طرق حماية نظام الدفع الإلكتروني بالنقود الرقمية. أهم الطرق لحماية النقود الإلكترونية؟ التدابير الأمنية لأنظمة الدفع الإلكترونية

تعتبر أنظمة الدفع الإلكتروني من أشهر أنواع العمل بالعملة الإلكترونية. كل عام يتطورون بشكل أكثر نشاطًا، ويحتلون حصة كبيرة إلى حد ما من سوق العمل بالعملة. كما تتطور التقنيات اللازمة لضمان سلامتهم معهم. لأنه اليوم لا يمكن لأي نظام دفع إلكتروني أن يوجد بدون تقنيات وأنظمة أمنية جيدة، والتي بدورها تضمن المعاملات الآمنة للمعاملات النقدية. هناك الكثير من أنظمة الدفع الإلكترونية نفسها، بالإضافة إلى التقنيات الأمنية. كل واحد منهم لديه مبادئ وتقنيات التشغيل المختلفة، فضلا عن مزاياه وعيوبه. بالإضافة إلى ذلك، لا يزال هناك عدد من القضايا النظرية والعملية دون حل، مما يحدد مدى أهمية موضوع البحث.

يستخدم كل نظام دفع إلكتروني طرقه الخاصة وخوارزميات التشفير وبروتوكولات نقل البيانات لإجراء المعاملات الآمنة ونقل البيانات. تستخدم بعض الأنظمة خوارزمية تشفير RSA وبروتوكول نقل HTTPs، بينما يستخدم البعض الآخر خوارزمية DES وبروتوكول SSL لنقل البيانات المشفرة. الفكرة من وراء كتابة هذا المقال هي دراسة وتحليل عدد من أنظمة الدفع الشائعة، وتحديدًا تقنيات الأمان المستخدمة فيها، ومعرفة أيها الأكثر تقدمًا.

أثناء كتابة المقال، تم إجراء بحث حول أنظمة الدفع وتحليل أمان أنظمة الدفع الحالية. تم تحليل أربعة أنظمة دفع (Webmoney، Yandex.Money، RauPa1 وE-Port) وفق نفس المعايير. تم تقييم الأنظمة باستخدام نظام متعدد المستويات يتضمن معلمات متداخلة. وبطبيعة الحال، كل هذه المعايير تتعلق بالمنطقة أمن المعلومات. هناك معياران رئيسيان: الدعم الفني لأمن معلومات المدفوعات والدعم التنظيمي والقانوني. تم تقييم كل من هاتين المعلمتين باستخدام نظام من ثلاث نقاط. مقياس التصنيف هو هذا بالضبط، نظرًا لأن التطور الحالي لأنظمة الدفع الإلكترونية في بلدنا وصل إلى مستوى بحيث لا يمكن وصف معظم معلماتها إلا بالكلمات "نعم أو لا". وبناء على ذلك، إذا كان نظام الدفع الإلكتروني يطابق أي معلمة بشكل أفضل، فإنه يحصل على أعلى الدرجات (3)؛ وإذا لم يستجب على الإطلاق، فإنه يحصل على الحد الأدنى من الدرجات (0). إذا لم يكن لدى النظام هذا المعيار في شكله الصريح، ولكن إذا كانت هناك أي خدمات أو إمكانيات مرتبطة بالمعيار المفقود، فإننا نمنح درجة متوسطة - واحدة أو اثنتين.

عند تقييم أنظمة الدفع الإلكترونية، يجب أن نتذكر أنه في ظل ظروف مختلفة، فإن قيمة نفس المعلمة ليست هي نفسها. على سبيل المثال، لا يمكن تنفيذ العديد من الخدمات التي تزيد مستوى الحماية بشكل كبير إلا من قبل المستخدم طوعًا، بالإضافة إلى ذلك، فإن مجرد وجود هذه الخدمات في النظام يعد أمرًا ذا قيمة. العامل البشري لم يتم إلغاؤه ولن يتم إلغاؤه أبدًا، لذا يؤخذ في الاعتبار أن الخدمة قد تكون إما منفذة أو غير محققة.

الدعم الفني لأمن المعاملات

هذا هو المعيار الأول - مجموعة من المعلمات، كما هو واضح من اسمها، توفر الجانب الفني لحماية المعلومات. قبل هذه المعلمة، يتم تضمين ما يلي: طرق التشفير والمصادقة والوصول باستخدام خاص المعدات(في الحالة الأكثر بدائية - باستخدام مفاتيح USB).

ليس سراً أن المعيار الرئيسي لحماية المعلومات من الناحية الفنية هو، بالطبع، تشفير البيانات، وبشكل أكثر تحديدًا، خوارزميات التشفير التي يتم تنفيذها من خلالها. ومن المعروف أيضًا أنه كلما زاد طول المفتاح، زادت صعوبة فك تشفيره، وبالتالي الوصول إلى المعلومات السرية. تستخدم ثلاثة من الأنظمة التي تم اختبارها خوارزمية RSA المعروفة والمحترمة على نطاق واسع: Webmoney، وYandex.Money، وPayPal. يستخدم المنفذ الإلكتروني التشفير عبر بروتوكول SSL الإصدار 3.0. في الواقع، يتم تنفيذ التشفير باستخدام مفاتيح SSL، وهي فريدة من نوعها، ويتم إنشاؤها أثناء الجلسة، وتسمى مفتاح الجلسة. يتراوح طول مفتاح SSL في نظام المنفذ الإلكتروني من 40 إلى 128 بت، وهو ما يكفي لمستوى مقبول من أمان المعاملات.

المعلمة التالية في الدعم الفني لأمن معلومات المعاملات هي المصادقة، أي. مجموعة من الحلول التي يحتاجها المستخدم للوصول إلى معلوماته الشخصية. كل شيء بسيط هنا. يستخدم نظاما Webmoney وYandex.Money معيارين للوصول، بينما يستخدم PayPal وE-Port معيارًا واحدًا فقط. في Webmoney، للوصول إلى النظام وإجراء الدفعات، يجب عليك إدخال كلمة مرور ومفتاح خاص. يعمل Yandex.Money بالمثل: مطلوب كلمة مرور وبرنامج محفظة خاص. وفي جميع الأنظمة الأخرى، يتم توفير الوصول عن طريق كلمة المرور. ومع ذلك، في نظام المنفذ الإلكتروني، من أجل العمل باستخدام بروتوكول SSL، يجب أن يكون لدى خادم الويب الخاص بالعميل المحتمل (وأي مشارك آخر في النظام) شهادة رقمية خاصة مستلمة من إحدى الشركات المعتمدة. يتم استخدام هذه الشهادة لمصادقة خادم الويب الخاص بالعميل. آلية أمان الشهادة المستخدمة في E-Port معتمدة من RSA Security. المعيار الثالث والأخير في هذه الدراسة هو الوصول إلى النظام باستخدام أجهزة خاصة، مثل مفاتيح USB.

طرق التشفير

يستخدم Webmoney وYandex.Money مفتاحًا بطول 1024 بت (مؤشر مرتفع جدًا، يكاد يكون من المستحيل كسر مثل هذا المفتاح باستخدام طريقة القوة الغاشمة البسيطة)، ويستخدم PayPal نصف مفتاح بطول 512 بت. بالنسبة للنظامين الأولين، باستخدام هذا المعيار نحصل على النقطة القصوى – 3. يحصل PayPal على نقطتين لأنه يستخدم مفتاح تشفير أقصر. يبقى فقط تقييم المنفذ الإلكتروني من خلال هذه المعلمة. على الرغم من استخدامه لبروتوكول SSL وحتى طول المفتاح الذي يصل إلى 128 بت، فإن المنفذ الإلكتروني لديه بعض نقاط الضعف المحتملة: العديد من الإصدارات القديمة من المتصفحات تدعم التشفير بمفاتيح ذات طول أقصر ، لذلك هناك احتمال لاختراق البيانات المستلمة؛ وفقا لذلك، بالنسبة لأولئك الذين يستخدمون المتصفح كعميل ل نظام الدفع، أنت بحاجة للعمل معها احدث اصدار(بالطبع، هذا ليس دائمًا مناسبًا أو ممكنًا). ومع ذلك، في عمود "التشفير"، يمكن منح E-Port درجة 1.7: حصل النظام على هذا التصنيف بفضل استخدام بروتوكول PGP التقدمي لتشفير رسائل البريد الإلكتروني.

المصادقة

يستخدم نظاما Webmoney وYandex.Money معيارين للوصول، بينما يستخدم PayPal وE-Port معيارًا واحدًا فقط. في Webmoney، للوصول إلى النظام وإجراء الدفعات، يجب عليك إدخال كلمة مرور ومفتاح خاص. يعمل Yandex.Money بالمثل: يلزم وجود كلمة مرور وبرنامج محفظة خاص، وفي جميع الأنظمة الأخرى، يتم توفير الوصول عن طريق كلمة المرور. ومع ذلك، في نظام المنفذ الإلكتروني، يتم استخدام خادم الويب الخاص بالعميل المحتمل للعمل باستخدام بروتوكول SSL.

وفقًا لـ Webmoney وYandex.Money، يحصلون على ثلاث نقاط هنا، وPayPal - 0 نقطة، وE-Port - واحدة.

إنه أسهل هنا من المعلمات السابقة. من بين جميع الأنظمة، فقط Webmoney PayPal لديه مثل هذا الخيار الإضافي، وهذا الأخير لا يوفر مثل هذه الفرصة. وبالتالي، مع الأخذ في الاعتبار معامل الترجيح، تلقى Webmoney و PayPal لهذه المعلمة 1.5 نقطة، بينما تلقى جميع الآخرين صفر.

وبعد تقييم المعيارين، يمكننا تلخيصهما. استنادا إلى مجموع المعلمات التي تم النظر فيها، تبين أن Webmoney آمن. في الواقع، إذا استخدم المستخدم جميع الخدمات الأمنية التي يوفرها، فيمكن أن يظل محصنًا فعليًا أمام المحتالين. احتل نظام Yandex.Money المركز الثاني، والثالث بواسطة PayPal (هذا النظام مثالي للكيانات القانونية بسبب شفافيته القانونية الكبيرة في المدفوعات)، أما المركز الأخير فقد حصل عليه نظام E-Port.

بالإضافة إلى ذلك، تلخيص تحليل أنظمة الدفع، يمكننا القول أن اختيار نظام الدفع الإلكتروني لا يتم وفقا لمعلمة أمنية واحدة، حتى لو كانت واحدة من أهمها. تختلف أنظمة الدفع الإلكترونية أيضًا في مدى توفر الخدمات وسهولة الاستخدام - وهناك العديد من العوامل الأخرى.

الاستنتاجات

تمثل المدفوعات الإلكترونية مرحلة طبيعية في تطور الاتصالات. ويرتفع الطلب في تلك المنافذ التي يوجد فيها منتج كامل ــ منتج رقمي، خصائصه "مغطاة" بشكل جيد بخصائص الدفع عبر الإنترنت: الدفع الفوري، والتسليم الفوري والبساطة والعلامة التجارية.

نظام الدفع عبر الإنترنتهو نظام لإجراء المدفوعات بين المؤسسات المالية والتجارية ومستخدمي الإنترنت في عملية شراء/بيع السلع والخدمات عبر الإنترنت. إنه نظام الدفع الذي يسمح لك بتحويل خدمة معالجة الطلب أو واجهة متجر إلكترونية إلى متجر متكامل بجميع السمات القياسية: من خلال تحديد منتج أو خدمة على موقع البائع، يمكن للمشتري إجراء الدفع دون مغادرة الموقع. حاسوب.

في نظام التجارة الإلكترونية، تتم عمليات الدفع وفقًا لعدد من الشروط:

1. الحفاظ على السرية. عند إجراء الدفعات عبر الإنترنت، يريد المشتري أن تكون بياناته (على سبيل المثال، رقم بطاقة الائتمان) معروفة فقط للمؤسسات التي لها الحق القانوني في القيام بذلك.

2. المحافظة على سلامة المعلومات. لا يمكن لأي شخص تغيير معلومات الشراء.

3. المصادقة. يجب أن يكون المشترون والبائعون واثقين من أن جميع الأطراف المشاركة في الصفقة هم من يقولون أنهم هم.

4. وسائل الدفع. إمكانية الدفع باستخدام أي وسيلة دفع متاحة للمشتري.

6. ضمانات مخاطر البائع. عند التداول عبر الإنترنت، يتعرض البائع للعديد من المخاطر المرتبطة برفض المنتج وعدم أمانة المشتري. يجب الاتفاق على حجم المخاطر مع مزود نظام الدفع والمنظمات الأخرى المدرجة في سلسلة التداول من خلال اتفاقيات خاصة.

7. تقليل رسوم المعاملات. ومن الطبيعي أن يتم تضمين رسوم معالجة المعاملات لطلب السلع ودفع ثمنها في أسعارها، وبالتالي فإن خفض سعر المعاملة يؤدي إلى زيادة القدرة التنافسية. ومن المهم ملاحظة أنه يجب دفع المعاملة في أي حال، حتى لو رفض المشتري البضاعة.

ويجب تنفيذ كل هذه الشروط في نظام الدفع عبر الإنترنت، وهو في جوهره نسخ إلكترونية من أنظمة الدفع التقليدية.

وبذلك تنقسم جميع أنظمة الدفع إلى:

الخصم (العمل مع الشيكات الإلكترونية والنقد الرقمي)؛

الائتمان (العمل مع بطاقات الائتمان).

أنظمة الخصم

تم تصميم أنظمة الدفع بالخصم بشكل مشابه لنماذجها الأولية غير المتصلة بالإنترنت: الشيكات والأموال العادية. يتضمن المخطط طرفين مستقلين: المصدرين والمستخدمين. يُفهم المُصدر على أنه الكيان الذي يدير نظام الدفع. وتصدر بعض الوحدات الإلكترونية التي تمثل المدفوعات (على سبيل المثال، الأموال في الحسابات المصرفية). يقوم مستخدمو النظام بوظيفتين رئيسيتين. يقومون بإجراء وقبول المدفوعات على الإنترنت باستخدام الوحدات الإلكترونية الصادرة.

الشيكات الإلكترونية تشبه الشيكات الورقية العادية. هذه هي تعليمات الدافع للبنك الذي يتعامل معه لتحويل الأموال من حسابه إلى حساب المستفيد. تتم العملية عند تقديم متلقي الشيك إلى البنك. هناك نوعان من الاختلافات الرئيسية هنا. أولاً، عند كتابة شيك ورقي، يضع الدافع توقيعه الحقيقي، وفي النسخة الإلكترونية - توقيع إلكتروني. ثانيا، يتم إصدار الشيكات نفسها إلكترونيا.

تتم المدفوعات على عدة مراحل:

1. يقوم الدافع بإصدار شيك إلكتروني، وتوقيعه بتوقيع إلكتروني وإرساله إلى المستلم. ولضمان قدر أكبر من الموثوقية والأمان، يمكن تشفير رقم الحساب الجاري بالمفتاح العام للبنك.

2. يتم تقديم الشيك للدفع في نظام الدفع. بعد ذلك، (إما هنا أو في البنك الذي يخدم المستلم) يتم إجراء الشيك التوقيع الالكتروني.

3. وفي حال التأكد من صحتها يتم تسليم البضاعة أو تقديم الخدمة. يتم تحويل الأموال من حساب الدافع إلى حساب المستلم.

لسوء الحظ، فإن بساطة نظام الدفع (الشكل 43) يقابلها صعوبات تنفيذه بسبب حقيقة أن مخططات الشيكات لم تنتشر بعد ولا توجد مراكز اعتماد لتنفيذ التوقيعات الإلكترونية.

يستخدم التوقيع الرقمي الإلكتروني (EDS) نظام تشفير المفتاح العام. يؤدي هذا إلى إنشاء مفتاح خاص للتوقيع ومفتاح عام للتحقق. يتم تخزين المفتاح الخاص من قبل المستخدم، ويمكن للجميع الوصول إلى المفتاح العام. الطريقة الأكثر ملاءمة لتوزيع المفاتيح العامة هي استخدام المراجع المصدقة. يتم تخزين الشهادات الرقمية التي تحتوي على المفتاح العام والمعلومات المتعلقة بالمالك هناك. وهذا يحرر المستخدم من الالتزام بتوزيع مفتاحه العام بنفسه. بالإضافة إلى ذلك، توفر سلطات التصديق المصادقة لضمان عدم تمكن أي شخص من إنشاء مفاتيح نيابة عن شخص آخر.

النقود الإلكترونية تحاكي النقود الحقيقية تمامًا. في الوقت نفسه، تقوم المنظمة المصدرة - المصدر - بإصدار نظائرها الإلكترونية، والتي تسمى بشكل مختلف في أنظمة مختلفة (على سبيل المثال، القسائم). بعد ذلك، يتم شراؤها من قبل المستخدمين، الذين يستخدمونها لدفع ثمن المشتريات، ثم يقوم البائع باستردادها من المُصدر. عند إصدارها، يتم اعتماد كل وحدة نقدية بختم إلكتروني، والذي يتم التحقق منه بواسطة هيكل الإصدار قبل الاسترداد.

ومن مميزات النقود المادية عدم الكشف عن هويتها، أي أنها لا تشير إلى من استخدمها ومتى. وتسمح بعض الأنظمة، قياساً على ذلك، للمشتري بتلقي النقد الإلكتروني بطريقة لا يمكن معها تحديد العلاقة بينه وبين النقود. يتم ذلك باستخدام نظام التوقيع الأعمى.

ومن الجدير بالذكر أيضًا أنه عند الاستخدام النقود الإلكترونيةليست هناك حاجة للتوثيق، حيث أن النظام يعتمد على إطلاق الأموال للتداول قبل استخدامها.

ويبين الشكل 44 نظام الدفع باستخدام النقود الإلكترونية.

آلية الدفع هي كما يلي:

1. يقوم المشتري باستبدال الأموال الحقيقية بالنقود الإلكترونية مقدمًا. تخزين النقود لدى العميل يمكن أن يتم بطريقتين يتم تحديدهما من خلال النظام المستخدم:

على القرص الصلب لجهاز الكمبيوتر الخاص بك؛

على البطاقات الذكية.

تقدم الأنظمة المختلفة خطط تبادل مختلفة. يقوم البعض بفتح حسابات خاصة يتم من خلالها تحويل الأموال من حساب المشتري مقابل الفواتير الإلكترونية. قد تقوم بعض البنوك بإصدار النقد الإلكتروني بنفسها. وفي الوقت نفسه، لا يتم إصدارها إلا بناءً على طلب العميل، يليها تحويلها إلى جهاز الكمبيوتر أو بطاقة هذا العميل وسحب المعادل النقدي من حسابه. عند تنفيذ التوقيع الأعمى، يقوم المشتري نفسه بإنشاء فواتير إلكترونية، ويرسلها إلى البنك، حيث، عندما تصل أموال حقيقية إلى الحساب، يتم اعتمادها بختم وإرسالها مرة أخرى إلى العميل.

جنبا إلى جنب مع راحة هذا التخزين، كما أن له عيوب. يؤدي تلف القرص أو البطاقة الذكية إلى خسارة لا رجعة فيها للأموال الإلكترونية.

2. يقوم المشتري بتحويل الأموال الإلكترونية الخاصة بالشراء إلى خادم البائع.

3. يتم تقديم الأموال إلى مصدرها الذي يتحقق من صحتها.

4. إذا كانت الفواتير الإلكترونية حقيقية، يتم زيادة حساب البائع بمبلغ الشراء، ويتم شحن البضاعة إلى المشتري أو تقديم الخدمة.

إحدى السمات المميزة المهمة للنقود الإلكترونية هي القدرة على إجراء عمليات الدفع الصغيرة. ويرجع ذلك إلى حقيقة أن فئة الأوراق النقدية قد لا تتوافق مع العملات الحقيقية (على سبيل المثال، 37 كوبيل).

يمكن لكل من البنوك والمنظمات غير المصرفية إصدار النقد الإلكتروني. ومع ذلك، لم يتم تطويره بعد نظام واحدتحويل أنواع مختلفة من النقود الإلكترونية. لذلك، لا يمكن إلا للمصدرين أنفسهم استرداد النقد الإلكتروني الذي أصدروه. بالإضافة إلى ذلك، فإن استخدام هذه الأموال من الهياكل غير المالية غير مضمون من قبل الدولة. ومع ذلك، فإن انخفاض تكلفة المعاملات يجعل النقد الإلكتروني أداة جذابة للمدفوعات عبر الإنترنت.

أنظمة الائتمان

أنظمة الائتمان عبر الإنترنت هي نظائرها للأنظمة التقليدية التي تعمل مع بطاقات الائتمان. الفرق هو أن جميع المعاملات تتم عبر الإنترنت، ونتيجة لذلك، هناك حاجة إلى تدابير أمنية وتوثيق إضافية.

يشارك ما يلي في إجراء الدفعات عبر الإنترنت باستخدام بطاقات الائتمان:

1. المشتري. عميل لديه جهاز كمبيوتر مزود بمتصفح ويب وإمكانية الوصول إلى الإنترنت.

2. إصدار البنك. الحساب البنكي للمشتري موجود هنا. يقوم البنك المصدر بإصدار البطاقات وهو الضامن لالتزامات العميل المالية.

3. البائعين. يُفهم البائعون على أنهم خوادم التجارة الإلكترونية حيث يتم الاحتفاظ بكتالوجات السلع والخدمات وقبول طلبات الشراء للعملاء.

4. الاستحواذ على البنوك. البنوك تخدم البائعين. ولكل بائع بنك واحد يحتفظ فيه بحسابه الجاري.

5. نظام الدفع عبر الإنترنت. المكونات الإلكترونية التي تعمل كوسيط بين المشاركين الآخرين.

6. نظام الدفع التقليدي. مجموعة من الوسائل المالية والتكنولوجية لخدمة البطاقات من هذا النوع. ومن بين المهام الرئيسية التي يحلها نظام الدفع، ضمان استخدام البطاقات كوسيلة للدفع مقابل السلع والخدمات، واستخدام الخدمات المصرفية، وإجراء المقاصة المتبادلة، وما إلى ذلك. المشاركون في نظام الدفع هم أفراد وكيانات قانونية متحدة من خلال استخدام بطاقات الائتمان.

7. مركز معالجة نظام الدفع. منظمة توفر المعلومات والتفاعل التكنولوجي بين المشاركين في نظام الدفع التقليدي.

8. بنك التسوية لنظام الدفع. منظمة ائتمانية تقوم بتنفيذ التسويات المتبادلة بين المشاركين في نظام الدفع نيابة عن مركز المعالجة.

يظهر مخطط الدفع العام في مثل هذا النظام في الشكل 45.

1. يقوم المشتري في المتجر الإلكتروني بإنشاء سلة من البضائع واختيار طريقة الدفع “بطاقة الائتمان”.

من خلال المتجر، أي أنه يتم إدخال معلمات البطاقة مباشرة على موقع المتجر، وبعد ذلك يتم تحويلها إلى نظام الدفع عبر الإنترنت (2أ)؛

على خادم نظام الدفع (2ب).

مزايا الطريقة الثانية واضحة. في هذه الحالة، لا تبقى معلومات حول البطاقات في المتجر، وبالتالي يتم تقليل خطر استلامها من قبل أطراف ثالثة أو خداع البائع. في كلتا الحالتين، عند نقل تفاصيل بطاقة الائتمان، لا يزال هناك احتمال لاعتراضها من قبل المهاجمين على الشبكة. ولمنع ذلك، يتم تشفير البيانات أثناء الإرسال.

التشفير، بطبيعة الحال، يقلل من إمكانية اعتراض البيانات على الشبكة، لذلك ينصح بإجراء اتصالات بين المشتري/البائع، البائع/نظام الدفع عبر الإنترنت، المشتري/نظام الدفع عبر الإنترنت باستخدام بروتوكولات آمنة. أكثرها شيوعًا اليوم هو بروتوكول SSL (طبقة المقابس الآمنة)، بالإضافة إلى معيار SET (المعاملات الإلكترونية الآمنة)، المصمم ليحل محل SSL في نهاية المطاف عند معالجة المعاملات المتعلقة بمدفوعات مشتريات بطاقات الائتمان على الإنترنت.

3. يرسل نظام الدفع عبر الإنترنت طلب ترخيص إلى نظام الدفع التقليدي.

4. تعتمد الخطوة التالية على ما إذا كان البنك المصدر يحتفظ بقاعدة بيانات للحسابات عبر الإنترنت. إذا كانت هناك قاعدة بيانات، يرسل مركز المعالجة إلى البنك المصدر طلبًا لتفويض البطاقة (انظر المقدمة أو القاموس) (4أ) ومن ثم (4ب) يتلقى نتيجتها. إذا لم تكن هناك قاعدة بيانات من هذا القبيل، فإن مركز المعالجة نفسه يقوم بتخزين معلومات حول حالة حسابات حاملي البطاقات، وقوائم التوقف، ويلبي طلبات الترخيص. يتم تحديث هذه المعلومات بانتظام من قبل البنوك المصدرة.

يقدم المتجر خدمة أو يشحن بضائع (8أ)؛

يقوم مركز المعالجة بإرسال معلومات حول المعاملة المكتملة إلى بنك التسوية (8ب). يتم تحويل الأموال من حساب المشتري لدى البنك المصدر من خلال بنك التسوية إلى حساب المتجر لدى البنك المستفيد.

لإجراء مثل هذه المدفوعات في معظم الحالات، تحتاج إلى خاص برمجة. يمكن توفيرها للمشتري (وتسمى المحفظة الإلكترونية) والبائع والبنك الذي يخدمه.

مقدمة

1. أنظمة الدفع الإلكتروني وتصنيفها

1.1 المفاهيم الأساسية

1.2 تصنيف أنظمة الدفع الإلكتروني

1.3 تحليل أنظمة الدفع الإلكترونية الرئيسية المستخدمة في روسيا

2. الإجراءات الأمنية لأنظمة الدفع الإلكتروني

2.1 التهديدات المرتبطة باستخدام أنظمة الدفع الإلكترونية

2.2 تقنيات حماية أنظمة الدفع الإلكترونية

2.3 تحليل تقنيات الامتثال متطلبات أساسيةلأنظمة الدفع الإلكتروني

خاتمة

فهرس

مقدمة

أصبح موضوع المدفوعات الإلكترونية والأموال الإلكترونية المتخصص للغاية والذي لم يكن ذا أهمية كبيرة لعدد قليل من الأشخاص قبل 10 سنوات، قد أصبح مؤخرًا ذا صلة ليس فقط لرجال الأعمال، ولكن أيضًا للمستخدمين النهائيين. من المحتمل أن كل شخص آخر يقرأ الكمبيوتر أو الصحافة الشعبية، حتى من حين لآخر، يعرف الكلمات العصرية "الأعمال التجارية الإلكترونية" و"التجارة الإلكترونية". لقد انتقلت مهمة الدفع عن بعد (تحويل الأموال عبر مسافات طويلة) من الفئة الخاصة إلى اليومية. ومع ذلك، فإن وفرة المعلومات حول هذه القضية لا تساهم على الإطلاق في الوضوح في أذهان المواطنين. بسبب التعقيد والنقص المفاهيمي في تطوير مشكلة المدفوعات الإلكترونية، وبسبب حقيقة أن العديد من المروجين غالبًا ما يعملون على مبدأ الهاتف المكسور، على المستوى اليومي، كل شيء بالطبع واضح للجميع. ولكن هذا حتى يحين وقت التطوير العملي للمدفوعات الإلكترونية. وهنا يكمن عدم فهم مدى ملاءمة استخدام المدفوعات الإلكترونية في بعض الحالات.

وفي الوقت نفسه، أصبحت مهمة قبول المدفوعات الإلكترونية ذات أهمية متزايدة بالنسبة لأولئك الذين سينخرطون في التجارة باستخدام الإنترنت، وكذلك بالنسبة لأولئك الذين سيقومون بإجراء عمليات شراء عبر الإنترنت. هذه المقالة مخصصة لكليهما.

المشكلة الرئيسية عند النظر في أنظمة الدفع الإلكترونية للمبتدئين هي تنوع تصميمها ومبادئ التشغيل وحقيقة أنه على الرغم من التشابه الخارجي في التنفيذ، يمكن إخفاء آليات تكنولوجية ومالية مختلفة تمامًا في أعماقها.

أدى التطور السريع لشعبية الإنترنت العالمية إلى قوة دافعة قوية لتطوير مناهج وحلول جديدة في مختلف مجالات الاقتصاد العالمي. وحتى الأنظمة المحافظة، مثل أنظمة الدفع الإلكترونية في البنوك، استسلمت للاتجاهات الجديدة. وقد انعكس ذلك في ظهور وتطوير أنظمة دفع جديدة - أنظمة الدفع الإلكترونية عبر الإنترنت، والميزة الرئيسية لها هي أن العملاء يمكنهم إجراء الدفعات (المعاملات المالية)، متجاوزين المرحلة المرهقة والصعبة تقنيًا في بعض الأحيان لنقل أمر الدفع فعليًا إلى المصرف. وتهتم البنوك والمؤسسات المصرفية أيضًا بتنفيذ هذه الأنظمة، حيث يمكنها زيادة سرعة خدمة العملاء وتقليل التكاليف العامة لإجراء المدفوعات.

تقوم أنظمة الدفع الإلكتروني بتداول المعلومات، بما في ذلك المعلومات السرية، مما يتطلب الحماية من الاطلاع والتعديل وفرض معلومات كاذبة. يمثل تطوير تقنيات الأمان المناسبة التي تتمحور حول الإنترنت تحديًا كبيرًا حاليًا. والسبب في ذلك هو البنية والموارد والتقنيات الأساسية شبكات الانترنتتركز على تنظيم الوصول أو التجميع معلومات مفتوحة. ومع ذلك، ظهرت مؤخرًا أساليب وحلول تشير إلى إمكانية استخدام تقنيات الإنترنت القياسية في بناء أنظمة النقل الآمن للمعلومات عبر الإنترنت.

الغرض من RGR هو تحليل أنظمة الدفع الإلكترونية ووضع توصيات لاستخدام كل منها. بناءً على الهدف، تمت صياغة المراحل التالية لتنفيذ RGR:

1. تحديد المهام الرئيسية لأنظمة الدفع الإلكتروني وأسس عملها وخصائصها.

2. تحليل أنظمة الدفع الإلكتروني الرئيسية.

3. تحليل التهديدات المرتبطة باستخدام النقود الإلكترونية.

4. تحليل الإجراءات الأمنية عند استخدام أنظمة الدفع الإلكتروني.

1. أنظمة الدفع الإلكتروني وتصنيفها

1.1 المفاهيم الأساسية

المدفوعات الإلكترونية. لنبدأ بحقيقة أنه من المشروع الحديث عن ظهور المدفوعات الإلكترونية كنوع من المدفوعات غير النقدية في النصف الثاني من القرن العشرين. بمعنى آخر، كان نقل المعلومات حول المدفوعات عن طريق الأسلاك موجودًا لفترة طويلة، ولكنه اكتسب جودة جديدة بشكل أساسي عندما ظهرت أجهزة الكمبيوتر على طرفي الأسلاك. تم إرسال المعلومات باستخدام التلكس والمُبرِقة وشبكات الكمبيوتر التي ظهرت في ذلك الوقت. تم التعبير عن قفزة نوعية جديدة في حقيقة أن سرعة المدفوعات زادت بشكل كبير وأصبحت إمكانية معالجتها تلقائيًا متاحة.

وفي وقت لاحق، ظهرت أيضًا المعادلات الإلكترونية لأنواع أخرى من المدفوعات - المدفوعات النقدية ووسائل الدفع الأخرى (على سبيل المثال، الشيكات).

أنظمة الدفع الإلكتروني (EPS). نحن نسمي نظام الدفع الإلكتروني أي مجمع من أجهزة و برمجة، مما يسمح بالدفع الإلكتروني.

يخرج طرق مختلفةوقنوات الاتصال للوصول إلى EPS. اليوم، أكثر هذه القنوات شيوعًا هو الإنترنت. يتزايد انتشار EPS، ويتم الوصول إليها باستخدام تليفون محمول(عبر الرسائل القصيرة وWAP والبروتوكولات الأخرى). هناك طرق أخرى أقل شيوعًا: عن طريق المودم، أو عن طريق الهاتف الذي يعمل باللمس، أو عن طريق الهاتف من خلال المشغل.

النقود الإلكترونية. مصطلح غامض. إذا فكرت جيدًا في ما يكمن وراءها، فمن السهل أن تفهم أن النقود الإلكترونية هي اسم غير صحيح لـ “النقد الإلكتروني”، وكذلك أنظمة الدفع الإلكترونية في حد ذاتها.

يرجع سوء الفهم هذا في المصطلحات إلى حرية ترجمة المصطلحات من اللغة الإنجليزية. نظرا لأن المدفوعات الإلكترونية في روسيا تطورت بشكل أبطأ بكثير مما كانت عليه في أوروبا وأمريكا، فقد اضطررنا إلى استخدام مصطلحات راسخة. وبطبيعة الحال، فإن أسماء النقد الإلكتروني مثل "النقد الرقمي" (النقد الإلكتروني)، و"النقود الرقمية"، و"النقد الإلكتروني" (النقد الرقمي)2 لها الحق في الحياة.

بشكل عام، مصطلح “النقود الإلكترونية” لا يعني شيئًا محددًا، لذا سنحاول في المستقبل تجنب استخدامه.

النقود الإلكترونية:

هذه هي التكنولوجيا التي ظهرت في التسعينيات من القرن الماضي، مما يسمح بالمدفوعات الإلكترونية غير المرتبطة بشكل مباشر بتحويل الأموال من حساب إلى حساب في بنك أو مؤسسة مالية أخرى، أي مباشرة بين الأشخاص - المشاركين النهائيين في الدفع. من الخصائص المهمة الأخرى للنقد الإلكتروني عدم الكشف عن هوية المدفوعات التي يقدمها. لا يحتوي مركز الترخيص الذي يشهد على الدفع على معلومات حول من قام بتحويل الأموال على وجه التحديد ولمن.

النقد الإلكتروني هو أحد أنواع الدفع الإلكتروني. وحدة النقد الإلكتروني ليست أكثر من التزام مالي للمصدر (بنك أو مؤسسة مالية أخرى)، تشبه بشكل أساسي الكمبيالة العادية. تظهر المدفوعات باستخدام النقد الإلكتروني حيث يصبح من غير المناسب استخدام أنظمة دفع أخرى. ومن الأمثلة الواضحة على ذلك إحجام المشتري عن تقديم معلومات حول بطاقته الائتمانية عند دفع ثمن البضائع على الإنترنت.

بعد تحديد المصطلحات، يمكننا الانتقال إلى المرحلة التالية من محادثتنا - دعونا نتحدث عن تصنيف EPS. نظرًا لأن EPS يتوسط المدفوعات الإلكترونية، فإن تقسيم EPS يعتمد على أنواع مختلفة من هذه المدفوعات.

بالإضافة إلى ذلك، تلعب تقنية البرامج و/أو الأجهزة التي تعتمد عليها آلية EPS دورًا مهمًا للغاية في هذا الأمر.

1.2 تصنيف أنظمة الدفع الإلكتروني

يمكن تصنيف أنظمة الدفع الإلكترونية بناءً على تفاصيل المدفوعات الإلكترونية وعلى أساس التكنولوجيا المحددة التي يقوم عليها نظام الدفع الإلكتروني.

تصنيف ربحية السهم حسب نوع المدفوعات الإلكترونية:

1. حسب تكوين المشاركين في الدفع (الجدول 1).

الجدول 1

نوع المدفوعات الإلكترونية	أطراف الدفع	التناظرية في نظام التسوية النقدية التقليدية	مثال EPS
المدفوعات من بنك إلى بنك	المؤسسات المالية	لا نظائرها
المدفوعات B2B	الكيانات القانونية	المدفوعات غير النقدية بين المنظمات
مدفوعات С2B	المستهلكون النهائيون للسلع والخدمات والكيانات القانونية - البائعون	المدفوعات النقدية وغير النقدية من المشترين إلى البائعين	طيار الائتمان
مدفوعات C2C	فرادى	المدفوعات النقدية المباشرة بين الأفراد والتحويلات البريدية والبرقية

لن نأخذ في الاعتبار أيضًا أنظمة الدفع الإلكترونية المصممة لخدمة المدفوعات الإلكترونية من النوع "من بنك إلى بنك". مثل هذه الأنظمة معقدة للغاية، فهي تؤثر إلى حد كبير على الجوانب التكنولوجية لعمل النظام المصرفي، وعلى الأرجح أنها لا تهم الجماهير العريضة من قرائنا.

بالإضافة إلى ذلك، تجدر الإشارة إلى أن هناك نوعًا آخر من الدفع لا يتناسب تمامًا مع الجدول 1. وفقًا للمعايير الرسمية، فإنه يقع بالكامل في منطقة C2B، ولكن مع ذلك لا يمكن توفيره عن طريق ربحية السهم واسعة النطاق من هذا النوع. تتميز المدفوعات الصغيرة بتكلفة صغيرة للغاية (سنتات أو أجزاء من السنت) للسلع. الأكثر مميزة للجميع المواد شعبيةمثال على النظام الذي يطبق المدفوعات الصغيرة هو بيع النكات (مقابل سنت للقطعة الواحدة). تعتبر أنظمة مثل Eaccess و Phonepay مناسبة لإجراء عمليات الدفع الصغيرة.

2. حسب نوع العمليات المنفذة (الجدول 2).

الجدول 2

نوع المدفوعات الإلكترونية	أين يتم استخدامها؟	مثال EPS
عمليات إدارة الحساب البنكي	أنظمة "بنك العميل" التي يمكن الوصول إليها عبر المودم والإنترنت والهاتف المحمول وما إلى ذلك.	عمليات إدارة الحساب البنكي لنظام العميل
عمليات تحويل الأموال دون فتح حساب بنكي	أنظمة تحويل الأموال شبكات الحاسب، على غرار التحويلات البريدية والتلغرافية
المعاملات مع حسابات البطاقة المصرفية	بطاقات الخصم والائتمان البلاستيكية	سايبربلات (سايبربوس)
المعاملات مع الشيكات الإلكترونية والتزامات الدفع غير النقدية الأخرى	أنظمة مغلقة للمدفوعات بين الشركات	سايبربلات (سايبرتشيك)
التعامل بالنقد الإلكتروني (شبه).	الحسابات مع المادية الأشخاص، ونظائرها الإلكترونية من الرموز المميزة والبطاقات المدفوعة مسبقًا المستخدمة كبدائل مالية لدفع ثمن البضائع

تجدر الإشارة إلى أن الأنظمة من نوع "العميل - البنك" معروفة منذ فترة طويلة. يمكنك الوصول إلى حسابك البنكي باستخدام المودم. على مدى العقد الماضي، ظهرت فرص جديدة لإدارة حسابك باستخدام الإنترنت، من خلال واجهة ويب سهلة الاستخدام. كانت هذه الخدمة تسمى "الخدمات المصرفية عبر الإنترنت" ولم تقدم أي شيء جديد بشكل أساسي في أنظمة الدفع من نوع "بنك العميل". بالإضافة إلى ذلك، هناك خيارات أخرى للوصول إلى حساب مصرفي، على سبيل المثال، باستخدام الهاتف المحمول (الخدمات المصرفية عبر WAP، الخدمات المصرفية عبر الرسائل النصية القصيرة). في هذا الصدد، في هذه المقالة، لن نركز بشكل خاص على هذا النوع من ربحية السهم، نلاحظ فقط أنه يوجد حاليًا في روسيا حوالي 100 بنك تجاري يقدم خدمات مصرفية عبر الإنترنت، باستخدام أكثر من 10 ربحية مختلفة.

تصنيف EPS حسب التقنية المستخدمة:

واحدة من أهم صفات EPS هي مقاومته للسطو. ولعل هذه هي الخاصية الأكثر مناقشة لهذه الأنظمة. كما يتبين من الجدول 3، عند حل مشكلة أمان النظام، تعتمد معظم طرق بناء نظام أمان إلكتروني على سرية قاعدة بيانات مركزية معينة تحتوي على معلومات مهمة. وفي الوقت نفسه يضيف بعضهم إلى ذلك قاعدة سريةتعتمد مستويات الحماية الإضافية هذه على متانة الأجهزة.

من حيث المبدأ، هناك تقنيات أخرى يمكن بناء EPS عليها. على سبيل المثال، منذ وقت ليس ببعيد، كان هناك تقرير في وسائل الإعلام حول تطوير EPS على أساس أقراص CDR مدمجة في بطاقة بلاستيكية. لكن أنظمة مماثلةلا تستخدم على نطاق واسع في الممارسة العالمية، وبالتالي لن نركز عليها.

الجدول 3

تكنولوجيا	على ماذا يعتمد استقرار النظام؟	مثال EPS
أنظمة مع بنك عميل خادم مركزي، تحويل الأموال	سرية مفاتيح الوصول	Telebank (بنك جوتا)، "بنك خدمة الإنترنت" (Avtobank)
بطاقات ذكية	مقاومة أجهزة البطاقات الذكية للاختراق	مونديكس، أكورد
البطاقات الممغنطة وبطاقات الائتمان الافتراضية		مساعدة، النخبة
بطاقات قابلة للحك	سرية قاعدة البيانات بأرقام وأكواد بطاقات الشحن	المنفذ الإلكتروني، Creditpilot، Webmoney، Paycash، Rapira
الملف/المحفظة على شكل برنامج على جهاز الكمبيوتر الخاص بالمستخدم	قوة التشفير لبروتوكول تبادل المعلومات
مكالمة هاتفية مدفوعة الأجر	سرية قاعدة البيانات المركزية مع الرموز السرية واستقرار الأجهزة لشبكة الهواتف الذكية	الوصول، الدفع عبر الهاتف

1.3 تحليل أنظمة الدفع الإلكترونية الرئيسية المستخدمة في روسيا

حاليًا، يتم استخدام الكثير من أنظمة الدفع الإلكترونية على الإنترنت الروسي، على الرغم من عدم استخدام جميعها على نطاق واسع. ومن المميزات أن جميع أنظمة الدفع الغربية المستخدمة على RuNet تقريبًا مرتبطة ببطاقات الائتمان. البعض منهم، على سبيل المثال PayPal، يرفضون رسميًا العمل مع عملاء من روسيا. الأنظمة الأكثر استخدامًا اليوم هي:

يشير CyberPlat إلى أنظمة من النوع المختلط (من وجهة نظر أي من التصنيفات المذكورة أعلاه). في الواقع، يمكننا القول أنه ضمن هذا النظام يتم جمع ثلاثة حسابات منفصلة تحت سقف واحد: نظام "بنك العميل" الكلاسيكي، والذي يسمح للعملاء بإدارة الحسابات المفتوحة لدى البنوك المشاركة في النظام (11 بنكًا روسيًا و1 لاتفيا). ; نظام CyberCheck، الذي يسمح لك بإجراء مدفوعات آمنة بين الكيانات القانونية المرتبطة بالنظام؛ ونظام الحصول على الإنترنت، أي معالجة المدفوعات المقبولة من بطاقات الائتمان - CyberPos. من بين جميع أنظمة الحصول على الإنترنت المتاحة في السوق الروسية، توفر CyberPlat معالجة أكبر عدد من أنواع بطاقات الائتمان، وهي: Visa وMastercard/Eurocard وAmerican Express7 وDiners Club وJCB وUnion Card؛ وقد أعلنت عن اتصالها الوشيك بـ نظام بطاقة STB وبطاقة ACCORD/Bashcard. وبشكل غير رسمي، ادعى موظفو الشركة أنهم كانوا يستكشفون إمكانية التفاعل مع أنظمة البطاقات الروسية الأخرى. بالإضافة إلى ما سبق، توفر شركة CyberPlat معالجة بطاقات الشحن الخاصة بنظام الدفع عبر المنفذ الإلكتروني، كما أعلنت عن التشغيل المرتقب لبوابة بنظام Paycash.

حاليًا، ولزيادة مستوى الحماية ضد المدفوعات من بطاقات الائتمان المسروقة، تعمل الشركة على تطوير تقنية PalPay المتخصصة، والتي تسمح للبائع بالتحقق مما إذا كان المشتري لديه حقًا حق الوصول إلى الحساب البنكي المرتبط ببطاقة الائتمان أو أنه يعرف تفاصيله فقط. ولم يتم الإعلان رسميًا بعد عن إدخال هذه التكنولوجيا حيز التنفيذ.

يعد نظام CyberCheck ذو أهمية كبيرة لتنظيم العمل مع الشركاء من الشركات. وتتمثل ميزتها الرئيسية (مقارنة بقبول المدفوعات عن طريق بطاقات الائتمان) في استحالة رفض الدافع إجراء الدفع بعد حدوثه. بمعنى آخر، يعد تلقي تأكيد الدفع من CyberCheck موثوقًا مثل تلقي هذا التأكيد من البنك الذي يوجد به حساب التاجر. كل هذه الخصائص تجعل CyberPlat ربما الأكثر تقدمًا وإثارة للاهتمام بالنسبة لبائعي EPS على الإنترنت الروسي.

يعد نظام المساعدة من حيث معالجة المدفوعات من بطاقات الائتمان من نواحٍ عديدة نظيرًا وظيفيًا لـ CyberPlat. وفي موسكو، يمثل بنك ألفا مصالحها. إجمالي 5 بنوك متصلة بالنظام. يسمح لك النظام الفرعي للحصول على الإنترنت بقبول المدفوعات من Visa وMastercard/Eurocard وSTB-card. اعتبارًا من سبتمبر، لم يتم قبول المدفوعات من أنظمة البطاقات الأخرى المعلنة على خادم نظام المساعدة فعليًا. ومع ذلك، وفقًا لمعلومات غير رسمية، سيكون من الممكن في المستقبل القريب قبول بطاقات Diners Club وبطاقات الخصم Cirrus Maestro وVisa Electron. ومن المثير للاهتمام أن هذا النوع من البطاقات لا يتم قبوله عادةً من قبل الشركات المستحوذة، ولكن نظرًا لتكلفته المنخفضة، فإن هذه البطاقات شائعة جدًا. عادةً ما يكون سبب رفض قبول بطاقات الخصم هو المخاوف الأمنية. ربما ستتمكن ASSIST من التغلب على هذه المشكلة باستخدام بروتوكول SET، الذي أعلنت الشركة عن دعمه منذ بضعة أيام. على عكس الطريقة التقليدية للدفع بالبطاقات البلاستيكية على الإنترنت، والتي تسمح لمالك البطاقة برفض الدفع منها (استرداد التكاليف)، يضمن بروتوكول SET صحة المعاملة، مما يقلل بشكل كبير من المخاطر التي يتعرض لها البائع.

إن طريقة التسوية باستخدام الشهادات الإلكترونية المشتراة من مزود خدمة الإنترنت، والمعلن عنها على موقع المساعدة، مثيرة للاهتمام للغاية لأنها تفتح مجالات عمل جديدة لمقدمي الخدمة، ومع ذلك، وفقًا للمعلومات المتاحة، وبسبب الصعوبات القانونية، لم يكن الأمر كذلك حتى وقت قريب يستخدم فعلا من قبل أي شخص. ومع ذلك، مرة أخرى، وفقا لمعلومات غير رسمية، فإن هذا الوضع سيتغير قريبا - بالفعل في خريف عام 2001، يمكننا أن نرى أول تطبيق عملي لهذه الطريقة في الحساب.

بالإضافة إلى أنظمة بطاقة CyberPlat وAssist المذكورة في الوصف، هناك أنظمة أخرى اكتسبت بعض الشعبية في السوق. يتم توزيع Discover/NOVUS على نطاق واسع في أمريكا الشمالية وقد يكون محل اهتمام تلك المتاجر الإلكترونية التي تخدم الجمهور الغربي. نحن لسنا على علم بوجود أي شركات استحواذ محلية ستقوم بمعالجة بطاقات هذا النظام، ولكن هناك عددًا من المقترحات المقدمة من وسطاء يمثلون مصالح المستحوذين الغربيين. من بين أنظمة البطاقات الروسية، بعد STB وUnion Card، الأكثر وضوحًا في السوق هي Zolotaya Korona وSbercard (Sberbank) وUniversal Card وICB-card (Promstroybank)، بالإضافة إلى بطاقة ACCORD/Bashcard المذكورة سابقًا. تتم معالجة "بطاقة ICB" من قبل اثنتين من الشركات الصغيرة المستحوذة، ومن المفترض أن يتم تقديم قبول المدفوعات عبر الإنترنت من بطاقات Zolotaya Korona وSbercard مباشرة من قبل الجهات المصدرة و/أو الشركات ذات الصلة، وفي حالة Universal Card، فإنها تفعل ذلك لا يبدو أن يتم توفيرها من قبل أي شخص.

يتم وضع Paycash وWebmoney من قبل مطوريهما كأنظمة نقدية إلكترونية، ولكن بعد الفحص الدقيق، يمكن لـ Paycash فقط المطالبة بهذه الحالة بحق.

بدأ تطوير Paycash من قبل بنك Tavrichesky، ولكن حاليًا هناك بنوك أخرى مرتبطة بالنظام، على سبيل المثال، Guta Bank.

من وجهة نظر تكنولوجية، توفر Paycash تقليدًا شبه كامل للمدفوعات النقدية. من محفظة إلكترونية واحدة (برنامج متخصص يقوم العميل بتثبيته على جهاز الكمبيوتر الخاص به)، يمكن تحويل الأموال إلى أخرى، مع ضمان عدم الكشف عن هوية الدفع فيما يتعلق بالبنك. لقد أصبح النظام منتشرًا على نطاق واسع في روسيا ويقوم حاليًا بمحاولات لدخول السوق العالمية.

عنق الزجاجة في Paycash هو إجراء تحويل الأموال إلى المحفظة الإلكترونية. حتى الان الطريقة الوحيدةللقيام بذلك كان عليك الذهاب إلى فرع البنك وتحويل الأموال إلى حساب النظام. صحيح، كانت هناك بدائل - بالنسبة لمستخدمي نظام Guta Bank Telebank، كان من الممكن تحويل الأموال من حساب في بنك Guta دون مغادرة المنزل، ولكن في بعض الحالات، على ما يبدو، كان من الأسهل تحويلها مباشرة إلى حساب البائع - متجر إلكتروني دون استخدام Paycash كوسيط. كان من الممكن أيضًا تحويل الأموال عبر Western Union أو التحويل البريدي/السلكي، ولكن جاذبية هذا الطريق كانت محدودة بسبب ارتفاع مستوى الرسوم. بالنسبة للمقيمين في سانت بطرسبرغ، هناك فرصة غريبة للغاية - للاتصال بالبريد السريع إلى منزلك مقابل المال. رائع، ولكن، للأسف، لا نعيش جميعا في العاصمة الشمالية.

لا يزال من غير الممكن تحويل الأموال إلى Paycash من بطاقات الائتمان. ويرجع ذلك إلى حقيقة أن الشركات التي تدعم تشغيل أنظمة البطاقات توفر لعملائها فرصة ما يسمى بـ "استرداد المبالغ المدفوعة" - رفض إجراء الدفع "بأثر رجعي". "استرداد المبلغ" هي آلية تحمي مالك بطاقة الائتمان من المحتالين الذين يمكنهم استخدام تفاصيلها. في حالة مثل هذا الرفض، يقع عبء الإثبات على عاتق البائع بأن البضائع قد تم تسليمها بالفعل إلى حامل البطاقة الحقيقي وأنه يجب السداد. ولكن في حالة Paycash، فإن هذا النوع من الإثبات مستحيل في الأساس - لأسباب واضحة تمامًا. البوابة المذكورة أعلاه مع CyberPlat، والتي هي قيد التطوير، تهدف أيضًا إلى حل هذه المشكلة.

في هذه الأثناء، لفك هذا عنق الزجاجةفي النظام، قامت PayCash بحركتين معقولتين إلى حد ما - حيث أصدرت بطاقات خدش مدفوعة مسبقًا وقدمت قبول الدفع من خلال نظام تحويل جهات الاتصال، والذي تكون أسعاره أقل بكثير من الأسعار البريدية (2.2% مقابل 8%).

يعد نظام Webmoney أحد "الرواد" في سوق الدفع الإلكتروني في روسيا. حاليا لها طابع دولي. وفقا لبعض المعلومات، لدى Webmoney ممثلين ليس فقط في جمهوريات الاتحاد السوفياتي السابق، ولكن أيضا في البلدان الأجنبية. مشغل النظام هو منظمة مستقلة غير ربحية "VM Center".

يشبه وضع تشغيل Webmoney إلى حد كبير العمل بالنقد الإلكتروني، فقط التحليل الدقيق والدقيق يجعل من الممكن التأكد من أن Webmoney في الواقع لا يوفر إخفاء كامل للمدفوعات، أي أنها ليست مخفية عن أصحابها النظام أنفسهم. ومع ذلك، فقد أظهرت ممارسة Webmoney أن هذه الخاصية مفيدة إلى حد ما، مما يسمح في بعض الحالات بمكافحة الاحتيال. علاوة على ذلك، كخدمة مدفوعة منفصلة، ​​يقدم VM Center شهادة للكيانات القانونية والأفراد، مما يحرمه بطبيعة الحال من عدم الكشف عن هويته فيما يتعلق بالمشاركين الآخرين في النظام. هذه الفرصة ضرورية في المقام الأول لأولئك الذين يرغبون في تنظيم متجر إلكتروني صادق ويعتزمون إقناع المشترين المحتملين بموثوقيتهم. يسمح لك Webmoney بفتح حسابات وتحويل الأموال بعملتين: الروبل والدولار.

للدخول إلى النظام يتم استخدام برنامج “المحفظة الإلكترونية”. ومن الميزات الإضافية للنظام نقل الرسائل القصيرة من محفظة إلى أخرى، وكذلك المعاملات الائتمانية بين أصحاب المحفظة. ومع ذلك، في رأينا، سيوافق عدد قليل من الأشخاص على إقراض أشخاص مجهولين عبر الإنترنت دون القدرة على تحصيل القرض قسراً في حالة عدم السداد.

على عكس Paycash، قدم Webmoney في البداية القدرة على تحويل الأموال النقدية العادية إلى المحفظة وسحب محتويات المحافظ دون الإجراءات الشاقة المتمثلة في ملء أوامر الدفع في البنك، ولكن بطريقة غريبة إلى حد ما، من وجهة نظر قانونية. . بشكل عام، فإن الدعم القانوني لـ Webmoney فيما يتعلق بعملها مع المنظمات قد تسبب منذ فترة طويلة في العديد من الشكاوى.

كان هذا هو السبب في أنه بينما كان المستخدمون النهائيون يقومون بتثبيت "محافظ" لأنفسهم بشكل نشط، رفضت العديد من المتاجر الإلكترونية استخدام EPS. صحيح، في الوقت الحاضر، تحسن هذا الوضع إلى حد ما، والوضع التسويقي النشط لأصحاب Webmoney يؤدي إلى حقيقة أن صورة النظام تتحسن باستمرار. واحد من ميزات مثيرة للاهتمامكانت استراتيجية التسويق هذه هي أنه بعد دخولها إلى السوق تقريبًا، تم منح الجميع الفرصة لكسب المال في هذا النظام (قد يتذكر البعض مشروع "Nails" وتطوره اللاحق - Visit.ru). تمامًا مثل Paycash، يصدر Webmoney بطاقات خدش مدفوعة مسبقًا مصممة لإيداع الأموال في النظام.

هناك نظامان يعتمدان على بطاقات الشحن: E-port (Avtokard-holding) وKreditPilot (Kreditpilot.com)، يشبهان الأخوين التوأم. يفترض كلاهما أن المشتري سيشتري أولاً بطاقة خدش تحتوي على رمز سري في مكان ما في شبكة توزيع واسعة أو عن طريق طلبها عن طريق البريد السريع في المنزل، ثم يبدأ في الدفع عبر الإنترنت باستخدام هذا الرمز في المتاجر التي تقبل الدفع من هذه الأنظمة. بالإضافة إلى ذلك، توفر E-port إمكانية إنشاء بطاقات خدش “افتراضية” عن طريق تحويل الأموال إلى حساب الشركة عبر أحد البنوك أو عبر نظام “Webmoney”.

ويتيح نظام Rapida، الذي بدأ تشغيله في سبتمبر 2001، مثل النظامين السابقين، إيداع الأموال في حساب المستخدم من خلال بطاقات الشحن أو الدفع في أحد البنوك المشاركة في النظام. بالإضافة إلى ذلك، تم ذكر إمكانية العمل في وضع "بنك العميل" وتحويل الأموال إلى حسابات الكيانات القانونية غير المشاركة في النظام، وكذلك للأفراد دون فتح حساب مصرفي. لا يتم توفير الوصول إلى النظام عبر الإنترنت فحسب، بل أيضًا عبر الهاتف باستخدام الاتصال بالطنين. بشكل عام، يبدو النظام متقدمًا من الناحية التكنولوجية ومثيرًا للاهتمام للغاية، ولكن حتى الآن لم يمر وقت كافٍ منذ إطلاقه قيد التشغيل حتى تتمكن من التحدث عن الآفاق المستقبلية.

ظهرت EPS، التي تسمح بإجراء الدفع بنفس طريقة إجراء المكالمات البعيدة (بعد وقوع الحدث، بناءً على فاتورة من شركة الهاتف)، لأول مرة في الولايات المتحدة وكان الهدف منها الدفع مقابل الوصول إلى الموارد الإباحية. ومع ذلك، نظرا للإجراءات الاحتيالية المنهجية للعديد من مالكي هذه الأنظمة، فإنها لم تكتسب شعبية بين المشترين، ولم يكن البائعون سعداء بها بشكل خاص، لأن هذه الأنظمة تميل إلى تأخير المدفوعات بشكل كبير.

هناك تطبيقان محليان لمفهوم مماثل - Phonepay و Eaccess - في بداية رحلتهما. يفترض كلا النظامين أنه من أجل إجراء الدفع، يجب على العميل إجراء مكالمة إلى رقم بعيد معين في الرمز 8-809 (مقدم، على ما يبدو، من قبل شركة MTU-inform)، وبعد ذلك سيتم عرض بعض المعلومات الأساسية يمليه عليه الروبوت. في حالة Eaccess، هذا هو الرمز السري المستخدم للوصول إلى مصدر معلومات مدفوع الأجر، وفي حالة Phonepay، فهو عبارة عن "عملة رقمية" عالمية تتكون من 12 رقمًا لواحد من الخمسة الفئات التي تم ترميزها بشكل ثابت في النظام، وبالنظر إلى المواقع الإلكترونية الخاصة بالأنظمة، يمكن ملاحظة أن الوصول الإلكتروني لا يزال يتطور تدريجياً، مما يزيد من عدد المتاجر المرتبطة بالنظام، لكن Phonepay لم يربط متجراً واحداً لا ينتمي إليه للمطورين لنظامه.

في رأيي، تتمتع هذه الأنظمة في روسيا بآفاق محددة للغاية فيما يتعلق بسهولة الوصول إليها من قبل المستخدم النهائي، ومع ذلك، فإن نطاق تطبيقها سيقتصر على المبيعات مصادر المعلومات. إن التأخير الطويل في تلقي المدفوعات (سيقوم النظام بنقلها إلى المتجر في موعد لا يتجاوز المشتري الذي يدفع فاتورة الهاتف) يجعل تداول الأصول المادية باستخدام ربحية السهم هذه نشاطًا غير مربح إلى حد ما.

وأخيرا، ينبغي ذكر نوع آخر من أنظمة التحويل الإلكتروني - أنظمة متخصصة للتحويلات بين الأفراد، تتنافس مع التحويلات البريدية والبرقية التقليدية. أول من احتل هذا المكان كان أنظمة أجنبية مثل Western Union وMoney Gram. بالمقارنة مع التحويلات التقليدية، فهي توفر سرعة وموثوقية أكبر للدفع. وفي الوقت نفسه، لديهم عدد من العيوب المهمة، وأهمها التكلفة العالية لخدماتهم، حيث تصل إلى 10٪ من مبلغ التحويل. والمشكلة الأخرى هي أن هذه الأنظمة لا يمكن استخدامها بشكل قانوني لقبول المدفوعات بشكل منهجي مقابل البضائع. ومع ذلك، بالنسبة لأولئك الذين يريدون ببساطة إرسال الأموال إلى العائلة والأصدقاء، فمن المنطقي أن يحولوا انتباههم إلى هذه الأنظمة، بالإضافة إلى أموالهم. نظائرها المحلية(أنيليك والاتصال). حتى الآن، لا يستطيع Paycash ولا Webmoney التنافس معهم، لأنه لا يمكن الحصول على النقود عن طريق سحبها من المحفظة الإلكترونية في مكان ما في أستراليا أو ألمانيا. ويدعي نظام Rapida EPS هذا الاحتمال، لكن حتى الآن لا توجد تفاصيل على الموقع الإلكتروني، ولا يمكن مقارنة جغرافية مكاتب النظام بالأنظمة المتوفرة بالفعل في السوق.

من الواضح أن أصحاب المتاجر الإلكترونية يجب أن يفكروا أولاً في قبول الأموال من بطاقات الائتمان وأنظمة النقد الإلكترونية - Webmoney و Paycash. استنادا إلى مجمل خصائص المستهلك، في رأينا، لا يمكن لأي من الأنظمة المتاحة في السوق الروسية لقبول المدفوعات من بطاقات الائتمان التنافس مع CyberPlat. تخضع جميع الأنظمة الأخرى للاستخدام الاختياري، خاصة إذا كنت تتذكر أنه ليس من الضروري تثبيت نفس المنفذ الإلكتروني بشكل منفصل، حيث تتم صيانة بطاقاته بواسطة CyberPlat.

2. وسائل الحماية لأنظمة الدفع الإلكتروني

2.1 التهديدات المرتبطة باستخدام أنظمة الدفع الإلكترونية

دعونا نفكر التهديدات المحتملةالإجراءات المدمرة للمهاجم فيما يتعلق بهذا النظام. للقيام بذلك، دعونا نلقي نظرة على الأهداف الرئيسية لهجوم المهاجم. الهدف الرئيسي للمهاجم هو الأصول المالية، أو بالأحرى بدائلها الإلكترونية (بدائلها) - أوامر الدفع المتداولة في نظام الدفع. وفيما يتعلق بهذه الأدوات، يمكن للمهاجم تحقيق الأهداف التالية:

1. سرقة الأصول المالية.

2. إدخال أصول مالية مزورة (مخالفة الرصيد المالي للنظام).

3. عطل في النظام ( التهديد الفني).

إن الكائنات والأهداف المحددة للهجوم ذات طبيعة مجردة ولا تسمح بتحليل وتطوير التدابير اللازمة لحماية المعلومات، وبالتالي يوفر الجدول 4 مواصفات للأشياء والأهداف ذات التأثيرات المدمرة للمهاجم.

الجدول 4: نموذج للإجراءات التدميرية المحتملة للمهاجم

كائن التأثير	الغرض من التأثير	الآليات الممكنة لتنفيذ التأثير.
صفحات HTML على خادم الويب الخاص بالبنك	الاستبدال لغرض الحصول على المعلومات المدخلة في أمر الدفع من قبل العميل.	الهجوم على الخادم واستبدال الصفحات على الخادم. استبدال الصفحات في حركة المرور. الهجوم على جهاز الكمبيوتر الخاص بالعميل واستبدال الصفحات الخاصة بالعميل
صفحات معلومات العميل على الخادم	الحصول على معلومات حول مدفوعات العميل (العملاء).	الهجوم على الخادم. هجوم مروري. الهجوم على جهاز الكمبيوتر الخاص بالعميل.
بيانات أمر الدفع المدخلة من قبل العميل في النموذج	استلام المعلومات المدخلة في أمر الدفع من قبل العميل.	الهجوم على جهاز الكمبيوتر الخاص بالعميل (الفيروسات، وما إلى ذلك). يتم الهجوم على هذه التعليمات عند إرسالها عبر حركة المرور. الهجوم على الخادم.
معلومات العميل الخاصة الموجودة على جهاز الكمبيوتر الخاص بالعميل وغير مرتبطة بنظام الدفع الإلكتروني	الحصول على معلومات سرية عن العميل. تعديل معلومات العميل. تعطيل جهاز الكمبيوتر الخاص بالعميل.	المجمع كله الهجمات المعروفةإلى جهاز كمبيوتر متصل بالإنترنت. الهجمات الإضافية التي تنشأ نتيجة لاستخدام آليات نظام الدفع.
المعلومات من مركز المعالجة بالبنك.	الإفصاح وتعديل معلومات مركز المعالجة و شبكه محليهإناء.	الهجوم على شبكة محلية متصلة بالإنترنت.

ويبين هذا الجدول المتطلبات الأساسية التي يجب أن يستوفيها أي نظام دفع إلكتروني عبر الإنترنت:

أولاً، يجب أن يضمن النظام حماية بيانات أوامر الدفع من التغييرات والتعديلات غير المصرح بها.

ثانيًا، يجب ألا يزيد النظام من قدرة المهاجم على تنظيم الهجمات على جهاز الكمبيوتر الخاص بالعميل.

ثالثا، يجب على النظام حماية البيانات الموجودة على الخادم من القراءة والتعديل غير المصرح به.

رابعاً: يجب أن يوفر النظام أو يدعم نظام حماية الشبكة المحلية للبنك من تأثير الشبكة العالمية.

أثناء تطوير أنظمة محددة لحماية معلومات الدفع الإلكتروني، هذا النموذجويجب أن تخضع المتطلبات لمزيد من التفاصيل. ومع ذلك، فإن مثل هذه التفاصيل غير مطلوبة للعرض التقديمي الحالي.

2.2 تقنيات حماية أنظمة الدفع الإلكترونية

لبعض الوقت، أعاق تطوير WWW حقيقة أن صفحات HTML، التي هي أساس WWW، هي نص ثابت، أي. وبمساعدتهم يصعب تنظيم تبادل تفاعلي للمعلومات بين المستخدم والخادم. اقترح المطورون العديد من الطرق لتوسيع قدرات لغة HTML في هذا الاتجاه، ولم يتم اعتماد العديد منها على نطاق واسع على الإطلاق. أحد أقوى الحلول التي مثلت مرحلة جديدة في تطور الإنترنت كان اقتراح صن باستخدام تطبيقات Java كمكونات تفاعلية متصلة بصفحات HTML.

برنامج Java هو برنامج مكتوب بلغة برمجة Java ويتم تجميعه في رموز ثانوية خاصة، وهي رموز لبعض أجهزة الكمبيوتر الافتراضية - جهاز Java - وتختلف عن رموز معالجات عائلة Intel. تتم استضافة التطبيقات الصغيرة على خادم على الإنترنت ويتم تنزيلها على كمبيوتر المستخدم عند الوصول إلى صفحة HTML تحتوي على استدعاء لهذا التطبيق الصغير.

لتنفيذ تعليمات برمجية صغيرة، يتضمن المتصفح القياسي تطبيقًا لمحرك Java الذي يفسر الرموز الثانوية إلى تعليمات الجهاز على عائلة معالجات Intel (أو عائلة أخرى من المعالجات). تتيح لك القدرات الكامنة في تقنية Java Applet، من ناحية، تطوير برامج قوية واجهات المستخدم، وتنظيم الوصول إلى أي موارد شبكة عبر URL، واستخدام بروتوكولات TCP/IP، وFTP، وما إلى ذلك بسهولة، ولكنها، من ناحية أخرى، تجعل من المستحيل الوصول مباشرة إلى موارد الكمبيوتر. على سبيل المثال، لا تملك التطبيقات الصغيرة إمكانية الوصول إليها نظام الملفاتالكمبيوتر والأجهزة المتصلة.

الحل المماثل لتوسيع إمكانيات WWW هو تقنية Microsoft - Active X. وأهم الاختلافات بين هذه التقنية وJava هي أن المكونات (نظائرها من التطبيقات الصغيرة) هي برامج في التعليمات البرمجية معالج إنتلوحقيقة أن هذه المكونات تتمتع بإمكانية الوصول إلى جميع موارد الكمبيوتر، بالإضافة إلى واجهات وخدمات Windows.

أسلوب آخر أقل شيوعًا لتوسيع إمكانيات شبكة الويب العالمية هو برنامج Netscape's Plug-in لتقنية Netscape Navigator. ويبدو أن هذه التكنولوجيا هي الأساس الأمثل لبناء أنظمة أمن المعلومات للمدفوعات الإلكترونية عبر الإنترنت. لمزيد من المناقشة، دعونا نلقي نظرة على كيفية حل هذه التكنولوجيا لمشكلة حماية معلومات خادم الويب.

لنفترض أن هناك بعض خادم الويب والمسؤول لهذا الخادممطلوب تقييد الوصول إلى جزء ما من مجموعة معلومات الخادم، أي. تنظيم بحيث يتمكن بعض المستخدمين من الوصول إلى بعض المعلومات، ولكن لا يستطيع الآخرون ذلك.

حاليا، يتم اقتراح عدد من الأساليب لحل هذه المشكلة، على وجه الخصوص، الكثير نظام التشغيلالتي تعمل بموجبها خوادم الإنترنت، تتطلب كلمة مرور للوصول إلى بعض مناطقها، أي. تتطلب المصادقة. يحتوي هذا الأسلوب على عيبين مهمين: أولاً، يتم تخزين البيانات على الخادم نفسه بنص واضح، وثانيًا، يتم نقل البيانات عبر الشبكة أيضًا بنص واضح. وبالتالي، فإن المهاجم لديه الفرصة لتنظيم هجومين: على الخادم نفسه (تخمين كلمة المرور، وتجاوز كلمة المرور، وما إلى ذلك) والهجوم على حركة المرور. حقائق مثل هذه الهجمات معروفة على نطاق واسع لمجتمع الإنترنت.

هناك طريقة أخرى معروفة لحل مشكلة أمن المعلومات وهي الطريقة التي تعتمد على تقنية SSL (طبقة المقابس الآمنة). عند استخدام SSL، يتم إنشاء قناة اتصال آمنة بين العميل والخادم يتم من خلالها نقل البيانات، أي: يمكن اعتبار مشكلة نقل البيانات بنص واضح عبر الشبكة حلاً نسبيًا. المشكلة الرئيسية في SSL هي بناء النظام الرئيسي والتحكم فيه. أما مشكلة تخزين البيانات على الخادم بنص واضح فلا تزال دون حل.

عيب آخر مهم للأساليب الموضحة أعلاه هو الحاجة إلى دعمها من كل من برنامج الخادم وعميل الشبكة، وهو أمر ليس ممكنًا أو مناسبًا دائمًا. خاصة في الأنظمة التي تستهدف العملاء الجماعيين وغير المنظمين.

يعتمد النهج الذي يقترحه المؤلف على حماية صفحات HTML نفسها، والتي تعد الناقل الرئيسي للمعلومات على الإنترنت. جوهر الحماية هو أن الملفات التي تحتوي على صفحات HTML يتم تخزينها على الخادم بشكل مشفر. في هذه الحالة، يكون المفتاح الذي تم تشفيرها به معروفًا فقط للشخص الذي قام بتشفيره (المسؤول) والعملاء (بشكل عام، يتم حل مشكلة بناء نظام المفتاح بنفس الطريقة كما في حالة الملف الشفاف التشفير).

يصل العملاء إلى المعلومات الآمنة باستخدام برنامج Netscape الإضافي لتقنية Netscape. هذه الوحدات هي برامج، على وجه التحديد مكونات البرمجيات، والتي ترتبط بأنواع ملفات معينة في معيار MIME. MIME هو معيار دولي يحدد تنسيقات الملفات على الإنترنت. على سبيل المثال، توجد أنواع الملفات التالية: text/html، text/plane، image/jpg، image/bmp، إلخ. بالإضافة إلى ذلك، يحدد المعيار آلية الإعداد أنواع مخصصةالملفات التي يمكن تعريفها واستخدامها من قبل المطورين المستقلين.

لذلك، يتم استخدام المكونات الإضافية المرتبطة بأنواع ملفات MIME محددة. الاتصال هو أنه عندما يصل المستخدم إلى ملفات من النوع المقابل، يقوم المتصفح بتشغيل البرنامج الإضافي المرتبط به وتنفذ هذه الوحدة جميع الإجراءات لتصور بيانات الملف ومعالجة إجراءات المستخدم مع هذه الملفات.

تتضمن وحدات المكونات الإضافية الأكثر شهرة وحدات تقوم بتشغيل مقاطع الفيديو بتنسيق avi. لا يتم تضمين عرض هذه الملفات في الإمكانيات القياسية للمتصفحات، ولكن عن طريق تثبيت المكون الإضافي المناسب، يمكنك بسهولة عرض هذه الملفات في المتصفح.

علاوة على ذلك، يتم تعريف جميع الملفات المشفرة كملفات من نوع MIME وفقًا للمعايير الدولية المعمول بها. "التطبيق/x-shp". يتم بعد ذلك تطوير البرنامج الإضافي باستخدام تقنية وبروتوكولات Netscape لربطه بنوع الملف. تؤدي هذه الوحدة وظيفتين: أولاً، تطلب كلمة مرور ومعرف مستخدم، وثانيًا، تقوم بعمل فك تشفير الملف وإخراجه إلى نافذة المتصفح. يتم تثبيت هذه الوحدة وفقًا للترتيب القياسي الذي وضعته Netscape على متصفحات جميع أجهزة الكمبيوتر العميلة.

في هذه المرحلة، تم الانتهاء من المرحلة التحضيرية للعمل والنظام جاهز للتشغيل. أثناء التشغيل، يصل العملاء إلى صفحات HTML المشفرة باستخدام عنوانهم القياسي (URL). يحدد المتصفح نوع هذه الصفحات ويقوم تلقائيًا بتشغيل الوحدة التي قمنا بتطويرها، وينقل إليها محتويات الملف المشفر. تقوم الوحدة بتوثيق العميل، وعند الانتهاء بنجاح، تقوم بفك تشفير محتويات الصفحة وعرضها.

عند تنفيذ هذا الإجراء برمته، يشعر العميل بالتشفير "الشفاف" للصفحات، حيث أن كل عمل النظام الموصوف أعلاه مخفي عن عينيه. وفي الوقت نفسه، يتم الحفاظ على جميع الميزات القياسية المتأصلة في صفحات html، مثل استخدام الصور وتطبيقات Java ونصوص CGI.

من السهل أن نرى أن هذا النهج يحل العديد من مشاكل أمن المعلومات، لأنه وفي شكل مفتوح، يوجد فقط على أجهزة الكمبيوتر الخاصة بالعملاء، ويتم نقل البيانات عبر الشبكة في شكل مشفر. لا يمكن للمهاجم، الذي يسعى إلى الحصول على المعلومات، تنفيذ هجوم إلا على مستخدم معين، ولا يمكن لأي نظام أمن معلومات الخادم الحماية من هذا الهجوم.

حاليًا، قام المؤلف بتطوير نظامين لأمن المعلومات استنادًا إلى النهج المقترح لمتصفح Netscape Navigator (3.x) وNetscape Communicator 4.x. خلال اختبار أوليوقد وجد أن الأنظمة المطورة يمكن أن تعمل بشكل طبيعي تحت سيطرة MExplorer، ولكن ليس في جميع الحالات.

من المهم ملاحظة أن هذه الإصدارات من الأنظمة لا تقوم بتشفير الكائنات المرتبطة بصفحة HTML: الصور، وتطبيقات البرامج النصية، وما إلى ذلك.

يوفر النظام 1 الحماية (التشفير) لصفحات html الفعلية ككائن واحد. تقوم بإنشاء صفحة ثم تشفيرها ونسخها إلى الخادم. عند الوصول إلى صفحة مشفرة، يتم فك تشفيرها تلقائيًا وعرضها في نافذة خاصة. دعم نظام الأمان غير مطلوب من برنامج الخادم. يتم تنفيذ جميع أعمال التشفير وفك التشفير على محطة عمل العميل. هذا النظامعالمي، أي. لا يعتمد على بنية الصفحة والغرض منها.

يقدم النظام 2 نهجا مختلفا للحماية. يضمن هذا النظام عرض المعلومات المحمية في بعض مناطق صفحتك. المعلومات موجودة في ملف مشفر (ليس بالضرورة بتنسيق html) على الخادم. عندما تذهب إلى صفحتك، يصل نظام الأمان تلقائيًا إلى هذا الملف، ويقرأ البيانات منه ويعرضها في منطقة معينة من الصفحة. يتيح لك هذا النهج تحقيق أقصى قدر من الكفاءة والجمال الجمالي، مع الحد الأدنى من التنوع. أولئك. تبين أن النظام موجه نحو غرض محدد.

ويمكن تطبيق هذا النهج أيضًا عند بناء أنظمة الدفع الإلكترونية عبر الإنترنت. في هذه الحالة، عند الوصول إلى صفحة معينة من خادم الويب، يتم تشغيل وحدة البرنامج الإضافي، والتي تعرض نموذج أمر الدفع للمستخدم. بعد أن يملأها العميل، تقوم الوحدة بتشفير بيانات الدفع وإرسالها إلى الخادم. وفي الوقت نفسه، قد يطلب توقيعًا إلكترونيًا من المستخدم. علاوة على ذلك، يمكن قراءة مفاتيح التشفير والتوقيع من أي وسائط: الأقراص المرنة، والأجهزة اللوحية الإلكترونية، والبطاقات الذكية، وما إلى ذلك.

2.3 تحليل التقنيات للامتثال للمتطلبات الأساسية لأنظمة الدفع الإلكتروني

وصفنا أعلاه ثلاث تقنيات يمكن استخدامها لبناء أنظمة الدفع عبر الإنترنت: وهي تقنية تعتمد على تطبيقات Java ومكونات Active-X ووحدات المكونات الإضافية. دعنا نسميها التقنيات J و AX و P على التوالي.

ضع في اعتبارك متطلب عدم زيادة قدرة المهاجم على مهاجمة الكمبيوتر. للقيام بذلك، سنقوم بتحليل أحد أنواع الهجمات المحتملة - استبدال وحدات حماية العميل المقابلة للمهاجم. في حالة التكنولوجيا J، هذه عبارة عن تطبيقات صغيرة، في حالة AX، مكونات غاطسة، في حالة P، هذه عبارة عن وحدات إضافية. من الواضح أن المهاجم لديه الفرصة لاستبدال وحدات الحماية مباشرة على جهاز الكمبيوتر الخاص بالعميل. إن آليات تنفيذ هذا الهجوم تقع خارج نطاق هذا التحليل، لكن تجدر الإشارة إلى أن تنفيذ هذا الهجوم لا يعتمد على تقنية الحماية المعنية. ومستوى الأمان لكل تقنية هو نفسه، أي. إنهم جميعًا غير مستقرين بنفس القدر لهذا الهجوم.

النقطة الأكثر ضعفًا في تقنيات J وAX، من وجهة نظر الاستبدال، هي تنزيلها من الإنترنت. في هذه اللحظة يمكن للمهاجم إجراء الاستبدال. علاوة على ذلك، إذا تمكن أحد المهاجمين من استبدال هذه الوحدات على خادم البنك، فسيتمكن من الوصول إلى جميع كميات معلومات نظام الدفع المتداولة على الإنترنت.

في حالة التكنولوجيا P، لا يوجد خطر الاستبدال، حيث لا يتم تنزيل الوحدة من الشبكة - بل يتم تخزينها بشكل دائم على جهاز الكمبيوتر الخاص بالعميل.

تختلف عواقب الاستبدال: في حالة تقنية J، يمكن للمهاجم سرقة المعلومات التي أدخلها العميل فقط (وهو ما يمثل تهديدًا خطيرًا)، وفي حالة Active-X وPlug-in، يمكن للمهاجم أن يسرق المعلومات التي أدخلها العميل. الحصول على أي معلومات يمكن للعميل الذي يعمل على الكمبيوتر الوصول إليها.

في الوقت الحالي، لا يعرف المؤلف طرقًا محددة لتنفيذ هجمات انتحال تطبيقات Java الصغيرة. ويبدو أن هذه الهجمات تتطور بشكل سيء، حيث أن الفرص الناتجة لسرقة المعلومات غائبة عمليا. لكن الهجمات على مكونات Active-X واسعة الانتشار ومعروفة.

لننظر إلى مطلب حماية المعلومات المتداولة في نظام الدفع الإلكتروني عبر الإنترنت. من الواضح أنه في هذه الحالة، تكون التكنولوجيا J أدنى من كل من P وAX في قضية واحدة مهمة جدًا. تعتمد جميع آليات أمن المعلومات على التشفير أو التوقيع الإلكتروني، وتعتمد جميع الخوارزميات المقابلة لها على التحولات التشفيرية التي تتطلب إدخال العناصر الأساسية. حاليًا، يبلغ طول العناصر الرئيسية حوالي 32-128 بايت، لذا فإن مطالبة المستخدم بإدخالها من لوحة المفاتيح يكاد يكون مستحيلًا. السؤال الذي يطرح نفسه: كيف تدخلهم؟ نظرًا لأن تقنيات P وAX تتمتع بإمكانية الوصول إلى موارد الكمبيوتر، فإن حل هذه المشكلة واضح ومعروف - تتم قراءة المفاتيح من الملفات المحلية أو الأقراص المرنة أو الأجهزة اللوحية أو البطاقات الذكية. ولكن في حالة التكنولوجيا J، فإن مثل هذا الإدخال مستحيل، مما يعني أنه يتعين عليك إما أن تطلب من العميل إدخال سلسلة طويلة من المعلومات التي لا معنى لها، أو عن طريق تقليل طول العناصر الرئيسية، تقليل قوة تحويلات التشفير وبالتالي تقليل موثوقية الآليات الأمنية. علاوة على ذلك، فإن هذا التخفيض مهم للغاية.

دعونا نفكر في شرط أن يقوم نظام الدفع الإلكتروني بتنظيم حماية البيانات الموجودة على الخادم من القراءة والتعديل غير المصرح به. ينبع هذا المطلب من حقيقة أن النظام يتضمن وضع المعلومات السرية المخصصة للمستخدم على الخادم. على سبيل المثال، قائمة أوامر الدفع المرسلة إليه مع ملاحظة حول نتائج المعالجة.

وفي حالة التكنولوجيا P، يتم تقديم هذه المعلومات في شكل صفحات HTML، والتي يتم تشفيرها ووضعها على الخادم. يتم تنفيذ جميع الإجراءات وفقًا للخوارزمية الموضحة أعلاه (تشفير صفحات HTML).

في حالة تقنيات J وAX، يمكن وضع هذه المعلومات في شكل منظم في ملف على الخادم، ويجب أن تقوم المكونات أو التطبيقات الصغيرة بعمليات قراءة البيانات وتصورها. كل هذا يؤدي بشكل عام إلى زيادة الحجم الإجمالي للتطبيقات والمكونات، وبالتالي، إلى انخفاض في سرعة تحميل الصفحات المقابلة.

من وجهة نظر هذا المطلب، تفوز التكنولوجيا P نظرًا لقابليتها الأكبر للتصنيع، أي. انخفاض تكاليف التطوير، ومقاومة أكبر لاستبدال المكونات أثناء مرورها عبر الشبكة.

أما المطلب الأخير وهو حماية الشبكة المحلية المصرفية، فيتم تحقيقه من خلال البناء المختص لنظام جدران الحماية (جدران الحماية) ولا يعتمد على التقنيات المعنية.

وهكذا تم تنفيذ ما ورد أعلاه بشكل أولي تحليل مقارنالتقنيات J و AX و P، والتي يترتب عليها أنه يجب استخدام التكنولوجيا J إذا كان الحفاظ على درجة أمان جهاز الكمبيوتر الخاص بالعميل أكثر أهمية بكثير من قوة تحويلات التشفير المستخدمة في أنظمة الدفع الإلكترونية.

يبدو أن تقنية P هي الحل التكنولوجي الأمثل الذي تقوم عليه أنظمة أمن معلومات الدفع، لأنها تجمع بين القوة التطبيق القياسي Win32 والحماية من الهجمات عبر الإنترنت. ويتم التنفيذ العملي والتجاري للمشاريع التي تستخدم هذه التكنولوجيا، على سبيل المثال، من قبل شركة الاتصالات المالية الروسية.

أما بالنسبة لتقنية AX، فيبدو أن استخدامها غير فعال وغير مستقر أمام هجمات المتسللين.

خاتمة

من الواضح بشكل متزايد أن الأموال الإلكترونية بدأت تصبح واقعنا اليومي، والذي، على الأقل، يجب أن يؤخذ بعين الاعتبار. بالطبع، لن يقوم أحد بإلغاء النقود العادية في الخمسين عامًا القادمة (على الأرجح). لكن عدم القدرة على إدارة الأموال الإلكترونية وتفويت الفرص التي تجلبها معها يعني إقامة "ستار حديدي" حول الذات طوعا، والذي تم تحريكه بمثل هذه الصعوبة على مدى السنوات الخمس عشرة الماضية. تقدم العديد من الشركات الكبيرة الدفع مقابل خدماتها وبضائعها من خلال الدفع الإلكتروني. وهذا يوفر على المستهلك الكثير من الوقت.

تم تكييف البرنامج المجاني لفتح محفظتك الإلكترونية ولجميع الأعمال المتعلقة بالمال إلى الحد الأقصى لأجهزة الكمبيوتر الجماعية، وبعد القليل من الممارسة لا يسبب أي مشاكل للمستخدم العادي. عصرنا هو زمن أجهزة الكمبيوتر والإنترنت والتجارة الإلكترونية. الأشخاص الذين لديهم المعرفة في هذه المجالات والأدوات المناسبة يحققون نجاحًا هائلاً. النقود الإلكترونية هي أموال أصبحت أكثر انتشارًا كل يوم، مما يفتح المزيد والمزيد من الفرص للشخص الذي لديه إمكانية الوصول إلى الإنترنت.

كان الغرض من الحساب والعمل الرسومي هو إكمال وحل المهام التالية:

1. تحديد المهام الرئيسية لأنظمة الدفع الإلكتروني ومبادئ عملها وخصائصها.

2. يتم تحليل أنظمة الدفع الإلكتروني الرئيسية.

3. تم تحليل التهديدات المرتبطة باستخدام النقود الإلكترونية.

4. يتم تحليل وسائل الحماية عند استخدام أنظمة الدفع الإلكتروني.

القائمة الببليوغرافية

1. أنتونوف إن جي، بيسيل إم إيه تداول الأموال والائتمان والبنوك. -م: فينستاتينفورم، 2005، ص 179-185.

2. محفظة البنك - 3.-م: Somintek، 2005، ص 288-328.

3. ميخائيلوف د.م. المدفوعات والضمانات الدولية. م.: FBK-PRESS، 2008، ص 20-66.

4. بولياكوف ف.ب.، موسكوفينا إل.إيه هيكل ووظائف البنوك المركزية. الخبرة الأجنبية: كتاب مدرسي. - م: إنفرا-م، 2006.

5. جايكوفيتش يو في، بيرشين أ.س. أمن الأنظمة المصرفية الإلكترونية. - م: أوروبا المتحدة، 2004

6. ديمين ضد. وغيرها الأنظمة المصرفية الآلية. - م: ميناتيب-إنفورم، 2007

7. كريسين ف.أ. سلامة الأعمال. - م: المالية والإحصاء، 2006

8. لينكوف آي. وغيرها أقسام المعلومات في الهياكل التجارية: كيفية البقاء والنجاح. - م: نيت، 2008

9. تيتورينكو ج.أ. وغيرها حوسبة الأنشطة المصرفية. - م: فينستاتينفورم، 2007

10. توشنولوبوف آي بي، أوروسوف دي بي، يارتسيف في. الشبكات الموزعة. - سانت بطرسبورغ: بيتر، 2008

12. Aglitsky I. الدولة وآفاق الدعم المعلوماتي للبنوك الروسية. - التقنيات المصرفية، 2007 العدد 1.

التدريس

هل تحتاج إلى مساعدة في دراسة موضوع ما؟

سيقوم المتخصصون لدينا بتقديم المشورة أو تقديم خدمات التدريس حول الموضوعات التي تهمك.
تقديم طلبكمع الإشارة إلى الموضوع الآن للتعرف على إمكانية الحصول على استشارة.

3. حماية المدفوعات الإلكترونية

مشكلة الأمن المصرفي حادة بشكل خاص، منذ المعلومات المصرفية, أولاً، أنها تمثل أموالاً حقيقية، وثانيًا، أنها تؤثر على المصالح السرية لعدد كبير من عملاء البنوك.

حجم سوق التجارة الإلكترونية في عام 2000

حجم السوق وخصائصه	تقدير، دولار
التكلفة الإجمالية لجميع مشتريات منتجات الإنترنت	4.5-6 مليار
التكلفة الإجمالية لجميع المشتريات لكل مشتري متوسط	600-800
تكلفة متوسط ​​الشراء لكل معاملة عبر الإنترنت	25-35
الحجم الكامل لمعاملات الشراء عبر الإنترنت	130-200 مليون
حصة مشتريات المنتجات عبر الإنترنت	60-70%
حصة مشتريات البضائع المسلمة	30-40%

المخطط العام لعمل أنظمة الدفع الإلكتروني

يمكن للبنك الذي أبرم اتفاقية مع النظام وحصل على الترخيص المناسب أن يعمل بصفتين - كمصدر لأدوات الدفع لهذا النظام، المقبولة للدفع من قبل جميع البنوك المشاركة الأخرى، وباعتباره بنكًا مستحوذًا، يخدم المؤسسات التي قبول أدوات الدفع الخاصة بهذا النظام للدفع، الصادرة عن جهات إصدار أخرى، وقبول وسائل الدفع هذه للصرف في فروعه.
إجراءات قبول الدفع بسيطة للغاية. بادئ ذي بدء، يجب على أمين الصندوق في المؤسسة التحقق من صحة البطاقة باستخدام الخصائص المناسبة.
عند الدفع، يجب على الشركة تحويل تفاصيل بطاقة العميل إلى شيك خاص باستخدام آلة نسخ - طابعة، وإدخال المبلغ الذي تم الشراء به أو تقديم الخدمات في الشيك، والحصول على توقيع العميل.
ويسمى الشيك الصادر بهذه الطريقة قسيمة. من أجل إجراء المعاملات بأمان، يوصي نظام الدفع بحدود أقل على المبالغ لمختلف المناطق وأنواع الأعمال التي يمكن إجراء الدفعات لها دون تصريح. إذا تم تجاوز الحد الأقصى أو إذا كان هناك شك حول هوية العميل، فإن الشركة ملزمة بتنفيذ عملية التفويض.
دون الخوض في الجوانب الفنية للإجراء، نشير إلى أنه أثناء الترخيص، تحصل الشركة فعليًا على إمكانية الوصول إلى معلومات حول حالة حساب العميل وبالتالي تحصل على فرصة إثبات ملكية البطاقة من قبل العميل وقدرته على الدفع في مبلغ الصفقة. تبقى نسخة واحدة من القسيمة لدى الشركة، ويتم تحويل الثانية إلى العميل، ويتم تسليم الثالثة إلى البنك المستفيد وتكون بمثابة الأساس لسداد مبلغ الدفعة إلى الشركة من حساب العميل.
في السنوات الأخيرة، أصبحت محطات نقاط البيع شائعة على نطاق واسع، والتي لا توجد حاجة لملء القسائم باستخدامها. تتم قراءة تفاصيل البطاقة من الشريط المغناطيسي الموجود على القارئ المدمج في محطة نقطة البيع، ويتم إدخال مبلغ المعاملة من لوحة المفاتيح، ويتقدم الجهاز، من خلال المودم المدمج، بطلب للحصول على إذن من نظام الدفع المناسب. وفي هذه الحالة يتم استخدام الإمكانيات الفنية لمركز المعالجة الذي يقدم البنك خدماته للتاجر. في هذه الحالة، تقوم الشركة بإبلاغ البنك بنسخة من شريط تسجيل النقد مع عينة من توقيع العميل والملفات الدفعية التي تنشئها المحطة في نهاية يوم التشغيل.
في السنوات الأخيرة، تم لفت المزيد والمزيد من الاهتمام إلى الأنظمة المصرفية باستخدام بطاقات المعالجات الدقيقة. خارجياً، لا تختلف وسائط التخزين هذه عن البطاقات العادية، باستثناء شريحة الذاكرة أو المعالج الدقيق الملحوم داخل البطاقة وبتلات لوحة الاتصال المعروضة على سطحها.
الفرق الأساسي بين هذه البطاقات وكل ما سبق هو أنها تحمل معلومات مباشرة حول حالة حساب العميل، لأنها في حد ذاتها حساب عبور. من الواضح أن كل نقطة تجميع لهذه البطاقات يجب أن تكون مجهزة بمحطة نقاط بيع خاصة (مع قارئ شرائح).
لكي يتمكن العميل من استخدام البطاقة، يجب عليه تحميلها من حسابه في محطة البنك. تتم جميع المعاملات في وضع عدم الاتصال بالإنترنت من خلال بطاقة الحوار - بطاقة المحطة أو بطاقة العميل - بطاقة التاجر.
يعد هذا النظام آمنًا تمامًا تقريبًا نظرًا لدرجة الأمان العالية للرقاقة ونظام الدفع بالخصم الكامل. بالإضافة إلى ذلك، على الرغم من أن البطاقة نفسها أغلى بكثير من البطاقة العادية، إلا أن النظام أثناء التشغيل أرخص نظرًا لحقيقة أن وضع OFF-LINE لا يستخدم حمل الاتصالات.
الدفع الإلكتروني باستخدام البطاقات المصرفية البلاستيكية أنواع مختلفةتمثل آلية مرنة وعالمية إلى حد ما للتسويات في سلسلة "البنك 1 - العميل - المؤسسة - البنك 2" والتسويات بين البنوك من النوع "البنك 1 - ... - البنك ن". ومع ذلك، فإن تنوع أدوات الدفع هذه هو ما يجعلها هدفًا جذابًا للاحتيال بشكل خاص. تبلغ التكلفة السنوية للخسائر المرتبطة بإساءة الاستخدام مبلغًا كبيرًا، على الرغم من أنها صغيرة نسبيًا مقارنة بإجمالي حجم الأعمال.

ولا يمكن النظر إلى النظام الأمني ​​وتطوره بمعزل عن أساليب المعاملات غير المشروعة بالبطاقات البلاستيكية والتي يمكن تقسيمها إلى 5 أنواع رئيسية من الجرائم

1. العمليات بالبطاقات المزورة.
يمثل هذا النوع من الاحتيال الحصة الأكبر من خسائر نظام الدفع. نظرًا للأمن الفني والتكنولوجي العالي للبطاقات الحقيقية، نادرًا ما يتم استخدام البطاقات محلية الصنع مؤخرًا ويمكن التعرف عليها باستخدام تشخيصات بسيطة.
كقاعدة عامة، يتم استخدام الفراغات في البطاقة المسروقة للتزييف، حيث يتم تطبيق تفاصيل البنك والعميل عليها. نظرًا لكونهم مجهزين تجهيزًا عاليًا من الناحية الفنية، فيمكن للمجرمين كتابة معلومات على الشريط المغناطيسي للبطاقة أو نسخها، وبكلمة واحدة، يقومون بالتزييف على مستوى عالٍ.
مرتكبو مثل هذه الأعمال هم، كقاعدة عامة، جماعات إجرامية منظمة، يتواطأون أحيانًا مع موظفي البنوك المصدرة الذين لديهم إمكانية الوصول إلى المعلومات المتعلقة بحسابات العملاء وإجراءات المعاملات. وفي إطار الإشادة بالمجتمع الإجرامي الدولي، تجدر الإشارة إلى أن البطاقات المزيفة ظهرت في روسيا في وقت واحد تقريبًا مع بداية تطوير هذا القطاع من السوق المصرفية.

2. المعاملات بالبطاقات المسروقة/المفقودة.
من الممكن التسبب في أضرار جسيمة باستخدام البطاقة المسروقة فقط إذا كان المحتال يعرف رمز PIN الخاص بالعميل. ومن ثم يصبح من الممكن سحب مبلغ كبير من حساب العميل من خلال شبكة الصرافين الإلكترونيين - أجهزة الصراف الآلي قبل أن يتاح للبنك المصدر للبطاقة المسروقة الوقت الكافي لوضعها على قائمة التوقف الإلكترونية (قائمة البطاقات غير الصالحة).

3. تعدد المدفوعات مقابل الخدمات والسلع لمبالغ لا تتجاوز "الحد الأدنى" ولا تحتاج إلى تصريح. ولتسديد الدفعات، يحتاج المجرم فقط إلى تزوير توقيع العميل. ومع ذلك، مع هذا المخطط، يصبح الكائن الأكثر جاذبية للإساءة غير قابل للوصول - نقدي. تشمل هذه الفئة الجرائم المتعلقة بسرقة البطاقات أثناء إرسالها من قبل البنك المصدر لعملائه عبر البريد.

4. الاحتيال عبر البريد/الهاتف.
ظهر هذا النوع من الجرائم فيما يتعلق بتطوير خدمة توصيل البضائع والخدمات عن طريق البريد أو الطلب الهاتفي للعميل. بمعرفة رقم بطاقة الائتمان الخاصة بضحيته، يمكن للمجرم الإشارة إليه في نموذج الأمر، وبعد تلقي الأمر في مكان الإقامة المؤقت، يهرب.

5. عمليات السحب المتعددة من الحساب.
عادة ما يتم ارتكاب هذه الجرائم من قبل الموظفين كيان قانوني، قبول الدفع من العميل مقابل السلع والخدمات عن طريق بطاقة الائتمان، ويتم ذلك عن طريق إصدار عدة شيكات دفع لحقيقة دفع واحدة. بناءً على الشيكات المقدمة، يتم إضافة أموال إلى حساب الشركة أكثر من تكلفة البضائع المباعة أو الخدمات المقدمة. ومع ذلك، بعد الانتهاء من عدد من المعاملات، يضطر المجرم إلى إغلاق المؤسسة أو تركها.

لتجنب مثل هذه الإجراءات، يُنصح مستخدمو البطاقة بالانتباه أكثر للمستندات الموقعة عند إجراء المعاملات (حتى بالنسبة للمبالغ الصغيرة).

يمكن تقسيم الأساليب التي تستخدمها أقسام الأمن إلى فئتين رئيسيتين. يرتبط المستوى الأول، وربما الأهم، بالأمن الفني للبطاقة البلاستيكية نفسها. الآن يمكننا أن نقول بثقة أنه من وجهة نظر تكنولوجية، فإن البطاقة محمية بشكل أفضل من الأوراق النقدية، ويكاد يكون من المستحيل صنعها بنفسك دون استخدام التقنيات المتطورة.
تتوافق بطاقات أي نظام دفع مع المعايير المحددة بدقة. الخريطة لها شكل قياسي. الرقم التعريفي للبنك في النظام (رمز BIN) ورقم الحساب البنكي للعميل واسمه الأول والأخير وتاريخ انتهاء البطاقة يتم نقشها ووضعها في مواضع محددة بدقة على الجانب الأمامي للبطاقة. يوجد أيضًا رمز نظام الدفع مصنوع بطريقة ثلاثية الأبعاد. تم نقش الأرقام الأربعة الأخيرة من رقم البطاقة (مضغوطة بشكل بارز) مباشرة على الرمز المجسم، مما يجعل من المستحيل نسخ الصورة ثلاثية الأبعاد أو إعادة نقش الرمز دون إتلاف الرمز.
يوجد على ظهر البطاقة شريط مغناطيسي ومنطقة بها عينة من توقيع المالك. يتم تسجيل تفاصيل نظام الدفع نفسه وعلامات الأمان والرموز التي تمنع نسخ المعلومات على الشريط المغناطيسي في مواضع محددة بدقة وباستخدام خوارزميات التشفير، ويتم تكرار المعلومات المطبوعة على الجانب الأمامي من البطاقة. تتميز منطقة العينة المميزة للمالك بطبقة خاصة. عند أدنى محاولة لإجراء محو أو إعادة توجيه التوقيع، يتم تدمير الطلاء وتظهر ركيزة بلون مختلف مع رموز الأمان لنظام الدفع.
المساحة المتبقية من البطاقة تكون بالكامل تحت تصرف البنك المصدر لها ويتم تزيينها بشكل تعسفي برموز البنك وإعلاناته والمعلومات اللازمة للعملاء. البطاقة نفسها محمية بأحرف لا يمكن رؤيتها إلا تحت الضوء فوق البنفسجي.
تشمل تدابير الحماية الفنية أيضًا حماية الاتصالات المصرفية والشبكات المصرفية من التدخلات غير القانونية والأعطال والمؤثرات الخارجية الأخرى التي تؤدي إلى تسرب المعلومات أو حتى إتلافها. يتم تنفيذ الحماية عن طريق البرامج والأجهزة ويتم اعتمادها من قبل مؤسسات أنظمة الدفع المعتمدة.
تتضمن الفئة الثانية من تدابير الحماية تدابير لمنع تسرب المعلومات من إدارات البنوك للعمل مع البطاقات البلاستيكية. المبدأ الرئيسي هو التحديد الواضح للمسؤوليات الرسمية للموظفين، ووفقًا لذلك، الحد من الوصول إلى المعلومات السرية إلى حد لا يتجاوز الحد الأدنى المطلوب للعمل.
تقلل هذه الإجراءات من مخاطر وإمكانية تواطؤ المجرمين مع الموظفين. يتم عقد ندوات موضوعية للموظفين لتحسين مهاراتهم. تقوم أنظمة الدفع بتوزيع النشرات الأمنية بانتظام، والتي تنشر فيها المواد والإحصائيات الرسمية حول الجرائم التي تنطوي على البطاقات، والإبلاغ عن علامات المجرمين وإشارات البطاقات المزورة التي تدخل في التداول غير القانوني. ومن خلال النشرات، يتم تدريب الموظفين وتنظيم الأنشطة الوقائية والخاصة التي تهدف إلى الحد من الجريمة.
يتم إيلاء اهتمام خاص لاختيار الموظفين لموظفي القسم. جميع الأمور الأمنية تقع على عاتق ضابط أمن متخصص. ومن بين التدابير الوقائية، يحتل المكان الأهم العمل مع العملاء بهدف رفع المستوى الثقافي للتعامل مع "الأموال البلاستيكية". إن التعامل الدقيق والدقيق مع البطاقة يقلل بشكل كبير من احتمالية الوقوع ضحية لجريمة.

تحليل المخالفات في نظام التسوية والدفع الإلكتروني

ومن المعروف بين المتخصصين أن سقوط النرويج السريع في الحرب العالمية الثانية يرجع إلى حد كبير إلى حقيقة أن رموز البحرية الملكية البريطانية قد تم كسرها من قبل علماء التشفير الألمان الذين استخدموا بالضبط نفس الأساليب التي استخدمها متخصصو الغرفة 40 التابعة للبحرية الملكية ضد ألمانيا في الحرب السابقة. حرب.
منذ الحرب العالمية الثانية، تم رفع حجاب السرية عن استخدام الحكومة للتشفير. وهذا ليس مفاجئاً، ولا يرجع ذلك إلى الحرب الباردة فحسب، بل وأيضاً إلى إحجام البيروقراطيين (في أي منظمة) عن الاعتراف بأخطائهم.
دعونا نلقي نظرة على بعض الطرق التي تم بها ارتكاب عمليات الاحتيال على أجهزة الصراف الآلي. الهدف هو تحليل أفكار المصممين التي تهدف إلى الحصانة النظرية لمنتجهم وتعلم الدروس مما حدث.
لنبدأ ببعض الأمثلة البسيطة التي توضح عدة أنواع من عمليات الاحتيال التي يمكن تنفيذها دون الكثير من الحيل الفنية، بالإضافة إلى الإجراءات المصرفية التي تسمح بحدوثها.
ومن المعروف أن الشريط المغناطيسي الموجود على بطاقة العميل يجب أن يحتوي على رقم حسابه فقط، ويتم الحصول على رقم التعريف الشخصي (PIN) الخاص به عن طريق تشفير رقم الحساب وأخذ أربعة أرقام من النتيجة. وبالتالي، يجب أن تكون ماكينة الصراف الآلي قادرة على إجراء التشفير أو إجراء التحقق من رقم التعريف الشخصي (على سبيل المثال، الاستعلام التفاعلي).
أدانت محكمة وينشستر كراون في إنجلترا مؤخرًا اثنين من المجرمين الذين استخدموا مخططًا بسيطًا ولكنه فعال. لقد وقفوا في طوابير أمام أجهزة الصراف الآلي، ونظروا في رموز PIN الخاصة بالعملاء، والتقطوا البطاقات التي رفضتها أجهزة الصراف الآلي ونسخوا أرقام الحسابات منها على بطاقات فارغة، والتي تم استخدامها لسرقة حسابات العملاء.
تم استخدام هذه الخدعة (والإبلاغ عنها) منذ عدة سنوات في أحد البنوك في نيويورك. كان الجاني فني صراف آلي مطرودًا، وتمكن من سرقة 80 ألف دولار قبل أن يقبض عليه البنك، الذي كان له وجود أمني في المنطقة، متلبسًا.
كانت هذه الهجمات ناجحة لأن البنوك طبعت رقم حساب العميل بالكامل على البطاقة المصرفية، وبالإضافة إلى ذلك، لم يكن هناك تكرار للتشفير على الشريط المغناطيسي. قد تعتقد أن درس بنك نيويورك يمكن تعلمه، ولكن لا.
يعتمد نوع آخر من الهجمات التقنية على حقيقة أن العديد من شبكات أجهزة الصراف الآلي لا تقوم بتشفير الرسائل ولا تنفذ إجراءات المصادقة عند تفويض المعاملة. وهذا يعني أنه يمكن للمهاجم تسجيل رد البنك على ماكينة الصراف الآلي "أنا أأذن بالدفع" ثم إعادة التسجيل حتى تصبح ماكينة الصراف الآلي فارغة. لا يتم استخدام هذه التقنية، المعروفة باسم "نزع الأحشاء"، من قبل المهاجمين الخارجيين فقط. هناك حالة معروفة حيث استخدم مشغلو البنوك جهازًا للتحكم في الشبكة "لإتلاف" أجهزة الصراف الآلي مع شركائهم.

تعتبر المعاملات الاختبارية مصدرًا آخر للمشاكل

بالنسبة لنوع واحد من أجهزة الصراف الآلي، تم استخدام تسلسل مفاتيح مكون من أربعة عشر رقمًا لاختبار توزيع عشر ملاحظات. قام أحد البنوك بطباعة هذا التسلسل في دليل استخدام أجهزة الصراف الآلي عن بعد. وبعد ثلاث سنوات، بدأت الأموال تختفي فجأة. واستمر الأمر حتى قامت جميع البنوك التي تستخدم هذا النوع من أجهزة الصراف الآلي بتمكين تصحيحات البرامج لمنع المعاملة الاختبارية.
أسرع عمليات الاحتيال نموًا هي تلك التي تنطوي على استخدام محطات زائفة لجمع حسابات العملاء ورموز PIN. تم وصف هجمات هذا النوع لأول مرة في الولايات المتحدة في عام 1988. قام المحتالون ببناء آلة تقبل أي بطاقة وتوزع علبة سجائر. تم وضع هذا الاختراع في أحد المتاجر، وتم نقل رموز PIN والبيانات من البطاقات الممغنطة عبر المودم. وانتشرت الخدعة في جميع أنحاء العالم.
يقوم الفنيون أيضًا بسرقة الأموال من العملاء، مع العلم أنه من المحتمل أن يتم تجاهل شكاواهم. وفي أحد البنوك في اسكتلندا، قام أحد مهندسي مكتب المساعدة بتوصيل جهاز كمبيوتر بجهاز الصراف الآلي وقام بتسجيل أرقام حسابات العملاء وأرقام التعريف الشخصية. ثم قام بتزوير البطاقات وسرق الأموال من الحسابات. مرة أخرى، اشتكى العملاء من الجدران الفارغة. تعرض البنك لانتقادات علنية من قبل أحد كبار المسؤولين القانونيين في اسكتلندا بسبب هذه الممارسة.
الغرض من استخدام رقم التعريف الشخصي المكون من أربعة أرقام هو أنه إذا عثر شخص ما على البطاقة المصرفية لشخص آخر أو سرقها، فهناك فرصة واحدة من عشرة آلاف لتخمين الرمز بشكل عشوائي. إذا سمح لك بإدخال رقم التعريف الشخصي ثلاث محاولات فقط، فإن احتمال سحب الأموال من البطاقة المسروقة أقل من واحد من كل ثلاثة آلاف. ومع ذلك، تمكنت بعض البنوك من تقليل التنوع الذي توفره الأرقام الأربعة.
لا تتبع بعض البنوك نمط الحصول على رقم التعريف الشخصي عن طريق تحويل رقم الحساب بشكل مشفر، ولكن باستخدام رقم تعريف شخصي تم اختياره عشوائيًا (أو السماح للعملاء بالاختيار) ثم تحويله مشفرًا لتذكره. بالإضافة إلى السماح للعميل باختيار رقم تعريف شخصي يسهل تخمينه، فإن هذا الأسلوب يقدم بعض المخاطر التقنية.
تحتفظ بعض البنوك بقيمة PIN مشفرة في الملف. وهذا يعني أنه يمكن للمبرمج الحصول على القيمة المشفرة لرقم التعريف الشخصي الخاص به والبحث في قاعدة البيانات عن جميع الحسابات الأخرى التي لها نفس رقم التعريف الشخصي.
حتى أن أحد البنوك البريطانية الكبيرة كتب رمز PIN مشفرًا على الشريط المغناطيسي للبطاقة. استغرق الأمر من المجتمع الإجرامي خمسة عشر عامًا ليدرك أنه يمكنهم استبدال رقم الحساب الموجود على الشريط المغناطيسي لبطاقتهم الخاصة ثم استخدامه مع رقم التعريف الشخصي الخاص بهم للسرقة من الحساب.
ولهذا السبب، يوصي نظام VISA بأن تقوم البنوك بدمج رقم حساب العميل مع رقم التعريف الشخصي (PIN) الخاص به قبل التشفير. ومع ذلك، ليس كل البنوك تفعل هذا.
تم ربط الهجمات الأكثر تعقيدًا حتى الآن بأخطاء بسيطة في التنفيذ وإجراءات التشغيل. ويميل الباحثون الأمنيون المحترفون إلى النظر إلى مثل هذه الأخطاء الفادحة على أنها غير مثيرة للاهتمام، ولذلك يركزون على الهجمات التي تستغل عيوبًا تقنية أكثر دقة. تعاني الخدمات المصرفية أيضًا من عدد من نقاط الضعف الأمنية.
على الرغم من ندرة الهجمات عالية التقنية على الأنظمة المصرفية، إلا أنها تحظى باهتمام من وجهة نظر عامة، نظرًا لأن المبادرات الحكومية مثل معايير تقييم تكنولوجيا أمن المعلومات في الاتحاد الأوروبي (ITSEC) تهدف إلى تطوير مجموعة من المنتجات المعتمدة وفقًا للمعايير التقنية المعروفة. أخطاء. وتتمثل المقترحات التي يقوم عليها هذا البرنامج في أن تكون إجراءات التنفيذ والمعالجة للمنتجات المعنية خالية من الأخطاء بشكل أساسي، وأن الهجوم يتطلب تدريبًا فنيًا مماثلاً للتدريب الذي يحصل عليه موظفو وكالة الأمن الحكومية. ومن الواضح أن هذا النهج أكثر ملاءمة للأنظمة العسكرية منه للأنظمة المدنية.
لفهم كيفية تنفيذ الهجمات الأكثر تعقيدًا، من الضروري النظر إلى الأمن المصرفي بمزيد من التفصيل.

القضايا المتعلقة بوحدات الأمان

ليست كل المنتجات الأمنية متساوية في الجودة، وقليل من البنوك لديها الخبراء المدربون للتمييز بين المنتجات الجيدة والمنتجات المتواضعة.
في الممارسة العملية، هناك بعض المشاكل مع منتجات التشفير، على وجه الخصوص، وحدة الأمان القديمة IBM 3848 أو الوحدات الموصى بها حاليًا للمؤسسات المصرفية.
إذا لم يكن لدى البنك وحدات أمان يتم تنفيذها عن طريق الأجهزة، فسيتم تنفيذ وظيفة تشفير رمز PIN في البرنامج مع ما يترتب على ذلك من عواقب غير مرغوب فيها. قد تحتوي برامج وحدة الأمان على نقاط توقف لتصحيح أخطاء منتجات البرامج بواسطة مهندسي الشركة المصنعة. تم لفت الانتباه إلى هذه الحقيقة عندما قرر أحد البنوك إدراجها في الشبكة ولم يتمكن مهندس النظام في الشركة المصنعة من ضمان تشغيل البوابة المطلوبة. ولإنجاز المهمة، استخدم إحدى هذه الحيل لاستخراج أرقام التعريف الشخصية من النظام. إن وجود نقاط التوقف هذه يجعل من المستحيل إنشاء إجراءات موثوقة لإدارة وحدات الأمان.
تقوم بعض الشركات المصنعة لوحدات الأمان بنفسها بتسهيل مثل هذه الهجمات. على سبيل المثال، يتم استخدام طريقة لتوليد مفاتيح العمل بناءً على الوقت من اليوم، ونتيجة لذلك، يتم استخدام 20 بتة رئيسية فقط، بدلاً من 56 بتة المتوقعة. وهكذا، وفقًا لنظرية الاحتمالية، لكل 1000 مفتاح يتم إنشاؤه، سوف يتطابق اثنان.
وهذا يجعل من الممكن حدوث بعض الانتهاكات الخفية التي يتلاعب فيها المهاجم بالاتصالات المصرفية بحيث يتم استبدال المعاملات من محطة واحدة بمعاملات من محطة أخرى.
لم يزعج مبرمجو أحد البنوك حتى المشاكل المرتبطة بإدخال مفاتيح العميل في برامج التشفير. لقد قاموا ببساطة بتثبيت مؤشرات إلى القيم الأساسية في منطقة الذاكرة التي يتم إعادة تعيينها دائمًا إلى الصفر عند بدء تشغيل النظام. النتائج هذا القراراتضح أن الحقيقي و أنظمة الاختبارتستخدم نفس مناطق التخزين الرئيسية. أدرك الفنيون في البنك أن بإمكانهم الحصول على رموز PIN للعملاء على معدات الاختبار. اتصل العديد منهم بالمجرمين المحليين لتحديد رموز PIN للبطاقات المصرفية المسروقة. عندما كشف مدير أمن البنك عما كان يحدث، توفي في حادث سيارة (وفقدت الشرطة المحلية جميع المواد ذات الصلة). ولم يكلف البنك نفسه عناء إرسال بطاقات جديدة لعملائه.
أحد الأغراض الرئيسية لوحدات الأمان هو منع المبرمجين والموظفين من الوصول إلى أجهزة الكمبيوتر من الحصول على المعلومات المصرفية الرئيسية. ومع ذلك، فإن السرية التي توفرها المكونات الإلكترونية لوحدات الأمان لا تصمد في كثير من الأحيان أمام محاولات اختراق التشفير.
تحتوي وحدات الأمان على مفاتيح رئيسية خاصة بها للاستخدام الداخلي، ويجب الاحتفاظ بهذه المفاتيح في مكان محدد. غالبًا ما يتم الاحتفاظ بنسخة احتياطية من المفتاح في شكل يمكن قراءته بسهولة، مثل PROM، ويمكن قراءة المفتاح من وقت لآخر، على سبيل المثال عند نقل التحكم في مجموعة من مفاتيح المنطقة والطرفية من وحدة أمان واحدة إلى آخر. وفي مثل هذه الحالات، يكون البنك تحت رحمة الخبراء تمامًا في عملية إجراء هذه العملية.

المشاكل المرتبطة بتقنيات التصميم

دعونا نناقش بإيجاز تكنولوجيا تصميم أجهزة الصراف الآلي. في النماذج القديمة، كان رمز برنامج التشفير موجودا في المكان الخطأ - في جهاز التحكم، وليس في الوحدة النمطية نفسها. كان من المفترض أن يتم وضع جهاز التحكم على مقربة من الوحدة في منطقة معينة. لكن عددًا كبيرًا من أجهزة الصراف الآلي لا يوجد حاليًا على مقربة من مبنى البنك. في إحدى جامعات المملكة المتحدة، كان يوجد جهاز صراف آلي في الحرم الجامعي ويرسل أرقام حسابات غير مشفرة ورموز PIN إلى خط هاتفيإلى وحدة التحكم بالفرع التي كانت تقع على بعد عدة أميال من المدينة. يمكن لأي شخص يكلف نفسه عناء استخدام جهاز التنصت على خط الهاتف أن يقوم بتزييف البطاقات بالآلاف.
حتى في الحالات التي يتم فيها شراء أحد أفضل المنتجات، هناك عدد كبير من الخيارات التي يؤدي فيها التنفيذ غير الصحيح أو الإجراءات التكنولوجية غير المدروسة إلى حدوث مشاكل للبنك. تقوم معظم وحدات الأمان بإرجاع نطاق من رموز الإرجاع لكل معاملة. بعضها، مثل "خطأ تكافؤ المفتاح"، يعطي تحذيرًا بأن المبرمج يقوم بتجربة وحدة يتم استخدامها بالفعل. ومع ذلك، فقد اهتم عدد قليل من البنوك بكتابة برنامج تشغيل الجهاز اللازم لاعتراض هذه التحذيرات والتصرف وفقًا لذلك.
هناك حالات أبرمت فيها البنوك عقودًا من الباطن لجميع أو جزء من نظام الصراف الآلي مع الشركات التي "تقدم الخدمات ذات الصلة" ونقلت رموز PIN إلى هذه الشركات.
كانت هناك أيضًا حالات تمت فيها مشاركة رموز PIN بين بنكين أو أكثر. وحتى لو تم اعتبار جميع موظفي البنك جديرين بالثقة، فقد لا تحتفظ الشركات الخارجية بسياسات أمنية خاصة بالبنك. لا يتم دائمًا فحص الموظفين في هذه الشركات بشكل صحيح، ومن المرجح أن يتقاضوا أجورًا منخفضة، وفضوليين، ومتهورين، مما قد يؤدي إلى تصور الاحتيال وتنفيذه.
تعتمد العديد من أخطاء الإدارة الموصوفة على عدم تطوير الجزء النفسي من المشروع. يجب أن تتبع فروع البنوك ومراكز الكمبيوتر الإجراءات القياسية عند استكمال عملها اليومي، ولكن من المرجح أن يتم اتباع إجراءات المراقبة التي يكون غرضها واضحًا فقط. على سبيل المثال، فإن مشاركة مفاتيح خزنة الفرع بين المدير والمحاسب أمر مفهوم جيدًا: فهو يحميهما من أخذ أسرتيهما كرهائن. لا يتم في كثير من الأحيان تجميع مفاتيح التشفير في شكل سهل الاستخدام، وبالتالي من غير المرجح أن يتم استخدامها بشكل صحيح. قد تكون الإجابة الجزئية على ذلك هي الأجهزة التي تشبه المفاتيح فعليًا (على غرار مفاتيح التشفير لصمامات الأسلحة النووية).
يمكن كتابة الكثير عن تحسين الإجراءات التشغيلية، لكن إذا كان الهدف هو منع وقوع أي مفتاح تشفير في أيدي شخص لديه القدرة التقنية على إساءة استخدامه، فلا بد أن يكون هناك هدف واضح في الأدلة والدورات التدريبية. إن مبدأ "الأمن بالغموض" غالباً ما يضر أكثر مما ينفع.

توزيع المفاتيح

يشكل توزيع المفاتيح مشكلة خاصة لفروع البنوك. كما تعلم، تتطلب النظرية أن يقوم كل من المصرفيين بإدخال المكون الرئيسي الخاص به، بحيث يعطي مجموعهما المفتاح الرئيسي للمحطة. يتم إرسال رمز PIN المشفر على المفتاح الرئيسي للمحطة إلى ماكينة الصراف الآلي أثناء أول معاملة بعد الصيانة.
إذا استلم فني ماكينة الصراف الآلي كلا المكونين الرئيسيين، فيمكنه فك تشفير رقم التعريف الشخصي والبطاقات المزيفة. ومن الناحية العملية، يكون مديرو الفروع الذين يحملون المفاتيح سعداء تقريبًا بتسليمها إلى المهندس لأنهم لا يريدون الوقوف بجانب جهاز الصراف الآلي أثناء خدمته. علاوة على ذلك، فإن إدخال مفتاح المحطة يعني استخدام لوحة المفاتيح، التي يعتبرها المديرون الأكبر سنا أقل من كرامتهم.
من الممارسات الشائعة سوء إدارة المفاتيح. هناك حالة معروفة عندما تم منح مهندس من موظفي الصيانة كلتا الدائرتين الصغيرتين المزودتين بمفاتيح رئيسية. وعلى الرغم من وجود إجراءات الرقابة المزدوجة من الناحية النظرية، إلا أن مسؤولي الأمن قاموا بتسليم الرقائق لأنه تم استخدام المفاتيح الأخيرة ولم يكن أحد يعرف ما يجب فعله. يمكن للمهندس أن يفعل أكثر من مجرد تزوير البطاقات. كان بإمكانه أن يبتعد بالمفاتيح ويوقف جميع عمليات الصراف الآلي الخاصة بالبنك.
ليس من المثير للاهتمام أن يتم تخزين المفاتيح في الملفات المفتوحة أكثر من الملفات المحمية. وهذا لا ينطبق فقط على مفاتيح أجهزة الصراف الآلي، ولكن أيضًا على مفاتيح أنظمة التسوية بين البنوك مثل سويفت، التي تتعامل مع المعاملات التي تبلغ قيمتها المليارات. سيكون من الحكمة استخدام مفاتيح التهيئة، مثل المفاتيح الطرفية ومفاتيح المنطقة، مرة واحدة فقط ثم تدميرها.

تهديدات تحليل التشفير

من المحتمل أن يشكل محللو التشفير أقل تهديد للأنظمة المصرفية، لكن لا يمكن استبعادهم بالكامل. لا تزال بعض البنوك (بما في ذلك البنوك الكبيرة والمعروفة) تستخدم خوارزميات التشفير المحلية التي تم إنشاؤها في السنوات التي سبقت DES. في إحدى شبكات البيانات، تم ببساطة "خلط" كتل البيانات عن طريق إضافة ثابت. ولم يتم انتقاد هذه الطريقة لمدة خمس سنوات، على الرغم من أن الشبكة كانت تستخدم من قبل أكثر من 40 بنكا. علاوة على ذلك، يبدو أن جميع خبراء التأمين والتدقيق والأمن في هذه البنوك قرأوا مواصفات النظام.
حتى لو تم استخدام خوارزمية "محترمة"، فقد يتم تنفيذها باستخدام معلمات غير مناسبة. على سبيل المثال، قامت بعض البنوك بتطبيق خوارزمية RSA بأطوال مفاتيح تتراوح من 100 إلى 400 بت، على الرغم من أن طول المفتاح يجب أن يكون 500 بت على الأقل لتوفير المستوى المطلوب من الأمان.
يمكنك أيضًا العثور على مفتاح باستخدام القوة الغاشمة، وتجربة جميع مفاتيح التشفير الممكنة حتى تجد المفتاح الذي يستخدمه بنك معين.
البروتوكولات المستخدمة في الشبكات الدولية لتشفير مفاتيح العمل باستخدام مفاتيح المنطقة تجعل من السهل مهاجمة مفتاح المنطقة بهذه الطريقة. إذا تم فتح مفتاح المنطقة مرة واحدة، فيمكن فك تشفير جميع رموز PlN المرسلة أو المستلمة من قبل البنك عبر الشبكة. وجدت دراسة حديثة أجراها خبراء البنك الكندي أن هجومًا من هذا النوع على DES سيكلف حوالي 30 ألف جنيه إسترليني لكل مفتاح منطقة. وبالتالي، فإن موارد الجريمة المنظمة كافية تمامًا لمثل هذه الجريمة، ويمكن تنفيذ مثل هذه الجريمة من قبل فرد ثري بما فيه الكفاية.
ربما، تم إنشاء أجهزة الكمبيوتر المتخصصة اللازمة للعثور على المفاتيح في أجهزة المخابرات في بعض البلدان، بما في ذلك البلدان التي تعيش الآن في حالة من الفوضى. وبالتالي، هناك خطر معين من أن يستخدمها أمناء هذه المعدات لتحقيق مكاسب شخصية.

جميع الأنظمة، الصغيرة والكبيرة، تحتوي على أخطاء برمجية وتتعرض للخطأ البشري. والأنظمة المصرفية ليست استثناءً، وهذا ما يدركه كل من عمل في الإنتاج الصناعي. تميل أنظمة تسوية الفروع إلى أن تصبح أكبر وأكثر تعقيدًا، مع العديد من الوحدات التفاعلية التي تطورت على مدار عقود. سيتم حتما تنفيذ بعض المعاملات بشكل غير صحيح: قد يتم تكرار الديون أو قد يتم تغيير الحساب بشكل غير صحيح.
وهذا الوضع ليس جديداً على المراقبين الماليين في الشركات الكبرى، الذين يحتفظون بفريق عمل خاص لتسوية الحسابات المصرفية. عندما يظهر خصم خاطئ، يطلب هؤلاء الموظفون الوثائق ذات الصلة للمراجعة، وإذا كانت الوثائق مفقودة، يتلقون استرداد الدفعة غير الصحيحة من البنك.
ومع ذلك، لا يتوفر لعملاء أجهزة الصراف الآلي هذا الخيار لسداد المدفوعات المتنازع عليها. ويقول معظم المصرفيين خارج الولايات المتحدة ببساطة إنه لا توجد أخطاء في أنظمتهم.
تؤدي مثل هذه السياسة إلى بعض المخاطر القانونية والإدارية. أولاً، يخلق إمكانية إساءة الاستخدام، حيث أن الاحتيال مخفي. ثانياً، يؤدي ذلك إلى أدلة معقدة للغاية بالنسبة للعميل، وهو ما كان سبباً في تبسيط الإجراءات في المحاكم الأمريكية. وثالثاً، هناك الخطر الأخلاقي المرتبط بتشجيع موظفي البنوك بشكل غير مباشر على السرقة استناداً إلى معرفتهم بأنه من غير المرجح أن يتم القبض عليهم. رابعا، هذا عيب أيديولوجي، لأنه بسبب عدم وجود تسجيل مركزي لمطالبات العملاء، لا توجد إمكانية للسيطرة المنظمة بشكل صحيح على حالات الاحتيال.
من الصعب تقدير التأثير على النشاط التجاري المرتبط بخسائر أجهزة الصراف الآلي بدقة. وفي المملكة المتحدة، صرح وزير الخزانة الاقتصادي (الوزير المسؤول عن تنظيم الأعمال المصرفية) في يونيو 1992 أن مثل هذه الأخطاء تؤثر على اثنين على الأقل من المعاملات من أصل ثلاثة ملايين معاملة تتم يوميًا. ومع ذلك، وفي ظل ضغوط التقاضي الأخيرة، تم تعديل هذا الرقم أولاً إلى 1 من كل 250000 معاملة خاطئة، ثم 1 من كل 100000، وأخيراً 1 من كل 34000 معاملة خاطئة.
وبما أن العملاء الذين يقدمون شكاوى عادة ما يتم رفضهم من قبل موظفي البنك، ولأن معظم الناس ببساطة غير قادرين على ملاحظة السحب لمرة واحدة من حساباتهم، فإن أفضل تخمين هو أن حوالي 1 من كل 10000 معاملة غير صحيحة تحدث. وبالتالي، إذا كان العميل العادي يستخدم خدمة أجهزة الصراف الآلي مرة واحدة في الأسبوع لمدة 50 عامًا، يمكننا أن نتوقع أن يواجه واحد من كل أربعة عملاء مشاكل في استخدام أجهزة الصراف الآلي في حياتهم.

إن مصممي نظام التشفير في وضع غير مؤات بسبب نقص المعلومات حول كيفية حدوث فشل النظام في الممارسة العملية بدلاً من كيفية حدوثه من الناحية النظرية. هذا العيب تعليقيؤدي إلى استخدام نموذج تهديد غير صحيح. يركز المصممون جهودهم على ما يمكن أن يؤدي إلى الفشل في النظام، بدلاً من التركيز على ما يسبب الأخطاء عادةً. العديد من المنتجات معقدة للغاية وصعبة لدرجة أنه نادرًا ما يتم استخدامها بشكل صحيح. والنتيجة هي حقيقة أن معظم الأخطاء ترتبط بتنفيذ النظام وصيانته. وكانت النتيجة المحددة لذلك هي موجة من عمليات الاحتيال في أجهزة الصراف الآلي، والتي لم تؤد إلى خسائر مالية فحسب، بل أدت أيضاً إلى إساءة تطبيق العدالة وانخفاض الثقة في النظام المصرفي.
أحد الأمثلة على تنفيذ أساليب التشفير هو نظام حماية معلومات التشفير باستخدام التوقيع الرقمي EXCELLENCE.
تم تصميم نظام التشفير لبرنامج EXCELLENCE لحماية المعلومات التي تتم معالجتها وتخزينها ونقلها بين أجهزة الكمبيوتر الشخصية المتوافقة مع IBM باستخدام وظائف التشفير والتوقيع الرقمي والمصادقة.
يطبق النظام خوارزميات التشفير التي تتوافق مع معايير الدولة: التشفير - GOST 28147-89. يعتمد التوقيع الرقمي على خوارزمية RSA.
تم بناء نظام المفتاح ذو المصادقة الصارمة وشهادة المفتاح على بروتوكول X.509 ومبدأ توزيع مفتاح RSA المفتوح، والذي يستخدم على نطاق واسع في الممارسة الدولية.
يحتوي النظام على وظائف تشفير لمعالجة المعلومات على مستوى الملف:

ووظائف التشفير للعمل مع المفاتيح:

كل مشترك في الشبكة لديه مفتاحه الخاص والعام. يتم تسجيل المفتاح السري لكل مستخدم على القرص المرن الخاص بالمفتاح الفردي أو البطاقة الإلكترونية الفردية. سرية مفتاح المشترك تضمن حماية المعلومات المشفرة له واستحالة تزوير توقيعه الرقمي.

يدعم النظام نوعين من وسائط المعلومات الرئيسية:

يمتلك كل مشترك في الشبكة دليل ملفات للمفاتيح العامة لجميع المشتركين في النظام، محميًا من التعديل غير المصرح به، بالإضافة إلى أسمائهم. يلتزم كل مشترك بالحفاظ على سر مفتاحه الخاص.
من الناحية الوظيفية، يتم تنفيذ نظام التميز في شكل وحدة برمجية excell_s.exe ويعمل على نظام التشغيل MS DOS 3.30 والإصدارات الأحدث. يتم تمرير معلمات تنفيذ الوظائف في النموذج سطر الأوامردوس. بالإضافة إلى ذلك، يتم توفير واجهة رسومية. يتعرف البرنامج تلقائيًا على عمليات 32 بت ويدعمها على معالج Intel386/486/Pentium.
للتضمين في الآخرين أنظمة البرمجياتتم تنفيذ متغير من نظام EXCELLENCE، الذي يحتوي على وظائف التشفير الأساسية للعمل مع البيانات الموجودة في ذاكرة الوصول العشوائي في الأوضاع التالية: الذاكرة - الذاكرة؛ ذاكرة - ملف؛ ملف - الذاكرة.

توقعات بداية القرن الحادي والعشرين

يجب أن تزيد حصة إدارة البنك التي ستتخذ تدابير فعالة لحل مشكلة أمن المعلومات إلى 40-80٪. ستكون المشكلة الرئيسية هي موظفي الخدمة (بما في ذلك السابقين) (من 40٪ إلى 95٪ من الحالات)، وستكون الأنواع الرئيسية من التهديدات هي الوصول غير المصرح به (UNA) والفيروسات (ستتعرض ما يصل إلى 100٪ من البنوك لهجمات الفيروسات) ).
أهم التدابير لضمان أمن المعلومات ستكون أعلى مستويات الاحترافية لخدمات أمن المعلومات. لهذا سيتعين على البنوك إنفاق ما يصل إلى 30٪ من أرباحها على أمن المعلومات.
على الرغم من جميع التدابير المذكورة أعلاه، فإن الحل المطلق لمشكلة أمن المعلومات أمر مستحيل. وفي الوقت نفسه، فإن فعالية نظام أمن المعلومات الخاص بالبنك تتحدد بالكامل من خلال حجم الأموال المستثمرة فيه والكفاءة المهنية لخدمة أمن المعلومات، كما أن إمكانية انتهاك نظام أمن المعلومات الخاص بالبنك تتحدد بالكامل من خلال تكلفة التغلب على النظام الأمني ​​ومؤهلات المحتالين. (في الممارسة الأجنبية، يُعتقد أنه من المنطقي "اختراق" نظام أمني إذا كانت تكلفة التغلب عليه لا تتجاوز 25٪ من قيمة المعلومات المحمية).

وتناول الفصل الرابع ملامح منهج حماية الأنظمة المصرفية الإلكترونية. ومن السمات المحددة لهذه الأنظمة شكل خاص من تبادل البيانات الإلكترونية - المدفوعات الإلكترونية، والتي بدونها لا يمكن لأي بنك حديث أن يوجد.

تبادل البيانات الإلكترونية (EDE) هو تبادل المستندات الإلكترونية التجارية والمالية من كمبيوتر إلى كمبيوتر. على سبيل المثال، الطلبات وتعليمات الدفع ومقترحات العقود والفواتير والإيصالات وما إلى ذلك.

يضمن التخلص من الذخائر المتفجرة التفاعل الفوري بين الشركاء التجاريين (العملاء والموردين والبائعين وما إلى ذلك) في جميع مراحل إعداد المعاملة التجارية وإبرام العقد وتنفيذ التسليم. في مرحلة دفع العقد وتحويل الأموال، يمكن أن يؤدي التبادل الإلكتروني للبيانات إلى التبادل الإلكتروني للمستندات المالية. وهذا يخلق بيئة فعالة لمعاملات التجارة والدفع:

* من الممكن تعريف الشركاء التجاريين بعروض السلع والخدمات، واختيار المنتج/الخدمة المطلوبة، وتوضيح الشروط التجارية (التكلفة ووقت التسليم، والخصومات التجارية، والتزامات الضمان والخدمة) في الوقت الفعلي؛

* طلب السلع/الخدمات أو طلب عرض العقد في الوقت الحقيقي؛

* المراقبة التشغيلية لتسليم البضائع واستلام المستندات المصاحبة (الفواتير، الفواتير، قوائم المكونات، إلخ) عن طريق البريد الإلكتروني؛

* تأكيد الانتهاء من تسليم السلع / الخدمات وإصدار ودفع الفواتير.

* تنفيذ معاملات الائتمان والدفع البنكية. تشمل مزايا OED ما يلي:

* تخفيض تكلفة العمليات بالتحول إلى التكنولوجيا اللاورقية. يقدر الخبراء تكلفة معالجة وصيانة الوثائق الورقية بنسبة 3-8٪ من إجمالي تكلفة المعاملات التجارية وتسليم البضائع. وتقدر الفائدة من استخدام EED، على سبيل المثال، في صناعة السيارات الأمريكية بأكثر من 200 دولار لكل سيارة مصنعة؛

* زيادة سرعة التسوية ودوران الأموال.

* زيادة سهولة العمليات الحسابية.

هناك استراتيجيتان أساسيتان لتطوير المؤسسة الأوروبية من أجل الديمقراطية:

1. يتم استخدام التخلص من الذخائر المتفجرة كميزة تنافسية، مما يسمح بالتفاعل الوثيق مع الشركاء. لقد تم تبني هذه الإستراتيجية من قبل المنظمات الكبيرة وتسمى النهج المؤسسي الموسع.

2. يستخدم التبادل الإلكتروني للبيانات في بعض المشاريع الصناعية المحددة أو في مبادرات جمعيات المنظمات التجارية وغيرها لزيادة كفاءة تفاعلها.

لقد أدركت البنوك في الولايات المتحدة وأوروبا الغربية بالفعل دورها الرئيسي في انتشار التبادل الإلكتروني للبيانات والفوائد الكبيرة التي تأتي من التفاعل الوثيق مع الشركاء التجاريين والشخصيين. يساعد OED البنوك على تقديم الخدمات للعملاء، وخاصة الصغار منهم، الذين لم يكن بمقدورهم في السابق تحمل تكاليف استخدامها بسبب تكلفتها العالية.

تتمثل العقبة الرئيسية أمام نشر التبادل الإلكتروني للبيانات على نطاق واسع في تنوع عروض المستندات عند تبادلها عبر قنوات الاتصال. للتغلب على هذه العقبة، قامت العديد من المنظمات بتطوير معايير لتقديم المستندات في أنظمة EED لمختلف الصناعات:

QDTI - التبادل التجاري العام (أوروبا، التجارة الدولية)؛

MDSND - الرابطة الوطنية لغرف المقاصة الآلية (الولايات المتحدة الأمريكية، الرابطة الوطنية لغرف المقاصة الآلية)؛

TDCC - لجنة تنسيق بيانات النقل؛

VICS - معيار الاتصالات الطوعية بين الصناعات (الولايات المتحدة الأمريكية، معيار الاتصالات الطوعية بين الصناعات)؛

WINS - معايير شبكة معلومات المستودعات شبكة المعلوماتمستودعات السلع).

في أكتوبر 1993، نشرت المجموعة الدولية UN/ECE النسخة الأولى من معيار EDIFACT. تم إضفاء الطابع الرسمي على المجموعة المطورة من قواعد بناء الجملة وعناصر البيانات التجارية في شكل معيارين من معايير ISO:

ISO 7372 - دليل عناصر بيانات التجارة؛

ISO 9735 - EDIFACT - قواعد بناء الجملة على مستوى التطبيق.

إحدى الحالات الخاصة للتخلص من الذخائر المتفجرة هي المدفوعات الإلكترونية - تبادل المستندات المالية بين العملاء والبنوك، وبين البنوك والمؤسسات المالية والتجارية الأخرى.

إن جوهر مفهوم المدفوعات الإلكترونية هو أن الرسائل المرسلة عبر خطوط الاتصال، والتي يتم تنفيذها ونقلها بشكل صحيح، هي الأساس لأداء عملية مصرفية واحدة أو أكثر. من حيث المبدأ، لا يلزم وجود مستندات ورقية لتنفيذ هذه العمليات (على الرغم من إمكانية إصدارها). بمعنى آخر، تحمل الرسالة المرسلة عبر خطوط الاتصال معلومات مفادها أن المرسل قد أجرى بعض العمليات على حسابه، وخاصة على الحساب المراسل للبنك المتلقي (الذي يمكن أن يكون مركز مقاصة)، وأنه يجب على المتلقي إجراء العملية. العمليات المحددة في الرسالة بناءً على هذه الرسالة، يمكنك إرسال أو استقبال الأموال، وفتح قرض، ودفع ثمن عملية شراء أو خدمة، وتنفيذ أي شيء آخر المعاملة المصرفية. وتسمى مثل هذه الرسائل بالنقود الإلكترونية، ويسمى تنفيذ العمليات المصرفية القائمة على إرسال أو استقبال مثل هذه الرسائل بالمدفوعات الإلكترونية. وبطبيعة الحال، تتطلب عملية إجراء المدفوعات الإلكترونية برمتها حماية موثوقة. وإلا فإن البنك وعملائه سيواجهون مشاكل خطيرة.

تُستخدم المدفوعات الإلكترونية للمدفوعات بين البنوك والمدفوعات التجارية والشخصية.

يتم إجراء التسويات بين البنوك والتسويات التجارية بين المنظمات (الكيانات القانونية)، ولهذا السبب يطلق عليها أحيانًا اسم الشركات. تسمى التسويات التي تشمل العملاء الأفراد شخصية.

ترتبط معظم السرقات الكبرى في الأنظمة المصرفية بشكل مباشر أو غير مباشر بأنظمة الدفع الإلكترونية.

هناك العديد من العوائق أمام إنشاء أنظمة الدفع الإلكتروني، وخاصة العالمية منها، والتي تغطي عدداً كبيراً من المؤسسات المالية وعملائها في مختلف البلدان. أهمها هي:

1. عدم وجود معايير موحدة للعمليات والخدمات، مما يعقد بشكل كبير إنشاء أنظمة مصرفية موحدة. يسعى كل بنك كبير إلى إنشاء شبكة خاصة به للتخلص من الذخائر المتفجرة، مما يزيد من تكاليف تشغيلها وصيانتها. الأنظمة المكررة تجعل من الصعب استخدامها، مما يؤدي إلى حدوث تداخل متبادل والحد من قدرات العملاء.

2. زيادة حركة عرض النقود، مما يؤدي إلى زيادة إمكانية المضاربة المالية، يوسع تدفقات "رأس المال المتجول". هذه الأموال يمكن أن تغير الوضع في السوق وزعزعة استقراره في وقت قصير.

3. فشل وفشل الأدوات الفنية والأخطاء البرمجية عند إجراء التسويات المالية، مما قد يؤدي إلى تعقيدات خطيرة لإجراء المزيد من التسويات وفقدان الثقة في البنك من قبل العملاء، خاصة بسبب التشابك الوثيق للروابط المصرفية (نوع من التسويات) "انتشار الخطأ"). وفي الوقت نفسه، يتزايد بشكل كبير دور ومسؤولية مشغلي النظام والإدارة، الذين يديرون معالجة المعلومات بشكل مباشر.

ويجب على أي مؤسسة تريد أن تصبح عميلاً لأي نظام دفع إلكتروني، أو أن تنظم نظامًا خاصًا بها، أن تدرك ذلك.

لكي يعمل نظام الدفع الإلكتروني بشكل موثوق، يجب أن يكون محميًا بشكل جيد.

يتم إجراء التسويات التجارية بين المنظمات التجارية المختلفة. تشارك البنوك في هذه التسويات كوسطاء عند تحويل الأموال من حساب المنظمة الدافعة إلى حساب المنظمة المتلقية.

تعد التسوية التجارية أمرًا في غاية الأهمية للنجاح الشامل لبرنامج المدفوعات الإلكترونية. عادة ما يشكل حجم المعاملات المالية للشركات المختلفة جزءًا كبيرًا من إجمالي حجم المعاملات المصرفية.

تختلف أنواع التسويات التجارية اختلافًا كبيرًا باختلاف المنظمات، ولكن عند تنفيذها، تتم دائمًا معالجة نوعين من المعلومات: رسائل الدفع والمعلومات المساعدة (الإحصائيات، التقارير، الإخطارات). بالنسبة للمؤسسات المالية، فإن الاهتمام الأكبر هو بالطبع المعلومات الواردة من رسائل الدفع - أرقام الحسابات والمبالغ والرصيد وما إلى ذلك. بالنسبة للمنظمات التجارية، كلا النوعين من المعلومات لهما نفس القدر من الأهمية - الأول يوفر فكرة عن الحالة المالية، والثاني يساعد في صنع القرار وتطوير السياسات.

الأنواع الأكثر شيوعًا للتسويات التجارية هي:

* إيداع مباشر.

معنى هذا النوع من التسوية هو أن المنظمة تطلب من البنك إجراء أنواع معينة من المدفوعات لموظفيها أو عملائها تلقائيًا، وذلك باستخدام الوسائط المغناطيسية المعدة مسبقًا أو الرسائل الخاصة. يتم الاتفاق مسبقًا على شروط إجراء هذه الدفعات (مصدر التمويل، المبلغ، وما إلى ذلك). يتم استخدامها بشكل أساسي للمدفوعات المنتظمة (مدفوعات أنواع مختلفة من التأمين، وسداد القروض، والرواتب، وما إلى ذلك). ومن الناحية المؤسسية، يعد الإيداع المباشر أكثر ملاءمة من الدفع باستخدام الشيكات، على سبيل المثال.

منذ عام 1989، تضاعف عدد الموظفين الذين يستخدمون الإيداع المباشر إلى 25% من الإجمالي. يتلقى أكثر من 7 ملايين أمريكي اليوم رواتبهم من خلال الإيداع المباشر. بالنسبة للبنوك، يوفر الإيداع المباشر المزايا التالية:

تقليل حجم المهام المرتبطة بمعالجة المستندات الورقية، ونتيجة لذلك، توفير مبالغ كبيرة؛

زيادة عدد الودائع، حيث يجب إيداع 100% من حجم المدفوعات.

بالإضافة إلى البنوك، يستفيد كل من المالكين والعاملين؛ يتم زيادة الراحة وتقليل التكاليف.

* الحسابات باستخدام OED.

البيانات هنا هي الفواتير، والفواتير، وأوراق المكونات، وما إلى ذلك.

لتنفيذ التبادل الإلكتروني للبيانات، يلزم توفر المجموعة التالية من الخدمات الأساسية:

البريد الإلكتروني وفقًا لمعيار X.400؛

نقل الملف؛

التواصل من نقطة إلى نقطة؛

الوصول عبر الإنترنت إلى قواعد البيانات؛

صندوق بريد؛

التحول في معايير عرض المعلومات.

تتضمن أمثلة أنظمة التسوية التجارية الحالية التي تستخدم التبادل الإلكتروني للبيانات ما يلي:

يرتبط البنك الوطني ورويال بنك (كندا) بعملائهم وشركائهم باستخدام شبكة معلومات IBM؛

تأسست خدمة الدفع الآلي العابرة للقارات (TAPS) من بنك اسكتلندا في عام 1986، وهي تربط بنك اسكتلندا مع العملاء والشركاء في 15 دولة من خلال البنوك المراسلة وغرف المقاصة الآلية.

تنقسم التسويات الإلكترونية بين البنوك بشكل رئيسي إلى نوعين:

* مقاصة التسويات باستخدام النظام الحاسوبي القوي للبنك الوسيط (بنك المقاصة) وحسابات المراسلة للبنوك المشاركة في التسويات في هذا البنك. يعتمد النظام على تعويض المطالبات والالتزامات النقدية المتبادلة للكيانات القانونية مع التحويل اللاحق للرصيد. تُستخدم المقاصة أيضًا على نطاق واسع في بورصات الأوراق المالية والسلع، حيث تتم تسوية المطالبات المتبادلة للمشاركين في المعاملة من خلال غرفة مقاصة أو نظام مقاصة إلكتروني خاص.

تتم تسويات المقاصة بين البنوك من خلال غرف مقاصة خاصة، البنوك التجارية، بين فروع وفروع بنك واحد - من خلال المكتب الرئيسي. في عدد من البلدان، يتم تنفيذ وظائف غرف المقاصة من قبل البنوك المركزية. توفر غرف المقاصة الآلية (ACHs) خدمات لتبادل الأموال بين المؤسسات المالية. تقتصر معاملات الدفع بشكل أساسي على الديون أو الاعتمادات. أعضاء نظام حزب العدالة والتنمية هم مؤسسات مالية أعضاء في جمعية حزب العدالة والتنمية. تم تشكيل الجمعية بهدف وضع القواعد والإجراءات والمعايير الخاصة بتنفيذ عمليات الدفع الإلكتروني داخل منطقة جغرافية ما. تجدر الإشارة إلى أن ACP ليس أكثر من آلية لنقل الأموال والمعلومات المصاحبة. إنهم لا يؤدون خدمات الدفع بأنفسهم. تم إنشاء ACPs لاستكمال أنظمة معالجة المستندات المالية الورقية. ظهر أول ناقل حركة أوتوماتيكي في كاليفورنيا عام 1972، ويوجد حاليًا 48 ناقل حركة أوتوماتيكي يعمل في الولايات المتحدة. في عام 1978، تم إنشاء الرابطة الوطنية لغرفة المقاصة الآلية (NACHA)، لتوحيد جميع شبكات ACH البالغ عددها 48 شبكة على أساس تعاوني.

حجم وطبيعة العمليات تتوسع باستمرار. بدأت ACPs في إجراء التسويات التجارية ومعاملات تبادل البيانات الإلكترونية. بعد ثلاث سنوات من الجهود التي بذلتها مختلف البنوك والشركات، تم إنشاء نظام CTP (الدفع التجاري للشركات) لمعالجة الائتمانات والخصومات تلقائيًا. ووفقا للخبراء، فإن الاتجاه نحو توسيع وظائف ناقل الحركة الأوتوماتيكي سيستمر في المستقبل القريب.

* التسويات المباشرة، حيث يتواصل مصرفان بشكل مباشر مع بعضهما البعض باستخدام حسابات لورو نوسترو، ربما بمشاركة طرف ثالث يلعب دورًا تنظيميًا أو داعمًا. وبطبيعة الحال، يجب أن يكون حجم المعاملات المتبادلة كبيرا بما يكفي لتبرير تكاليف تنظيم نظام التسوية هذا. عادة، يوحد مثل هذا النظام عدة بنوك، ويمكن لكل زوج التواصل مباشرة مع بعضهما البعض، متجاوزًا الوسطاء. ومع ذلك، في هذه الحالة، هناك حاجة إلى مركز مراقبة يتعامل مع حماية البنوك المتفاعلة (توزيع المفاتيح، الإدارة، مراقبة الأداء وتسجيل الأحداث).

يوجد عدد كبير جدًا من هذه الأنظمة في العالم - بدءًا من الأنظمة الصغيرة التي تربط بين العديد من البنوك أو الفروع وحتى الأنظمة الدولية العملاقة التي تربط آلاف المشاركين. النظام الأكثر شهرة في هذه الفئة هو SWIFT.

في الآونة الأخيرة، ظهر نوع ثالث من المدفوعات الإلكترونية - اقتطاع الشيك الإلكتروني، وجوهره هو إيقاف مسار إرسال الشيك الورقي إلى المؤسسة المالية حيث تم تقديمه. إذا لزم الأمر، فإن نظيره الإلكتروني "يسافر" أبعد في شكل رسالة خاصة. يتم تحويل وسداد الشيك الإلكتروني باستخدام ACH.

في عام 1990، أعلنت NACHA عن المرحلة الأولى من اختبار البرنامج التجريبي الوطني "اقتطاع الشيك الإلكتروني". هدفها هو تقليل تكلفة معالجة كميات هائلة من الشيكات الورقية.

يتضمن إرسال الأموال باستخدام نظام الدفع الإلكتروني الخطوات التالية (اعتمادًا على الشروط المحددة والنظام نفسه، قد يختلف الطلب):

1. يتم تخفيض حساب معين في نظام البنك الأول بالمبلغ المطلوب.

2. حساب المراسلة للبنك الثاني في الأول يزيد بنفس المبلغ.

3. يتم إرسال رسالة من البنك الأول إلى البنك الثاني تحتوي على معلومات حول الإجراءات التي يتم تنفيذها (معرفات الحساب، المبلغ، التاريخ، الشروط، إلخ)؛ في هذه الحالة، يجب حماية الرسالة المرسلة بشكل مناسب من التزوير: مشفرة، ومزودة بتوقيع رقمي وحقول تحكم، وما إلى ذلك.

4. يتم خصم المبلغ المطلوب من حساب مراسل البنك الأول في الثاني.

5. يتم زيادة حساب معين في البنك الثاني بالمبلغ المطلوب.

6. يرسل البنك الثاني إشعارًا إلى الأول بشأن تعديلات الحساب التي تم إجراؤها؛ ويجب أيضًا حماية هذه الرسالة من التلاعب بطريقة مشابهة لحماية رسالة الدفع.

7. يتم تسجيل بروتوكول التبادل لكلا المشتركين وربما لطرف ثالث (في مركز التحكم في الشبكة) لمنع التعارضات.

قد يكون هناك وسطاء على طول طريق نقل الرسائل - مراكز المقاصة، البنوك الوسيطة في نقل المعلومات، الخ. الصعوبة الرئيسية لهذه الحسابات هي الثقة في شريكهم، أي أن كل مشترك يجب أن يكون متأكدا من أن مراسله سيقوم بجميع الإجراءات اللازمة.

لتوسيع استخدام المدفوعات الإلكترونية، يتم تنفيذ توحيد العرض الإلكتروني للمستندات المالية. بدأت في السبعينيات ضمن منظمتين:

1) نشر ANSI (المعهد الوطني الأمريكي للمعايير) ANSI X9.2-1080، (مواصفات رسائل التبادل لتبادل رسائل بطاقات الخصم والائتمان بين المؤسسات المالية). في عام 1988، تم اعتماد معيار مماثل من قبل ISO وأطلق عليه ISO 8583 (مواصفات رسائل تبادل الرسائل الصادرة عن البطاقة المصرفية - محتوى المعاملات المالية)؛

2) طورت SWIFT (جمعية الاتصالات المالية العالمية بين البنوك) سلسلة من المعايير للرسائل بين البنوك.

وفقًا لمعيار ISO 8583، يحتوي المستند المالي على عدد من عناصر البيانات (التفاصيل) الموجودة في حقول معينة من رسالة أو مستند إلكتروني (بطاقة ائتمان إلكترونية، أو رسالة بتنسيق X.400 أو مستند في بناء جملة EDIFACT). يتم تعيين رقم فريد لكل عنصر بيانات (ED). يمكن أن يكون عنصر البيانات إلزاميًا (أي مضمنًا في كل رسالة من هذا النوع) أو اختياريًا (قد يكون غائبًا في بعض الرسائل).

يحدد مقياس البت تكوين الرسالة (تلك العناصر الإلكترونية الموجودة فيها). إذا تم ضبط رقم معين من مقياس البت على واحد، فهذا يعني أن ED المقابل موجود في الرسالة. بفضل طريقة تشفير الرسائل هذه، يتم تقليل الطول الإجمالي للرسالة، ويتم تحقيق المرونة في عرض الرسائل مع العديد من EDs، ويتم توفير القدرة على تضمين EDs وأنواع رسائل جديدة في مستند إلكتروني ذي بنية قياسية.

هناك عدة طرق للمدفوعات الإلكترونية بين البنوك. لنفكر في اثنين منهم: الدفع عن طريق الشيك (الدفع بعد الخدمة) والدفع عن طريق خطاب اعتماد (الدفع مقابل الخدمة المتوقعة). الطرق الأخرى، مثل الدفع عن طريق طلبات الدفع أو أوامر الدفع، لها تنظيم مماثل.

يعتمد الدفع عن طريق الشيك على ورقة أو مستند آخر يحتوي على هوية الدافع. تعتبر هذه الوثيقة أساس تحويل المبلغ المحدد في الشيك من حساب المالك إلى حساب حامله. يتضمن الدفع عن طريق الشيك الخطوات التالية:

استلام الشيك

تقديم الشيك إلى البنك؛

طلب تحويل من حساب صاحب الشيك إلى حساب الساحب.

تحويل المال؛

إشعار الدفع.

تتمثل العيوب الرئيسية لهذه المدفوعات في الحاجة إلى مستند مساعد (شيك)، والذي يمكن تزويره بسهولة، فضلاً عن الوقت الكبير اللازم لإتمام الدفع (يصل إلى عدة أيام).

لذلك، أصبح هذا النوع من الدفع كالدفع عن طريق خطابات الاعتماد أكثر شيوعًا مؤخرًا. ويتضمن الخطوات التالية:

إخطار البنك من قبل العميل بشأن تقديم القرض؛

إخطار البنك المتلقي بشأن توفير القرض وتحويل الأموال؛

إشعار المتلقي باستلام القرض.

يتيح لك هذا النظام إجراء الدفعات في وقت قصير جدًا. يمكن إرسال إشعار القرض عن طريق البريد (الإلكتروني)، والأقراص المرنة، والأشرطة المغناطيسية.

كل نوع من أنواع المدفوعات التي تمت مناقشتها أعلاه له مزاياه وعيوبه. تعتبر الشيكات أكثر ملاءمة لدفع مبالغ صغيرة، وكذلك للمدفوعات غير المنتظمة. في هذه الحالات، لا يكون التأخير في السداد كبيرًا جدًا، ويكون استخدام الائتمان غير مناسب. تُستخدم عادةً المدفوعات باستخدام خطابات الاعتماد للمدفوعات المنتظمة وللمبالغ الكبيرة. في هذه الحالات، يتيح لك غياب تأخير المقاصة توفير الكثير من الوقت والمال عن طريق تقليل فترة دوران الأموال. العيب الشائع لهاتين الطريقتين هو الحاجة إلى إنفاق الأموال على تنظيم نظام دفع إلكتروني موثوق.