличие особенного защитного слоя скрывающего буквенно-цифровой набор,
является отличительной особенностью карт предоплаты. Очень важно отметить,
что каждая карта предоплаты имеет свой уникальный серийный номер, который
будет использоваться при оплате услуг.
Карты предоплаты выпускаются различными фирмами, бывают разного номинала и
разного предназначения. Как правило, скретч-карта имеет ограниченный срок
действия, который может варьироваться в зависимости от номинальной стоимости
карты или других условий. Сама карта предоплаты представляет собой
пластиковую карточку с размещённой на ней информацией относительно фирмы
изготовителя, сферы её применения и срока её действия.
Карты предоплаты получили достаточно широкое распространение, поскольку
являются удобным способом платы услуг и покупок. Их активно используют
компании, занимающиеся сотовой связью, предоставлением услуг Интернет
провайдеров и т.п.
1.3. Оплата электронными деньгами
Цифровые деньги являются основой платежной системы Интернет. Они могут
быть классифицированы по видам организации их функционирования, по уровню
безопасности, а также по способу расчета.
Цифровую наличность можно представить себе как файлы-жетоны, заменяющие наличные
деньги. Продавцы и покупатели могут свободно обмениваться этими "монетами" по
сети, оплачивая ими товары и услуги. Для указанной цели участники системы
устанавливают у себя на компьютерах особую программу - "электронный кошелек
", который обеспечивает учет и передачу жетонов, а также проверку их
подлинности. Цифровые деньги могут неограниченно долго обращаться в сети, но
также могут в любое время быть обменены на настоящие деньги у организаторов
системы или в банках, участвующих в ней.
Разновидностью электронных денег являются системы цифровых наличных,
основанные на использовании технологии smart-card.
Современная смарт-карта - это маленький компьютер со своим процессором,
памятью, программным обеспечением и системой ввода/вывода информации. В чипе
такой карточки хранится не что иное, как электронные деньги в описанном выше
смысле.
Пока смарт-карта употребляется как обычная дебетовая карта (называемая
электронным кошельком), в которую вносятся записи о списании денег, или
просто информация о клиенте. Наличные цифровые деньги на базе смарт-карт не
только могут обеспечить необходимый уровень конфиденциальности и анонимности,
но и не требуют связи с центром для подтверждения оплаты в отличие от
подобных систем на базе персонального компьютера. В связи с этим стоимость
транзакции стремиться к нулю, за исключением пополнения карты или
обналичивания денег. Единственное неудобство состоит в том, что для перевода
электронных денег с карточки на компьютер или обратно необходимо особое
устройство для чтения карточек, ридер, присоединяемый к компьютеру.
1.4. Оплата платежными картами
Кредитные карты
Кредитная карта - именной платежно-расчетный документ в виде
пластиковой карточки, выдаваемый банком своим вкладчикам для безналичной оплаты
ими товаров и услуг в розничной торговой сети, снабженной компьютерными
устройствами, передающими запрос на оплату товара в банк.
Кредитная карточка удостоверяет наличие у ее владельца текущего счета в
банке. В разных странах используются кредитные карточки американских
кредитно-финансовых групп типа Visa, MasterCard, American Express и т.д.
Дебитные карты
Дебетовые карточки могут использоваться при оплате товаров и услуг через
Интернет в режиме он-лайн так же, как при получении наличных в банкомате: для
совершения платежа клиент должен ввести номер карточки и PIN-код.
Виртуальные карты
Поскольку использование классической кредитной карты для расчетов в Интернет
является небезопасным, были разработаны виртуальные карты типа VISA E-c@rd и
Virtual MasterCard, которые предназначены исключительно для расчетов в
Интернет. VISA E-c@rd разработана по технологии международной платежной системы
VISA Int. Virtual MasterCard разработана по технологии международной платежной
системы MasterCard Int.
Выпуском подобных карт сегодня занимаются различные банки своевременно оценив
их преимущества и потенциал. VISA E-c@rd и Virtual MasterCard применяется
исключительно для оплаты через Интернет товаров и услуг в электронных
магазинах по всему миру, включая Россию, а также услуг операторов сотовой
связи, провайдеров Интернета, туристических фирм и отелей.
2. Платёжные системы.
Данный раздел посвящен современным платёжным системам, которые, по мнению
многих аналитиков, призваны кардинально изменить картину финансово-торгового
мира и общества в целом. С распространением глобальной сети Интернет это
представляется вполне возможным. Однако в связи с этим весьма актуально стоит
и проблема выбора приемлемых систем осуществления платежей.
2.1. Платежные системы: мировые, национальные, локальные.
Мировые или международные платежные системы Ц системы, которые объединяют
под своей лпластиковой крышей миллионы пользователей по всему миру. Эти
системы не знают границ государств, карты таких систем принимаются к оплате в
миллионах торговых точек по всему миру, наличные же можно получить в любом из
сотен тысяч банкоматов.
Самыми известными на сегодняшний день являются международные платежные
системы Visa, MasterCard, American Express, Diners Club.
Национальная платежная система - система взаиморасчетов между
участниками, производимых в пределах одного государства.
Можно выделить три критерия, по которым определяется это понятие:
- полнота охвата, т. е. карточки такой системы можно получить почти во всех
городах страны;
- большое число банков - участников системы;
- поддержка системы правительством государства .
Во многих развитых странах уже давно практикуется использование такого рода
систем. Считается, что национальные рынки карт эффективнее всего строить на
основе отечественных внутренних платежных систем. В пределах своей страны
пользователь расплачивается при помощи лдомашней, внутренней карты, а при
выезде за границу получает в свое распоряжение лпластик международной
платежной системы. Такая схема успешно работает, например, в Японии. В
Германии подавляющее большинство карт носит логотип немецкой платежной
системы GеldKarte, и соответственно обслуживаются эти карты внутри страны в
этой платежной системе. Внутренние расчеты 92% всех карт во Франции
производятся по правилам собственных платежных систем. Подобные ситуации
наблюдаются и таких странах, как Австрия, Италия, Швейцария.
Рынок пластиковых карт можно представить в виде лсвоеобразной пирамиды, на
вершине которой находятся международные системы, а в основании расположен
массивный блок локальных систем. Локальные платежные системы могут
работать как в рамках одного предприятия (например, так называемые лзарплатные
проекты), так и в пределах региона или даже нескольких регионов.
Функционирование таких систем происходит на базе микропроцессорных карточек.
Следующие положения являются ключевыми моментами в определении идеологии
локальных платежных систем:
это системы, позволяющие банку удерживать 100% контроль над бизнесом;
это системы, обеспечивающие минимально возможную стоимость транзакции;
это системы, позволяющие
реализовать максимально полный набор платежных функций (различные типы
"электронных кошельков", "бензиновые" приложения, приложения лояльности и т.
п.).
Локальные платежные системы в России, бурное развитие которых пришлось на
середину 90-х , находятся в данный момент под сильным давлением международных
платежных систем. В Москве и Санкт-Петербурге локальные системы уже почти
полностью ими вытеснены; свои позиции локальные системы сохраняют лишь на
периферии.
Крупнейшими российскими локальными платежными системами являются на
сегодняшний день "СТБ-кард", "Юнион Кард", "Золотая корона", "Сберкарта",
"Аккорд" и не так давно созданные NPS Cards и "Русский стандарт".
2.2. Российские платежные системы.
Золотая Корона
это крупнейшая российская межбанковская платежная система. Она обслуживает
199 банков и более 1,7 млн. их клиентов во всех регионах России.
Технологическую основу cистемы составляют многофункциональные
микропроцессорные карты. Карты "Золотая корона" обеспечивают широкую
региональную сеть обслуживания на территории России, высокий уровень
безопасности, возможность объединить на одной карте "электронный кошелек",
"транспортную карту", "учет льгот и субсидий", различные дисконтные программы
"Юнион Кард"
в настоящий момент является фактически единственной российской межбанковской
общенациональной платежной системой, в состав которой входит более 300
российских банков. Эмиссионная политика базируется на потенциале большого
количества средних и мелких банков, хотя эмитентами Юнион Кард являются и
крупнейшие российские банки - Автобанк, Внешторгбанк РФ, Межпромбанк,
Газпромбанк, Уралвнешторгбанк, ГУТА-банк, Нижегородпромстройбанк, Банк
Москвы, Связь-Банк, Транскредитбанк. Российские банки и их филиалы проявляют
заинтересованность в эмиссии российского карточного продукта. Причины столь
широкого распространения Платёжной системы "Юнион Кард" заключаются главным
образом в системе построения ее работы с банками в рамках т.н. зарплатных
проектов.
СТБ
является на сегодняшний день единственной из российских платежных систем,
которая имеет сертификат Europay Int. Эта платежная система работает с 1992
года и за это время стала важным элементом российского рынка пластиковых
карт. Партнерами СТБ уже стали многие российские банки и банки стран СНГ и
Балтии. На сегодняшний день Платежная система СТБ охватывает 82 субъекта
Российской Федерации. Разработанная специалистами СТБ КАРД уникальная
технология ПИН2 позволяет держателям карт STB с выпущенным кодом ПИН2
осуществлять в сети интернет безопасные транзакции электронной коммерции, а
также получать доступ к дополнительным услугам и сервисам, предоставляемым
через интернет банками-участниками системы.
2.3. Международные платежные системы.
VISA
Система VISA - самая популярная в мире - объединяет под своей "пластиковой
крышей" миллионы пользователей и работает в 72 странах мира; ее клиентов
обслуживают около 20 тысяч банков. История Visa в России насчитывает более 13
лет. Ассоциация российских банков-членов Visa была учреждена 25 февраля 1997
года Международной Сервисной Ассоциацией Visa International и коммерческими
банками лИнкомбанк и лРоссийский кредит. Позднее соучредителями Ассоциации
стали другие российские банки, общее количество которых на сегодняшний день
насчитывает 32 банка. Visa разработала целый ряд платежных карточек,
предназначенных для разных категорий клиентов, которые отвечают их образу
жизни и индивидуальным потребностям. Карточки Visa - это удобный и надежный
способ оплаты и снятия наличных, как дома, так и во время поездок.
VISA E-c@rd предназначены для оплаты через интернет любых видов товаров и
услуг в любых электронных магазинах во всем мире, а также для оплаты услуг
операторов сотовой связи, интернет-провайдеров, туристических компаний,
предприятий гостиничного бизнеса и т. д. Однако снять наличные в пункте
выдачи наличных или в банкомате с помощью этой карточки или расплатиться ею в
магазине не удастся. Ограничение в режиме работы карты положительно сказалось
на ее цене - выпуск и обслуживание карты для электронных расчетов в течение
полугода обойдутся владельцу менее чем в два доллара США при отсутствии
какого-либо страхового депозита.
MasterCard
Платёжная система MasterCard выпустила более 590 миллионов карт с логотипом
MasterCard и 505 миллионов карт с логотипом Maestro, что в совокупности
составляет 1 095 миллионов карт. Эти карты принимаются более чем в 30
миллионах точек по всему миру. Карта Eurocard/MasterCard ориентирована на
средних по достатку граждан, которые периодически выезжают за границу и
делают покупки в крупных российских магазинах, оплачивают услуги гостиниц и
ресторанов. Карты Eurocard/MasterCard являются удобным и современным
платежным средством, пользующимся огромной популярностью во всем мире и
обеспечивающим более высокую степень сохранности Ваших личных средств по
сравнению с наличными.
Virtual Card Eurocard/MasterCard предназначена исключительно для расчетов в
Интернете и отличается от обычной только тем, что немного короче.
AmericanExpress
Карта American Express отличается от предыдущих разве что степенью своей
доступности. Дело в том, что, в отличие от VISA и EuroCard/MasterCard,
American Express воздерживается от практики предоставления банкам права
эмиссии своих карточек, и потому в мире карту American Espress с логотипом
какого-либо банка встретить крайне сложно. Между тем, несмотря на то, что
эксклюзивным правом обладают лишь подразделения компании American Express,
насчитывается около десятка российских банков, распространяющих карточки этой
компании. Однако специфический характер этой карты, а также отсутствие в
России института кредитных историй обуславливают то, что банки предпочитают
выдавать карточки AmEx только своим самым солидным и проверенным клиентам.
Карты American Express также бывают различных типов: Personal, American
Express Company, American Express Gold и не так давно появившаяся Optima True
Grace Card.
DinersClub
Diners Club International - одна из старейших платежных систем в мире и один
из лидеров по выпуску карточек для путешествий и развлечений. Выбирая карту
Diners Club клиент становится не только обладателем удобного средства
платежа, но и членом международного клуба Diners Club, получая ряд
преимуществ и льгот, предусмотренных для членов этого клуба. Владелец карты
получает в свое распоряжение "сервисную корзину", призванную оградить его от
многих неожиданностей во время деловых поездок и отдыха, включая поддержку в
представительствах Diners Club International по всему миру.
Карточка Diners Club International рассчитана, прежде всего, на людей,
имеющих стабильный, выше среднего уровня доход и достаточно часто совершающих
деловые или туристические поездки.
2.4. Платежная система E-Gold.
E-Gold - это интернациональная платежная система, денежные средства которой,
корреспондированы в драгоценные металлы: серебро, золото, платину и
палладиум. Эта особенность делает E-Gold особенно эффективной для проведения
международных платежей, так как счета пользователей не привязаны к какой либо
национальной валюте.
Платежная система E-Gold начала свою работу в 1996г, управляется компанией
Gold&Silver Reserve (G&SR). За эти восем лет, было открыто более 300
тысяч счетов, с ежедневным оборотом порядка 800 000$.
Перед тем как подойти к более подробному рассмотрению принципов работы
системы E-Gold, хотелось бы подчеркнуть основные положительные черты данной
платежной системы.
высокая ликвидность E-Gold
анонимность платежей, как со стороны клиента, так и со стороны продавца
высокая степень защиты
возможность микроплатежей
интернациональность
простота и дешевизна в обслуживании, низкие тарифы.
1. Чем E-Gold удобна для россиян?
1. Регистрация бесплатна.
2. Это не банковская система, поэтому, открывая счет в E-Gold, вы не рискуете
нарушить закон. 3. E-Gold не делит своих участников на людей проживающих в
USA и остальных, как например это делает PayPal, все участники этой платежной
системы равноправны.
4. Очень многие спонсоры стали использовать E-Gold как инструмент платежа.
таким образом упрощается процедура получение денег и увеличивается
надежность.
5. Большое количество обменных пунктов позволит вам перевести E-Gold в любую
другую мировую валюту, в том числе и в российскую платежную систему WebMoney.
2. Что вы можете делать с помощью E-Gold?
Получать деньги от ваших спонсоров.
Инвестировать ваши деньги в различные высоко-доходные проекты.
Вкладывать деньги в пирамиды и МЛМ-программы и терять их там.
Принимать участие в онлайновых
аукционах и распродажах, вроде e-bay поддерживает E-Gold.
Оплачивать товары в
интернет-магазинах, или платить за различного рода услуги, регистрация доменна,
оплата хостинга и тп.
Принимать к оплате E-Gold на вашем сайте с помощью простой формочки
Инвестировать ваши E-Gold в различные биржи.
Передвать ваши E-Gold от одного
физ.лица другому, не имея при этом проблем с законодательством РФ.
3. Как зарегистрироваться в E-Gold?
Открыть счета в E-Gold можно
свободно и бесплатно, для этого необходимо зайти на сайт платежной системы
E-Gold и заполнить регистрационную форму. Для упрощения регистрации предлагаю
воспользоваться примером заполнения регистрационной формы.
Процесс регистрации не сложен и проходит в несколько этапов. На главной
странице сайта нажмите ссылку Create An Account. Далее согласитесь с
лицензионным соглашением. Регистрационная страница разбита на несколько
разделов. В первом заполните поля Account Name (лИмя счета) и Description
(лОписание счета). Имя счета будет отображаться при операциях перевода и
получения денег другими пользователями системы. Описание счета необязательно.
Далее следуют поля User Name (лИмя пользователя) и Description (лОписание
пользователя). Последнее необязательно, а вот имя пользователя будет
отображаться в истории операций. Далее введите контактную информацию: свое
имя, адрес, e-mail и т.д. После этого придумайте и дважды введите пароль
(минимальная длина - 6 символов). Он должен содержать и буквы, и цифры.
Пароль желательно запомнить или записать. В последнее поле нужно ввести
специальную защитную последовательность цифр, изображённую на соседнем
изображении (для защиты от автоматических регистраций).
Все данные вводятся на английском языке. Тут необходимо представлять себе
правила заполнения таких граф. Если это русский ресурс, то информацию в
принцие можно вводить на русском языке, но все же предпочтительнее вводить
данные латиницей. Если же вы регистрируетесь на зарубежном сайте, то данные
предоставлять необходимо только на английском. Правильное заполнение
регистрационных форм приобретает большое значение, когда речь идет об
сведениях, необходимых для отправки вам чего-нибудь по почте. Например, когда
вы заказываете на сайте компании бесплатные образцы ее продукции. В остальном
проблем возникнуть не должно.
Практически в каждой форме есть поля, обязательные и необязательные для
заполнения. Необязательные графы всегда как-то помечаются: возле них ставится
звездочка или ее название выводится жирным шрифтом. Кстати, если вам часто
приходится заполнять такие регистрационные формы, рекомендую пользоваться
специальными программами, автоматизирующими этот процесс: Gator, RoboForm или
другими. Вы найдете их в разделе DOWNLOAD.
После правильного заполнения регистрационной формы на ваш электронный ящик
придет письмо, подтверждающее факт регистрации в системе. В нем вы найдете
номер вашего, только что зарегистрированного счета на E-Gold.
Образец заполнения регистрационной формы
Примечание:
При открытии счета на E-Gold в
качестве контактного е-мейла, на который будет от E-Gold высылаться пароль, не
стоит указывать адреса с серверов mail.ru , yandex.ru , rambler.ru и других
слишком распространенных бесплатных.
Дело в том, что после спамерских атак в августе-сетнябре, E-Gold перестал
посылать подтверждения на вышеуказанные сервера, и соответственно адреса.
Если у вас нет нормального платного ящика, открывайте бесплатный не в таких
лзасвеченных службах.
Также следует обратить внимание на следующие требования :
- В браузере должны быть включены к показу картинки, и он должен поддерживать
- JavaScript и 128 битный SSL.
- Вся информация набирается латиницей.
- Вводимая информация должна быть достоверной или походить на достоверную. Не
стоит называть себя Джоном Смитом и при этом заходить с российским IP.
Администрация E-Gold это очень не любит, а выражается это чувство следующим
образом: либо вам запретят проводить зачисление на счет, либо ограничат сумму
зачисления. Таким образом, E-Gold борется с обманом.
4. Зачисление на счет и вывод денег со счета в Платежной системе E-Gold.
Итак, вы открыли счет в E-Gold,
разобрались с простым интерфейсом и решили его пополнить. Ввод денег в
платежную систему Ц эта операция называется InExchange - обмен денег на металл,
т.е. пополнение Вашего счета. С начала нужно определится, на какую сумму вы
собираетесь пополнить свой счет в E-Gold и что немаловажно каким образом.
Самый простой способ пополнения,
это перевод E-Gold с другого счета. Например, вы можете попросить друга, чтобы
он вам перевел сколько-то E-Gold, а вы с ним рассчитаетесь позже. Однако друга
с E-Gold счетом может и не оказаться, так что придется перейти ко второму
способу. Второй способ заключается в покупке E-Gold у независимых обменных
пунктов, уже имеющих большие суммы в E-Gold и продающих их за национальные
валюты или иные платежные средства. А каким образом будет происходить процесс
обмена, целиком будет зависеть от вас и от условий выдвигаемых тем или иным
обменным пунктом. В основном это банковский или почтовый платеж в пределах того
государства, в котором находится обменный пункт, платежи через Western Union, с
помощью кредитных карт и др., в том числе WebMoney.
Например, схема перевода через систему WebMoney выглядит так:
1)Ввод Ваших денег(долларов,рублей или евро) в Ваш кошелек WebMoney
(подробности на сайте этой платежной системы), при этом удержат комиссию
порядка 2%.
2)Обмен WM на E-Gold: через обменный пункт WebMoneyEE (комиссия 5-10% от
Вашей суммы) или через биржу INDX (комиссия 1-3% от суммы)
При вводе Ваших денег в E-Gold производится покупка соответствующего
количества драгоценного металла.
Для россиян более характерен другой способ покупки E-Gold, заключается он в
том, что сначала деньги вводятся в платежную систему WebMoney, а затем
обмениваются на E-Gold в специализированных пунктах обмена.
Выбор металла для хранения ваших
денежных средств должен зависеть от того, какие сделки вы собираетесь
проводить: если это микро-платежы, то лучшим выбором будет серебро, если очень
крупные операции, то палладий или платина. Так же большую роль в выборе металла
может играть рыночные колебания в стоимости металла. Рекомендуем золото, как
наиболее часто используемый металл при расчетах в E-Gold.
5. Вывод денег из E-Gold
OutExchange - обмен металла на деньги, т.е. снятие с Вашего счета.
Вывод ваших денежных средств из E-Gold, аналогичен вышесказанному, вы
выбираете пункт обмена, сумму перевода и вид валюты или платежных средств, на
который вы собираетесь обменять ваши E-Gold.
Снять деньги со счета E-Gold можно, выписав чек на чье-либо имя, отправив
банковский перевод, а также перевести в PayPal, через Western Union.
Один из способов вывода денег-
через конвертацию их в WebMoney. Вот как это можно сделать:
1)Обмен E-Gold на WM (через обменный пункт WebMoneyEE (удержат комиссию 5-
10%, от 1$ до 100$- 8%, от 100$ до 250$ -7%, от 250$ до 500$- 6%, от 500$ до
1000$- 5%) или через биржу INDX(1-3%))
2)Со счета(т.е.Вашего кошелька) на Ваш счет в банке.
6. Комиссия в E-Gold
Для правильной работы с платежной системой, необходимо понять, как и когда
происходит взимание комиссии в E-Gold. В E-Gold существует два типа тарифов:
1. Тариф за транзакцию ( Перевод с одного счета E-Gold на другой).
Взимается с получателя платежа во время перевода денежных средств с одного
счета на другой. За каждую транзакцию E-Gold берет 1% от суммы, но не более
50 центов и не менее 0.000004 тройских унций металла.
Spend - перевод металла со счета на счет (с клиента взимается 1% в металле от
переводимого количества, но не больше $0,50 (т.е. до $50- 1%, свыше $50-
$0,50)) Так как все Ваши денежные средства хранятся в металлах, то перевод
платежных средств с одного счета на другой равносилен передаче металла от
одного лица другому. При этом он фактически не покидает хранилища.
Для перевода зайдите в свой аккаунт, затем в раздел Spend и укажите сумму,
наименование металла и счет получателя. Заметим, что между курсами IN и Out
есть разница. За хранение металла установлена плата 1% в год. За вывод
средств (или физического металла) из системы взимается плата в зависимости от
суммы и метода изъятия.
2. Тариф за хранение.
1% в год за хранение металла с каждого счета. Комиссия взимается следующим
образом: 1% раскидывается на 12 месяцев (в среднем, 0.08% в месяц), и
взимается каждый месяц, либо в начале его, либо в конце.
Еще важно знать, что если ваши денежные средства хранятся в двух типах
металла, то плата за хранение взимается с каждого металла по отдельности.
Официально, тарифы можно посмотреть на сайте E-Gold, в разделе e-gold fees.
Там же есть калькулятор для расчета процента комиссии при переводе.
Кроме перечисленных выше операций для пользователей системы доступны
следующие функции:
Redeem - изъятие физического металла.
Metal-to-Metal - обмен одного металла на другой.
Account info - Ваша персональная информация.
History - история сделок (транзакций).
3. Система Интернет-платежей.
3.1. Системы Интернет-платежей: Кредитные схемы.
В основе кредитных платежных систем лежит использование кредитных
карточек. При разовых покупках на "электронном рынке" карточка действует так
же, как при обычной покупке в магазине: клиент покупает товар или услугу и
передает продавцу для оплаты номер своей кредитной карточки, только происходит
всё через Интернет. Такой способ передачи данных обязывает к применению
дополнительных мер безопасности(шифрование обмена сообщениями, цифровая подпись
и т.д.).
Схема проведения платежей через Интернет выглядит следующим образом:
1. Покупатель на странице электронного магазина выбирает товар или услугу,
формирует лкорзину покупок и выбирает способ оплаты "кредитная карта".
2. Реквизиты карты (номер, имя владельца, дата окончания действия) передаются
платежной системе Интернет для авторизации. При этом параметры кредитной
карты могут вводиться как на на сайте магазина (после этого они будут
переданы на сервер платежной системы), так и непосредственно на сервере
платежной системы. Для покупателя второй способ считается более безопасным,
т.к. в этом случае снижается риск лутечки сведений о карте.
3. Платежная система Интернет передает запрос на авторизацию в процессинговый
центр платежной системы, который и производит авторизацию карты.
4. Результат авторизации передается платежной системе Интернет.
5. Продавец и Покупатель получают результат авторизации.
6. При положительном результате авторизации:
Х магазин оказывает услугу, или отгружает товар;
Х процессинговый центр передает в расчетный банк сведения
о совершенной транзакции. Деньги со счета покупателя в
банке-эмитенте перечисляются через расчетный банк на счет
магазина в банке-эквайере.
Несомненными достоинствами кредитной схемы платежей являются:
Привычность для клиентов и правовая определенность
Достаточно высокая защищенность
конфиденциальной информации за счет использования протокола https. В
соответствии с этим протоколом номер карточки, передаваемый по сети, шифруется.
Дешифровку смогут осуществлять только уполномоченные банки и процессинговые
компании. Этот протокол должен обеспечить защиту клиентов от недобросовестных
продавцов и защиту продавцов от мошенничества при помощи поддельных или
краденых карточек.
Одной из основных проблем, связанных с платежами по кредитным картам,
являются вопросы безопасности. Транзакция по кредитной карте через Интернет с
точки зрения платежных систем сетей является "транзакцией без физического
присутствия владельца", и как следствие того, повышается риск возможности
перехвата личной и банковской информации во время транзакции. Среди других
недостатков этих систем можно назвать:
Необходимость проверки
кредитоспособности клиента и авторизации карточки, повышающая издержки на
проведение транзакции и делающая системы неприспособленными для микроплатежей.
Отсутствие анонимности и, как
следствие, навязчивый сервис со стороны торговых структур.
3.2. Системы Интернет-платежей: Дебитные схемы.
Дебетные схемы платежей через Интернет построены по аналогии с их
оффлайновыми предшественниками - чековыми и обычными наличными расчетами. В
расчетах участвуют эмитент и пользователь. Эмитент выпускает некие электронные
единицы (цифровые эквиваленты денег на счетах в банках или бумажных чеков).
Пользователь осуществляет платежи через Интернет, используя данные электронные
единицы.
Электронные чеки являются аналогом обычных бумажных чеков, т.е. по сути своей
- это предписания плательщика своему банку перечислить деньги со своего счета
на счет получателя платежа. Владелец чековой книжки подписывает электронный
чек электронной подписью на необходимую сумму и передает его любым доступным
способом получателю. Получатель предъявляет этот чек к оплате платежной
системе. Если проверка подтверждает подлинность чека, плательщик получает
товар или услугу, а деньги перечисляются со счета плательщика на счет
получателя.
Подобные схемы платежей просты и давно применяются за рубежом (NetCash,
NetChex, NetCheque), но для России они пока не слишком актуальны, т.к.прежде
всего, отсутствует широкая практика использования чеков даже при оффлайновых
расчетах. Одной из первых ласточек в этой сфере электронных платежей в нашей
стране является система PAYMER, в которой в качестве расчетного средства
используются цифровые чеки.
3.3. Системы Интернет-платежей: цифровая наличность.
Системы цифровой наличности основаны на использовании электронных денег.
Они представляют собой денежные знаки, которые эмитированы в форме электронных
документов и обращаются в Интернет. Цифровые деньги функционируют так же, как и
их аналог Ц банкноты и монеты, только в виде файлов, а эмитируются как банками,
так и небанковскими организациями. Электронные деньги могут храниться,
переноситься и использоваться с помощью специальных устройств, и/или
программных средств на обычных персональных компьютерах.
На сегодняшний день cуществует 2 типа систем цифровых наличных:
системы, работающие с электронными кошельками на компьютере клиента,
системы, основанные на использовании смарт-карт.
Системы, работающие с электронными кошельками на компьютере клиента
Для того, чтобы свободно обмениваться электронной наличностью по сети участники
системы устанавливают у себя на компьютерах особую программу - "электронный
кошелек", который обеспечивает учет и передачу "наличности", а также
проверку её подлинности. Пополнить свой счёт-лкошелек можно либо при помощи
предоплаченных карт, либо перечислением через банк. Если клиент расплачивается
"наличными" из своего электронного кошелька, оплата происходит следующим
образом:
1. клиент регистрируется в системе, которая работает с цифровой наличностью,
загружает соответствующее ПО и активизирует свой электронный лкошелек;
2. клиент перечисляет на сервер продавца электронные деньги за покупку;
3. электронные купюры предъявляются эмитенту, который проверяет их
подлинность, после чего счет продавца пополняется деньгами на сумму покупки,
а покупателю отгружается товар или оказывается услуга.
Особенностью электронных денег является то, что их впоследствии можно
конвертировать в реальные деньги. Конвертирование одного типа электронной
наличности в другой напрямую пока, к сожалению, не возможно, т.к. до сих пор
не выработана единая система конвертирования разных видов электронных денег.
Можно выделить следующие преимущества подобных систем:
крайняя простота, минимум формальностей и высокий уровень безопасности
возможность осуществления микроплатежей, т.к. номинал купюры может быть любым
подобные платежные системы
выигрывают у других по стоимости транзакций. Проведение транзакции с
использованием электронных денег обходится гораздо дешевле.
при использовании электронной
наличности реализуется возможность конфиденциальности платежа Цот покупателя не
требуют удостоверения его личности и кредитоспособности.
Недостатком такой схемы является, например, необходимость заранее пополнять
свой лэлектронныйкошелёк.
Крупнейшими системами цифровой наличности на сегодняшний день в России
явлются WebMoney, Яндекс.Деньги, CyberPlat и др. К зарубежным системам
подобного типа относятся NetCash, eCash.
Системы, основанные на использовании смарт-карт.
Смарт-карты(smart card) - это пластиковые карты со встроенным
микропроцессором. Смарт-карта выпускается банком. На чипе карты сохраняется
информация о банковском счёте покупателя (номер счета и сумма денег, которая
находится на счету), также информация об эмитенте и покупателе. Деньги с
банковского карт-счета покупателя списываются банком по мере того, как
покупатель расходует их, и перечисляются на счёт продавца. Соответствующие
изменения производятся и на смарт-карте во время проведения операции покупки.
Пополнение баланса карты происходит следующим образом - на карт-счет
владельца в банке эмитенте заносится сумма, которая списывается с его
обычного счета в банке, либо поступает от владельца в виде наличных денег.
Карта может использоваться как для платежей через Интернет, так и через
автономные принимающие устройства. Для оплаты по смарт-карте через Интернет
клиент должен иметь в своём распоряжении специальное устройство, при помощи
которого считывается информация и производятся необходимые изменения.
Благодаря наличию самых современных методов защиты информации и в силу
природы потенциальной многофункциональности, смарт-карты являются более
удобными для потребителей, чем традиционные пластиковые карты с магнитной
полосой. К сожалению, широкому распространению этого вида карт препятствует
их высокая себестоимость.
Наиболее известными платёжными системами, использующими в России смарт-карты,
являются: АС Сберкарт, "Золотая Корона". Самая известная зарубежная система в
этой области Ц Mondex.
3.4. Выбор процессинговой системы.
Выбор системы для обслуживания операций с банковскими картами является
непростой задачей. Банки сталкиваются с обилием разнообразных предложений от
поставщиков решений со всего мира, каждый из которых стремится представить
свое решение как наиболее оптимальное для банка. При этом сегодня большинство
предложений зачастую находится в относительно близком друг другу ценовом
диапазоне, а декларируемая базовая функциональность практически идентична у
всех продуктов. И все это, на фоне стремительных изменений в технологической
области, постоянно меняющихся и создаваемых стандартов, развития интернет-
технологий и чиповых карт, может привести в замешательство кого угодно.
Казалось бы, разнообразие передовых технологий и новые стандарты открывают
колоссальные перспективы. Тем не менее, некоторые проекты оказываются
удачными, а целый ряд других не приносит ожидаемого результата, а порой даже
не завершается вводом в эксплуатацию. В любом случае, реальные затраты банков
обычно существенно превышают запланированный бюджет. К чему это приводит?
Прежде всего, увеличиваются сроки внедрения продукта, т.к. постоянно
выясняется необходимость приобретения дополнительных аппаратных и программных
модулей. С другой стороны, возрастает цена предлагаемых конечным клиентам
банковских продуктов и услуг, что снижает привлекательность и
конкурентоспособность в жестких рыночных условиях.
В итоге, такая ситуация приводит к трем основным сценариям развития. В первом
случае, это успешно функционирующая процессинговая система, построенная
методом проб и ошибок, и, в конце концов, удовлетворяющая базовым требованиям
банка ценой потраченных на эксперименты лет и средств, в разы превышающих
изначально предусмотренный бюджет. В другом случае, а именно по этому
сценарию проистекает развитие ситуации в большинстве малых и средних банков,
происходит отказ от решения иметь свой процессинговый центр и пользоваться
услугами третьего процессора или банка-спонсора, что, в итоге, приводит к
невозможности динамично развивать портфель предлагаемых услуг и создает
ситуацию полной технологической зависимости банка, не позволяя ему занять
лидирующие позиции на данном сегменте рынка. И, наконец, в третьем случае,
банк запускает систему в том виде, в каком она есть, выпускает несколько
тысяч карт и практически замораживает дальнейшее развитие карточных программ,
поскольку техническое решение оказывается неспособным обеспечить оптимальный
технологический процесс, а дальнейшее наращивание объемов приведет к снижению
качества обслуживания клиентов и будет сопровождаться неадекватным ростом
накладных затрат.
Однако, положительные тенденции на рынке карточных систем все же заметны.
Прежде всего, это неуклонный рост грамотности сотрудников банков в области
карточных технологий, казавшихся еще несколько лет назад уделом избранных. Во
многих банках, управления пластиковых карт сейчас возглавляют менеджеры,
получившие практический опыт в банках - пионерах в начале девяностых годов, в
других тон задает молодежь, получившая зарубежное образование или
поработавшая в отделениях зарубежных банков. Квалифицированные специалисты и
консультанты обеспечивают возможность воздержаться от непродуманных решений и
выработать правильную стратегию развития в каждом конкретном случае.
Активно развивается рынок консультационных услуг в части технологий
обслуживания банковских карт. Компании-консультанты оказывают
квалифицированное содействие в обследовании текущего состояния
технологических процессов и систем банка, предоставляют рекомендации по
оптимизации внутренних процессов и технологий, продуктового ряда и
архитектуры IT решений, формируют перспективный портфель продуктов и услуг,
разрабатывают бизнес процессы для их внедрения, формируют детальное
техническое задание на процессинговую систему, проводят тендеры по выбору
поставщика и осуществляют надзор за внедрением новых продуктов и технологий.
Подобные услуги оказывают сегодня не только международные консалтинговые
компании, неуклонно растет роль отечественных организаций, предоставляющих
консультационные услуги высокого уровня качества и прекрасно ориентирующиеся
в условиях ведения карточного бизнеса на пост советском пространстве.
Безусловно, услуги консультантов стоят недешево, но в то же время знания
экспертов, обобщивших опыт как успешных, так и неудавшихся проектов в России
и за рубежом, позволят избежать ошибок в выборе подходящего для банка
решения, уменьшат нагрузку на специалистов банка, позволив им
сконцентрироваться на решении бизнес-задач, а также обеспечат адекватность
сроков внедрения затрат и функциональности решения бизнес потребностям банка.
Так стоит ли изобретать велосипед, или же все-таки воспользоваться
накопленными знаниями и опытом?
Рост квалификации и опыта уже дал ощутимые результаты. Прежде всего, это
существенное падения интереса к замкнутым локальным проектам, некогда
заполонившим Россию и страны СНГ продуктам - преимущества работы в рамках
международных систем и стандартов становятся самоочевидными.. И это не
удивительно, учитывая то, что сегодня уже не удается лпротолкнуть в банки
закрытые доморощенные решения, прикрываясь красивыми и никому не понятными
упоминаниями об использовании передовых технологий, чиповых картах и
небывалой эффективности решения.
При выработке требований к функциональности процессинговой системы немало
коллизий возникает при определении характера взаимодействия процессинга с
автоматизированной банковской системой (АБС). Ни для кого не секрет, что в
большинстве банков развитие АБС и процессинговых систем проистекает
несогласованно. Отсюда возникает сумятица в распределении между ними функций.
В одних случаях АБС выполняет несвойственные ей функции клиринга операций по
банковским картам, расчета комиссий в зависимости от условий совершения
операции и т.п. В других случаях наблюдается и диаметрально противоположная
ситуация, когда на процессинговую систему пытаются возложить ведение
бухгалтерской отчетности, ведение ряда счетов главной бухгалтерской книги и
т.д. И в том и в другом случае попытки привнесения в систему не свойственной
ей функциональности выливаются в излишнюю сложность технологических процессов
и невозможность эффективного развития бизнеса. В связи с этим следует
отметить, что карточный бизнес является высокотехнологичным и для его
успешного развития не только процессинговая система, но и все связанные с ней
компоненты технологической цепочки банка должны находиться на соответствующем
уровне развития. Только четкое понимание функций всех систем банка и
технологий их взаимодействия может обеспечить успешное развитие карточного
бизнеса.
Все более осознанной становится позиция банков в вопросах общей оценки затрат
на внедрение решения и анализа экономической эффективности различных решений.
При этом все большее внимание уделяется сбалансированности и адекватности
предлагаемых карточных систем. Так, к примеру, одинаково сомнительными
выглядят как программные решения за несколько сотен тысяч долларов,
управляющие работой одного-двух десятков терминалов, так и лкопеечные
программные комплексы, обеспечивающие работу терминального парка стоимостью
несколько миллионов долларов. Как известно, чудес не бывает.
Не секрет, что многие, казалось бы, дешевые решения, предполагают довольно
существенные регулярные лицензионные выплаты, способные превысить начальные
вложения за очень короткий срок. Все более очевидной становится необходимость
комплексной оценки стоимости проекта в долгосрочной перспективе.
Банки, начинающие развивать карточный бизнес, сталкиваются с серьезной
проблемой выбора путей развития. Прежде всего, банкам приходится решать,
будут ли они покупать дорогое, но известное решение, либо начнут с локальных
разработок, а потом, по мере развития будут их замещать профессиональными
системами. Выбирая доморощенное решение, новые банки выходят на рынок с
заведомо ограниченной функциональностью, и таким образом, не имеют никаких
конкурентных преимуществ на рынке банковских услуг.
Безусловно, всегда была и есть возможность заняться собственными разработками
и попытаться самостоятельно создать процессинговое решение. Особенно велик
этот соблазн для банков, уже имеющих более или менее успешный опыт разработки
собственных систем автоматизации. Основной посылкой при этом является
кажущаяся дешевизна реализации и сопровождения и лоптимальное соответствие
потребностям банка. Не стоит питать иллюзий. Технологически, процессинговые
системы принципиально отличаются от классических бухгалтерских систем.
Существуют многие тома описаний стандартов работы платежных систем, причем у
разных платежных систем правила и технологии существенно различаются. Более
того, регулярно происходят обязательные изменения правил и стандартов. Для
тестирования систем необходимо использовать дорогостоящие тестовые программы,
овладение навыками работы с которыми уже само по себе является серьезной
задачей. При этом технологии развиваются все более и более быстрыми темпами,
и отследить все изменения в состоянии только специализированные компании,
имеющие налаженные контакты как с платежными системами, так и с большим
количеством банков, что позволяет им своевременно и правильно развивать
продукты для процессинговых центров.
Эмитировав несколько сотен или тысяч карт в рамках агентской программы
действительно можно самостоятельно написать разборщики отчетов по активности
карт, поступающие из обслуживающего банка. Если же речь идет о
непосредственном взаимодействии с платежными системами, особенно
международными, или об управлении парком банкоматов или платежных терминалов,
единственный реальный путь - это обратиться к профессиональным разработчикам
процессинговых систем.
Итак, решение об организации или модернизации процессингового центра принято,
утвержден бизнес план, сформировано техническое задание. Пришло время делать
выбор конкретного решения. На что же следует обратить особое внимание при
выборе процессинговой системы?
Прежде всего, это соответствие техническому заданию. Двух одинаковых
процессинговых систем не существует, поэтому сколь бы универсальным не было
какое-либо конкретное решение, наверняка найдутся функции, которые
отсутствуют в рассматриваемой системе. Если даже вас уверяют в 100%
соответствии системы техническому заданию, поставщик системы просто
умалчивает о необходимости каких-то доработок, причем степень их критичности
может быть совершенно разной. Необходимость доработок системы под конкретные
нужды является совершенно нормальной ситуацией и драматизировать по этому
поводу не следует. Намного лучше заранее понимать объем необходимых
доработок, их сроки и, разумеется, стоимость. В большинстве случаев доработки
под специфические требования заказчика не приводят к существенному увеличению
сроков и стоимости проекта. Поэтому, если в потенциально более гибкой и
расширяемой системе отсутствует та или иная возможность и поставщик обязуется
ее реализовать в разумные сроки, такой системе можно отдать предпочтение.
Зачастую можно встретить предложения, заявляющие о полном соответствии
потребностям заказчика. Как раз к ним следует относиться с большой
осторожностью, поскольку только открытые и честные взаимоотношения с
поставщиком решения приведут к успешному внедрению процессинговой системы.
Отдельно остановимся на выборе поставщика системы. Процессинговую систему
покупают надолго, и успех реализации проекта зависит не только от
возможностей самой системы, но и от взаимоотношений с поставщиком.
Взаимодействие с компанией-поставщиком не завершается процессом установки и
запуска системы в эксплуатацию. Поддерживать отношения с поставщиком придется
постоянно. Ведь только международные платежные системы два раза в год
публикуют обязательные для всех изменения в спецификациях и правилах работы.
Со временем и банки тоже требуют реализации новой функциональности или
установки новых модулей. Кроме того, постоянное общение с поставщиком
происходит и в рамках сопровождения процессинговой системы. Поэтому только
прочные партнерские отношения с поставщиком решения могут обеспечить успешную
эксплуатацию и развитие карточного бизнеса банка.
Большую роль играет репутация поставщика, поскольку вступая в карточный
бизнес, банк становится членом сообщества, репутация в котором играет не
последнюю роль. Плохая репутация поставщика решения может привести к
сложностям или полному отказу в сертификации банка международными платежными
системами. С подобной проблемой в полной мере столкнулись российские банки,
использующие решения, предназначенные для работы с Юнион Кард при попытках
перехода на международные карты. Слабая защищенность решения от мошеннических
операций, приведшая к существенным финансовым потерям, несоответствие
стандартам безопасности вместе с плохой репутацией компании-поставщика
решения привели ряд банков к необходимости смены процессинговой системы, что
связано с серьезными временными и финансовыми затратами.
Предпочтение всегда следует отдавать поставщикам, имеющим отлаженные
взаимоотношениями с международными платежными системами. Платежные системы в
полной мере заинтересованы в успешном развитии бизнеса банков и
взаимодействуют только с теми поставщиками, решения которых апробированы
временем и наилучшим образом соответствуют бизнес задачам банков-членов
платежных систем.
В обиходе распространено высказывание о так называемых лсертифицированных
решениях. На самом деле, международные платежные системы не сертифицируют
решение как таковое. Процедуру сертификации проходит банк, демонстрируя
платежной системе адекватность используемых в нем технологических систем
требованиям и стандартам платежной системы. В связи с этим не имеет смысла
добиваться от поставщика подтверждения, что его решение является
лсертифицированным. Куда более уместным будет вопрос о наличии клиентов,
реально использующих данное решение при работе с международными платежными
системами.
Всегда не лишним будет узнать об участии рассматриваемого поставщика в
специальных программах взаимодействия международных платежных систем с
поставщиками решений (вендорами). Участие поставщика в подобных программах
говорит по крайней мере о наличии отлаженного информационного взаимодействия
с платежными системами и является признаком признания того или иного решения
платежной системой. К примеру, программа взаимодействия с поставщиками
решений MasterCard (Europay) называется MasterCard Vendor Program, список ее
участников представлен на интернет-сайте www.mastercard.com. Участники
программы, как правило, размещают соответствующий логотип "MasterCard Vendor
Program Participant" на своем сайте и в информационных материалах.
И всегда надо иметь в виду, что с точки зрения сотрудников банка не бывает
идеальных поставщиков и решений. Работа с процессинговой системой и
взаимодействие с ее поставщиком - это непрерывный процесс, в котором зачастую
возникают некоторые противоречия, различия точек зрения и подходов. Поэтому
лучшей рекомендацией для поставщика является долгосрочный успех его клиентов
в карточном бизнесе, наилучшим образом подтверждающий адекватность и самого
решения и подходов поставщика реализуемым бизнес задачам.
Адекватность решения и репутация поставщика являются важными, но не
единственными критериями выбора системы. Есть немало зарубежных решений,
идеально решающих задачи выпуска и обслуживания банковских карт и имеющие
массу примеров успешных инсталляций за рубежом. Но устраивают они далеко не
всех. В чем причина? Прежде всего, это различия в технологиях банковского
розничного бизнеса (а карточный бизнес как раз и является розничным) в разных
странах. Различия ощутимы даже в разных европейских странах, что уж говорить
о странах СНГ. Взять к примеру кредитные схемы, являющиеся стандартным
продуктом в Западной Европе. Практически каждая система, разработанная в этих
странах, поддерживает ведение револьверных кредитов. Можно ли использовать
данную возможность в России и ряде стран СНГ? Нет, нельзя. Нельзя потому, что
в таких системах априори не будут поддерживаться более чем специфические
требования местного законодательства к кредитованию. В Великобритании и
многих других странах выдача кредитной карты зачастую не сопровождается даже
открытием банковского счета. Клиент просто ежемесячно получает счета, которые
должен оплатить в том или ином объеме, а саму карту может выдавать даже
небанковская организация. Таким образом, функция ведения кредитных карт
реализована, а использовать ее в наших условиях не представляется возможным.
И это только один пример. Несмотря на всеобщие тенденции глобализации и
интеграции, наибольшим успехом во многих странах пользуются системы,
разработанные в них же или в странах, со схожими условиями и традициями. Еще
несколько лет назад российские банки практически не имели возможности
воспользоваться российскими процессинговыми решениями, соответствующими по
уровню зарубежным аналогам. Их просто не было. Сегодня ситуация на российском
рынке изменилась радикально.
Отечественные компании достигли уровня, позволяющего им на равных
конкурировать с ведущими зарубежными производителями программного
обеспечения. Успеху продвижения отечественных продуктов способствует не
только высокое качество самих систем, построенных на базе опыта лидеров
индустрии, но и существенно большая их адаптация к местным условиям,
понимание разработчиками потребностей отечественных банков, отсутствие
языкового и культурного барьеров, территориальная близость исполнителя и
заказчика. Немаловажным фактором является и большая ценовая гибкость наряду с
более низкой стоимость сопровождения и разработки.
До недавнего времени банки с недоверием относились к отечественному
разработчику. Тому были вполне веские причины. Первый опыт разработки
отечественного программного обеспечения без учета зарубежного опыта и без
взаимодействия с международными платежными системами оказался неудачным.
Банки, установившие отечественные программные продукты лпервой волны,
активно меняют их на другие решения. Постепенно уходят с рынка и поставщики
таких решений. Но этот неудачный опыт заложил основу для успешного
продвижения новых российских процессинговых систем, в полной мере учитывающих
тенденции рынка и лишенные недостатков предшественников.
Тенденции развития рынка в сторону все большего распространения электронных
каналов взаимодействия и электронного бизнеса формируют новые требования к
процессинговым системам. Даже если сегодня банк не занимается электронной
коммерцией, при выборе процессинговой системы уделяется серьезное внимание ее
возможностям в сфере новых технологий. Ведь уже сейчас банки-эмитенты
международных карт обязаны обрабатывать операции электронной коммерции,
совершаемые их клиентами. Если до недавнего времени использование протокола
SSL являлось достаточным для электронной коммерции, то уже сегодня платежные
системы требуют поддержки таких продвинутых технологий как SPA-UCAF и 3D
Secure. Использование же EMV карт в операциях электронной коммерции еще
сильнее усложняет технологии и требует использования серьезных программно-
аппаратных решений.
В таких условиях на одно из первых мест выходит возможность процессинговой
системы взаимодействовать с внешним миром по разным каналам связи,
обеспечивать различные варианты электронной коммерции, обладать модулями
взаимодействия с разнообразными корпоративными системами. В большинстве
случаев выход на рынок электронного бизнеса близок по сложности и затратам к
построению традиционного процессингового центра. И мало кто берется за
одновременную реализацию проектов построения карточного процессинга и систем
электронного бизнеса. Но тем не менее, эти технологии и системы очень сильно
связаны друг с другом.
Выбирая процессинговую систему, очень важно учитывать, может ли она
взаимодействовать с системами электронной коммерции, какие протоколы и
технологии поддерживаются, как может быть организована интеграция этих
систем. Бесспорным преимуществом пользуются те поставщики решений, которые
имеют в распоряжении интегрированный набор продуктов, включающий в себя как
процессинговую систему, так и продукты, реализующие новые электронные
технологии (B2B, B2C, e-commerce, CRM.). Сложность современных систем такова,
что интеграция решений от независимых поставщиков превращается порой в
непосильную задачу. И если сейчас или в дальнейшем есть возможность
воспользоваться системами одного производителя, не следует ее упускать. При
этом совершенно необязательно приобретать все сразу. Зачастую поэтапный ввод
в эксплуатацию новых компонент системы оказывается существенно более
эффективным.
Ну и, конечно же, при выборе процессинговой системы не утратили актуальности
такие критерии как:
Соответствие системы всем требованиям по функциональности и производительности
Соответствие решения новейшими
технологическими тенденциями, и в то же время, действующим международным
промышленным и финансовым стандартам, вместе обеспечивающие долгосрочное
развитие карточных и смежных технологий банка.
Возможность реализации
региональных карточных программ на базе унифицированных технологических и
технических решений.
Стоимость лицензии, стоимость
послегарантийного сопровождения и возможных доработок.
Репутация поставщика.
Соответствие всем требованиям по
надежности и безопасности, в том числе и требованиям международных платежных
систем для независимых процессинговых центров.
Возможность дальнейшего развития по мере возникновения новых требований банка.
Интегральность решения,
возможность автоматизации, как деятельности банка, так и его взаимодействия с
клиентами.
Хороший набор лтрадиционной функциональности процессинговой системе
завтрашнего дня уже не достаточен. На первый план выходят такие факторы, как
возможность интеграции различных информационных каналов, развитая поддержка
нефинансовых операций и псевдосчетов, возможность гибкой маршрутизации
различного рода сообщений с настраиваемым преобразованием форматов, клиринг
операций, не связанных с платежными карточками, управление широким набором
счетов и интегрируемость в существующие инфраструктуры банка.
4. Безопасность и защита информации.
Безопасность - это защищенность. Поэтому каждому виду опасности
соответствует своя безопасность.
Безопасность в Интернет реализуется путем защиты информации, коммуникаций и
транзакций от различных внешних и внутренних угроз. В настоящее время вопрос
защиты информации очень важен для всех финансовых структур, независимо от
того, основаны они на физических или электронных транзакциях.
Бурное развитие вычислительной техники, приведшее к появлению компьютеров
различной производительности и назначения, стимулировало развитие систем
передачи цифровой информации, объединяющих различные вычислительные средства
в мощные комплексы обработки информации. Системы передачи информации прошли
эволюцию от специализированных систем до распределенных
высокопроизводительных сетей, использующие для подключения стандартные
протоколы передачи информации. Изначально по своему назначению эти сети были
общего доступа или корпоративные. Итогом развития сетей общего доступа стал
Интернет.
Широкое развитие Интернет привело к распространению электронных форм бизнеса,
одной из которых является электронная коммерция. Таким образом, электронная
коммерция стала порождением самых высоких технологий прошедшего столетия и с
каждым днем электронная коммерция становится все более актуальной формой
ведения бизнеса.
Безопасность электронного бизнеса подразумевает обеспечение таких
характеристик, как конфиденциальность информации, сохранение
целостности информации, аутентификация, авторизация,
гарантии доверия. Существуют технологические решения для реализации
перечисленных требований в электронной торговле, однако, не все из них готовы к
применению на практике и обеспечивают полную безопасность.
Высокий уровень мошенничества в Интернете является сдерживающим фактором
развития электронной коммерцией, в связи с этим вопросы безопасности в
интернет вообще и в электронном бизнесе в частности находят все новые
варианты решения.
Для обеспечения конфиденциальности и аутентификации в
киберпространстве используется шифрование (криптография), на основе этих
криптографических методов строятся различные протоколы защиты информации.
Механизмы идентификации покупателей и продавцов, а также гарантии
доверия (доверия продавцу) реализуются с помощью цифровой подписи и
цифровых сертификатов. В настоящий момент самый известным протоколом Интернет
является SSL (Secure Socket Layer). Этот протокол получил большое
распространение и на сегодняшние момент является составной частью всех
известных Интернет-браузеров и WebЦсерверов. Первым же стандартом и протоколом,
упрощающим проведение транзакций, считается протокол SET (Secure Electronic
Transaction).
Многообразие различных стандартов и приложений, созданных для защиты
информации, можно классифицировать в соответствии с тем, что они защищают:
соединения или приложения. Такие стандарты как SSL, S/WAN были созданы для
защиты коммуникаций в Интернете, хотя SSL используется в основном с Web
приложениями. Протокол S-HTTP и S/MINE нацелены на обеспечение аутентификации
и конфиденциальности (S-HTTP - для Web приложений, а S/MINE - для электронной
почты. Стандарт SET Ц обеспечивает защиту транзакций в электронной коммерции.
Последними разработками в области защиты информации можно считать 3d-Secure
от Visa и SPA/USAF от MasterCard, обеспечивающие также защиту электронных
транзакций.
В настоящее время должен появиться единый стандарт, экономически
целесообразный и универсальный, который позволил бы программному обеспечению
различных разработчиков функционировать совместно. Этот недостаток
несовместимости разработок защиты безопасности пока сдерживает широкое
распространение электронного бизнеса.
4.1. Преимущества и недостатки протокола SET.
Протокол SET (Secure Electronic Transaction) был разработан консорциумом во
главе с Visa и Master Card. Официальной датой рождения стандарта SET
является 1 февраля 1996 г. В этот день Visa International и MasterCard
International совместно с рядом технологических компаний (включая IBM,
GlobeSet) объявили о разработке единого открытого стандарта защищенных
Интернет-расчетов. SET представляет собой набор протоколов, предназначенных
для использования другими приложениями (такими, как Web-браузер). Он был
рекомендован как стандарт обработки транзакций, связанный с расчетами за
покупки по кредитным картам в Интернет.
В декабре 1997 г. была создана некоммерческая организация SETCo LLC,
призванная координировать работы по развитию стандарта и осуществлять
тестирование и сертификацию предлагаемого на рынке программного обеспечения с
целью контроля над соответствием этого программного обеспечения спецификациям
SET.
В основе системы безопасности, используемой SET, лежат стандартные
криптографические алгоритмы DES (Data Encryption Standard Ч стандарт
шифрования данных) и RSA (Rivest-Shamir-Adleman Ч алгоритм цифровой подписи
Райвеста-Шамира-Адлемана). Инфраструктура SET построена в соответствии с
инфраструктурой открытого ключа (Public Key Infrastructure, PKI) на базе
сертификатов, соответствующих ISO-стандарту X.509.
Протокол SET не привязан ни к HTTP, ни к Web-коммерции. Его можно
использовать с самыми различными протоколами. SET шифрует сами сообщения, а
не канал связи, как, например. SSL.
Оригинальный протокол SET подразумевает следующую схему взаимодействия
между участниками процесса платежа в Интернете.
Владелец карточки и магазин устанавливают у себя программное обеспечение -
Cardholder Wallet и Merchant Server соответственно. Эквайер должен установить
себе Payment Gateway.
Всем участникам необходимо получить Certificate Authority так называемые
сертификаты, которые используются для формирования цифровых подписей и
шифрования данных. Для этого участники запрашивают и получают сертификаты от
сертифицирующих организаций (SETCo). SET-сертификат Интернет-Магазина
содержит идентификационные параметры торговой точки. SET-сертификат
Покупателя Ц это электронный документ, который содержит зашифрованные
параметры платежной карты (её номер, имя владельца и т. д.).
Чтобы однозначно идентифицировать друг друга, все участники системы должны
обменяться цифровыми SET-сертификатами. Интернет-Магазин предъявляет свой
сертификат в качестве удостоверения. Покупатель в свою очередь также
предъявляет SET-сертификат. Эта процедура заменяет ввод данных о кредитной
карте и, следовательно, обеспечивает защиту информации о карте от
злоумышленников. При этом очень важно, что номер карточки остается скрытым от
магазина. Тем самым ставится заслон на пути хакеров и недобросовестных
администраторов Интернет-магазинов, ворующих номера карточек.
Преимущества использования SET:
продавцы защищены от покупок с
помощью неавторизованной платежной карточки и от отказа от покупки; продавцы
видят только информацию о приобретаемых предметах, но не данные о счете клиента
банки защищены от
неавторизованных покупок; банки видят только информацию о лицевом счете
клиента, но не информацию о покупаемых товарах.
клиенты не пострадают от
перехвата номера кредитки и от покупки у несуществующих продавцов.
Недостатки использования SET:
Дороговизна решения и высокие эксплуатационные расходы
Внедрение защиты с помощью
протокола SET весьма сложное дело, влекущее за собой существенные изменения в
уже работающем программном обеспечении магазинов и эквайеров.
Очень существенный минус в том,
что владельцу карточки требуется установить на свой компьютер довольно сложный
в настройке Cardholder Wallet.
Оригинальный SET предполагает, что все участники платежа в Интернете
(владелец карточки, магазин, банк-эквайер) получили в Certificate Authority
так называемые сертификаты, что существенно усложняет процедуру покупки и
приводит к удорожанию транзакций. Стандарт MIA SET - это несколько
упрощенный вариант протокола SET (Secure Electronic Transaction).
Полноценное использование SET-технологий, предполагает наличие SET-
сертификатов у всех участников сделки. Но существует также упрощённый вариант
Ц технология MIA SET, которая также признана международными платёжными
систeмами.
MIA SET предполагает, что владельцу карточки и магазину не нужно
устанавливать у себя сложного программного обеспечения. Фактически,
Cardholder Wallet перекочевывает на сервер эмитента, а Merchant Server - на
сервер эквайера. Эмитент и эквайер обмениваются между собой по SET от имени
владельца карточки и магазина. Эмитент при этом может на свое усмотрение
использовать любые средства идентификации владельца карточки (пароль, смарт-
карта и т.д.). Это же правило распространяется и на эквайера при
идентификации магазина. Благодаря этому MIA SET более прост во внедрении и
эксплуатации чем традиционный SET.
Важно отметить, что Visa объявила о том, что некогда популярный протокол
SET уже не отвечает современным требованиям безопасности и должен быть замещен
более совершенными системами, такими как Ч Verified by Visa, работающий на
основе протокола 3D Secure и Secure Payment Application (SPA) от MasterCard.
4.2. Стандарт SPA/USAF от MasterCard International.
Корпорация MasterCard International представила Secure Payment Application
(SPA) - новое решение для обеспечения безопасности кредитных и дебетовых
платежей между владельцами карточек, продавцами и финансовыми учреждениями.
SPA является последней новинкой в ряду интернет-решений MasterCard в сфере
защиты всех сторон, участвующих в онлайновых денежных операциях - владельца
карточки, продавца и эмитента карточки.
SPA представляет собой схему обеспечения безопасности, которая использует
преимущества инфраструктуры Universal Cardholder Authentication Field (UCAF)
корпорации MasterCard.
UCAF это система передачи данных, способная, сопоставив данные банка-эмитента
карты и информацию, известную онлайн-продавцу, гарантировать, что сделка
осуществляется реальным держателем карты. В системе USAF существует 23-
байтное поле, закрытое шифром от торговой точки и эквайрера. Оно передается
от держателя карты к эмитенту через торговую точку и эквайрера, которые не
имеют доступа к шифру. Эмитент производит авторизацию. Таким образом,
торговая точка с минимальными усовершенствованиями получает гарантию оплаты,
что является одним из ключевых моментов в электронной торговле. При этом,
инфраструктура UCAF поддерживает транзакции как с кредитными картами
MasterCard, так и с дебетовыми картами Maestro. Следует заметить, что USAF
поддерживает множество приложений для идентификации и защиты эмитента,
включая SPA, смарт-карты и многое другое.
Сочетание UCAF и SPA позволяет удостоверить личность владельца счета,
генерирует и передает подтверждение, что, сделка авторизована законным
владельцем, и создает основу для гарантии платежа электронным торговым
предприятиям.
Принцип действия Технология SPA аналогична электронному чеку, выписываемому
от имени владельца счёта. Система предполагает использование Покупателем
цифрового кошелька Ц e-wallet (SPA-совместимого кошелька). Для этого
Покупатель должен скачать специальное программное обеспечение с сайта
MasterCard. Каждый раз, когда зарегистрированный владелец счета осуществляет
сделку, система генерирует ее специфический атрибут - "показатель
удостоверения владельца счета" (Accountholder Authentication Value, AAV),
представляющий собой 32-значный код, содержащий информацию описывающие именно
эту сделку (информация о владельце счёта и проводимой транзакции, включая
наименование товара и сумму платежа). Таким образом, уникальное значение этой
переменной, меняющееся с каждой транзакцией, позволяет идентифицировать
держателя карты, фактически связывая владельца счета со сделкой, имевшей
место по отношению к определенному торговому предприятию на определенную
сумму. Совпадение значения этой переменной, меняющегося с каждой следующей
транзакцией, будет подтверждать легитимность использования карты для
запрашивающей стороны.
Преимущества технологии SPA (Secure Payment Application):
SPA не требует больших финансовых
затрат, поскольку интегрируется в уже существующие системы защиты. Эта система
предоставляет продавцу эквивалент подписи владельца карточки, подтверждая, что
эмитент уже проверил владельца карточки еще до завершения платежной операции.
SPA обеспечивает идентификацию владельца карточки.
SPA никак не влияет на
продолжительность времени, необходимого для совершения онлайновых покупок или
для подтверждения платежа.
SPA не требует использования
инфраструктуры открытого ключа (PKI), что значительно упрощает использование
данного приложения всеми сторонами.
SPA даёт Интернет-Магазину полную
гарантию аутентификации Покупателя (владельца карты) и специальное
подтверждение того, что платёж был совершён с его согласия.
Ответственность за мошеннические
транзакции, не санкционированные владельцем карточки, снимается с онлайновой
торговой точки и компании, осуществляющей эквайринг.
SPA поддерживает применение
различных устройств доступа в Интернет для совершения транзакций (например,
транзакции с мобильного телефона)
Недостатки:
Основным недостатком технологии
можно считать, более сложную реализацию системы SPA, чем, например, технологии
3D-Secure от Visa International
Так же недостатком явдяется то,
что пользователю приходиться предварительно скачивать дополнительное
приложение, с web-страницы банковского учреждения.
4.3. Криптография - основа защиты информации в Интернет.
В основе защиты информации, передаваемой через Интернет, лежит криптография.
Криптография Ц это наука о представлении информации в виде, понятном лишь
посвященным.
Криптографические технологии решают четыре основные задачи обеспечения
безопасности в электронной коммерции: обеспечение целостности информации
, аутентификацию (которая включает идентификацию),
невозможность отказа от совершенного (non-repudiation) и обеспечение
конфиденциальности информации.
Обеспечение целостности - это невозможность для третьей стороны,
расположенной между участниками информационного обмена, модифицировать
передаваемую информацию, таким образом, чтобы принимающая сторона этого не
заметила.
Идентификация (подвид аутентификации) проверяет, является ли отправитель
послания тем, за кого себя выдает. Аутентификация идет еще дальше Ц проверяет
не только личность, но и отсутствие изменений в послании.
Реализация требования невозможности отказа не позволяет, кому бы то ни
было, отрицать, что он отправил или получил отправленный файл или данные.
И наконец, конфиденциальность информации Ц это невозможность для третьей
стороны получить информацию, содержащеюся в передаваемых сообщениях.
Существует два вида шифрования (криптографических преобразований) Ц это
шифрование с использованием ключа Ц симметричное шифрование и шифрование с
открытым ключом.
Другими словами существуют симметричные алгоритмы шифрования, самый
известный Ц DES (Data Encryption Standard) и асимметричные, самым
распространенным является RSA алгоритм.
При шифровании с закрытым ключом отправитель и получатель владеет одним и тем
же колючем, с помощью которого и тот, и другой могут зашифровать и
расшифровать информацию. Ключ используется один раз при шифровке, а второй -
при расшифровке получателем. Недостатком - и существенным, - является то, что
если участники переговоров никогда раньше не встречались, отправитель должен
каким-то образом передать ключ получателю, а посылка ключа в открытую может
быть перехвачена.
Преимущества криптографии с симметричными ключами:
Производительность -
Производительность алгоритмов с симметричными ключами очень велика.
Стойкость - Криптография с
симметричными ключами очень стойкая, что делает практически невозможным процесс
дешифрования. При прочих равных условиях (общий алгоритм) стойкость
определяется длиной ключа. При длине ключа 256 бит необходимо произвести 10 в
77 степени переборов для определения ключа.
Недостатки криптографии с симметричными ключами:
Распределение ключей - Так как
для шифрования и расшифрования используется один и тот же ключ, при
использовании криптографии с симметричными ключами требуются очень надежные
механизмы для распределения ключей.
Масштабируемость - Так как
используется единый ключ между отправителем и каждым из получателей, количество
необходимых ключей возрастает в геометрической прогрессии. Для 10 пользователей
нужно 45 ключей, а для 100 уже 499500.
Ограниченное использование - Так
как криптография с симметричными ключами используется только для шифрования
данных и ограничивает доступ к ним, при ее использовании невозможно обеспечить
аутентификацию и неотрекаемость.
Подход с открытыми ключами был изобретен в 1976 году Уитфилдом Диффи и
Мартином Хэллманом и воплощен годом позже профессорами Рональдом Ривестом,
Ади Шамиром и Леном Адлеманом. Этот подход использует схему, при которой один
ключ используется для шифровки, а другой ключ - для расшифровки. При таком
раскладе каждый участник переговоров имеет собственный набор из двух ключей:
закрытый и открытый ключи.
Открытый ключ полностью соответствует своему имени. Он публикуется в открытой
печати, и в этом нет никакого вреда, потому что сообщение, зашифрованное при
помощи открытого ключа, не может быть расшифровано при помощи того же самого
открытого ключа. Ключи могут также применяться в обратном порядке для
создания надежных цифровых подписей, гарантирующих, что полученное сообщение
действительно послано отправителем и его текст не был изменен при передаче. С
этой целью сообщение и личная подпись случайным образом перемешиваются со
специальным программным обеспечением, которое формирует строку цифр,
являющуюся цифровой подписью.После получения текста сообщение снова
перемешивается, на этот раз вместе с открытой подписью отправителя. Если все
в порядке, то результаты второго сравнения совпадают с подписью заранее
определенным образом.
Заметим, что безопасность и надежность схемы шифрования с открытыми ключами
целиком зависит от достоверности открытого ключа. Доказательством
идентичности данного открытого ключа служит сертификат (своего рода цифровая
подпись).
Криптография с открытыми ключами требует наличия Инфраструктуры Открытых Ключей
(PKI - Public Key Infrastructure) - неотъемлемого сервиса для управления
электронными сертификатами и ключами пользователей, прикладного обеспечения и
систем. Исторически сложилось так, что инфраструктура сертификатов открытых
ключей (PKI) создавалась на базе зарубежных криптостандартов, таких как RSA
и DES с учетом их специфических особенностей.
Криптография с открытыми ключами обеспечивает все требования, предъявляемые к
криптографическим системам. Но реализация алгоритмов требует больших затрат
процессорного времени. Поэтому в чистом виде криптография с открытыми ключами в
мировой практике обычно не применяется. Для шифрования данных используются
симметричные (сеансовые) ключи, которые в свою очередь шифруются с
использованием открытых для передачи сеансовых ключей по сети. Комбинирование
симметричных и асимметричных алгоритмов мастерски реализовано в протоколе
SET с целью оптимизации времени выполнения транзакций в электронной
коммерции.
4.4. SSL и S-HTTP - защита web-приложений.
Для защиты веб-приложений в Интернет используются 2 основных протокола Ц
Secure HTTP и SSL (Secure Sockets Layer)
Стандарт SSL был разработан фирмой Netscape Communications. В его основе
лежит шифрование с открытым ключом. Основная идея заключается в том, что при
использовании стандартных протоколов обмена (таких как http, ftp, telnet) вся
информация передается по сети Интернет в незащищенном виде. Таким образом,
при прослушивании трафика одним из промежуточных узлов, Ваши пароли, номера
кредитных карт и иная конфиденциальная информация могут стать достоянием
общественности. Протокол SSL оговаривает методы шифрования всей передаваемой
информации прозрачно для пользователя.
В данный момент протокол SSL является наиболее распространенным и
используемым при построении систем электронной коммерции (по некоторым
оценкам в 98%).
Широкое распространение протокола SSL объясняется в первую очередь тем, что
протокол SSL поддерживается любыми современными броузерами.
Это, означает, что фактически любой владелец карты, пользуется стандартными
средствами доступа к Интернету, получает возможность провести транзакцию с
использованием SSL. При использовании протокола SSL в системах электронной
коммерции, он обеспечивает конфиденциальность данных транзакции лишь при их
передаче через сеть общего пользования.
Также достоинством протокола SSL является простота для понимания всех
участников транзакции и хорошая скорость реализации транзакции, что связанно
с использованием симметричных алгоритмов шифрования, которые на 2-4 порядка
быстрее асимметричных при том же уровне криптостойкости.
Существенным недостатком SSL является то, что протоколы основанные на
использовании SSL, не поддерживают аутентификацию клиента Интернет-магазином,
происходящей на уровне документов или приложения, поскольку сертификаты
клиента в таких протоколах почти не используются. Использование
лклассических сертификатов клиентами в схемах SSL является делом практически
бесполезным. Такой лклассический сертификат, полученный клиентом в одном из
известных центров сертификации, содержит только имя клиента и, что крайне
редко, его сетевой адрес (большинство клиентов имеют динамический IP-адрес).
В таком виде такой сертификат мало чем полезен торговой точке для проведения
транзакции, поскольку может быть без большого труда получен мошенником. Для
того, чтобы сертификат клиента что-то значил для торговой точки, необходимо,
чтобы он устанавливал связь между номером карты клиента и его банком-
эмитентом. Причем любой Интернет-магазин, в который обращается за покупкой
владелец карты с сертификатом, должен иметь возможность проверить эту связь
(возможно с помощью своего обслуживающего банка).
Другими словами, такой сертификат должен быть получен клиентом в своем банке-
эмитенте. Формат сертификата, специальные процедуры маскировки номера карты в
сертификате (очевидно, номер карты не должен присутствовать в сертификате в
открытом виде), процедуры распространения и отзыва сертификатов, а также
многое другое в этом случае должно быть оговорено между всеми участниками
транзакции. Иначе говоря, требуется создание иерархической инфраструктуры
центров сертификации (по аналогии с тем, как это делается в протоколе SET).
Без создания такой инфраструктуры все разговоры об обеспечении взаимной
аутентификации участников транзакции не имеют смысла.
Отсутствие аутентификации клиента в схемах SSL является самым серьезным
недостатком протокола, который позволяет мошеннику успешно провести
транзакцию, зная только реквизиты карты. Тем более, протокол SSL не позволяет
аутентифицировать клиента обслуживающим банком (аутентификация клиента
обслуживающим банком является важным элементом защиты последнего от
недобросовестных действий торговой точки и обеспечивается, например,
протоколом SET)
При реализации протокола SSL вместо обычного http адреса пользователь видит
https (буква s на конце обозначает secure - защищенный). Таким образом,
устанавливая защищенное соединение через специальный сервер - Netscape
Commerce WebServer, являющийся единственной SSL совместимой разработкой и
необходимый для реализации защищенного режима. Программный продукт Netscape
Commerce WebServer стоит несколько тысяч долларов, плюс плата за
обслуживание.
Тем не менее, SSL - не единственный способ защиты от хакеров и кардеров.
Задолго до появления SSL компанией Enterprise Integration Technologies (EIT)
была создала схема защиты информации специально для Internet - S-HTTP
(secure hypertext transport protocol).
Стандарт S-HTTP предназначенный, в первую очередь, для поддержки протокола
передачи данных HTTP, обеспечивает авторизацию и защиту документов. В общем
S-HTTP позволяет пользователям обговорить практически любой аспект шифрования
- от механизмов, с помощью которых можно получить ключи шифрования, до
способа шифрования (так же как два модема договариваются о взаимоприемлемой
скорости передачи в бодах). Кроме того, можно обговорить режим
взаимодействия. Другими словами клиент и сервер договариваются подписывать
цифровой подписью запросы, шифровать или и то и другое.
Тогда как SSL гарантирует, что соединение между программой просмотра и
клиентом устанавливается с сервером и ни с кем иным, то S-HTTP предоставляет
широкий спектр инструментов шифрования и делает это на уровне отдельного
документа.
Значительным преимуществом S-HTTP над SSL можно считать использование
цифровой подписи. Так же, в отличие от SSL, протокол S-HTTP полностью
совместим с отличными от S-HTTP серверами Web, хотя, в этом случае,
информация не будет защищена, если хотя бы один из игроков не озабочен
защитой.
Подводя итоги, SSL в настоящее время является де-факто стандартом,
обеспечивающим конфиденциальность информации. Он поддерживается всеми
известными браузерами, однако алгоритм шифрования SSL недостаточно надежен.
Протокол S-HTTP предназначен только для HTTP-серверов и не работает на других
платформах Internet, распространенность S-HTTP только среди производителей
Web-серверов. Общей чертой SSL и S-HTTP является то, что разрабатывающие их
компании делают ставку на защиту денежных расчетов.
4.5. 3-D Secure (протокол трех доменов).
Архитектура 3-D Secure
Виза разработала протокол 3-D SecureЩ (так называемый протокол трех доменов),
чтобы увеличить эффективность онлайновых транзакций и ускорить рост
электронной коммерции.
Развитие и внедрение этого протокола должно принести выгоду всем участникам
онлайновой транзакции, предоставив банкам-эмитентам возможность
аутентифицировать держателей карт во время онлайновой покупки. Это повысит
надежность и безопасность транзакций и уменьшит возможность мошеннического
использования кредитных карт в Интернете Ц если покупки будут совершаться с
использованием технологии 3D-secure.
Преимущества данного протокола состоят в следующем:
- использование 3-D Secure уменьшает возможные потери денег всеми участниками
транзакции, поскольку существенно уменьшает количество чарджбэков,
инициированных держателями карт по причине того, что карта была использована
мошенниками.
- Чтобы использовать протокол, клиентам не обязательно приобретать новое
аппаратное или программное обеспечение
- Протокол может быть расширен и дополнен банком-эмитентом, чтобы наилучшим
образом соответствовать требованиям клиентов без необходимости банкам-
эквайрам и мерчантам вводить дополнения в протокол со своей стороны.
- Протокол может использоваться на таких перспективных для развития
электронной коммерции платформах, как мобильные телефоны, карманные
компьютеры, цифровые телевизоры.
- Он основан на широко применяющихся технических стандартах, поддерживаемых
международными организациями.
- Предоставляет возможность ведения (и доступа к) централизованному архиву
аутентификаций, который будет полезен для принятия решения по спорным
транзакциям.
Архитектура 3-D Secure:
Виза разработала модель трех доменов как основу новых решений для платежных
систем.
Основная идея модели в том, что весь процесс аутентификации, обеспечивающий
безопасность транзакций, разбивается на три домена (или другими словами
области):
Issuer Domain (Домен эмитента)Ц его назначение в том, что
обслуживающий банк производит аутентификацию своей торговой точки на основе
правил и методов, установленных самим обслуживающим банком (т. е. в этом случае
вся ответственность за аутентификацию ложиться на обслуживающий банк торговой
точки);
Acquirer Domain (Домен эквайра)Ц его назначение в том, чтобы
определить правила и процедуры обмена информацией между доменами эмитента и
эквайра, гарантирующие этим доменам взаимную аутентификацию друг друга.
Владелец карты находится в домене эмитента, а торговое предприятие (мерчант)
находится в домене эквайра, которые в свою очередь взаимодействуют между собой
через домен Interoperability (Межоперационный).
Рис.1 представляет собой простую иллюстрацию модели трех доменов. Эта
модель позволяет банкам-эмитентам аутентифицировать владельцев карт во время
онлайновых покупок. Эквайрам и мерчантам предоставлена гибкая система, которая
может включать в себя различные технические разработки. Возможность
взаимодействия между эмитентом и эквайром достигается через использование
общего протокола и сервисов Visa.
Модель 3-х доменов (рис. 1)
Риc. 2 иллюстрирует основные функции 3-D Secure
- Сообщения запросов и получений результатов аутентификационных потоков между
Доменами Эквайера и Эмитента в пределах межоперационного домена через
интернет
- Сообщения об создании владельцем карты аутентификационных потоков в
пределах Домена Эмитента между владельцем карты и эмитентом.
- Сообщения о запросе на авторизацию и потоке совершения платежей в пределах
Домена Эквайеа между мерчантом и эквайером
- Сообщения о запросе на авторизацию и потоке совершения платежей в пределах
Межоперационного Домена между эквайером и эмитентом.
Обеспечение безопасности в моделе 3-х доменов (рис. 2)
Домен эмитента
Рассмотрим подробно структуру доменов и что в них входит.
Владелец карты
Владелец карты (выданной эмитентом) для совершения онлайновых покупок
указывает имя держателя счета, номер карты и время окончания срока действия,
либо напрямую, либо с помощью програмного обеспечения.
Броузер владельца карты действует как средство обмена сообщениями между
плагином сервера мерчанта (относящемуся к домену эквайра) и сервером контроля
доступа (относящемуся к домену эмитента).
Дополнительные компоненты, доступные владельцу карты
Дополнительные программные и аппаратные компоненты могут расширять
возможности броузера. Например, при наличии карточного чипа от владельца
карты потребуется дополнительное программное обеспечение, а так же
считыватель карт. Реализации, которые аутентифицируют владельцев карты с
помощью паролей не должны требовать дополнительного программного или
аппаратного обеспечения.
Эмитент
Член финансового сообщества Визы
-Входит в договорные отношения с владельцем карты (выдает одну или больше
кредитных карт Visa клиенту)
-Определяет допустимость участия владельца карты в сервисе 3-D Secure
-Определяет ограничения на номера карт, допустимые для участия в сервисе 3-D
Secure-Предоставляет данные об этих ограничениях на номер карты серверу Виза
Дирректори
-Производит (enroll) владельца карты при каждом доступе к карте для
платежа(через Сервер контроля доступа, отдельные сервер учета или вручную)
Сервер контроля доступа (Access control server - ACS)
Сервер контроля доступа выполняет две функции:
1. Проверка возможности 3-D Secure аутентификации для номера карты
2. Аутентификация владельца карты для конкретной транзакции или обеспечение
подтверждения попытки аутентификации в случае, если аутентификация недоступна
(невозможна).
Хотя эти функции и описаны, как осуществляемые одиночным логическим ACS,
физических серверов, обеспечивающих реализацию функций ACS, может быть много.
Например каждый из этих серверов лобслуживает определенный диапазон номеров
карт.
Домен эквайра
Мерчант (Интернет-магазин, торговая точка)
Программное обеспечение мерчанта получает номер карты, и затем вызывает
Плагин Сервера Мерчанта, чтобы провести аутентификацию платежа.
После аутентификации платежа, программное обеспечение на стороне мерчанта
может отправить запрос на авторизацию эквайеру в зависимости от результата
аутентификации.
Плагин сервера мерчанта (ПСМ)
Плагин сервера мерчанта создает и обрабатывает сообщения аутентификации
платежа, затем передает контроль программному обеспечению мерчанта.
ПСМ может удостоверить подлинность цифровой подписи в сообщении; как
альтернативный вариант, отдельный сервер, принадлежащий эквайеру или третьей
стороне, может выполнять эту функцию.
Эквайер:
Это финансовое учреждение, входящее в финансовое сообщество Виза, которое:
- Заключает контракт с мерчантом для обеспечения приема к оплате кредитных
карт Visa
- Определяет право и возможность мерчанта участвовать в сервисе 3-D Secure
- Получает запросы на авторизацию от мерчанта
- Пересылает их к авторизующей системе (такой как VisaNet)
- Передает мерчанту ответы об авторизации
- Пересылает завершенную транзакцию в VisaNet
Организация коммерческой сертификации
Генерирует сертификаты для участников 3-D Secure , включая клиентские и
серверные сертификаты SSL.
Центр сертификации Visa
Генерирует необходимые сертификаты для использования участниками 3D-secure,
включая сертификаты для подписей и (visa root) сертификаты.
Сервер истории аутентификаций
Данный сервер находится под управлением Виза. Его основные функции таковы:
- получить сообщение от сервера контроля доступа для каждой попытки
аутентификации (независимо от успешности попытки)
- Сохраняет полученные записи
Копия данных, сохраняемых сервером истории аутентификаций, может быть
передана эквайрам и эмитентам для решения спорных вопросов.
VisaNet
Относительно аутентификации платежей VisaNet выполняет свою традиционную роль:
- Получает запросы на авторизацию от эквайра
- Пересылает их эмитенту
- Пересылает ответы эмитента к эквайру
- Предоставляет эквайрам и эмитентам прочие сервисы (клиринг, установка и т п)
Как работает аутентификация платежа
Владелец карты совершает покупку
Когда владелец кредитной карты намеревается совершить покупку, он либо должен
предоставить информацию о своем счете (карте), либо использует специальное
программное обеспечение (например, цифровой кошелек), чтобы это сделать.
Когда владелец карты подтверждает свое желание сделать покупку, запускается
плагин сервера мерчанта (ПСМ) Merchant Server Plug-in (MPI). Программа ПСМ
может находиться на сайте интернет-магазина, у эквайера или у процессингового
центра третьей стороны.
Запрос к Виза Директори
ПСМ посылает сообщение к серверу Виза Директори, чтобы определить, возможно
ли провести аутентификацию для данной кредитной карты.
Если ПСМ получает ответ, что держатель карты зарегистрировался предварительно
(заявка на возможность участия в 3-D Secure отправляется держателем карты
банку-эмитенту) и возможно провести аутентификацию, ответное сообщение к ПСМ
будет содержать инструкции, как связаться с сервером контроля доступа
соответствующего эмитента.
Если номер счета клиента находится за пределами интервала, в котором
расположены номера допущенных к 3-D Secure карт, сервер Виза Директори
возвращает транзакцию к серверу мерчанта через ПСМ, после чего мерчант может
отправлять стандартный запрос на авторизацию.
Аутентификация владельца карты
ПСМ посылает запрос на аутентификацию к серверу контроля доступа. Обычно эта
отсылка производится с помощью броузера покупателя.
Сервер контроля доступа производит аутентификацию Ц путем вывода на компьютер
покупателя диалогового окна, в которое необходимо ввести пароль, или
использует другой метод аутентификации сообразно типу кредитной карты
(например, в случае чип-карты)
Сервер контроля доступа формирует ответ и заверяет его цифровой подписью,
затем возвращает его к ПСМ.
Процессинг платежа
Если полученный ответ подтверждает аутентификацию, мерчант пересылает запрос
на автотризацию с необходимыми данными своему эквайру или процессинговому
центру эквайра, для отправки в VisaNet.
Поток сообщений при онлайновой транзакции
Рис. 3 На рисунке 3 изображены базовые цепочки сообщений, отправляемых в
то время, пока покупатель обращается к сайту продавца через Интернет со своего
компьютера.
Поток сообщений при онлайн транзакции (рис. 3)
1) Покупатель выбирает товары на сайте продавца (мерчанта) и подтверждает
желание совершить покупку.
2) ПСМ посылает запрос на аутентификацию серверу Виза Директори.
3) Сервер Виза Директори запрашивает соответствующий Сервер контроля доступа,
чтобы определить, возможна ли аутентификация для данной карты. Если
соответствующий сервер контроля доступа недоступен, Виза Директори формирует
соответствующий ответ и переходит к шагу 5.
4) Сервер контроля доступа отвечает серверу Виза Директори, сообщая, возможно
ли провести аутентификацию данного номера кредитной карты.
5) Виза Директори пересылает ответ сервера конторля доступа (или свой ответ)
к ПСМ. Если аутентификация возможна, эквайер или процессинговый центр
отпраавляет стандартный запрос на авторизацию.
6) ПСМ посылает запрос плательщика на аутентификацию (Payer Authentication
Request (PAReq)) к ACS через компьютер или иное устройство, которое
использует покупатель для совершения онлайн-покупки.
7) ACS получает вышеуказанный запрос.
8) ACS аутентифицирует покупателя, используя процесс соответствующий номеру
кредитной карты (пароль, PIN и т п). Затем формируется сообщение PARes Ц
Payer Authentification Response (аутентификационный ответ покупателю с
соответствующими значениями, и заверяет его цифровой подписью)
9) ACS пересылает PARes к ПСМ через компьютер покупателя. Также ACS
отправляет необходимые данные на сервер историии аутентификаций
(Authentication History Server (AHS))
10) ПСМ получает PARes.
11) ПСМ проверяет цифровую подпись полученного PAREs (осуществляет проверку
сам или отправляет соответствующий запрос к отдельному серверу валидации)
12) Если аутентификация прошла успешно, мерчант начинает процесс авторизации,
соответственно взаимодействуя со своим эквайером.
После шага 12, эквайер обрабатывает запрос на авторизацию и пересылает ответ
к мерчанту.
Примерная процедура регистрации держателя карты для использования 3D-Secure
Примерное взаимодействие держателя карты с эмитентом показано на рисунке 4.
Пример взаимодействия держателя карты с эмитентом (рис. 4)
Поскольку разработка процедуры заявки и регистрации находится на
ответственности эмитента, схема достаточно условна и варьирует у разных
банков.
1 - Владелец карты посещает сайт для регистрации, созданный банком эмитентом
3 - Эмитент удостоверяет личность владельца карты
2 - Владелец карты сообщает необходимые данные заявки и устанавливает
секретный пароль
4 - Информация сохраняется для дальнейшего использования в аутентификациях по
протоколу 3D-Secure
Cервер посылает ответ владельцу карты об успехе или неуспехе регистрации.
5. Заключение.
В работе Интернет-магазина решающую роль играет не столько удобство
интерфейса и скорость доступа, сколько устойчивая работа всех бизнес-
процессов, начиная от поставки товаров на склад магазина и заканчивая
расчетом с покупателем. Даже используя современнейшие информационные
технологии, магазин с плохо поставленной логистикой не сможет справиться с
наплывом клиентов в канун праздников. Магазин с самым замечательным
визуальным дизайном, обновляющий свой товарный ассортимент раз в полгода, не
может быть хорошей приманкой для покупателей. Товар магазина, поддерживающего
все известные типы кредитных карточек, не будет пользоваться спросом, если
каждую неделю 13-летние хакеры будут воровать списки этих самых карточек и
выкладывать их на общедоступный ftp-сервер.
Грамотно используя техническую и юридическую базу платежных систем, можно
построить Интернет-магазин с меньшими затратами и лучшим качеством
обслуживания. Вместе с тем, пренебрежение малейшими нюансами сведет всю
эффективность использования внешней платежной системы на нет. Например, если
выписки приходят из банка в Интернет-магазин по почте, и обрабатываются
вручную в течение недели, клиенту не за чем использовать технологии,
позволяющие переводить деньги за 5 минут. Если сервер магазина работает под
UNIX, вряд ли стоит подключаться к оператору, предлагающему "маленькую
удобную программу на Delphi для управления вашим счетом в платежной системе".
Если все клиенты магазина - физические лица, вряд ли следует вкладывать
деньги в интеграцию российских систем шифрования и электронно-цифровой
подписи, можно воспользоваться стандартными средствами иностранного
производства.
Решая вопрос о подключении Интернет-магазина к той или иной платежной
системе, его руководителям необходимо заранее оценить количество
пользователей системы, которым будет интересен ассортимент Интернет-магазина.
Обычно контингент пользователей платёжных систем почти не пересекается. Часто
пользователями системы являются клиенты отдельного банка или Интернет-
провайдера, предлагающего доступ к платежной системе в пакете с прочими
услугами. Необходимо помнить, что в большинстве случаев использование
платежной системы сужает круг потенциальных потребителей. Поэтому на первом
этапе работы магазина выгоднее зарегистрироваться в 2-3 платёжных системах,
выбранных исходя из целевой группы предполагаемых клиентов (например, жители
города со средним доходом, студенты, обеспеченные владельцы карт Visa и
т.п.), и в случае успеха, двигаться к созданию полноценной собственной
системы принятия платежей.
Cписок использованной литературы:
1. www.a-commerce.ru
2. www.telebank.ru
3. www.cyberplat.com
4. www.uk.ru
5. www.stbcard.ru
6. www.korona.net
7. www.visarussia.ru
8. www.mastercard.com
9. www.americanexpress.com
10. www.diners.ru
11. www.webmoney.ru
12. Василий Волынский. Источник: Журнал лКартбланш № 3, 2003 г.
13. М. Ю. Рягин. Статья лПлатежные системы в электронной коммерции, от
5.03.2004г.
14. Олег Смородинов. Статья лЧто такое лразвитoй карточный рынок, от
16.02.2004г.
