Для обеспечения надежной работы платежная система должна быть защищенной. Развитие систем электронного бизнеса невозможно без решения следующих задач защиты информации:
· аутентификации участников информационного взаимодействия;
· обеспечения конфиденциальности и целостности коммерческой информации (документов, удостоверяющих факт сделки, платежных документов, счетов, заказов и пр.) при ее передаче по каналам связи;
· обеспечения невозможности отказа от факта получения какого-либо сообщения;
· обеспечения юридической значимости пересылаемых электронных документов.
Решение указанных задач невозможно без применения современных криптографических технологий (в первую очередь протоколов электронной подписи, инфраструктуры открытых ключей).
При рассмотрении вопросов, связанных с информационной безопасностью электронного бизнеса, можно выделить два основных аспекта этой проблемы:
· обеспечение информационной безопасности электронной коммерции, в первую очередь защита информации в электронных платежных системах;
|
|
· защита информации в компьютерных системах и сетях.
Угрозы безопасности. Основными видами угроз, нарушающих интересы потребителя, при осуществлении коммерческой транзакции являются:
· ложная аутентификация поставщика;
· нарушение конфиденциальности при совершении сделки;
· разглашение платежных реквизитов потребителя;
· непоставка оплаченного товара;
· поставка дефектного товара или товара, не соответствующего заказу;
· нарушение сроков поставки товара;
· отправка платежа по ложным реквизитам;
· невыполнение банком потребителя или другим платежным агентом своих обязательств по перечислению платежей, в том числе задержка сроков исполнения платежа;
· отказ поставщика от факта оплаты;
· заключение юридически незначимой сделки с последующим отказом от поставки;
· навязывание повторной оплаты;
· отправка оплаченного товара по ложному адресу доставки;
· потеря потребителем платежного средства.
Угрозы, нарушающие интересы поставщика:
· ложная платежная аутентификация потребителя и, как следствие, потеря товара при его поставке с использованием фальшивого или неавторизованного платежного средства;
· потеря товара при offline-авторизации;
· отказ потребителя от факта получения товара;
· невыполнение банковской платежной системой своих обязательств по перечислению средств в адрес поставщика;
· заключение юридически не значимой сделки и, как следствие, возврат платежа;
· потеря платежного документа, переданного потребителем;
· недобросовестность агента доставки, нарушающего, например, сроки поставки товара.
|
|
Кроме перечисленных, существуют также угрозы для банков, обслуживающих поставщика и потребителя, связанные с ложной авторизацией (наличием дебетового сальдо[1] по лицевому счету) или аутентификацией платежных средств потребителя.
Конфиденциальность и анонимность. При осуществлении оплаты за товар необходимо обеспечить конфиденциальность платежных данных потребителя, платежная информация (номер пластиковой карточки, номер счета и т. п.) должна быть известна только тому, кто имеет законное право ее знать (например, банку-эмитенту платежного средства). Безопасная транзакция требует, чтобы поставщик не знал платежные данные потребителя.
Проблема конфиденциальности тесно связана с проблемой анонимности потребителя при осуществлении коммерческой транзакции. Анонимность потребителя включает в себя анонимность платежа и анонимность взаимодействия. Анонимность платежа предполагает отсутствие взаимосвязи между платежом и личностью инициирующего его потребителя. Наибольшую анонимность платежа обеспечивают (в порядке убывания защищенности): монеты, купюры, предоплатные финансовые продукты, купленные за наличные. Анонимность взаимодействия обеспечить труднее, так как при контакте с другими участниками транзакции в большинстве случаев выставляются некие идентификационные характеристики потребителя. Наибольшей анонимностью обладает покупка товара в магазине с оплатой наличными при личном контакте без доставки.