Платежные системы в сети интернет

Характеристики симметричных шифров регламентируются стандартами: ГОСТ № 28147-89 РФ, DES (Data Encryption Standard) США и др.

Суть асимметричных криптосистем состоит в том, что каждым адресатом генерируются два ключа, связанные между собой по определенному правилу. Хотя каждый из пары ключей подходит как для шифрования, так и для дешифрирования, данные, зашифрованные одним ключом, могут быть расшифрованы только другим ключом.

Криптографические системы с открытым ключом используют так называемые необратимые, или односторонние, функции. Понятие односторонней функции было введено в теоретическом исследовании о защите входа в вычислительные системы. Функция f(x) называется односторонней (one-way function), если для всех значений х из ее области определения легко вычислить значения у = fix), но вычисление обратного значения практически не осуществимо. Известно несколько криптосистем с открытым ключом. Наиболее разработана на сегодня система RSA, предложенная еще в 1978 г. Этот алгоритм стал мировым стандартом де-факто для открытых систем и рекомендован МККТТ (Международный консультативный комитет по телефонии и телеграфии).

Шифрование передаваемых через Интернет данных позволяет защитить их от посторонних лиц. Однако для полной безопасности должна быть уверенность в том, что второй участник транзакции является тем лицом, за которое он себя выдает. В бизнесе наиболее важным идентификатором личности заказчика является его подпись. В электронной коммерции применяется электронный эквивалент традиционной подписи - цифровая подпись (в России закон о цифровой подписи принят в январе 2003 г.). С ее помощью можно доказать не только то, что транзакция была инициирована определенным источником, но и то, что информация не была испорчена во время передачи. Как и в шифровании, технология электронной подписи использует либо секретный ключ (в этом случае оба участника сделки применяют один и тот же ключ), либо открытый ключ (при этом требуется пара ключей - открытый и личный). И в данном случае более простые в использовании методы с открытым ключом (такие как RSA) более популярны.

Основной проблемой криптографических систем является распространение ключей. Асимметричные методы более приспособлены для открытой архитектуры Интернета, однако и здесь использование открытых ключей требует их дополнительной защиты и идентификации для определения связи с секретным ключом. Без такой дополнительной защиты злоумышленник может выдать себя за отправителя подписанных данных или за получателя зашифрованных данных, заменив значение открытого ключа или нарушив его идентификацию. В этом случае каждый может выдать себя за другое лицо. Все это приводит к необходимости верификации открытого ключа. Для этих целей используются электронные сертификаты.

Электронный сертификат представляет собой цифровой документ, который связывает открытый ключ с определенным пользователем или приложением. Для заверения электронного сертификата используется электронная цифровая подпись доверенного центра - Центра сертификации (ЦС). Исходя из функций, которые выполняет ЦС, он является основным компонентом всей инфраструктуры открытых ключей (ИОК или PKI - Public Key Infrastructure). Используя открытый ключ ЦС, каждый пользователь может проверить достоверность электронного сертификата, выпущенного ЦС, и воспользоваться его содержимым. Для того чтобы сертификатам можно было доверять, независимая организация, выполняющая функции ЦС и являющаяся источником сертификатов, должна быть достаточно авторитетной.

Технология цифровых сертификатов работает следующим образом. Чтобы воспользоваться сертификатом, потенциальный покупатель должен прежде всего получить этот сертификат у надежного источника сертификатов. Для этого ему необходимо каким-то образом доказать подлинность своей личности, возможно, явившись в эту организацию и предъявив соответствующий документ, а также передать источнику сертификатов копию своего открытого ключа. Когда после этого он захочет что-либо купить через Интернет, ему будет достаточно добавить к заказу свою электронную подпись и копию сертификата. Отдел обслуживания покупателей фирмы, в которой он совершил покупку, проверяет сертификат, чтобы убедиться, что к заказу приложен подлинный открытый ключ, а также выясняет, не аннулирован ли сертификат.

Гарантами безопасности платежных систем являются стандарты безопасности. Наиболее распространенными стандартами безопасности виртуальных платежей являются протокол SSL (Secure Socket Layer), обеспечивающий шифрование передаваемых через Интернет данных и стандарт SET (Secure Electronic Transactions), разработанный компаниями Visa и MasterCard и обеспечивающий безопасность и конфиденциальность совершения сделок при помощи пластиковых карт.

Протокол SSL - стандарт, основанный на криптографии с открытыми ключами. Протокол обеспечивает защиту данных, передаваемых в сетях TCP/IP по протоколам приложений за счет шифрования и аутентификации серверов и клиентов. Это означает, что шифруется вся информация, передаваемая и получаемая Web-браузером, включая URL-адреса, все отправляемые сведения (такие как номера кредитных карт), данные для доступа к закрытым Web-сайтам (имя пользователя и пароль), а также все сведения, поступающие с Web-серверов. Три основные функции безопасности, гарантированные в SSL, основаны на криптографии с открытым ключом.

Одной из основных причин медленного роста электронной коммерции является озабоченность покупателей надежностью средств, применяемых при выполнении платежей в Интернете с использованием кредитных карт. Описанный выше протокол SSL позволяет решить часть названных проблем безопасности, однако его роль в основном ограничивается обеспечением шифрования передаваемых данных. Поэтому для комплексного решения перечисленных выше проблем была разработана спецификация и создан набор протоколов, известные как стандарт SET (Secure Electronic Transaction - Безопасные электронные транзакции).

В основе системы безопасности, используемой стандартом SET, лежат стандартные криптографические алгоритмы DES и RSA. Инфраструктура SET построена в соответствии с инфраструктурой открытого ключа (Public Key Infrastructure - PKI) на базе сертификатов, соответствующих стандарту Х.509 организации по стандартизации (ISO). Главная особенность SET - регламентация использования системы безопасности, которая устанавливается международными платежными системами.

Требования Visa и Europay к процессинговому центру на основе SET включают, во-первых, традиционные требования к процессингу пластиковых карт (защита помещений, контроль над доступом, резервное энергоснабжение, аппаратная криптография и т.п.); во-вторых, специфические дополнения - межсетевые экраны (firewalls) для защиты каналов Интернета.

Такой подход позволяет использовать единые методики оценки рисков при проведении электронных платежей вне зависимости от способа аутентификации клиента (традиционная карта с магнитной полосой, смарт-карта или цифровой сертификат). Это позволяет участникам платежной системы разрешать спорные ситуации по отработанным механизмам и сконцентрироваться на развитии своего электронного бизнеса.

Для получения актуальной информации о распространении SET, включая информацию о банках, имеющих сертификаты Visa и Europay/MasterCard, и торговых/сервисных компаниях, принимающих SET-платежи, можно обратиться на сайт set-sites.com или сайты международных платежных систем.

ЗАКЛЮЧЕНИЕ

В современных условиях деньги являются неотъемлемым атрибутом хозяйственной жизни. Поэтому все сделки, связанные с поставками материальных ценностей и оказанием услуг, завершаются денежными расчетами. Организация денежных расчетов с использованием безналичных денег гораздо предпочтительнее платежей наличными деньгами. Поскольку в первом случае достигается значительная экономия на издержках обращения в виде дополнительных затрат на печать, хранение, перевозку, пересчет огромного количества денежных знаков, которые потребовались бы при расчетах наличными деньгами. В то же время безналичные расчеты при четкой работе банков позволяют лучше регулировать платежный оборот и в конечном счете ускорять оборачиваемость оборотных средств и совершение платежей. Широкому применению безналичных расчетов способствует разветвленная сеть банков, а также заинтересованность государства в их развитии как по выше отмеченной причине, так и с целью изучения и регулирования макроэкономических процессов.

Дальнейшее развитие и совершенствованию банковских технологий в России, в частности, внедрение пластиковых карточек повсюду должно совершенствовать сокращение использования наличности и ускорения и повышения надежности безналичных расчетов. Помимо того пластиковые карточки, как одна из наиболее новых и надежных форм безналичных платежей, позволяют банкам аккумулировать средства держателей карточек, затрудняют злоумышленникам пути завладения чужими денежными средствами, выступают в ряде случаев как средство кредитования. Но и здесь не все так просто. Главной проблемой российских юридических лиц, осуществляющих расчеты с помощью пластиковых банковских карточек, является недостаточный уровень их технической оснащенности, что обуславливает необходимость применения примитивных способов авторизации предъявителя пластиковой карточки (по фотографии, по дополнительным данным, получаемым по телефону в результате звонков в расчетные центры банков или компаний). К тому же, к сожалению, на сегодняшний день следует констатировать, что в Российской Федерации отсутствует единый нормативный акт, регламентирующий порядок обращения пластиковых карточек.

СПИСОК ЛИТЕРАТУРЫ

1.             Веляевский И.К. Маркетинговое исследование: информация, анализ, прогноз. М.: Финансы и статистика, 2006.

2.             Головеров Д.В., Кемрадж А.С. и др. Правовые аспекты использования Интернет-технологий. М.: Книжный мир, 2008.

3.             Данько Т.П., Дьяконова Л.Я., Завьялова Н.В., Сагинова О.В. и др. Электронный маркетинг: Учеб. пособие. М.: ИНФРА-М, 2007.

4.             Раздьяконов Н. и др. Jump In: Учеб. пособие для слушателей курсов "Амадеус". М.; СПб.: Amadeus Russia, 2007.

5.             Успенский И. Энциклопедия Интернет-бизнеса. СПб.: Питер, 2006.

6.             Холмогоров В. Интернет-маркетинг. Краткий курс. СПб.: Питер, 2008.

7.             Хорошилов А.В., Селетков С.Я. Мировые информационные ресурсы. СПб.: Питер, 2004.

8.             http://www.marketingpower.com/welcome.php - сайт американской маркетинговой ассоциации (АМА).

9.             http://www.ram.ru/ - сайт российской ассоциации маркетинга (РАМ).

10.        http://www.e-commerce.ru/ - Интернет-ресурсы информационно-консалтингового центра по электронному бизнесу.

11.        http://www.e-management.ru/ - консультационный центр развития электронного бизнеса.

26