Забезпечення захисту у платіжних системах в Internet

Розглянуті вище технології захисту є основою для реалізації платіжних систем в Internet. Щодо захисту комерційної інформації їх поділяють на дві основні групи:

системи на основі пластикових карток;

системи на основі цифрових грошей.

Захист у системах на основі пластикових карток

Основне місце серед існуючих платіжних систем в Internet належить системам з використанням кредитних карток. Успіх їх застосування для розрахунків в Internet пов'язаний із звичністю такого типу оплати, який подібний до оплати в реальному світі. Більшість трансакцій в Internet здійснюється із застосуванням саме цього різновиду платежів. Протокол SSL також використовується переважно для передавання інформації про пластикові картки. Однак цей засіб має деякі недоліки. Важлива інформація у разі несумлінного її зберігання на сервері продавця може перебувати під загрозою доступу до неї зловмисників, хоча перехопити інформацію під час трансакції практично неможливо. До того ж існує можливість підробки або підміни справжності торговця або особистості користувача як продавцем, так і покупцем. Фірма може надати про себе невірогідну інформацію, а покупець — зробити замовлення, а після цього відмовитися від оплати. Довести, що саме він користувався своєю карткою, практично неможливо через відсутність підпису. Технологією, покликаною усунути ці недоліки, був протокол SET (Secure Electronic Transaction specification), розроблений компаніями MasterCard і Visa за підтримки Netscape, IBM, VeriSign та ін. Протокол ґрунтується на криптографії з використанням публічних ключів і цифрових сертифікатів. Перша специфікація SET (Secure Electronic Transaction) з'явилася у травні 1997 року. SET був спрямований на подолання шахрайства з пластиковими картками при покупках в Internet. Однак належного розповсюдження протокол так і не отримав. SET вимагає спеціального програмного забезпечення як Internet-крамниці, так і покупця-власника картки: Cardholder Wallet і Merchant Server.

Установа-еквайєр повинна встановити у себе програму типу Payment Gatewey. Крім того, необхідно, щоб усі учасники платіжної схеми отримали в сертифікаційному центрі цифрові сертифікати. Власник картки, купуючи в Internet-крамниці товар, вибирає пластикову картку як засіб платежу. Його програмне забезпечення Cardholder Wallet ініціює обмін з Merchant Server крамниці за протоколом SET з шифруванням і генерацією цифрових підписів. Авторизація операції здійснюється крамницею через програмний продукт Payment Gateway еквайєра. Номер картки залишається невідомим для крамниці. Завдяки цьому реалізується захист від хакерів і нечесних адміністраторів Internet-крамниць, які крадуть номери карток. SET гарантує надійний захист від шахрайства. Однак впровадження такого захисту — надто витратний і складний захід, який потребує істотних змін у вже працюючому програмному забезпеченні Internet-крамниць і еквайєрів. Негативним також є те, що власник картки має встановити на свій комп'ютер складний у налагодженні програмний продукт типу Cardholder Wallet.

Отже, SET не є економічно вигідним, тому не отримав домінуючого розповсюдження, незважаючи на підтримку Visa і MasterCard. У 2000 p. SET було спрощено для власників карток та Internet-крамниць. Він отримав назву 3D SET. Його перевага в тому, що власнику картки й Internet-крамниці не потрібно встановлювати у себе складне програмне забезпечення. Тепер програмне забезпечення Cardholder Wallet переноситься на сервер емітента, a Merchant Server — на сервер еквайєра. Емітент і еквайєр обмінюються між собою даними за протоколом SET нової специфікації від імені власника картки та електронної крамниці. Емітент при цьому може на свій розсуд використати будь-які засоби ідентифікації власника картки (пароль, смарт-картка таін.). Це ж правило поширюється на еквайєра при ідентифікації крамниці. Завдяки цьому 3D SET доступніший у впровадженні й експлуатації, ніж традиційний SET.

Однак ринок потребує ще простішого варіанта, який вимагає мінімальних змін і доповнень до встановленого програмного забезпечення електронних крамниць і власників карток та надійну ідентифікацію учасників платежу. До того ж, простішим і економічнішим вирішенням проблеми захисту інформації, що передається в Internet, є використання протоколу SSL (Secure Socket Layer), який вже став стандартом де-факто. США які мають найбільший ринок пластикових карток, вже остаточно відмовилися від впровадження 3D SET. Нині американці експериментують з використанням протоколів на базі SSL. Visa ж оголосила про розробку нового протоколу, що покликаний замінити SET і стати універсальним засобом боротьби з шахрайством в Internet. Одним із обмежень використання пластикових карток є обмеження на нижню межу зроблених закупівель, що становить до 5 USD.

Через те що за проведення кожної трансакції емітент картки відраховує 1,5—3% від суми трансакції, але не менш 20 центів, здійснювати оплату товарів у нижньому ціновому діапазоні стає невигідно. Проте окремі фірми роблять спроби розповсюдити кредитну схему на дрібні платежі. Для скорочення видатків вони розробляють механізми збору дрібних трансакцій, щоб обробка виконувалася лише після того, як їх сума досягне певного розміру. Альтернативним шляхом вирішення проблеми безпеки комерційної інформації під час платежів в Internet є впровадження смарт-карток і електронної готівки. На думку фахівців, саме мікроплатежі можуть забезпечити основний обсяг продажів в Internet. Крім того, цифрова готівка забезпечує повну анонімність, бо не несе жодної інформації про клієнта, який їх витратив. Нагадаємо, сучасна смарт-картка являє собою мініатюрний комп'ютер з процесором, пам'яттю, програмним забезпеченням і системою введення/виведення інформації.

Одна з найважливіших характеристик такої системи — її безпека. Ще одна особливість смарт-карток — їх багатофункціональність, тобто можливість використання однієї картки в різноманітних фінансових застосуваннях і комунікаційних інфраструктурах. Готівкові цифрові гроші на основі смарт-карток не тільки можуть забезпечити необхідний рівень конфіденційності та анонімності, а й не вимагають зв'язку з центром для підтвердження оплати. У зв'язку з цим вартість трансакції може бути зведена до мінімуму. Усе це свідчить про перспективність поступового розповсюдження цього різновиду платіжних систем. Однак для їх застосування як засобу оплати в мережі Internet необхідні відповідні додаткові периферійні пристрої для персональних комп'ютерів, призначені для зчитування даних зі смарт-карток. Серед компаній, що розвивають системи цифрової готівки, — NetCash, CyberCash, DigiCash, Mondex, в пострадянських країнах — PayCash, WebMoney Transfer. Захист у системах на основі цифрових грошей

Відносно новим типом розрахунків в Internet є електронні гроші, або цифрова готівка. Це файли, які виконують функції грошових знаків. На відміну від інших платіжних систем в Internet ці файли і є грошима, а не записами про них. Надійну роботу систем з використанням цифрової готівки забезпечують сучасні засоби криптографії: алгоритми криптографії з відкритим ключем, електронного підпису та електронного «сліпого» підпису. Витрати на функціонування таких систем мінімальні. Відсутність у схемах розрахунків кредитної картки, отже й значних витрат на оплату трансакцій проце-сінговим компаніям, дає змогу застосовувати їх для мік-роплатежів, тобто розрахунків у нижньому ціновому діапазоні.Безпека електронних платежів, які діють у пострадянських країнах Електронні гроші і смарт-картки поки що не отримали широкого розповсюдження в Україні й інших пострадянських країнах. Тому найреальнішими шляхами Internet-комерції залишаються платежі по пластикових картках. При цьому забезпечується достатньо високий рівень захисту інформації як покупця, так і продавця (див. табл. 6.6). Однак на шляху розвитку Internet-комерції у цих країнах існують деякі перешкоди:

національні банківські системи поки що не готові до широкого використання карток, електронної готівки;

користувачі ще психологічно не готові передавати через Internet конфіденційну інформацію.

Отже, сучасні програмні засоби захисту інформації, Що передається через мережу, дають змогу як ідентифікувати користувача (електронний підпис), так і забезпечити достатній рівень безпеки даних. Однак відповідна вітчизняна і закордонна юридична база бідна через недостатню практику використання технологій захисту інформації і носить поки що декларативний характер.

1. Як забезпечити безпеку підприємства?

2. Різновиди шахрайства в електронній комерції.

3. Криптографічні засоби шифрування інформації.

4. Процес шифрування. Різновиди системи шифрування.

5. Роль цифрових сертифікаційних центрів.

6. Інші системи захисту інформації, що передається Internet.

7. Забезпечення захисту у платіжних системах в Internet.

8. Захист у системах на основі пластикових карток.

9. Захист у системах на основі цифрових грошей.

10. Безпека електронних платежів, які діють у пострадянських країнах.

11. Різновиди шахрайства в електронній комерції