47091 (571936), страница 2
Текст из файла (страница 2)
- определить, обеспечивает ли выбранная площадка плотность покупательского потока, необходимую для того, чтобы окупить уплачиваемый комиссионный сбор;
- выяснить, как будет организована онлайновая презентация их торговой марки;
- подготовиться к возможности конфликта между новым и традиционным каналом сбыта таким образом, чтобы этот конфликт не помешал переводу части сбыта на электронный рынок, если этого желают определенные круги покупателей;
- учесть вероятность возникновения технологических проблем при интеграции серверных систем с торговыми площадками.
Покупатели и продавцы должны:
- определить, позволяет ли торговая площадка сохранить существующие межфирменные связи, например, сможет ли участник иметь дело с конкретным партнером, которого он предпочитает;
- узнать, насколько эффективна система идентификации недобросовестных участников.
-
Платежи в Интернете
-
Системы цифровых наличных
Принцип работы
Первой системой цифровых наличных принято считать ecash (www.diqicash.com), созданную на основе «подписи вслепую», предложенной голландским криптографом Дэвидом Чомом. На российском и украинском рынках представлены две работающие системы цифровых наличных - WebMoney (www.webmoney.ru) и PayCash (www.paycash.ru).
В системе цифровых наличных обращаются цифровые сертификаты на предъявителя, т. е. финансовые обязательства эмитента (банка) по отношению к пользователю системы. Любой пользователь системы может как получать, так и передавать сертификаты другому пользователю, т. е. отсутствует деление пользователей на продавцов и покупателей. В такой системе имеет место математически доказанное отсутствие возможности в рамках системы установить соответствие между платежом и его источником. Эмитент не может отказаться от своих обязательств отдельному плательщику. После перевода средств в цифровую форму их невозможно изъять из обращения без знания секретных ключей пользователя.
Системы цифровых наличных разделяются на 2 класса:
- Онлайновые.
Магазин получает деньги после проверки банком, что цифровые сертификаты используются для платежа первый раз.
- Оффлайновые.
Магазин получает деньги сразу после получения сертификатов от покупателя и проверки подписи банка под ними. При этом цепочка платежей без предъявления сертификатов банку может быть достаточно длинной.
-
Технология «слепой подписи»
Для обеспечения анонимности участников сделки с цифровыми сертификатами используется «подпись вслепую» со следующим алгоритмом:
- Пользователь генерирует случайное число А и «ослепляет» его специальной криптографической функцией, параметр которой КФ известен только ему, и получает число А*. Не зная КФ, невозможно получить А из А* за приемлемое время;
- Пользователь подключается к банку, идентифицирует себя и передает банку число А*. Банк подписывает ослепленное число А* и передает пользователю подпись П*. Одновременно с банковского счета пользователя списываются средства, равные номиналу монеты и комиссионных за банковскую операцию;
- Пользователь делает «зрячей» подпись П* с помощью КФ и получает подпись П числа А. Пара (АП) становится цифровой монетой, а ее номинал определяется ключом, которым она было подписана.
-
Платежные системы
Пользователь может производить платежи и через своего доверенного субъекта - оператора платежной системы (рис. 1), например, надежный банк или положительно зарекомендовавшую себя Интернер-компанию. Чаще всего после формирования корзины заказов пользователя перенаправляют с Web-сайта магазина на Web-сайт платежной системы, где он может подтвердить или отвергнуть заказ. В некоторых системах пользователю предлагают подписать электронный документ, содержащий описание заказа, и передать его магазину; после этого магазин передает этот документ оператору платежной системы, который осуществляет платеж.
Существует 4 класса программного обеспечения, использующего протокол SET:
- цифровой кошелек;
- ПО Интернет-магазина;
- ПО сопряжения с сетями карточных операторов;
- ПО сертификации.
В
се используемое ПО должно соответствовать спецификации SET (SET Specification) и пройти процедуру сертификации (www.setco.org). На этом сайте имеется список ПО, соответствующего спецификации SET, и матрица совместимости различных продуктов.
Рис. 1. Сайт платежной системы PayCash
Протокол SET (Secure Electronic Transaction) (www.visa.com/SET), обеспечивающий криптографическую защиту данных пластиковой карточки при платежах через Интернет, имеет следующие особенности:
- использует цифровые сертификаты для идентификации всех сторон сделки;
- не зависит от платежной сети;
- позволяет передавать данные для авторизации непосредственно банку-эмитенту карточки без разглашения финансовой информации;
- является полностью открытым.
Выполнение покупок и платежей по протоколу SET выполняется следующим образом. Покупатель открывает карточный счет в банке и устанавливает на своем компьютере ПО «цифровой кошелек». Кроме того, он получает цифровой сертификат у своего банка, у которого должен быть сертификат от оператора сети (например, VISA). При совершении покупки покупатель подключается к Web-сайту продавца и выбирает необходимый товар. После этого продавец передает «кошельку» покупателя счет, подписанный своим закрытым ключом вместе с цифровым сертификатом, соответствующим ключу. Покупатель проверяет подпись подсчетом, соглашается оплатить заказ и высылает цифровой чек продавцу. В цифровом чеке, кроме параметров заказа, передается информация о пластиковой карточке покупателя, зашифрованная на открытом ключе банка покупателя. Магазин передает чек своему банку, а тот в свою очередь передает чек банку покупателя. После этого банк покупателя авторизует платеж. Результат авторизации передается по цепочке обратно магазину, и он отпускает товар покупателю.
Ниже приведены Интернет-адреса некоторых платежных систем:
- CyberPlat (www.cyberplat.ru)
- E-cash (www.digicash.com)
- InterRussia (www.lnterRussia.com)
- Mondex (www, mondex. com)
- PayCash (www.paycash.ru)
- Russian Shopping Club (www.RussianShopping.com)
- АССИСТ (www.assist.ru)
- ЭлИТ (www.imbs.com/protokol.htm)
-
Интернет-банкинг
Основное назначение Интернет - банкинга заключается в управлении текущим счетом клиента через Интернет (рис. 2). С его помощью можно осуществлять покупки в Интернете. Для этого Интернет-магазин должен указать ссылку на сервер Интернет-банка, при переходе по которой клиентскому ПО Интернет-банка передаются реквизиты магазина и сумма платежа. Если клиент согласен с выставленным ему счетом, он производит платеж через Интернет-банк. Далее деньги переводятся на лицевой счет магазина по обычным банковским каналам.
Р
ис. 2. Реализация Интернет- банкинга на примере украинского банка
-
Безопасность электронной коммерции
Психологический фактор, связанный с осознанием угрозы потенциального мошенничества, остается основным препятствием для использования Интернета в качестве средства проведения коммерческих операций. Опросы показывают, что более всего люди боятся потенциальной угрозы получения кем-либо их персональных данных при работе через Интернет. По данным платежной системы VISA, около 23% транзакций электронной коммерции не производится из-за боязни клиента ввести запрашиваемую электронным магазином персональную информацию о клиенте.
Масштабы мошенничества
Примерно 25% всех сообщений chargeback (отказ от платежа), генерируемых в платежных системах, приходится на транзакции Cardholder Not Present. Транзакции электронной коммерции занимают второе место среди всех видов мошенничества по кредитным картам, уступая лишь мошенничествам, совершенным по украденным или потерянным картам (Lost/Stolen) - 40%, и сравнявшись с мошенничествами по подделанным картам (Counterfeit) - 25%). Полезно также отметить, что создание и отправка одного сообщения chargeback обходится банку-эмитенту в среднем в $10-15, а во многих случаях, связанных с электронной коммерцией, эта сумма может быть в несколько раз больше.
По данным консалтинговой компании Meridien Research, например, только в 2000 году сумма похищенных через Интернет средств достигла $1,6 млрд. Больше всего от электронных краж пострадали Соединенные Штаты. По прогнозам той же компании, если ситуация с безопасностью в электронной коммерции не поменяется кардинальным образом, в 2005 году объем потерь уже составлял 15,5 млрд. долларов.
Некоторые Интернет-продавцы утверждают, что каждая четвертая попытка провести транзакцию через Интернет является мошеннической. Большинство таких транзакций завершаются отказом от авторизации из-за неправильного номера карты и/или срока действия карты.
Приведем классификацию возможных типов мошенничества через Интернет, приводимую международными платежными системами:
- транзакции, выполненные мошенниками с использованием правильных реквизитов карточки (номер карточки, срок ее действия и т. п.);
- компрометация данных (получение данных о клиенте через взлом БД торговых предприятий или путем перехвата сообщений покупателя, содержащих его персональные данные) с целью их использования в мошеннических целях;
- магазины-бабочки, возникающие, как правило, на непродолжительное время, для того чтобы исчезнуть после получения от покупателей средств за несуществующие услуги или товары;
- злоупотребления торговых предприятий, связанные с увеличением стоимости товара по отношению к предлагавшейся покупателю цене или повтором списаний со счета клиента;
- магазины и торговые агенты (Acquiring Agent), предназначенные для сбора информации о реквизитах карт и других персональных данных покупателей.
Кратко рассмотрим некоторые из перечисленных выше типов мошенничества. Так, первый тип мошенничества является наиболее массовым. Для совершения транзакции электронной коммерции мошеннику достаточно знать только номер карты и срок ее действия. Такая информация попадает в руки мошенников различными путями. Наиболее распространенный способ получения мошенниками реквизитов карт - сговор с сотрудниками торговых предприятий, через которые проходят сотни и тысячи транзакций по пластиковым картам, зачастую хранящим информацию о реквизитах карт в своих базах данных. Результатом сговора становится передача информации о реквизитах карт в руки криминальных структур.
Другой способ получения информации о реквизитах карт, ставший популярным в последнее время, - кража баз данных карточек в торговом предприятии.
Достаточно распространенным является способ, когда криминальные структуры организуют свои магазины и торговые агенты с главной целью получить в свое распоряжение значительные наборы реквизитов карт. Часто такие магазины представляют собой различного рода порносайты.
Второй тип мошенничества - компрометация персональных данных владельцев пластиковых карт - связан со взломом баз данных. Так только в последние несколько лет наиболее громкими «делами» стали кража в Уэльсе двумя подростками 26 ООО реквизитов карт из баз данных одного из электронных магазинов, российским хакером была вскрыта база даннх объемом 300 ООО записей, кража реквизитов 485 ООО карт, выставленных в сети National Aeronautic & Space Administration.
Поданным компании Meridien Research, уязвимость Интернет - магазинов усугубляется еще и тем, что лишь 30% онлайновых продавцов используют надежные системы защиты для борьбы с компьютерными мошенниками.
Третий тип мошенничества - магазины-бабочки, которые открываются с целью «отмывания» украденных реквизитов карточек. После того как у мошенников появляются украденные реквизиты карточек, они организуют виртуальный магазин, торгующий всякими безделушками. При этом в обслуживающий банк регулярно направляются авторизационные запросы, использующие украденные номера карточек, а, следовательно, магазин регулярно получает от обслуживающего банка возмещения за совершенные в нем «покупки».
Магазины-бабочки обычно выбирают две крайние стратегии своей работы. Выбор стратегии определяется размером украденной базы данных карточек. Если размер украденной БД достаточно большой, то выбирается стратегия, в соответствии с которой транзакции делаются на небольшие суммы. В этом случае владелец карты заметит небольшую потерю средств на своем счете не сразу.
Когда же база данных о карточках незначительная, то транзакции выполняются на крупные суммы.
-
Что такое номер карты
Это число, состоящее из 16 десятичных цифр (в соответствии со стандартом ISO 7812 «Идентификационные карты - система нумерации и процедура регистрации идентификаторов эмитентов» номер карты может состоять из 19 цифр). 6 первых цифр представляют собой BIN (Bank Identification Number), предоставляемый банку либо международной платежной системой, участником которой он является, либо непосредственно организацией American Bankers' Association, уполномоченной ISO на выдачу идентификаторов банкам, если банк реализует собственную независимую карточную программу. Часто крупные и средние банки используют 7-ю и 8-ю цифры номера для идентификации своих филиалов и отделений. 9-я цифра номера карты - это цифра проверки на четность по алгоритму Luhn Check Parity, однозначно определяемая всеми остальными цифрами номера карты. Остальные цифры определены платежной системой и банком-эмитентом. Эти цифры не являются конфиденциальными, хотя бы потому, что содержатся в множестве различных таблиц, доступных широкому кругу специалистов.
Иногда, кроме номера карты и срока ее действия требуется дополнительно сообщить торговому предприятию специальный цифровой код, называемый в системе VISA CVV2, а в системах Europay/Master-Card - CVC2. Этот цифровой код состоит из трех десятичных цифр, которые печатаются методом индент-печати на оборотной стороне карты на панели подписи сразу вслед за номером карты, и получается с помощью специального открытого алгоритма, применяемого к таким параметрам карты, как номер карты и срок ее действия. Алгоритм базируется на применении алгоритма шифрования DES и использует пару секретных ключей, известных только эмитенту карты. Таким образом, зная номер карты и срок ее действия, вычислить цифровой код без знания секретных ключей невозможно. С 15 мая 2001 г. система VISA предлагает банкам на опционной основе внедрить специальные изменения в авторизационных запросах обслуживающего банка с целью поддержки метода AVS (VISA International Address Verification System).
-
Новая концепция электронной коммерции от Accenture
Специалисты лаборатории Accenture (Франция) «вживляют» в различные предметы датчики и радиопередатчики, обеспечивающие обмен информацией друг с другом (концепция торговли «object-to-object» (предмет - предмет)). Предполагается, что через несколько лет именно они будут совершать коммерческие транзакции, а не люди. Эта технология позволит перейти от продажи товаров к продаже услуг: будут платить не за саму вещь, а только за ее использование. Среди опытных образцов, - кукла Барби, которая может сама подбирать и покупать себе одежду в зависимости от программы предпочтений, заданной ей владельцем. На самом же деле, спектр возможностей этой технологии достаточно широк, начиная от заказа и покупки «умным» автомобилем своих запасных частей по мере их износа, и заканчивая «умными» складами, которые смогут заказывать товары по мере их распродажи, реагируя, таким образом, на колебания спроса.
Accenture уже использовала новую технологию для обьединения мобильного телефона и торгового автомата. Суть этого объединения заключается в том, что торговый автомат соединяется с телефоном и выдает список товаров, имеющихся в наличии. Покупатель выбирает товар, и автомат подключается к Интернету и через платежную систему осуществлял покупку.
-
Отечественный В2В
Сегодня наибольший рост показателей наблюдается в секторе «бизнес-бизнес» (В2В) и будет продолжаться в отраслях, ориентированных на экспорт. Это прежде всего такие сырьевые отрасли, как металлургия и химическая промышленность.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
