Платежные системы в Интернете

Шифрование передаваемых через Интернет данных позволяет защитить их от посторонних лиц. Однако для полной безопасности должна быть уверенность в том, что второй участник транзакции является тем лицом, за которое он себя выдает. В бизнесе наиболее важным идентификатором личности заказчика является его подпись. В электронной коммерции применяется электронный эквивалент традиционной подписи - цифровая подпись (в России закон о цифровой подписи принят в январе 2003 г.). С ее помощью можно доказать не только то, что транзакция была инициирована определенным источником, но и то, что информация не была испорчена во время передачи. Как и в шифровании, технология электронной подписи использует либо секретный ключ (в этом случае оба участника сделки применяют один и тот же ключ), либо открытый ключ (при этом требуется пара ключей - открытый и личный). И в данном случае более простые в использовании методы с открытым ключом (такие как RSA) более популярны.

Основной проблемой криптографических систем является распространение ключей. Асимметричные методы более приспособлены для открытой архитектуры Интернета, однако и здесь использование открытых ключей требует их дополнительной защиты и идентификации для определения связи с секретным ключом. Без такой дополнительной защиты злоумышленник может выдать себя за отправителя подписанных данных или за получателя зашифрованных данных, заменив значение открытого ключа или нарушив его идентификацию. В этом случае каждый может выдать себя за другое лицо. Все это приводит к необходимости верификации открытого ключа. Для этих целей используются электронные сертификаты.

Электронный сертификат представляет собой цифровой документ, который связывает открытый ключ с определенным пользователем или приложением. Для заверения электронного сертификата используется электронная цифровая подпись доверенного центра - Центра сертификации (ЦС). Исходя из функций, которые выполняет ЦС, он является основным компонентом всей инфраструктуры открытых ключей (ИОК или PKI - Public Key Infrastructure). Используя открытый ключ ЦС, каждый пользователь может проверить достоверность электронного сертификата, выпущенного ЦС, и воспользоваться его содержимым. Для того чтобы сертификатам можно было доверять, независимая организация, выполняющая функции ЦС и являющаяся источником сертификатов, должна быть достаточно авторитетной. В настоящее время наиболее известным источником сертификатов являются компании Thawte Ошибка! Недопустимый объект гиперссылки. и VeriSign (Ошибка! Недопустимый объект гиперссылки.), однако существуют и другие системы сертификации, такие как World Registry (IBM), Cyber Trust (GTE) и Entrust (Nortel). В России дистрибьютором SSL-сертификатов компании Thawte сегодня является "РосБизнесКонсалтинг" (www.rbc.ru).

Технология цифровых сертификатов работает следующим образом. Чтобы воспользоваться сертификатом, потенциальный покупатель должен прежде всего получить этот сертификат у надежного источника сертификатов. Для этого ему необходимо каким-то образом доказать подлинность своей личности, возможно, явившись в эту организацию и предъявив соответствующий документ, а также передать источнику сертификатов копию своего открытого ключа. Когда после этого он захочет что-либо купить через Интернет, ему будет достаточно добавить к заказу свою электронную подпись и копию сертификата. Отдел обслуживания покупателей фирмы, в которой он совершил покупку, проверяет сертификат, чтобы убедиться, что к заказу приложен подлинный открытый ключ, а также выясняет, не аннулирован ли сертификат.

Гарантами безопасности платежных систем являются стандарты безопасности. Наиболее распространенными стандартами безопасности виртуальных платежей являются протокол SSL (Secure Socket Layer), обеспечивающий шифрование передаваемых через Интернет данных и стандарт SET (Secure Electronic Transactions), разработанный компаниями Visa и MasterCard и обеспечивающий безопасность и конфиденциальность совершения сделок при помощи пластиковых карт.

Протокол SSL - стандарт, основанный на криптографии с открытыми ключами. Протокол обеспечивает защиту данных, передаваемых в сетях TCP/IP по протоколам приложений за счет шифрования и аутентификации серверов и клиентов. Это означает, что шифруется вся информация, передаваемая и получаемая Web-браузером, включая URL-адреса, все отправляемые сведения (такие как номера кредитных карт), данные для доступа к закрытым Web-сайтам (имя пользователя и пароль), а также все сведения, поступающие с Web-серверов. Три основные функции безопасности, гарантированные в SSL, основаны на криптографии с открытым ключом.

Одной из основных причин медленного роста электронной коммерции является озабоченность покупателей надежностью средств, применяемых при выполнении платежей в Интернете с использованием кредитных карт. Описанный выше протокол SSL позволяет решить часть названных проблем безопасности, однако его роль в основном ограничивается обеспечением шифрования передаваемых данных. Поэтому для комплексного решения перечисленных выше проблем была разработана спецификация и создан набор протоколов, известные как стандарт SET (Secure Electronic Transaction - Безопасные электронные транзакции).

В основе системы безопасности, используемой стандартом SET, лежат стандартные криптографические алгоритмы DES и RSA. Инфраструктура SET построена в соответствии с инфраструктурой открытого ключа (Public Key Infrastructure - PKI) на базе сертификатов, соответствующих стандарту Х.509 организации по стандартизации (ISO). Главная особенность SET - регламентация использования системы безопасности, которая устанавливается международными платежными системами.

Требования Visa и Europay к процессинговому центру на основе SET включают, во-первых, традиционные требования к процессингу пластиковых карт (защита помещений, контроль над доступом, резервное энергоснабжение, аппаратная криптография и т.п.); во-вторых, специфические дополнения - межсетевые экраны (firewalls) для защиты каналов Интернета.

Такой подход позволяет использовать единые методики оценки рисков при проведении электронных платежей вне зависимости от способа аутентификации клиента (традиционная карта с магнитной полосой, смарт-карта или цифровой сертификат). Это позволяет участникам платежной системы разрешать спорные ситуации по отработанным механизмам и сконцентрироваться на развитии своего электронного бизнеса.

Для получения актуальной информации о распространении SET, включая информацию о банках, имеющих сертификаты Visa и Europay/MasterCard, и торговых/сервисных компаниях, принимающих SET-платежи, можно обратиться на сайт set-sites.com или сайты международных платежных систем.

Список использованной литературы

1. Веляевский И.К. Маркетинговое исследование: информация, анализ, прогноз. М.: Финансы и статистика, 2006.

2. Головеров Д.В., Кемрадж А.С. и др. Правовые аспекты использования Интернет-технологий. М.: Книжный мир, 2008.

3. Данько Т.П., Дьяконова Л.Я., Завьялова Н.В., Сагинова О.В. и др. Электронный маркетинг: Учеб. пособие. М.: ИНФРА-М, 2007.

4. Раздьяконов Н. и др. Jump In: Учеб. пособие для слушателей курсов "Амадеус". М.; СПб.: Amadeus Russia, 2007.

5. Успенский И. Энциклопедия Интернет-бизнеса. СПб.: Питер, 2006.

6. Холмогоров В. Интернет-маркетинг. Краткий курс. СПб.: Питер, 2008.

7. Хорошилов А.В., Селетков С.Я. Мировые информационные ресурсы. СПб.: Питер, 2004.

8. http://www.marketingpower.com/welcome.php - сайт американской маркетинговой ассоциации (АМА).

9. http://www.ram.ru/ - сайт российской ассоциации маркетинга (РАМ).

10. http://www.e-commerce.ru/ - Интернет-ресурсы информационно-консалтингового центра по электронному бизнесу.

11. http://www.e-management.ru/ - консультационный центр развития электронного бизнеса.