Безопасность использования пластиковых карт с магнитной полосой.

Дебетовые системы.

Дебетовые схемы платежей построены аналогично их оффлайновым прототипам: чековым и обычным денежным. В схему вовлечены две независимые стороны: эмитенты и пользователи. Под эмитентом понимается субъект, управляющий платежной системой. Он выпускает некие электронные единицы, представляющие платежи (например, деньги на счетах в банках). Пользователи систем выполняют две главные функции. Они производят и принимают платежи в Интернет, используя выпущенные электронные единицы.

Электронные чеки.

Электронные чеки являются аналогом обычных бумажных чеков. Это предписания плательщика своему банку перечислить деньги со своего счета на счет получателя платежа. Операция происходит при предъявлении получателем чека в банке. Основных отличий здесь два. Во-первых, выписывая бумажный чек, плательщик ставит свою настоящую подпись, а в онлайновом варианте - подпись электронная. Во-вторых, сами чеки выдаются в электронном виде.

Проведение платежей проходит в несколько этапов:

1. Плательщик выписывает электронный чек, подписывает электронной подписью и пересылает его получателю. В целях обеспечения большей надежности и безопасности номер чекового счета можно закодировать открытым ключом банка.

2. Чек предъявляется к оплате платежной системе. Далее, (либо здесь, либо в банке, обслуживающем получателя) происходит проверка электронной подписи.

3. В случае подтверждения ее подлинности поставляется товар или оказывается услуга. Со счета плательщика деньги перечисляются на счет получателя.

Простота схемы проведения платежей, к сожалению, компенсируется сложностями ее внедрения в России. Здесь чековые схемы пока не получили распространения и не имеется сертификационных центров.

Несколько слов о сертификационных центрах. Для реализации электронной подписи используют систему шифрования с открытым ключом. При этом создается личный ключ для подписи и открытый ключ для проверки. Личный ключ хранится у пользователя, а открытый может быть доступен всем. Самый удобный способ распространения открытых ключей - использование сертификационных центров. Там хранятся цифровые сертификаты, содержащие открытый ключ и информацию о владельце. Это освобождает пользователя от обязанности самому рассылать свой открытый ключ. Кроме того, сертификационные центры обеспечивают аутентификацию, гарантирующую, что никто не сможет сгенерировать ключи от лица другого человека.

Электронные деньги.

В интернете есть уже почти все, что может понадобиться для человека. Товары, услуги, общение, возможность самовыражения, игры и т.д.

Конечно за некоторые услуги надо платить и чем быстрее и проще система платежей тем лучше.

Потребность в подобной платежной системе начали ощущать и продавцы, и покупатели. И поэтому были придуманы электронные деньги.

Задача любых видов электронных денег - создание универсальной платежной среды, объединяющей покупателей и продавцов товаров и услуг.

Цель электронных денег - повышение экономической эффективности интернета как отрасли в целом.

Механизм электронных денег таков, что позволяет не отходя от компьютера оплачивать товары, заключать сделки, вести коммерческую деятельность. Электронные деньги очень похожи на электронные платежные карты, только у вас не карта и пинкод, а логин и пароль с помощью которых вы можете совершать денежные операции. Также в любой момент времени вы можете вывести деньги из сети или ввести их в сеть через банк, почтовым переводом, наличными, кредитной картой и т.п.

Электронные деньги полностью моделируют реальные деньги. При этом, эмиссионная организация - эмитент - выпускает их электронные аналоги, называемые в разных системах по-разному (например, купоны). Далее, они покупаются пользователями, которые с их помощью оплачивают покупки, а затем продавец погашает их у эмитента. При эмиссии каждая денежная единица заверяется электронной печатью, которая проверяется выпускающей структурой перед погашением.

Одна из особенностей физических денег - их анонимность, то есть на них не указано, кто и когда их использовал. Некоторые системы, по аналогии, позволяют покупателю получать электронную наличность так, чтобы нельзя было определить связь между ним и деньгами. Это осуществляется с помощью схемы слепых подписей.

Стоит еще отметить, что при использовании электронных денег отпадает необходимость в аутентификации, поскольку система основана на выпуске денег в обращение перед их использованием.

Ниже приведена схема платежа с помощью цифровых денег.

1. Покупатель заранее обменивает реальные деньги на электронные. Хранение наличности у клиента может осуществляться двумя способами, что определяется используемой системой:

· На жестком диске компьютера.

· На смарт-картах.

Разные системы предлагают разные схемы обмена. Некоторые открывают специальные счета, на которые перечисляются средства со счета покупателя в обмен на электронные купюры. Некоторые банки могут сами эмитировать электронную наличность. При этом она эмитируется только по запросу клиента с последующим ее перечислением на компьютер или карту этого клиента и снятием денежного эквивалента с его счета. При реализации же слепой подписи покупатель сам создает электронные купюры, пересылает их в банк, где при поступлении реальных денег на счет они заверяются печатью и отправляются обратно клиенту.

Наряду с удобствами такого хранения, у него имеются и недостатки. Порча диска или смарт-карты оборачивается невозвратимой потерей электронных денег.

 

Рис. 3. Схема платежа с помощью цифровых денег.

 

2. Покупатель перечисляет на сервер продавца электронные деньги за покупку.

3. Деньги предъявляются эмитенту, который проверяет их подлинность.

4. В случае подлинности электронных купюр счет продавца увеличивается на сумму покупки, а покупателю отгружается товар или оказывается услуга.

Одной из важных отличительных черт электронных денег является возможность осуществлять микроплатежи. Это связано с тем, что номинал купюр может не соответствовать реальным монетам (например, 37 копеек).

Эмитировать электронные наличные могут как банки, так и небанковские организации. Однако, до сих пор не выработана единая система конвертирования разных видов электронных денег. Поэтому только сами эмитенты могут гасить выпущенную ими электронную наличность. Кроме того, использование подобных денег от нефинансовых структур не обеспечено гарантиями со стороны государства. Однако, малая стоимость транзакции делает электронную наличность привлекательным инструментом платежей в Интернет.

Кредитные системы

 

Рис. 4. Схема платежей через интернет с помощью кредитных карт.

 

Интернет-кредитные системы являются аналогами обычных систем, работающих с кредитными картами. Отличие состоит в проведении всех транзакций через Интернет, и как следствие, в необходимости дополнительных средств безопасности и аутентификации.

Общая схема платежей в такой системе приведена на рисунке.

В проведении платежей через Интернет с помощью кредитных карт участвуют:

1. Покупатель. Клиент, имеющий компьютер с Web-браузером и доступом в Интернет.

2. Банк-эмитент. Здесь находится расчетный счет покупателя. Банк-эмитент выпускает карточки и является гарантом выполнения финансовых обязательств клиента.

3. Продавцы. Под продавцами понимаются сервера Электронной Коммерции, на которых ведутся каталоги товаров и услуг и принимаются заказы клиентов на покупку.

4. Банки-эквайеры. Банки, обслуживающие продавцов. Каждый продавец имеет единственный банк, в котором он держит свой расчетный счет.

5. Платежная система Интернет. Электронные компоненты, являющиеся посредниками между остальными участниками.

6. Традиционная платежная система. Комплекс финансовых и технологических средств для обслуживания карт данного типа. Среди основных задач, решаемых платежной системой, - обеспечение использования карт как средства платежа за товары и услуги, пользование банковскими услугами, проведение взаимозачетов и т.д. Участниками платежной системы являются физические и юридические лица, объединенные отношениями по использованию кредитных карт.

7. Процессинговый центр платежной системы. Организация, обеспечивающая информационное и технологическое взаимодействие между участниками традиционной платежной системы.

Расчетный банк платежной системы. Кредитная организация, осуществляющая взаиморасчеты между участниками платежной системы по поручению процессингового центра.

Теперь вернемся к схеме платежей.

1. Покупатель в электронном магазине формирует корзину товаров и выбирает способ оплаты "кредитная карта".

2. Далее, параметры кредитной карты (номер, имя владельца, дата окончания действия)должны быть переданы платежной системе Интернет для дальнейшей авторизации. Это может быть сделано двумя способами:

· через магазин, то есть параметры карты вводятся непосредственно на сайте магазина, после чего они передаются платежной системе Интернет;

· на сервере платежной системы.

Очевидны преимущества второго пути. В этом случае сведения о картах не остаются в магазине, и, соответственно, снижается риск получения их третьими лицами или обмана продавцом. И в том, и в другом случае при передаче реквизитов кредитной карты, все же существует возможность их перехвата злоумышленниками в сети. Для предотвращения этого данные при передаче шифруются.

Шифрование, естественно, снижает возможности перехвата данных в сети, поэтому связи покупатель/продавец, продавец/платежная система Интернет, покупатель/платежная система Интернет желательно осуществлять с помощью защищенных протоколов. Наиболее распространенным из них на сегодняшний день является протокол SSL (Secure Sockets Layer). Подробнее о нем можно будет узнать в разделе "Защита информации". Здесь лишь отметим, что в его основе лежит схема асимметричного шифрования с открытым ключом, а в качестве шифровальной схемы используется алгоритм RSA. Ввиду технических и лицензионных особенностей этого алгоритма он считается менее надежным, поэтому сейчас постепенно вводится стандарт защищенных электронных транзакций SET (Secure Electronic Transaction), призванный со временем заменить SSL при обработке транзакций, связанных с расчетами за покупки по кредитным картам в Интернет. Среди плюсов нового стандарта можно отметить усиление безопасности, включая возможности аутентификации всех участников транзакций. Его минусами являются технологические сложности и высокая стоимость.

3. Платежная система Интернет передает запрос на авторизацию традиционной платежной системе.

4. Последующий шаг зависит от того, ведет ли банк-эмитент онлайновую базу данных (БД) счетов. При наличии БД процессинговый центр передает банку-эмитенту запрос на авторизацию карты и затем, получает ее результат. Если же такой базы нет, то процессинговый центр сам хранит сведения о состоянии счетов держателей карт, стоп-листы и выполняет запросы на авторизацию. Эти сведения регулярно обновляются банками-эмитентами.

5. Результат авторизации передается платежной системе Интернет.

6. Магазин получает результат авторизации.

7. Покупатель получает результат авторизации через магазин или непосредственно от платежной системы Интернет.

8. При положительном результате авторизации

· магазин оказывает услугу, или отгружает товар;

· процессинговый центр передает в расчетный банк сведения о совершенной транзакции. Деньги со счета покупателя в банке-эмитенте перечисляются через расчетный банк на счет магазина в банке-эквайере.

Для проведения подобных платежей в большинстве случаев необходимо специальное программное обеспечение. Оно может поставляться покупателю, (называемое электронным кошельком), продавцу и его обслуживающему банку.

Информационная безопасность

 

Научно-технический прогресс превратил информацию в продукт, который можно купить, продать, обменять. Нередко стоимость данных в несколько раз превышает цену всей технической системы, которая хранит и обрабатывает информацию.

Качество коммерческой информации обеспечивает необходимый экономический эффект для компании, поэтому важно охранять критически важные данные от неправомерных действий. Это позволит компании успешно конкурировать на рынке.

Определение информационной безопасности

Информационная безопасность (ИБ) – это состояние информационной системы, при котором она наименее восприимчива к вмешательству и нанесению ущерба со стороны третьих лиц. Безопасность данных также подразумевает управление рисками, которые связаны с разглашением информации или влиянием на аппаратные и программные модули защиты.

Безопасность информации, которая обрабатывается в организации, – это комплекс действий, направленных на решение проблемы защиты информационной среды в рамках компании. При этом информация не должна быть ограничена в использовании и динамичном развитии для уполномоченных лиц.

Требования к системе защиты.

Защита информационных ресурсов должна быть:

1. Постоянной. Злоумышленник в любой момент может попытаться обойти модули защиты данных, которые его интересуют.

2. Целевой. Информация должна защищаться в рамках определенной цели, которую ставит организация или собственник данных.

3. Плановой. Все методы защиты должны соответствовать государственным стандартам, законам и подзаконным актам, которые регулируют вопросы защиты конфиденциальных данных.

4. Активной. Мероприятия для поддержки работы и совершенствования системы защиты должны проводиться регулярно.

5. Комплексной. Использование только отдельных модулей защиты или технических средств недопустимо. Необходимо применять все виды защиты в полной мере, иначе разработанная система будет лишена смысла и экономического основания.

6. Универсальной. Средства защиты должны быть выбраны в соответствии с существующими в компании каналами утечки.

7. Надежной. Все приемы защиты должны надежно перекрывать возможные пути к охраняемой информации со стороны злоумышленника, независимо от формы представления данных.

Модель системы безопасности[7]

Информация считается защищенной, если соблюдаются три главных свойства.

Первое – целостность – предполагает обеспечение достоверности и корректного отображения охраняемых данных, независимо от того, какие системы безопасности и приемы защиты используются в компании. Обработка данных не должна нарушаться, а пользователи системы, которые работают с защищаемыми файлами, не должны сталкиваться с несанкционированной модификацией или уничтожением ресурсов, сбоями в работе ПО.

Второе – конфиденциальность – означает, что доступ к просмотру и редактированию данных предоставляется исключительно авторизованным пользователям системы защиты.

Третье – доступность – подразумевает, что все авторизованные пользователи должны иметь доступ к конфиденциальной информации.

Достаточно нарушить одно из свойств защищенной информации, чтобы использование система стало бессмысленным.

Все современные операционные системы оснащены встроенными модулями защиты данных на программном уровне. MAC OS, Windows, Linux, iOS отлично справляются с задачей шифрования данных на диске и в процессе передачи на другие устройства. Однако для создания эффективной работы с конфиденциальной информацией важно использовать дополнительные модули защиты.

Пользовательские ОС не защищают данные в момент передачи по сети, а системы защиты позволяют контролировать информационные потоки, которые циркулируют по корпоративной сети, и хранение данных на северах.

Аппаратно-программный модуль защиты принято разделять на группы, каждая из которых выполняет функцию защиты чувствительной информации:

Уровень идентификации – это комплексная система распознавания пользователей, которая может использовать стандартную или многоуровневую аутентификацию, биометрию (распознавание лица, сканирование отпечатка пальца, запись голоса и прочие приемы).

Уровень шифрования обеспечивает обмен ключами между отправителем и получателем и шифрует/дешифрует все данные системы.

Правовая защита информации

Правовую основу информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами и подзаконными актами.

Государство также определят меру ответственности за нарушение положений законодательства в сфере ИБ. Например, глава 28 «Преступления в сфере компьютерной информации» в Уголовном кодексе Российской Федерации, включает три статьи:

Статья 272 «Неправомерный доступ к компьютерной информации»;

Статья 273 «Создание, использование и распространение вредоносных компьютерных программ»;

Статья 274 «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей».

Безопасность Webmoney

 

Каждый человек, в повседневной жизни, пользуется кошельком. И абсолютно точно можно утверждать, что все очень бережно к нему относятся, особенно, когда он с деньгами — не размахивают им на улице, а кладут глубоко в карман, оберегают его от воров, не дают пользоваться другим людям.

Почему-то этими простыми и понятными (на уровне подсознания) правилами люди пренебрегают в интернете. Имея свой кошелек в сети, мало кто о нём заботиться на должном уровне!

Пользователю система определила необходимые требования безопасности, но их же надо соблюдать и выполнять. Также, система создала специальные сервисы для безопасности пользовательского кипера, но мало кто ими пользуется.

Вот и получается, что система больше заботится о кошельках, пользователей чем они сами![10]

Попытаемся проанализировать почему так происходит.

Ведь в интернете, как и в реальной жизни, есть свои ‘жулики’ (и от этого никуда не деться), которых нужно опасаться и профилактировать их действия, чтобы потом не распространялись различные слухи, сопоставимые с реальностью, что держать деньги в электронных кошельках небезопасно. На самом деле — очень безопасно, если думать головой (система постаралась). Пользуясь рекомендациями и сервисами системы, пользователи вебмани могут спокойно обезопасить свои кошельки от различных вмешательств, а также при форс-мажорных обстоятельствах.

Только нужно немного напрячься и выполнить определенные действия, которые позволят вам мало напрягаться впоследствии.

Технология WebMoney Transfer разработана c учетом современных требований безопасности, предъявляемых к системам управления информацией через Интернет.

Установление истинности информации является ключевым моментом в обеспечении безопасности любых данных, проходящих через Систему.

WebMoney Transfer предусматривает 3 основных способа аутентификации:

С помощью логина и пароля. В качестве логина может выступать WMID, телефон или e-mail, указанные при регистрации. Как правило, с этим способом используется дополнительное подтверждение.

С помощью файлов с секретными ключами. Для запуска WM Keeper Classic необходимы: уникальный 12-значный WM-идентификатор, пароль (назначается пользователем), а также файлы с секретным ключом и кошельками, которые хранятся в памяти компьютера. ВНИМАНИЕ! Обязательно сохраняйте резервные копии файлов ключей и кошельков на съемном носителе и храните их в надежном месте! Это значительно облегчит восстановление доступа к Вашему кошельку в случае утраты или уничтожения файлов на Вашем компьютере

С помощью персональных цифровых сертификатов.

И два способа дополнительного подтверждения операций:

C помощью отправки проверочного кода в SMS.[11]

C помощью сервиса E-Num, генерирующего одноразовые пароли.

Архитектура системы предоставляет защищенный доступ к WM-кошелькам пользователей и не позволяет проводить расчеты с использованием WM-кошельков, на которых нет средств.

На системном уровне обеспечивается устойчивость по отношению к обрывам связи. При совершении трансакции средства всегда находятся либо на WM-кошельке отправителя, либо на WM-кошельке получателя. Промежуточного состояния в системе не существует. Таким образом, принципиально не может возникнуть ситуации, когда WM-средства будут потеряны.

Помимо встроенных технологических механизмов в системе поддерживаются дополнительные сервисы, настройка которых выполняется пользователями самостоятельно.

Идентификация

При регистрации участнику WebMoney Transfer присваивается уникальный номер — 12-значный WM-идентификатор (WMID), необходимый для работы в системе.

Для удостоверения личности владельца WM-идентификатора в системе действует WM-аттестация.

Пользователи системы могут использовать автоматизированные средства для идентификации и аутентификации участников при построении собственных приложений.

Конфиденциальность

С помощью программы WM Keeper п можете настроить отображение сведений о себе (имя, фамилию, e-mail, почтовый адрес и т.п.) для просмотра другими участниками WebMoney Transfer. В этом случае при совершении сделок второй стороне будут доступны только те данные, которые вы выбрали сами.

Если, к примеру торговый партнер потребует от пользователя  указать некоторые из вышеперечисленных личных сведений, и он согласится с этим требованием, то персональные настройки безопасности системы позволят сделать эту информацию доступной.

По пользовательскому WM-идентификатору невозможно определить номера используемых пользователем WM-кошельков. При желании пользователь может установить на своем компьютере любое число версий WebMoney Keeper и входить в систему под разными WM-идентификаторами.

В WebMoney Keeper Mini по умолчанию стоит вход с помощью логина и пароля. Все, наверное, уже понимают, что это никуда не годится — сейчас самый простенький троян легко может перехватить и передать эту информацию.

 

Дебетовые системы.

Дебетовые схемы платежей построены аналогично их оффлайновым прототипам: чековым и обычным денежным. В схему вовлечены две независимые стороны: эмитенты и пользователи. Под эмитентом понимается субъект, управляющий платежной системой. Он выпускает некие электронные единицы, представляющие платежи (например, деньги на счетах в банках). Пользователи систем выполняют две главные функции. Они производят и принимают платежи в Интернет, используя выпущенные электронные единицы.

Электронные чеки.

Электронные чеки являются аналогом обычных бумажных чеков. Это предписания плательщика своему банку перечислить деньги со своего счета на счет получателя платежа. Операция происходит при предъявлении получателем чека в банке. Основных отличий здесь два. Во-первых, выписывая бумажный чек, плательщик ставит свою настоящую подпись, а в онлайновом варианте - подпись электронная. Во-вторых, сами чеки выдаются в электронном виде.

Проведение платежей проходит в несколько этапов:

1. Плательщик выписывает электронный чек, подписывает электронной подписью и пересылает его получателю. В целях обеспечения большей надежности и безопасности номер чекового счета можно закодировать открытым ключом банка.

2. Чек предъявляется к оплате платежной системе. Далее, (либо здесь, либо в банке, обслуживающем получателя) происходит проверка электронной подписи.

3. В случае подтверждения ее подлинности поставляется товар или оказывается услуга. Со счета плательщика деньги перечисляются на счет получателя.

Простота схемы проведения платежей, к сожалению, компенсируется сложностями ее внедрения в России. Здесь чековые схемы пока не получили распространения и не имеется сертификационных центров.

Несколько слов о сертификационных центрах. Для реализации электронной подписи используют систему шифрования с открытым ключом. При этом создается личный ключ для подписи и открытый ключ для проверки. Личный ключ хранится у пользователя, а открытый может быть доступен всем. Самый удобный способ распространения открытых ключей - использование сертификационных центров. Там хранятся цифровые сертификаты, содержащие открытый ключ и информацию о владельце. Это освобождает пользователя от обязанности самому рассылать свой открытый ключ. Кроме того, сертификационные центры обеспечивают аутентификацию, гарантирующую, что никто не сможет сгенерировать ключи от лица другого человека.

Электронные деньги.

В интернете есть уже почти все, что может понадобиться для человека. Товары, услуги, общение, возможность самовыражения, игры и т.д.

Конечно за некоторые услуги надо платить и чем быстрее и проще система платежей тем лучше.

Потребность в подобной платежной системе начали ощущать и продавцы, и покупатели. И поэтому были придуманы электронные деньги.

Задача любых видов электронных денег - создание универсальной платежной среды, объединяющей покупателей и продавцов товаров и услуг.

Цель электронных денег - повышение экономической эффективности интернета как отрасли в целом.

Механизм электронных денег таков, что позволяет не отходя от компьютера оплачивать товары, заключать сделки, вести коммерческую деятельность. Электронные деньги очень похожи на электронные платежные карты, только у вас не карта и пинкод, а логин и пароль с помощью которых вы можете совершать денежные операции. Также в любой момент времени вы можете вывести деньги из сети или ввести их в сеть через банк, почтовым переводом, наличными, кредитной картой и т.п.

Электронные деньги полностью моделируют реальные деньги. При этом, эмиссионная организация - эмитент - выпускает их электронные аналоги, называемые в разных системах по-разному (например, купоны). Далее, они покупаются пользователями, которые с их помощью оплачивают покупки, а затем продавец погашает их у эмитента. При эмиссии каждая денежная единица заверяется электронной печатью, которая проверяется выпускающей структурой перед погашением.

Одна из особенностей физических денег - их анонимность, то есть на них не указано, кто и когда их использовал. Некоторые системы, по аналогии, позволяют покупателю получать электронную наличность так, чтобы нельзя было определить связь между ним и деньгами. Это осуществляется с помощью схемы слепых подписей.

Стоит еще отметить, что при использовании электронных денег отпадает необходимость в аутентификации, поскольку система основана на выпуске денег в обращение перед их использованием.

Ниже приведена схема платежа с помощью цифровых денег.

1. Покупатель заранее обменивает реальные деньги на электронные. Хранение наличности у клиента может осуществляться двумя способами, что определяется используемой системой:

· На жестком диске компьютера.

· На смарт-картах.

Разные системы предлагают разные схемы обмена. Некоторые открывают специальные счета, на которые перечисляются средства со счета покупателя в обмен на электронные купюры. Некоторые банки могут сами эмитировать электронную наличность. При этом она эмитируется только по запросу клиента с последующим ее перечислением на компьютер или карту этого клиента и снятием денежного эквивалента с его счета. При реализации же слепой подписи покупатель сам создает электронные купюры, пересылает их в банк, где при поступлении реальных денег на счет они заверяются печатью и отправляются обратно клиенту.

Наряду с удобствами такого хранения, у него имеются и недостатки. Порча диска или смарт-карты оборачивается невозвратимой потерей электронных денег.

 

Рис. 3. Схема платежа с помощью цифровых денег.

 

2. Покупатель перечисляет на сервер продавца электронные деньги за покупку.

3. Деньги предъявляются эмитенту, который проверяет их подлинность.

4. В случае подлинности электронных купюр счет продавца увеличивается на сумму покупки, а покупателю отгружается товар или оказывается услуга.

Одной из важных отличительных черт электронных денег является возможность осуществлять микроплатежи. Это связано с тем, что номинал купюр может не соответствовать реальным монетам (например, 37 копеек).

Эмитировать электронные наличные могут как банки, так и небанковские организации. Однако, до сих пор не выработана единая система конвертирования разных видов электронных денег. Поэтому только сами эмитенты могут гасить выпущенную ими электронную наличность. Кроме того, использование подобных денег от нефинансовых структур не обеспечено гарантиями со стороны государства. Однако, малая стоимость транзакции делает электронную наличность привлекательным инструментом платежей в Интернет.

Кредитные системы

 

Рис. 4. Схема платежей через интернет с помощью кредитных карт.

 

Интернет-кредитные системы являются аналогами обычных систем, работающих с кредитными картами. Отличие состоит в проведении всех транзакций через Интернет, и как следствие, в необходимости дополнительных средств безопасности и аутентификации.

Общая схема платежей в такой системе приведена на рисунке.

В проведении платежей через Интернет с помощью кредитных карт участвуют:

1. Покупатель. Клиент, имеющий компьютер с Web-браузером и доступом в Интернет.

2. Банк-эмитент. Здесь находится расчетный счет покупателя. Банк-эмитент выпускает карточки и является гарантом выполнения финансовых обязательств клиента.

3. Продавцы. Под продавцами понимаются сервера Электронной Коммерции, на которых ведутся каталоги товаров и услуг и принимаются заказы клиентов на покупку.

4. Банки-эквайеры. Банки, обслуживающие продавцов. Каждый продавец имеет единственный банк, в котором он держит свой расчетный счет.

5. Платежная система Интернет. Электронные компоненты, являющиеся посредниками между остальными участниками.

6. Традиционная платежная система. Комплекс финансовых и технологических средств для обслуживания карт данного типа. Среди основных задач, решаемых платежной системой, - обеспечение использования карт как средства платежа за товары и услуги, пользование банковскими услугами, проведение взаимозачетов и т.д. Участниками платежной системы являются физические и юридические лица, объединенные отношениями по использованию кредитных карт.

7. Процессинговый центр платежной системы. Организация, обеспечивающая информационное и технологическое взаимодействие между участниками традиционной платежной системы.

Расчетный банк платежной системы. Кредитная организация, осуществляющая взаиморасчеты между участниками платежной системы по поручению процессингового центра.

Теперь вернемся к схеме платежей.

1. Покупатель в электронном магазине формирует корзину товаров и выбирает способ оплаты "кредитная карта".

2. Далее, параметры кредитной карты (номер, имя владельца, дата окончания действия)должны быть переданы платежной системе Интернет для дальнейшей авторизации. Это может быть сделано двумя способами:

· через магазин, то есть параметры карты вводятся непосредственно на сайте магазина, после чего они передаются платежной системе Интернет;

· на сервере платежной системы.

Очевидны преимущества второго пути. В этом случае сведения о картах не остаются в магазине, и, соответственно, снижается риск получения их третьими лицами или обмана продавцом. И в том, и в другом случае при передаче реквизитов кредитной карты, все же существует возможность их перехвата злоумышленниками в сети. Для предотвращения этого данные при передаче шифруются.

Шифрование, естественно, снижает возможности перехвата данных в сети, поэтому связи покупатель/продавец, продавец/платежная система Интернет, покупатель/платежная система Интернет желательно осуществлять с помощью защищенных протоколов. Наиболее распространенным из них на сегодняшний день является протокол SSL (Secure Sockets Layer). Подробнее о нем можно будет узнать в разделе "Защита информации". Здесь лишь отметим, что в его основе лежит схема асимметричного шифрования с открытым ключом, а в качестве шифровальной схемы используется алгоритм RSA. Ввиду технических и лицензионных особенностей этого алгоритма он считается менее надежным, поэтому сейчас постепенно вводится стандарт защищенных электронных транзакций SET (Secure Electronic Transaction), призванный со временем заменить SSL при обработке транзакций, связанных с расчетами за покупки по кредитным картам в Интернет. Среди плюсов нового стандарта можно отметить усиление безопасности, включая возможности аутентификации всех участников транзакций. Его минусами являются технологические сложности и высокая стоимость.

3. Платежная система Интернет передает запрос на авторизацию традиционной платежной системе.

4. Последующий шаг зависит от того, ведет ли банк-эмитент онлайновую базу данных (БД) счетов. При наличии БД процессинговый центр передает банку-эмитенту запрос на авторизацию карты и затем, получает ее результат. Если же такой базы нет, то процессинговый центр сам хранит сведения о состоянии счетов держателей карт, стоп-листы и выполняет запросы на авторизацию. Эти сведения регулярно обновляются банками-эмитентами.

5. Результат авторизации передается платежной системе Интернет.

6. Магазин получает результат авторизации.

7. Покупатель получает результат авторизации через магазин или непосредственно от платежной системы Интернет.

8. При положительном результате авторизации

· магазин оказывает услугу, или отгружает товар;

· процессинговый центр передает в расчетный банк сведения о совершенной транзакции. Деньги со счета покупателя в банке-эмитенте перечисляются через расчетный банк на счет магазина в банке-эквайере.

Для проведения подобных платежей в большинстве случаев необходимо специальное программное обеспечение. Оно может поставляться покупателю, (называемое электронным кошельком), продавцу и его обслуживающему банку.

Безопасность использования пластиковых карт с магнитной полосой.

· При расчётах через Интернет и получении наличности через фальшивые банкоматы возможна электронная кража денег со счёта. Поэтому следует быть крайне осторожным. Для этого требуется не использовать сомнительные платёжные шлюзы, особенно на порнографических сайтах. В некоторых странах существуют фальшивые банкоматы, считывающие магнитные полосы и коды, после чего деньги уходят к мошенникам. Такие банкоматы могут даже выдать наличные. Поэтому в таких странах рекомендуется пользоваться банкоматами при банках и крупных торговых центрах. Также не рекомендуется говорить номер своей карты и код CVV2/CVC2 на обратной стороне (в связи с тем, что данных реквизитов обычно достаточно для совершения платежей в Интернет). Замурованный в стену банкомат или банкомат, находящийся в здании банка — более надёжный способ снятия денег со счёта.

· При получении денег через банкомат и многих терминалах требуется ввести PIN-код, обычно состоящий из четырёх цифр. Рекомендуется его запомнить и ни в коем случае не хранить его вместе с картой. У незаконного обладателя чужой карты есть не менее десяти тысяч вариантов, однако после третьего неправильного ввода PIN-кода карта обычно блокируется на сутки, а некоторые банки-эмитенты в таких случаях могут даже дать банкомату команду на захват карты. Если карта VISA, то в этом случае карту обычно пересылают в банк-эмитент, так как банк-эквайер в этом случае получает вознаграждение. Если это MasterCard, то карта никуда не пересылается, так как вознаграждения не предусмотрено, и обычно такие захваченные