Rəqəmsal pulların elektron ödəniş sisteminin qorunması üsulları. Elektron pulları qorumağın əsas yolları? Elektron ödəniş sistemləri üçün təhlükəsizlik tədbirləri
Elektron ödəniş sistemləri elektron valyuta ilə işləməyin ən populyar növlərindən biridir. Hər il onlar valyuta ilə işləmək üçün bazarın kifayət qədər böyük bir hissəsini tutaraq getdikcə daha fəal inkişaf edirlər. Onların təhlükəsizliyini təmin edən texnologiyalar da onlarla bərabər inkişaf edir. Çünki bu gün heç bir elektron ödəniş sistemi yaxşı texnologiyalar və təhlükəsizlik sistemləri olmadan mövcud ola bilməz ki, bu da öz növbəsində pul əməliyyatlarının təhlükəsiz əməliyyatını təmin edir. Bir çox elektron ödəniş sistemləri, eləcə də təhlükəsizlik texnologiyaları var. Onların hər birinin fərqli iş prinsipləri və texnologiyaları, həmçinin öz üstünlükləri və mənfi cəhətləri var. Bundan əlavə, bir sıra nəzəri və praktiki məsələlər öz həllini tapmamış qalır ki, bu da tədqiqat mövzusunun aktuallığını müəyyən edir.
Hər bir elektron ödəniş sistemi təhlükəsiz əməliyyatlar və məlumatların ötürülməsi üçün öz metodlarından, şifrələmə alqoritmlərindən və məlumat ötürmə protokollarından istifadə edir. Bəzi sistemlər RSA şifrələmə alqoritmi və HTTPs ötürmə protokolundan istifadə edir, digərləri isə şifrələnmiş məlumatları ötürmək üçün DES alqoritmi və SSL protokolundan istifadə edir. Bu məqalənin yazılmasının ideyası bir sıra məşhur ödəniş sistemlərini, yəni onlarda istifadə olunan təhlükəsizlik texnologiyalarını öyrənmək və təhlil etmək və hansının ən qabaqcıl olduğunu öyrənməkdir.
Məqalənin yazılması zamanı ödəniş sistemləri ilə bağlı araşdırmalar aparılıb və mövcud ödəniş sistemlərinin təhlükəsizliyinin təhlili aparılıb. Eyni meyarlar üzrə dörd ödəniş sistemi (Webmoney, Yandex.Money, RauPa1 və E-Port) təhlil edilib. Sistemlər daxili parametrləri özündə birləşdirən çoxsəviyyəli sistemdən istifadə etməklə qiymətləndirilib. Təbii ki, bütün bu meyarlar əraziyə aiddir informasiya təhlükəsizliyi. İki əsas meyar var: ödənişlərin informasiya təhlükəsizliyinə texniki dəstək və təşkilati-hüquqi dəstək. Bu iki parametrin hər biri üç ballıq sistemdən istifadə etməklə qiymətləndirilmişdir. Ölkəmizdə elektron ödəniş sistemlərinin hazırkı inkişafı elə bir səviyyədə olduğundan reytinq şkalası məhz belədir ki, onların əksər parametrlərini yalnız “bəli və ya yox” sözləri ilə təsvir etmək olar. Müvafiq olaraq, əgər elektron ödəniş sistemi hər hansı parametrə ən yaxşı uyğun gəlirsə, o, ən yüksək balı (3), heç cavab vermədikdə isə minimum balı (0) alır. Sistemdə bu meyar açıq formada yoxdursa, lakin çatışmayan biri ilə əlaqəli hər hansı xidmət və ya imkanlar varsa, biz aralıq bal veririk - bir və ya iki.
Elektron ödəniş sistemlərini qiymətləndirərkən, fərqli şərtlərdə eyni parametrin dəyərinin eyni olmadığını xatırlamaq lazımdır. Məsələn, qorunma səviyyəsini əhəmiyyətli dərəcədə artıran bir neçə xidmət yalnız istifadəçi tərəfindən könüllü olaraq həyata keçirilə bilər, əlavə olaraq, bu xidmətlərin sistemdə olması dəyərlidir. İnsan faktoru ləğv edilməyib və heç vaxt ləğv olunmayacaq, ona görə də xidmətin həyata keçirilə və ya həyata keçirilə bilməyəcəyi nəzərə alınır.
Əməliyyat təhlükəsizliyi üçün texniki dəstək
Bu, meyarlardan birincisidir - adından da aydın olduğu kimi, informasiyanın mühafizəsinin texniki tərəfini təmin edən parametrlər toplusu. Bu parametrdən əvvəl aşağıdakılar daxildir: şifrələmənin kriptoqrafik üsulları, autentifikasiya və xüsusi istifadə edərək giriş aparat(ən primitiv halda - USB açarlarından istifadə etməklə).
Heç kimə sirr deyil ki, texniki baxımdan informasiyanın mühafizəsinin əsas meyarı, əlbəttə ki, məlumatların şifrələnməsi, daha dəqiq desək, onların həyata keçirildiyi kriptoqrafik alqoritmlərdir. O da məlumdur ki, açar nə qədər uzun olarsa, onun şifrəsini açmaq və müvafiq olaraq məxfi məlumatlara çıxış əldə etmək bir o qədər çətindir. Test edilmiş sistemlərdən üçü tanınmış və geniş hörmətə malik RSA alqoritmindən istifadə edir: Webmoney, Yandex.Money, PayPal. E-Port SSL protokolunun 3.0 versiyası vasitəsilə şifrələmədən istifadə edir.Əslində şifrələmə unikal olan SSL açarlarından istifadə etməklə həyata keçirilir, onlar sessiya zamanı yaradılır və sessiya açarı adlanır. E-Port sistemində SSL açarının uzunluğu 40 ilə 128 bit arasında dəyişir ki, bu da məqbul səviyyədə əməliyyat təhlükəsizliyi üçün kifayətdir.
Əməliyyatların informasiya təhlükəsizliyinin texniki dəstəyində növbəti parametr autentifikasiyadır, yəni. istifadəçinin şəxsi məlumatlarına daxil olmaq üçün lazım olan həllər toplusu. Burada hər şey sadədir. Webmoney və Yandex.Money sistemləri giriş üçün iki meyardan istifadə edir, PayPal və E-Port isə yalnız bir meyardan istifadə edir. Webmoney-də sistemə daxil olmaq və ödənişlər etmək üçün parol və xüsusi açarı daxil etməlisiniz.Yandex.Money eyni şəkildə işləyir: parol və xüsusi pul kisəsi proqramı tələb olunur. Bütün digər sistemlərdə giriş parolla təmin edilir. Bununla belə, E-Port sistemində SSL protokolundan istifadə etməklə işləmək üçün potensial müştərinin (və sistemin hər hansı digər iştirakçısının) veb serverinin səlahiyyətli şirkətlərdən birindən alınmış xüsusi rəqəmsal sertifikatı olmalıdır. Bu sertifikat müştərinin veb serverinin autentifikasiyası üçün istifadə olunur. E-Portda istifadə olunan sertifikat təhlükəsizliyi mexanizmi RSA Security tərəfindən sertifikatlaşdırılıb. Bu araşdırmada üçüncü və son meyar USB açarları kimi xüsusi aparatlardan istifadə etməklə sistemə daxil olmaqdır.
Kriptoqrafik şifrələmə üsulları
Webmoney və Yandex.Money 1024 bit uzunluğunda açardan istifadə edir (çox yüksək göstəricidir, sadə kobud güc metodundan istifadə edərək belə açarı sındırmaq demək olar ki, mümkün deyil), PayPal isə açarın yarısı qədər uzunluqda - 512 bit istifadə edir. , ilk iki sistem üçün bu meyardan istifadə edərək maksimum bal əldə edirik – 3. PayPal, daha qısa şifrələmə açarından istifadə etdiyi üçün iki xal alır. E-Port-u bu parametrlə qiymətləndirmək qalır.SSL protokolundan istifadə etməsinə və hətta 128 bitə qədər açar uzunluğuna baxmayaraq, E-Port müəyyən potensial zəifliyə malikdir: brauzerlərin bir çox köhnə versiyaları daha qısa uzunluqlu açarlarla şifrələməni dəstəkləyir. , buna görə də alınan məlumatların sındırılması ehtimalı var; müvafiq olaraq, brauzerdən müştəri kimi istifadə edənlər üçün ödəniş sistemi, onunla işləmək lazımdır son versiya(əlbəttə ki, bu həmişə əlverişli və ya mümkün deyil). Bununla belə, “şifrələmə” sütununda E-Port-a 1,7 xal verilə bilər: sistem e-poçt mesajlarının şifrələnməsi üçün mütərəqqi PGP protokolunun istifadəsi sayəsində bu reytinqi qazandı.
İdentifikasiyası
Webmoney və Yandex.Money sistemləri giriş üçün iki meyardan istifadə edir, PayPal və E-Port isə yalnız bir meyardan istifadə edir. Webmoney-də sistemə daxil olmaq və ödəniş etmək üçün parol və xüsusi açar daxil etməlisiniz. Yandex.Money eyni şəkildə işləyir: parol və xüsusi pul kisəsi proqramı tələb olunur.Bütün digər sistemlərdə giriş parolla təmin edilir. Bununla belə, E-Port sistemində SSL protokolundan istifadə etməklə işləmək üçün potensial müştərinin veb serverindən istifadə edilir.
Webmoney və Yandex.Money-ə görə, onlar burada üç xal, PayPal - 0 bal, E-Port - bir xal alırlar.
Burada əvvəlki parametrlərlə müqayisədə daha asandır. Bütün sistemlərdən yalnız Webmoney PayPal-da belə bir əlavə seçim var, ikincisi belə bir fürsət vermir. Beləliklə, çəki əmsalı nəzərə alınmaqla, Webmoney və PayPal bu parametrə görə 1,5 bal, digərlərinin hamısı sıfır aldı.
İki meyarı qiymətləndirdikdən sonra ümumiləşdirə bilərik. Nəzərə alınan parametrlərin cəminə əsasən Webmoney təhlükəsiz olduğu ortaya çıxdı. Həqiqətən, əgər istifadəçi təqdim etdiyi bütün təhlükəsizlik xidmətlərindən istifadə edərsə, o, fırıldaqçılar qarşısında faktiki olaraq toxunulmaz qala bilər. İkinci yeri Yandex.Money sistemi, üçüncü yeri PayPal (bu sistem ödənişlərin əhəmiyyətli hüquqi şəffaflığına görə hüquqi şəxslər üçün idealdır), sonuncu yerə isə E-Port sistemi layiq görülüb.
Bundan əlavə, ödəniş sistemlərinin təhlilini yekunlaşdıraraq deyə bilərik ki, elektron ödəniş sisteminin seçimi ən vaciblərdən biri olsa belə, bir təhlükəsizlik parametrinə görə həyata keçirilmir. Elektron ödəniş sistemləri həm də xidmətlərin mövcudluğu, istifadənin rahatlığı ilə fərqlənir - bir çox başqa amillər var.
nəticələr
Elektron ödənişlər telekommunikasiyanın inkişafının təbii mərhələsidir.Tələb tam hüquqlu məhsulun - rəqəmsal məhsulun mövcud olduğu nişlərdə yüksəkdir, onun xassələri onlayn ödəniş xüsusiyyətləri ilə yaxşı “örtülür”: ani ödəniş, ani çatdırılma , sadəlik və markasızlıq.
İnternet ödəniş sistemiİnternet vasitəsilə mal və xidmətlərin alqı-satqısı prosesində maliyyə, biznes təşkilatları və internet istifadəçiləri arasında ödənişlərin aparılması sistemidir. Sifariş emalı xidmətini və ya elektron vitrinini bütün standart atributlara malik tam hüquqlu mağazaya çevirməyə imkan verən ödəniş sistemidir: satıcının saytında məhsul və ya xidməti seçməklə alıcı mağazadan çıxmadan ödəniş edə bilər. kompüter.
Elektron ticarət sistemində ödənişlər bir sıra şərtlərə uyğun olaraq həyata keçirilir:
1. Məxfiliyin qorunması. İnternet vasitəsilə ödənişlər edərkən, alıcı onun məlumatlarının (məsələn, kredit kartı nömrəsi) yalnız qanuni hüququ olan təşkilatlara məlum olmasını istəyir.
2. İnformasiyanın bütövlüyünün saxlanılması. Satınalma məlumatları heç kim tərəfindən dəyişdirilə bilməz.
3. Doğrulama. Alıcılar və satıcılar əmin olmalıdırlar ki, əməliyyatda iştirak edən bütün tərəflər onların dedikləri şəxsdir.
4. Ödəniş vasitələri. Alıcının ixtiyarında olan istənilən ödəniş vasitəsi ilə ödəniş imkanı.
6. Satıcının risk zəmanətləri. İnternetdə ticarət edərkən satıcı məhsuldan imtina və alıcının vicdansızlığı ilə bağlı bir çox risklərə məruz qalır. Risklərin miqyası ödəniş sisteminin provayderi və ticarət zəncirinə daxil olan digər təşkilatlarla xüsusi razılaşmalar vasitəsilə razılaşdırılmalıdır.
7. Əməliyyat haqlarının minimuma endirilməsi. Malların sifarişi və ödənilməsi üçün əməliyyatların icrası haqları təbii olaraq onların qiymətinə daxildir, ona görə də əməliyyat qiymətinin aşağı salınması rəqabət qabiliyyətini artırır. Qeyd etmək lazımdır ki, alıcı maldan imtina etsə belə, əməliyyat istənilən halda ödənilməlidir.
Bütün bu şərtlər mahiyyət etibarilə ənənəvi ödəniş sistemlərinin elektron versiyaları olan İnternet ödəniş sistemində həyata keçirilməlidir.
Beləliklə, bütün ödəniş sistemləri aşağıdakılara bölünür:
Debet (elektron çek və rəqəmsal nağd pulla işləmək);
Kredit (kredit kartları ilə işləmək).
Debet sistemləri
Debet ödəniş sxemləri onların oflayn prototiplərinə bənzər şəkildə qurulur: çek və adi pul. Sxem iki müstəqil tərəfi əhatə edir: emitentlər və istifadəçilər. Emitent ödəniş sistemini idarə edən qurum kimi başa düşülür. O, ödənişləri təmsil edən bəzi elektron vahidlər buraxır (məsələn, bank hesablarındakı pul). Sistem istifadəçiləri iki əsas funksiyanı yerinə yetirirlər. Onlar buraxılmış elektron vahidlərdən istifadə edərək İnternetdə ödənişlər edir və qəbul edirlər.
Elektron çeklər adi kağız çeklərə bənzəyir. Bu, ödəyicinin öz hesabından pulu alanın hesabına köçürmək üçün öz bankına verdiyi göstərişlərdir. Əməliyyat çeki alan şəxs tərəfindən bankda təqdim edildikdə baş verir. Burada iki əsas fərq var. Birincisi, kağız çek yazarkən ödəyici öz həqiqi imzasını, onlayn versiyada isə elektron imza qoyur. İkincisi, çeklərin özləri elektron qaydada verilir.
Ödənişlər bir neçə mərhələdə həyata keçirilir:
1. Ödəyici elektron çek verir, onu elektron imza ilə imzalayır və çeki alan şəxsə ötürür. Daha çox etibarlılıq və təhlükəsizliyi təmin etmək üçün yoxlama hesabının nömrəsi bankın açıq açarı ilə şifrələnə bilər.
2. Çek ödəniş sisteminə ödəniş üçün təqdim edilir. Sonra (ya burada, ya da alıcıya xidmət göstərən bankda) çek baş verir Elektron imza.
3. Onun həqiqiliyi təsdiq edildikdə, mallar çatdırılır və ya xidmət göstərilir. Pul ödəyicinin hesabından alıcının hesabına köçürülür.
Ödəniş sxeminin sadəliyi (şək. 43), təəssüf ki, yoxlama sxemlərinin hələ geniş yayılmaması və elektron imzanın tətbiqi üçün sertifikatlaşdırma mərkəzlərinin olmaması səbəbindən onun həyata keçirilməsinin çətinlikləri ilə kompensasiya olunur.
Elektron rəqəmsal imza (EDS) açıq açar şifrələmə sistemindən istifadə edir. Bu, imzalanma üçün şəxsi açar və yoxlama üçün açıq açar yaradır. Şəxsi açar istifadəçi tərəfindən saxlanılır və açıq açara hər kəs daxil ola bilər. Açıq açarları yaymağın ən əlverişli yolu sertifikatlaşdırma orqanlarından istifadə etməkdir. Orada açıq açarı və sahibi haqqında məlumatları ehtiva edən rəqəmsal sertifikatlar saxlanılır. Bu, istifadəçini açıq açarını özü yaymaq öhdəliyindən azad edir. Bundan əlavə, sertifikat orqanları heç kimin başqa bir şəxsin adından açarlar yarada bilməməsini təmin etmək üçün autentifikasiya təmin edir.
Elektron pul real pulu tamamilə simulyasiya edir. Eyni zamanda, emitent təşkilat - emitent - müxtəlif sistemlərdə fərqli adlanan elektron analoqlarını buraxır (məsələn, kuponlar). Bundan sonra, onlar istifadəçilər tərəfindən satın alınır, onlardan alışların ödənişi üçün istifadə olunur və sonra satıcı onları emitentdən geri alır. Buraxıldıqda, hər bir pul vahidi elektron möhürlə təsdiqlənir və bu, geri qaytarılmadan əvvəl emitent struktur tərəfindən təsdiqlənir.
Fiziki pulların xüsusiyyətlərindən biri də onun anonimliyidir, yəni kimlərin nə vaxt istifadə etdiyini göstərmir. Bəzi sistemlər, bənzətmə ilə, alıcıya elektron nağd pulu almağa imkan verir ki, onunla pul arasında əlaqə müəyyən edilə bilməz. Bu, kor imza sxemindən istifadə etməklə həyata keçirilir.
İstifadə edərkən onu da qeyd etmək lazımdır elektron pul Sistem pulun istifadə olunmazdan əvvəl dövriyyəyə buraxılmasına əsaslandığı üçün autentifikasiyaya ehtiyac yoxdur.
Şəkil 44 elektron puldan istifadə etməklə ödəniş sxemini göstərir.
Ödəniş mexanizmi aşağıdakı kimidir:
1. Alıcı əvvəlcədən real pulu elektron pula dəyişir. Müştəri ilə nağd pulun saxlanması istifadə olunan sistem tərəfindən müəyyən edilən iki yolla həyata keçirilə bilər:
Kompüterinizin sabit diskində;
Smart kartlarda.
Fərqli sistemlər müxtəlif mübadilə sxemləri təklif edir. Bəziləri elektron hesablar müqabilində alıcının hesabından vəsaitlərin köçürüldüyü xüsusi hesablar açır. Bəzi banklar özləri elektron nağd pul buraxa bilərlər. Eyni zamanda, o, yalnız müştərinin istəyi ilə verilir, ardınca bu müştərinin kompüterinə və ya kartına köçürülür və onun hesabından nağd pul ekvivalenti çıxarılır. Kor imza tətbiq edərkən, alıcı özü elektron hesablar yaradır, banka göndərir, hesaba real pul daxil olduqda, onlar möhürlə təsdiqlənir və müştəriyə geri göndərilir.
Belə saxlama rahatlığı ilə yanaşı, onun mənfi cəhətləri də var. Diskin və ya smart kartın zədələnməsi elektron pulun geri dönməz itkisi ilə nəticələnir.
2. Alıcı alış üçün elektron pulu satıcının serverinə köçürür.
3. Pul onun həqiqiliyini yoxlayan emitentə təqdim edilir.
4. Elektron hesablar orijinaldırsa, satıcının hesabı alış məbləği qədər artırılır və mallar alıcıya göndərilir və ya xidmət göstərilir.
Elektron pulun mühüm fərqləndirici xüsusiyyətlərindən biri mikroödənişlər etmək imkanıdır. Bu onunla bağlıdır ki, əskinasların nominal dəyəri real sikkələrə (məsələn, 37 qəpik) uyğun gəlməyə bilər.
Həm banklar, həm də qeyri-bank təşkilatları elektron nağd pul buraxa bilər. Ancaq hələ də inkişaf etdirilməyib bir sistem müxtəlif növ elektron pulların konvertasiyası. Beləliklə, yalnız emitentlərin özləri buraxdıqları elektron nağd pulları geri ala bilərlər. Bundan əlavə, qeyri-maliyyə strukturlarından belə pulların istifadəsinə dövlət zəmanəti vermir. Bununla belə, aşağı əməliyyat dəyəri elektron nağd pulu onlayn ödənişlər üçün cəlbedici alətə çevirir.
Kredit sistemləri
İnternet kredit sistemləri kredit kartları ilə işləyən adi sistemlərin analoqlarıdır. Fərq ondadır ki, bütün əməliyyatlar internet vasitəsilə həyata keçirilir və nəticədə əlavə təhlükəsizlik və autentifikasiya tədbirlərinə ehtiyac yaranır.
Kredit kartlarından istifadə etməklə İnternet vasitəsilə ödənişlərin həyata keçirilməsinə aşağıdakılar daxildir:
1. Alıcı. Veb brauzeri və İnternetə çıxışı olan kompüteri olan müştəri.
2. Emitent bank. Alıcının bank hesabı burada yerləşir. Emitent bank kartları buraxır və müştərinin maliyyə öhdəliklərinin təminatçısıdır.
3. Satıcılar. Satıcılar mal və xidmətlərin kataloqlarının saxlanıldığı və müştərinin satınalma sifarişlərinin qəbul edildiyi Elektron Ticarət serverləri kimi başa düşülür.
4. Ekvayring banklar. Satıcılara xidmət göstərən banklar. Hər bir satıcının cari hesabını saxladığı bir bankı var.
5. İnternet ödəniş sistemi. Digər iştirakçılar arasında vasitəçi kimi çıxış edən elektron komponentlər.
6. Ənənəvi ödəniş sistemi. Bu tip kartlara xidmət göstərmək üçün maliyyə və texnoloji vasitələrin toplusu. Ödəniş sisteminin həll etdiyi əsas vəzifələr sırasında kartlardan mal və xidmətlərə görə ödəniş vasitəsi kimi istifadənin təmin edilməsi, bank xidmətlərindən istifadə, qarşılıqlı hesablaşmaların aparılması və s. Ödəniş sisteminin iştirakçıları kredit kartlarından istifadə etməklə birləşmiş fiziki və hüquqi şəxslərdir.
7. Ödəniş sisteminin prosessinq mərkəzi. Ənənəvi ödəniş sistemində iştirakçılar arasında informasiya və texnoloji qarşılıqlı əlaqəni təmin edən təşkilat.
8. Ödəniş sisteminin hesablaşma bankı. prosessinq mərkəzi adından ödəniş sisteminin iştirakçıları arasında qarşılıqlı hesablaşmaları həyata keçirən kredit təşkilatı.
Belə bir sistemdə ümumi ödəniş sxemi Şəkil 45-də göstərilmişdir.
1. Elektron mağazada alıcı mal səbəti yaradır və ödəniş üsulunu “kredit kartı” seçir.
Mağaza vasitəsilə, yəni kart parametrləri birbaşa mağazanın veb saytına daxil edilir, bundan sonra onlar İnternet ödəmə sisteminə köçürülür (2a);
Ödəniş sisteminin serverində (2b).
İkinci yolun üstünlükləri göz qabağındadır. Bu zaman kartlar haqqında məlumat mağazada qalmır və müvafiq olaraq onların üçüncü şəxslər tərəfindən alınması və ya satıcı tərəfindən aldadılması riski azalır. Hər iki halda, kredit kartı təfərrüatlarını köçürərkən, onların şəbəkədəki təcavüzkarlar tərəfindən tutulma ehtimalı hələ də mövcuddur. Bunun qarşısını almaq üçün ötürülmə zamanı məlumatlar şifrələnir.
Şifrələmə, təbii olaraq, şəbəkədə məlumatların tutulma ehtimalını azaldır, ona görə də alıcı/satıcı, satıcı/İnternet ödəniş sistemi, alıcı/İnternet ödəniş sistemi arasında əlaqəni təhlükəsiz protokollardan istifadə etməklə həyata keçirmək məqsədəuyğundur. Bu gün onlardan ən çox yayılmışları SSL (Secure Sockets Layer) protokolu, eləcə də İnternetdə kredit kartı ilə alış-veriş üçün ödənişlərlə bağlı əməliyyatların icrası zamanı SSL-i nəhayət əvəz etmək üçün nəzərdə tutulmuş SET (Secure Electronic Transaction) standartıdır.
3. İnternet ödəniş sistemi avtorizasiya sorğusunu ənənəvi ödəniş sisteminə ötürür.
4. Növbəti addım emitent bankın hesabların onlayn məlumat bazasını saxlayıb-saxlamamasından asılıdır. Məlumat bazası olduqda, prosessinq mərkəzi emitent banka kartın avtorizasiyası üçün sorğu göndərir (giriş və ya lüğətə baxın) (4a) və sonra (4b) onun nəticəsini alır. Belə bir məlumat bazası yoxdursa, o zaman prosessinq mərkəzi özü kart sahiblərinin hesablarının vəziyyəti haqqında məlumatları saxlayır, siyahıları dayandırır və avtorizasiya sorğularını yerinə yetirir. Bu məlumatlar emitent banklar tərəfindən mütəmadi olaraq yenilənir.
Mağaza xidmət göstərir və ya mal göndərir (8a);
Prosessinq mərkəzi başa çatmış əməliyyat haqqında məlumatı hesablaşma bankına ötürür (8b). Alıcının emitent bankdakı hesabından pul hesablaşma bankı vasitəsilə mağazanın ekvayer bankdakı hesabına köçürülür.
Bu cür ödənişləri etmək üçün əksər hallarda xüsusi bir ödəniş tələb olunur proqram təminatı. O, alıcıya (elektron pul kisəsi adlanır), satıcıya və onun xidmət bankına verilə bilər.
Giriş
1. Elektron ödəniş sistemləri və onların təsnifatı
1.1 Əsas anlayışlar
1.2 Elektron ödəniş sistemlərinin təsnifatı
1.3 Rusiyada istifadə olunan əsas elektron ödəniş sistemlərinin təhlili
2. Elektron ödəniş sistemləri üçün təhlükəsizlik tədbirləri
2.1 Elektron ödəniş sistemlərindən istifadə ilə bağlı təhlükələr
2.2 Elektron ödəniş sistemlərinin mühafizəsi texnologiyaları
2.3 Uyğunluq üçün texnologiyaların təhlili əsas tələblər elektron ödəniş sistemlərinə
Nəticə
Biblioqrafiya
GİRİŞ
10 il əvvəl çox az adamın marağına səbəb olan elektron ödənişlər və elektron pullar mövzusu son vaxtlar təkcə iş adamları üçün deyil, həm də son istifadəçilər üçün aktuallaşıb. Yəqin ki, hətta bəzən kompüteri və ya məşhur mətbuatı oxuyan hər ikinci şəxs dəbdə olan “e-biznes” və “e-commerce” sözlərini bilir. Uzaqdan ödəniş (pulun uzaq məsafələrə köçürülməsi) vəzifəsi xüsusi kateqoriyadan gündəlikə keçdi. Ancaq bu məsələ ilə bağlı məlumatların çoxluğu vətəndaşların şüurunda aydınlığa heç də kömək etmir. Həm elektron ödənişlər probleminin mürəkkəbliyi və konseptual inkişafının olmaması səbəbindən, həm də bir çox populyarlaşdırıcıların tez-tez qırıq telefon prinsipi ilə işləməsi səbəbindən, gündəlik səviyyədə hər şey, əlbəttə ki, hər kəsə aydındır. Amma bu, elektron ödənişlərin praktiki inkişafının vaxtı gələnə qədərdir. Müəyyən hallarda elektron ödənişlərdən istifadənin nə dərəcədə məqsədəuyğun olduğunu başa düşməmək buradadır.
Bu arada, elektron ödənişlərin qəbulu vəzifəsi internetdən istifadə edərək ticarətlə məşğul olmaq istəyənlər, eləcə də internet vasitəsilə alış-veriş etmək niyyətində olanlar üçün getdikcə aktuallaşır. Bu məqalə hər ikisi üçün nəzərdə tutulub.
Başlayanlar üçün elektron ödəniş sistemlərini nəzərdən keçirərkən əsas problem onların dizayn və iş prinsiplərinin müxtəlifliyi və həyata keçirilməsinin xarici oxşarlığına baxmayaraq, onların dərinliklərində tamamilə fərqli texnoloji və maliyyə mexanizmlərinin gizlənə bilməsidir.
Qlobal İnternetin populyarlığının sürətli inkişafı dünya iqtisadiyyatının müxtəlif sahələrində yeni yanaşmaların və həllərin inkişafı üçün güclü təkan yaratdı. Hətta banklardakı elektron ödəniş sistemləri kimi konservativ sistemlər də yeni tendensiyalara tab gətirdi. Bu, yeni ödəniş sistemlərinin - İnternet vasitəsilə elektron ödəniş sistemlərinin yaranması və inkişafında özünü göstərdi ki, bunun da əsas üstünlüyü müştərilərin ödəniş tapşırığının fiziki olaraq daşınmasının yorucu və bəzən texniki cəhətdən çətin mərhələsindən yan keçərək ödənişləri (maliyyə əməliyyatları) həyata keçirə bilməsidir. banka. Banklar və bank institutları da bu sistemlərin tətbiqində maraqlıdırlar, çünki onlar müştərilərə xidmət sürətini artıra və ödənişlərin həyata keçirilməsi üçün qaimə xərclərini azalda bilərlər.
Elektron ödəniş sistemləri məxfi məlumatlar da daxil olmaqla, yalan məlumatlara baxmaqdan, dəyişdirilməkdən və tətbiq edilməsindən qorunmağı tələb edən məlumatları dövriyyə edir. Müvafiq İnternet mərkəzli təhlükəsizlik texnologiyalarının hazırlanması hazırda əsas problemdir. Bunun səbəbi arxitektura, əsas resurslar və texnologiyalardır İnternet şəbəkələri girişin və ya toplanmasının təşkilinə yönəlmişdir açıq məlumat. Bununla belə, bu yaxınlarda İnternet vasitəsilə məlumatın təhlükəsiz ötürülməsi üçün sistemlərin qurulmasında standart İnternet texnologiyalarından istifadənin mümkünlüyünü göstərən yanaşmalar və həllər ortaya çıxdı.
RGR-nin məqsədi elektron ödəniş sistemlərini təhlil etmək və onların hər birinin istifadəsi üçün tövsiyələr hazırlamaqdır. Məqsəddən asılı olaraq RGR-nin həyata keçirilməsinin aşağıdakı mərhələləri tərtib edilmişdir:
1. Elektron ödəniş sistemlərinin əsas vəzifələrini və onların fəaliyyət prinsiplərini, xüsusiyyətlərini müəyyənləşdirin.
2. Əsas elektron ödəniş sistemlərini təhlil edin.
3. Elektron puldan istifadə ilə bağlı təhlükələri təhlil edin.
4. Elektron ödəniş sistemlərindən istifadə zamanı təhlükəsizlik tədbirlərini təhlil edin.
1. ELEKTRON ÖDƏNİŞ SİSTEMLERİ VƏ ONLARIN TƏSNİFATI
1.1 Əsas anlayışlar
Elektron ödənişlər. Ondan başlayaq ki, XX əsrin ikinci yarısında nağdsız ödənişlərin bir növü kimi elektron ödənişlərin meydana çıxmasından danışmaq qanunauyğundur. Başqa sözlə, ödənişlər haqqında məlumatların naqillə ötürülməsi çoxdan mövcud idi, lakin naqillərin hər iki ucunda kompüterlər görünəndə prinsipial olaraq yeni keyfiyyət əldə etdi. İnformasiya o dövrdə meydana çıxan teleks, teletayp və kompüter şəbəkələrindən istifadə etməklə ötürülürdü. Keyfiyyətcə yeni bir sıçrayış, ödənişlərin sürətinin əhəmiyyətli dərəcədə artması və onların avtomatik işlənməsi imkanının mövcud olması ilə ifadə edildi.
Sonradan digər ödəniş növlərinin elektron ekvivalentləri də meydana çıxdı - nağd ödənişlər və digər ödəniş vasitələri (məsələn, çeklər).
Elektron ödəniş sistemləri (EPS). Elektron ödəniş sistemini hər hansı bir xüsusi avadanlıq və avadanlıq kompleksi adlandırırıq proqram təminatı, elektron ödənişlərə imkan verir.
Mövcüd olmaq müxtəlif yollarla və EPS-ə daxil olmaq üçün rabitə kanalları. Bu gün bu kanallardan ən çox yayılanı internetdir. EPS-in yayılması artır, ona giriş istifadə olunur mobil telefon(SMS, WAP və digər protokollar vasitəsilə). Digər üsullar daha az yayılmışdır: modemlə, toxunuşlu telefonla, operator vasitəsilə telefonla.
Elektron pul. Qeyri-müəyyən termin. Bunun arxasında nə dayandığını diqqətlə nəzərdən keçirsəniz, elektron pulun "elektron nağd pul", eləcə də elektron ödəniş sistemləri üçün səhv bir ad olduğunu başa düşmək asandır.
Terminologiyadakı bu anlaşılmazlıq terminlərin ingilis dilindən tərcüməsinin sərbəstliyi ilə bağlıdır. Rusiyada elektron ödənişlər Avropa və Amerikaya nisbətən daha yavaş inkişaf etdiyi üçün biz möhkəm müəyyən edilmiş şərtlərdən istifadə etməyə məcbur olduq. Təbii ki, elektron nağd pulun “rəqəmsal nağd pul” (e-cash), “rəqəmsal pul”, “elektron nağd pul” (rəqəmsal nağd pul)2 kimi adları yaşamaq hüququna malikdir.
Ümumiyyətlə, “elektron pul” termini konkret heç nə demək deyil, ona görə də gələcəkdə biz ondan istifadə etməməyə çalışacağıq.
Elektron nağd pul:
Bu, ötən əsrin 90-cı illərində ortaya çıxan bir texnologiyadır və pulun bankda və ya digər maliyyə təşkilatında hesabdan hesaba köçürülməsi ilə birbaşa əlaqəli olmayan, yəni birbaşa şəxslər - yekun iştirakçılar arasında elektron ödənişlərə imkan verir. ödənişdə. Elektron nağd pulun digər mühüm xüsusiyyəti onun təqdim etdiyi ödənişlərin anonimliyidir. Ödənişi təsdiq edən avtorizasiya mərkəzində pulun konkret olaraq kimin və kimə köçürülməsi barədə məlumat yoxdur.
Elektron nağd pul elektron ödəniş növlərindən biridir. Elektron nağd pul vahidi emitentin (bank və ya digər maliyyə institutunun) maliyyə öhdəliyindən başqa bir şey deyil, mahiyyətcə adi vekselə bənzəyir. Elektron nağd puldan istifadə edilən ödənişlər digər ödəniş sistemlərindən istifadənin əlverişsiz olduğu yerlərdə görünür. Alıcının internetdə malların ödənişi zamanı kredit kartı haqqında məlumat vermək istəməməsi bariz nümunədir.
Terminologiyaya qərar verərək, söhbətimizin növbəti mərhələsinə keçə bilərik - EPS-nin təsnifatı haqqında danışaq. EPS elektron ödənişlərə vasitəçi olduğundan, EPS-nin bölünməsi bu ödənişlərin müxtəlif növlərinə əsaslanır.
Bundan əlavə, EPS mexanizminin əsaslandığı proqram və/yaxud aparat texnologiyası bu məsələdə çox mühüm rol oynayır.
1.2 Elektron ödəniş sistemlərinin təsnifatı
Elektron ödəniş sistemləri həm elektron ödənişlərin xüsusiyyətlərinə, həm də elektron ödəniş sisteminin əsasını təşkil edən xüsusi texnologiyaya görə təsnif edilə bilər.
Elektron ödənişlərin növündən asılı olaraq EPS-nin təsnifatı:
1. Ödəniş iştirakçılarının tərkibinə görə (cədvəl 1).
Cədvəl 1
| Elektron ödənişlərin növü | Ödəniş tərəfləri | Ənənəvi nağd hesablaşma sistemində analoq | EPS nümunəsi |
| Bankdan banka ödənişlər | Maliyyə institutları | analoqları yoxdur | |
| B2B ödənişləri | Hüquqi şəxslər | Təşkilatlar arasında nağdsız ödənişlər | |
| С2B ödənişləri | Malların və xidmətlərin son istehlakçıları və hüquqi şəxslər - satıcılar | Alıcılardan satıcılara nağd və nağdsız ödənişlər | Kredit pilotu |
| C2C ödənişləri | fiziki şəxslər | Fiziki şəxslər arasında birbaşa nağd ödənişlər, poçt və teleqraf köçürmələri |
Biz bundan sonra “bankdan banka” tipli elektron ödənişlərə xidmət etmək üçün nəzərdə tutulmuş elektron ödəniş sistemlərini nəzərdən keçirməyəcəyik. Bu cür sistemlər son dərəcə mürəkkəbdir, onlar daha çox bank sisteminin işləməsinin texnoloji aspektlərinə təsir göstərir və çox güman ki, oxucularımızın geniş kütlələrini maraqlandırmır.
Əlavə olaraq qeyd etmək lazımdır ki, məntiqi olaraq Cədvəl 1-ə tam uyğun gəlməyən başqa bir ödəniş növü də var. Formal meyarlara görə, o, tamamilə C2B sahəsinə aiddir, lakin buna baxmayaraq, bu tip geniş yayılmış EPS vasitəsilə təmin edilə bilməz. Mikroödəmələr malların olduqca kiçik (sent və ya sentin fraksiyaları) dəyəri ilə xarakterizə olunur. Hamısından ən xarakterik məşhur məqalələr Mikroödəmələri həyata keçirən sistemə misal olaraq zarafatların satışını göstərmək olar (hər parça üçün bir sent üçün). Eaccess və Phonepay kimi sistemlər mikro ödənişlər etmək üçün uyğundur.
2. Görülən əməliyyatların növləri üzrə (cədvəl 2).
cədvəl 2
| Elektron ödənişlərin növü | Onlar harada istifadə olunur? | EPS nümunəsi |
| Bank hesablarının idarə edilməsi əməliyyatları | Modem, internet, mobil telefon və s. vasitəsilə çıxışı olan “Müştəri bank” sistemləri. | Müştəri Sisteminin bank hesabının idarə edilməsi üzrə əməliyyatlar |
| Bank hesabı açmadan pul köçürmə əməliyyatları | Pul köçürmə sistemləri kompüter şəbəkələri poçt və teleqraf köçürmələrinə bənzəyir | |
| Kart bank hesabları ilə əməliyyatlar | Debet və kredit plastik kartları | Cyberplat (Cyberpos) |
| Elektron çeklərlə əməliyyatlar və digər nağdsız ödəniş öhdəlikləri | Qapalı korporativ ödəniş sistemləri | Cyberplat (Cybercheck) |
| Elektron (kvazi) nağd pulla əməliyyatlar | Fiziki ilə hesablamalar şəxslər, malların ödənilməsi üçün pul surroqatları kimi istifadə olunan tokenlərin və əvvəlcədən ödənilmiş kartların elektron analoqları |
Qeyd etmək lazımdır ki, “müştəri-bank” tipli sistemlər kifayət qədər uzun müddətdir ki, məlumdur. Modemdən istifadə edərək bank hesabınıza daxil ola bilərsiniz. Son on il ərzində istifadəçi dostu veb interfeysi vasitəsilə İnternetdən istifadə edərək hesabınızı idarə etmək üçün yeni imkanlar yaranmışdır. Bu xidmət “İnternet bankçılıq” adlanırdı və “müştəri-bank” tipli ödəniş sistemlərinə prinsipial olaraq yeni heç nə təqdim etməmişdir. Bundan əlavə, bank hesabına daxil olmaq üçün başqa variantlar var, məsələn, mobil telefondan istifadə (WAP banking, SMS banking). Bununla əlaqədar olaraq, bu məqalədə bu növ EPS üzərində xüsusi dayanmayacağıq, yalnız qeyd edəcəyik ki, hazırda Rusiyada 100-ə yaxın kommersiya bankı 10-dan çox müxtəlif EPS-dən istifadə edərək İnternet bankçılıq xidmətləri göstərir.
İstifadə olunan texnologiyadan asılı olaraq EPS-nin təsnifatı:
EPS-nin ən mühüm keyfiyyətlərindən biri onun oğurluğa qarşı müqavimətidir. Bu, bəlkə də bu cür sistemlərin ən çox müzakirə olunan xüsusiyyətidir. Cədvəl 3-dən göründüyü kimi, sistemin təhlükəsizliyi problemini həll edərkən, elektron təhlükəsizlik sisteminin qurulmasına yanaşmaların əksəriyyəti mühüm məlumatları ehtiva edən müəyyən mərkəzi məlumat bazasının məxfiliyinə əsaslanır. Eyni zamanda, bəziləri buna əlavə edirlər gizli baza Bu əlavə qorunma səviyyələri aparatın davamlılığına əsaslanır.
Prinsipcə, EPS-nin qurulması üçün başqa texnologiyalar da var. Məsələn, bir müddət əvvəl mediada plastik karta quraşdırılmış CDR disklər əsasında EPS-nin hazırlanması haqqında məlumat yayılmışdı. Lakin oxşar sistemlər dünya praktikasında geniş istifadə olunmur və buna görə də biz onların üzərində dayanmayacağıq.
Cədvəl 3
| Texnologiya | Sistemin sabitliyi nəyə əsaslanır? | EPS nümunəsi |
| Mərkəzi server müştəri bankı olan sistemlər, pul köçürmələri | Giriş açarlarının məxfiliyi | Telebank (Quta-bank), "İnternet Xidmət Bankı" (Avtobank) |
| Ağıllı kartlar | Smart kartların sındırmaya aparan müqaviməti | Mondex, ACCORD |
| Maqnetik kartlar və virtual kredit kartları | Kömək et, Elit |
|
| Skratç kartları | Skretch kartı nömrələri və kodları ilə verilənlər bazasının məxfiliyi | E-port, Creditpilot, Webmoney, Paycash, Rapira |
| İstifadəçinin kompüterində proqram şəklində fayl/pul kisəsi | İnformasiya mübadiləsi protokolunun kriptoqrafik gücü | |
| Ödənişli telefon zəngi | Mərkəzi məlumat bazasının pin kodları ilə məxfiliyi və ağıllı telefon şəbəkəsinin aparat sabitliyi | Eaccess, Phonepay |
1.3 Rusiyada istifadə olunan əsas elektron ödəniş sistemlərinin təhlili
Hal-hazırda Rusiya İnternetində kifayət qədər çox sayda elektron ödəniş sistemi istifadə olunur, baxmayaraq ki, hamısı geniş istifadə olunmur. RuNet-də istifadə edilən demək olar ki, bütün Qərb ödəniş sistemlərinin kredit kartları ilə əlaqələndirilməsi xarakterikdir. Onlardan bəziləri, məsələn, PayPal, Rusiyadan olan müştərilərlə işləməkdən rəsmən imtina edir. Bu gün ən çox istifadə olunan sistemlər bunlardır:
CyberPlat qarışıq tipli sistemlərə aiddir (yuxarıdakı təsnifatlardan hər hansı biri baxımından). Əslində deyə bilərik ki, bu sistem çərçivəsində üç ayrı sistem bir dam altında toplanır: müştərilərə sistemdə iştirak edən banklarda (11 Rusiya bankı və 1 Latviya) açılmış hesabları idarə etməyə imkan verən klassik “müştəri-bank” sistemi. ; Sistemə qoşulmuş hüquqi şəxslər arasında təhlükəsiz ödənişlər etməyə imkan verən CyberCheck sistemi; və internet ekvayrinq sistemi, yəni kredit kartlarından qəbul edilən ödənişləri emal edən CyberPos. Rusiya bazarında mövcud olan bütün İnternet ekvayrinq sistemləri arasında CyberPlat ən çox kredit kartı növlərinin, yəni Visa, Mastercard/Eurocard, American Express7, Diners Club, JCB, Union Card-ın emalını təmin edir; o, yaxın zamanda qoşulacağını elan edib. STB-kart sistemi və ACCORD kartı/Bashcard. Qeyri-rəsmi olaraq, şirkət işçiləri digər Rusiya kart sistemləri ilə qarşılıqlı əlaqə imkanlarını araşdırdıqlarını iddia etdilər. Yuxarıda göstərilənlərə əlavə olaraq, CyberPlat şirkəti E-port ödəniş sisteminin skreç-kartlarının emalını təmin edir və qarşıdan gələn Paycash sistemi ilə şlüzün istifadəyə verilməsini elan edir.
Hazırda oğurlanmış kredit kartlarından ödənişlərdən qorunma səviyyəsini artırmaq üçün şirkət satıcıya alıcının kredit kartı ilə əlaqəli bank hesabına həqiqətən daxil olub-olmadığını və ya yalnız onun təfərrüatlarını bildiyini yoxlamağa imkan verən ixtisaslaşdırılmış PalPay texnologiyası hazırlayır. Bu texnologiyanın istifadəyə verilməsi hələ rəsmi olaraq elan edilməyib.
CyberCheck sistemi korporativ tərəfdaşlarla işin təşkili üçün böyük maraq doğurur. Onun əsas xüsusiyyəti (kredit kartları ilə ödənişlərin qəbulu ilə müqayisədə) faktdan sonra ödəyicinin ödənişdən imtina etməsinin mümkün olmamasıdır. Başqa sözlə, CyberCheck-dən ödəniş təsdiqini almaq tacirin hesabının yerləşdiyi bankdan belə təsdiqi almaq qədər etibarlıdır. Bütün bu xüsusiyyətlər CyberPlat-ı Rusiya İnternetində EPS satıcıları üçün bəlkə də ən qabaqcıl və maraqlı edir.
Kredit kartlarından ödənişlərin işlənməsi baxımından Assist sistemi bir çox cəhətdən CyberPlat-ın funksional analoqudur. Moskvada onun maraqlarını Alfa Bank təmsil edir. Sistemə ümumilikdə 5 bank qoşulub. İnternet ekvayrinq alt sistemi Visa, Mastercard/Eurocard, STB-kartdan ödənişləri qəbul etməyə imkan verir. Sentyabr ayına olan məlumata görə, Assist sisteminin serverində bəyan edilmiş digər kart sistemlərindən ödənişlər faktiki olaraq qəbul edilməyib. Lakin qeyri-rəsmi məlumatlara görə, yaxın gələcəkdə Diners Club kartları, Cirrus Maestro və Visa Electron debet kartlarını qəbul etmək mümkün olacaq. Maraqlıdır ki, bu tip kartlar adətən ekvayinq şirkətlər tərəfindən qəbul edilmir, lakin ucuzluğuna görə bu kartlar çox yayılmışdır. Tipik olaraq, debet kartlarını qəbul etməkdən imtina təhlükəsizlik problemləri ilə əlaqədardır. Ola bilsin ki, ASSIST şirkəti ötən gün dəstəyini elan etdiyi SET protokolundan istifadə edərək bu problemi həll edə biləcək. Kart sahibinə ondan edilən ödənişdən imtina etməyə imkan verən İnternetdə plastik kartlarla ənənəvi ödəniş metodundan fərqli olaraq (charge-back), SET protokolu əməliyyatın həqiqiliyinə zəmanət verir, satıcı üçün riski əhəmiyyətli dərəcədə azaldır.
Assist saytında elan edilmiş İnternet provayderindən alınmış elektron sertifikatlardan istifadə etməklə hesablaşmalar metodu olduqca maraqlıdır, çünki provayderlər üçün yeni iş sahələri açır, lakin mövcud məlumatlara görə, hüquqi çətinliklərə görə, son vaxtlara qədər əslində hər kəs tərəfindən istifadə olunur. Ancaq yenə də qeyri-rəsmi məlumatlara görə, bu vəziyyət tezliklə dəyişəcək - artıq 2001-ci ilin payızında biz bu hesablama metodunun ilk praktik tətbiqini görə bilərik.
Təsvirlərdə qeyd olunan CyberPlat və Assist kart sistemlərinə əlavə olaraq, bazarda bir qədər populyarlıq qazanmış başqaları da var. Discover/NOVUS Şimali Amerikada geniş yayılmışdır və Qərb auditoriyasına xidmət edən elektron mağazalar üçün maraqlı ola bilər. Bu sistemin kartlarını emal edəcək yerli ekvayinq şirkətlərindən xəbərimiz yoxdur, lakin Qərb ekvayerlərinin maraqlarını təmsil edən vasitəçilərdən bir sıra təkliflər var. Rusiya kart sistemləri arasında STB və Union Card-dan sonra bazarda ən çox diqqət çəkən Zolotaya Korona, Sbercard (Sberbank), Universal Card və ICB-kart (Promstroybank), həmçinin artıq qeyd olunan ACCORD kartı/Bashcard . "ICB-kart" bir neçə kiçik ekvayinq şirkətləri tərəfindən emal edilir, Zolotaya Korona və Sbercard kartlarından İnternet vasitəsilə ödənişlərin qəbulu guya bilavasitə emitentlər və/yaxud əlaqəli şirkətlər tərəfindən təmin edilir, Universal Kartda isə bunu edir. heç kim tərəfindən təmin olunmadığı görünür.
Paycash və Webmoney öz tərtibatçıları tərəfindən elektron nağd pul sistemləri kimi yerləşdirilib, lakin daha yaxından araşdırıldıqda yalnız Paycash haqlı olaraq belə statusa iddia edə bilər.
Paycash-in inkişafı Tavrichesky Bank tərəfindən başladı, lakin hazırda digər banklar, məsələn, Guta Bank sistemə qoşulub.
Texnoloji nöqteyi-nəzərdən Paycash nağd ödənişlərin demək olar ki, tam imitasiyasını təmin edir. Bir elektron cüzdandan (müştəri tərəfindən kompüterində quraşdırılmış xüsusi proqram) pul banka münasibətdə ödənişin anonimliyini təmin etməklə digərinə köçürülə bilər. Sistem Rusiyada kifayət qədər geniş yayılmışdır və hazırda dünya bazarına çıxmaq üçün cəhdlər edir.
Paycash-in darboğazı elektron pul kisəsinə pul köçürmə prosedurudur. Son vaxtlara qədər yeganə yol bunu etmək bank filialına getmək və sistem hesabına pul köçürmək idi. Düzdür, alternativlər var idi - Guta Bank Telebank sisteminin istifadəçiləri üçün evdən çıxmadan Guta Bankdakı hesabdan pul köçürmək mümkün idi, lakin bəzi hallarda, görünür, onları birbaşa satıcının hesabına köçürmək daha asan idi - Paycash-dan vasitəçi kimi istifadə etmədən elektron mağaza. Western Union və ya poçt/pul köçürmələri ilə pul köçürmələri də mümkün idi, lakin bu marşrutun cəlbediciliyi rüsumların yüksək olması ilə məhdudlaşırdı. Sankt-Peterburq sakinləri üçün çox ekzotik bir fürsət var - pul üçün evinizə kuryer çağırmaq. Əla, amma təəssüf ki, hamımız Şimali paytaxtda yaşamırıq.
Kredit kartlarından Paycash-a pul köçürmək hələ də mümkün deyil. Bunun səbəbi, kart sistemlərinin işini dəstəkləyən şirkətlərin öz müştərilərinə qondarma "geri ödəmə" - "retrospektiv olaraq" ödəniş etməkdən imtina etmək imkanı təqdim etməsidir. “Charge back” kredit kartı sahibini onun detallarından istifadə edə bilən fırıldaqçılardan qoruyan mexanizmdir. Belə bir imtina halında malın faktiki kart sahibinə çatdırıldığını və ödənişin həyata keçirilməli olduğunu sübut etmək vəzifəsi satıcının üzərinə düşür. Ancaq Paycash vəziyyətində, bu cür sübut əsasən mümkün deyil - olduqca açıq səbəblərə görə. İnkişaf mərhələsində olan CyberPlat ilə yuxarıda qeyd olunan şlüz də bu problemi həll etmək üçün nəzərdə tutulub.
Bu arada, bunu açmaq üçün darboğaz sistemdə PayCash iki kifayət qədər ağlabatan hərəkət etdi - əvvəlcədən ödənilmiş danışıq kartları buraxdı və tarifləri poçt tariflərindən əhəmiyyətli dərəcədə aşağı olan Kontakt köçürmə sistemi vasitəsilə ödənişin qəbulunu təmin etdi (2,2% -ə qarşı 8%).
Webmoney sistemi Rusiyada elektron ödəniş bazarında "qabaqcıllardan" biridir. Hazırda beynəlxalq xarakter daşıyır. Bəzi məlumatlara görə, Webmoney-in təkcə keçmiş SSRİ respublikalarında deyil, xarici ölkələrdə də nümayəndələri var. Sistemin operatoru "VM Center" avtonom qeyri-kommersiya təşkilatıdır.
Webmoney-in iş rejimi elektron nağd pulla işləməyə çox bənzəyir, yalnız diqqətli və dəqiq təhlil faktiki olaraq Webmoney-in ödənişlərin tam anonimliyini təmin etmədiyinə, yəni onların pul sahiblərindən gizlədilmədiyinə əmin olmağa imkan verir. sistemin özləri. Bununla belə, Webmoney təcrübəsi göstərdi ki, bu əmlak kifayət qədər faydalıdır və bəzi hallarda fırıldaqçılıqla mübarizə aparmağa imkan verir. Üstəlik, ayrıca pullu xidmət kimi, VM Center hüquqi və fiziki şəxslərin sertifikatlaşdırılmasını təklif edir ki, bu da təbii olaraq sistemin digər iştirakçılarına münasibətdə onu anonimlikdən məhrum edir. Bu fürsət ilk növbədə vicdanlı elektron mağaza təşkil etmək istəyən və potensial alıcıları öz etibarlılığına inandırmaq niyyətində olanlar üçün lazımdır. Webmoney sizə iki valyutada hesablar açmağa və vəsait köçürməyə imkan verir: rubl və dollar.
Sistemə daxil olmaq üçün “elektron pul kisəsi” proqramından istifadə olunur. Sistemin əlavə xüsusiyyətləri qısa mesajların pul kisəsindən pul kisəsinə ötürülməsi, həmçinin pul kisəsi sahibləri arasında kredit əməliyyatlarıdır. Bununla belə, fikrimizcə, kreditin qaytarılmaması halında onu məcburi şəkildə toplamaq imkanı olmadan internet vasitəsilə anonim şəxslərə borc verməyə razılaşan az adam olacaq.
Paycash-dən fərqli olaraq, Webmoney əvvəlcə bankda ödəniş tapşırıqlarını doldurmaq kimi yorucu prosedurlar olmadan həm adi nağd pulu pul kisəsinə köçürmək, həm də pul kisələrinin içindəkiləri nağdlaşdırmaq imkanı verirdi, lakin hüquqi baxımdan olduqca qəribə bir şəkildə. . Ümumiyyətlə, Webmoney-in təşkilatlarla işləməsi baxımından hüquqi dəstəyi uzun müddətdir ki, çoxsaylı şikayətlərə səbəb olub.
Bu, son istifadəçilərin aktiv şəkildə özləri üçün “pul kisəsi” quraşdırarkən, bir çox elektron mağazanın bu EPS-dən istifadə etməkdən imtina etməsinin səbəbi idi. Düzdür, hazırda bu vəziyyət bir qədər yaxşılaşıb və Webmoney sahiblərinin aktiv marketinq mövqeyi ona gətirib çıxarır ki, sistemin imici daim yaxşılaşır. Biri maraqlı xüsusiyyətlər Bu marketinq strategiyası ondan ibarət idi ki, bazara girdikdən dərhal sonra hər kəsə bu sistemdə pul qazanmaq imkanı verilirdi (bəziləri “Nails” layihəsini və onun sonrakı inkişafını xatırlaya bilər - visiting.ru). Paycash kimi, Webmoney də sistemə pul yatırmaq üçün nəzərdə tutulmuş əvvəlcədən ödənilmiş danışıq kartları buraxır.
Skratç kartlarına əsaslanan iki sistem: E-port (Avtokard-holdinq) və KreditPilot (Kreditpilot.com), əkiz qardaşlar kimidir. Hər ikisi güman edir ki, alıcı əvvəlcə geniş distribütor şəbəkəsinin bir yerində və ya evdə kuryer vasitəsilə sifariş verərək gizli kodu olan skretch kartı alacaq, sonra isə bu sistemlərdən ödənişləri qəbul edən mağazalarla bu koddan istifadə edərək onlayn ödəməyə başlayacaq. E-port əlavə olaraq bank və ya “Webmoney” sistemi vasitəsilə şirkətin hesabına pul köçürməklə “virtual” danışıq kartları yaratmaq imkanı təklif edir.
2001-ci ilin sentyabrında fəaliyyətə başlayan Rapida sistemi, əvvəlki iki sistem kimi, skreç kartları və ya sistemdə iştirak edən bankda ödəniş vasitəsilə istifadəçinin hesabına pul yatırmağı təklif edir. Bundan əlavə, “Müştəri-Bank” rejimində işləmək və pul vəsaitlərinin sistemin iştirakçısı olmayan hüquqi şəxslərin, habelə fiziki şəxslərin hesablarına bank hesabı açmadan köçürülməsinin mümkünlüyü bildirilir. Sistemə giriş təkcə internet vasitəsilə deyil, həm də tonlu yığımdan istifadə etməklə telefonla təmin edilir. Ümumiyyətlə, sistem texnoloji cəhətdən inkişaf etmiş və çox maraqlı görünür, lakin hələ ki, onun işə salınmasından perspektivlər barədə danışmaq üçün kifayət qədər vaxt keçməyib.
Ödənişin şəhərlərarası zənglərdə olduğu kimi həyata keçirilməsinə imkan verən EPS (faktdan sonra, telefon şirkətinin hesab-fakturasına əsaslanaraq) ilk dəfə ABŞ-da peyda olub və pornoqrafik resurslara giriş üçün ödəniş etmək üçün nəzərdə tutulub. Bununla belə, bu cür sistemlərin bir çox sahiblərinin sistematik saxtakarlıq hərəkətləri səbəbindən alıcılar arasında populyarlıq qazana bilmədilər və satıcılar onlardan xüsusilə razı deyildilər, çünki bu sistemlər ödənişləri əhəmiyyətli dərəcədə gecikdirməyə meyllidir.
Bənzər bir konsepsiyanın iki yerli tətbiqi - Phonepay və Eaccess - səyahətin başlanğıcındadır. Hər iki sistem hesab edir ki, ödəniş etmək üçün müştəri 8-809 kodunda müəyyən bir şəhərlərarası nömrəyə zəng etməlidir (görünür, MTU-inform şirkəti tərəfindən verilir), bundan sonra bəzi əsas məlumatlar veriləcəkdir. robot tərəfindən ona diktə edilir.Eaccess-də bu, ödənişli informasiya resursuna daxil olmaq üçün istifadə olunan pin kodu, Phonepay-da isə beş rəqəmdən birinin 12 rəqəmindən ibarət universal “rəqəmsal sikkə”dir. Sistemlərin internet saytlarına nəzər saldıqda qeyd etmək olar ki, e -access hələ də tədricən inkişaf edir, sistemə qoşulan mağazaların sayını artırır, lakin Phonepay-a aid olmayan bir dənə də mağaza qoşulmayıb. tərtibatçılara öz sisteminə.
Fikrimcə, Rusiyada bu cür sistemlərin son istifadəçi tərəfindən onlara giriş asanlığı ilə bağlı çox dəqiq perspektivləri var, lakin onların tətbiqi sahəsi satışla məhdudlaşacaq. informasiya resursları. Ödənişlərin qəbulunda uzun gecikmə (sistem onları alıcının telefon hesabını ödədiyi vaxtdan tez olmayan mağazaya köçürəcək) bu EPS-dən istifadə edərək maddi sərvətlərin ticarətini olduqca sərfəli fəaliyyətə çevirir.
Nəhayət, elektron köçürmə sisteminin başqa bir növünü qeyd etmək lazımdır - ənənəvi poçt və teleqraf köçürmələri ilə rəqabət aparan fiziki şəxslər arasında xüsusi köçürmə sistemləri. Bu yeri ilk tutanlar Western Union və Money Gram kimi xarici sistemlər oldu. Ənənəvi köçürmələrlə müqayisədə onlar ödənişin daha sürətli və etibarlılığını təmin edir. Eyni zamanda, onların bir sıra əhəmiyyətli çatışmazlıqları var, bunlardan əsas biri xidmətlərinin yüksək qiymətidir, transfer məbləğinin 10% -ə çatır. Digər bir problem də ondan ibarətdir ki, bu sistemlər qanuni olaraq malların ödənişlərini sistematik şəkildə qəbul etmək üçün istifadə edilə bilməz. Bununla belə, sadəcə olaraq ailəsinə və dostlarına pul göndərmək istəyənlər üçün diqqətlərini bu sistemlərə, eləcə də özlərinə yönəltmək məntiqlidir. yerli analoqlar(Anelik və Əlaqə). İndiyə qədər nə Paycash, nə də Webmoney onlarla rəqabət apara bilmir, çünki Avstraliya və ya Almaniyanın bir yerində elektron pul kisəsindən çıxararaq nağd pul almaq mümkün deyil. Rapida EPS bu ehtimalı iddia edir, lakin bu günə qədər saytda heç bir təfərrüat yoxdur və sistemin ofislərinin coğrafiyası artıq bazarda mövcud olan sistemlərlə müqayisə edilə bilməz.
Elektron mağazaların sahibləri, görünür, ilk növbədə kredit kartlarından və elektron pul sistemlərindən - Webmoney və Paycash-dən pul qəbul etmək barədə düşünməlidirlər. İstehlakçı xüsusiyyətlərinin cəminə əsaslanaraq, fikrimizcə, Rusiya bazarında kredit kartlarından ödənişlərin qəbulu üçün mövcud olan sistemlərin heç biri CyberPlat ilə rəqabət apara bilməz. Bütün digər sistemlər isteğe bağlı istifadəyə tabedir, xüsusən də eyni E-portun ayrıca quraşdırılmasına ehtiyac olmadığını xatırlayırsınızsa, çünki onun kartlarına CyberPlat tərəfindən xidmət göstərilir.
2. ELEKTRON ÖDƏNİŞ SİSTEMLERİ ÜÇÜN MÜDAFİƏ VASİTƏLƏRİ
2.1 Elektron ödəniş sistemlərindən istifadə ilə bağlı təhlükələr
Gəlin nəzərdən keçirək mümkün təhlükələr təcavüzkarın bu sistemlə bağlı dağıdıcı hərəkətləri. Bunu etmək üçün hücumçunun hücumunun əsas hədəflərinə baxaq. Təcavüzkarın əsas hədəfi maliyyə aktivləri, daha doğrusu, onların elektron əvəzediciləri (surroqatları) - ödəniş sistemində dövriyyədə olan ödəniş tapşırıqlarıdır. Bu alətlərlə əlaqədar olaraq, təcavüzkar aşağıdakı məqsədləri həyata keçirə bilər:
1. Maliyyə aktivlərinin oğurlanması.
2. Saxta maliyyə aktivlərinin tətbiqi (sistemin maliyyə balansının pozulması).
3. Sistem nasazlığı ( texniki təhlükə).
Hücumun göstərilən obyektləri və hədəfləri mücərrəd xarakter daşıyır və məlumatın mühafizəsi üçün zəruri tədbirlərin təhlilinə və işlənib hazırlanmasına imkan vermir, buna görə də Cədvəl 4-də təcavüzkarın dağıdıcı təsirlərinin obyekt və hədəflərinin spesifikasiyası verilmişdir.
Cədvəl 4 Təcavüzkarın mümkün dağıdıcı hərəkətlərinin modeli
| Təsir obyekti | Təsir məqsədi | Təsiri həyata keçirmək üçün mümkün mexanizmlər. |
| Bankın veb serverində HTML səhifələri | Müştəri tərəfindən ödəniş tapşırığına daxil edilmiş məlumatın əldə edilməsi məqsədi ilə əvəzetmə. | Serverə hücum və serverdəki səhifələrin dəyişdirilməsi. Trafikdə səhifələrin dəyişdirilməsi. Müştərinin kompüterinə hücum və müştərinin səhifələrinin dəyişdirilməsi |
| Serverdəki müştəri məlumat səhifələri | Müştərilərin ödənişləri haqqında məlumatların əldə edilməsi | Serverə hücum. Trafik hücumu. Müştərinin kompüterinə hücum. |
| Müştəri tərəfindən forma daxil edilmiş ödəniş tapşırığı məlumatları | Müştəri tərəfindən ödəniş tapşırığına daxil edilmiş məlumatların alınması. | Müştərinin kompüterinə hücum (viruslar və s.). Bu təlimatlar trafik vasitəsilə göndərildikdə onlara hücum. Serverə hücum. |
| Müştərinin kompüterində yerləşən və elektron ödəniş sisteminə aid olmayan şəxsi müştəri məlumatları | Məxfi müştəri məlumatlarının əldə edilməsi. Müştəri məlumatlarının dəyişdirilməsi. Müştərinin kompüterinin söndürülməsi. | Bütün kompleks məlum hücumlarİnternetə qoşulmuş kompüterə. Ödəniş sistemi mexanizmlərinin istifadəsi nəticəsində yaranan əlavə hücumlar. |
| Bankın prosessinq mərkəzindən məlumat. | Prosessinq mərkəzi məlumatlarının açıqlanması və dəyişdirilməsi və yerli şəbəkə banka. | İnternetə qoşulmuş yerli şəbəkəyə hücum. |
Bu cədvəl İnternet vasitəsilə hər hansı bir elektron ödəniş sisteminin təmin etməli olduğu əsas tələbləri göstərir:
Birincisi, sistem ödəniş tapşırığı məlumatlarının icazəsiz dəyişikliklərdən və modifikasiyalardan qorunmasını təmin etməlidir.
İkincisi, sistem təcavüzkarın müştərinin kompüterinə hücum təşkil etmək qabiliyyətini artırmamalıdır.
Üçüncüsü, sistem serverdə yerləşən məlumatları icazəsiz oxunuşdan və dəyişdirilmədən qorumalıdır.
Dördüncüsü, sistem bankın yerli şəbəkəsini qlobal şəbəkənin təsirindən qorumaq üçün sistemi təmin etməli və ya dəstəkləməlidir.
Xüsusi elektron ödəniş məlumatlarının mühafizəsi sistemlərinin inkişafı zamanı, bu model və tələblər əlavə təfərrüatlara tabe olmalıdır. Lakin cari təqdimat üçün belə təfərrüat tələb olunmur.
2.2 Elektron ödəniş sistemlərinin mühafizəsi texnologiyaları
WWW-nin əsasını təşkil edən html səhifələrinin statik mətn olması bir müddət WWW-nin inkişafına mane olurdu, yəni. onların köməyi ilə istifadəçi ilə server arasında interaktiv məlumat mübadiləsini təşkil etmək çətindir. Tərtibatçılar HTML-in imkanlarını bu istiqamətdə genişləndirmək üçün bir çox yollar təklif etdilər, onların çoxu heç vaxt geniş şəkildə qəbul edilmədi. İnternetin inkişafında yeni mərhələni təmsil edən ən güclü həllərdən biri Sunun HTML səhifələrinə qoşulmuş interaktiv komponentlər kimi Java appletlərindən istifadə etmək təklifi idi.
Java tətbiqetməsi Java proqramlaşdırma dilində yazılmış və bəzi virtual kompüterlərin - Java maşınının kodları olan və Intel ailəsi prosessorlarının kodlarından fərqli olan xüsusi bayt kodlarına yığılmış proqramdır. Apletlər İnternetdəki serverdə yerləşdirilir və bu appletə zəng olan HTML səhifəsinə hər dəfə daxil olduqda istifadəçinin kompüterinə endirilir.
Applet kodunu yerinə yetirmək üçün standart brauzer, Intel prosessorlar ailəsində (və ya digər prosessorlar ailəsində) bayt kodları maşın təlimatlarına şərh edən Java mühərrikinin tətbiqini ehtiva edir. Java applet texnologiyasına xas olan imkanlar, bir tərəfdən, güclü inkişaf etdirməyə imkan verir istifadəçi interfeysləri, URL vasitəsilə istənilən şəbəkə resurslarına çıxışı təşkil edir, TCP/IP, FTP və s. protokollardan asanlıqla istifadə edir, lakin, digər tərəfdən, kompüter resurslarına birbaşa daxil olmağı qeyri-mümkün edir. Məsələn, appletlərin girişi yoxdur fayl sistemi kompüter və qoşulmuş cihazlar.
WWW-nin imkanlarını genişləndirmək üçün oxşar həll Microsoft-un texnologiyasıdır - Active X. Bu texnologiya ilə Java arasındakı ən əhəmiyyətli fərq komponentlərin (appletlərin analoqları) koddakı proqramlar olmasıdır. Intel prosessoru və bu komponentlərin bütün kompüter resurslarına, eləcə də Windows interfeyslərinə və xidmətlərinə çıxışı olması faktı.
WWW-nin imkanlarını genişləndirmək üçün daha az yayılmış yanaşma Netscape-in Netscape Navigator texnologiyası üçün Plug-in-dir. Məhz bu texnologiya İnternet vasitəsilə elektron ödənişlər üçün informasiya təhlükəsizliyi sistemlərinin qurulması üçün ən optimal əsas kimi görünür. Əlavə müzakirə üçün bu texnologiyanın Veb server məlumatlarının qorunması problemini necə həll etdiyinə baxaq.
Fərz edək ki, bəzi Web server və administrator var bu serverdən serverin informasiya massivinin bəzi hissəsinə girişi məhdudlaşdırmaq tələb olunur, yəni. elə təşkil edin ki, bəzi istifadəçilər bəzi məlumatlara çıxış əldə etsin, digərləri isə yox.
Hal-hazırda bu problemi həll etmək üçün bir sıra yanaşmalar təklif olunur, xüsusən də çoxları ƏS, İnternet serverlərinin fəaliyyət göstərdiyi, onların bəzi sahələrinə daxil olmaq üçün parol tələb edir, yəni. autentifikasiya tələb olunur. Bu yanaşmanın iki əhəmiyyətli çatışmazlığı var: birincisi, verilənlər serverin özündə aydın mətndə saxlanılır, ikincisi, məlumatlar şəbəkə üzərindən də aydın mətnlə ötürülür. Beləliklə, təcavüzkarın iki hücum təşkil etmək imkanı var: serverin özünə (parolun təxmin edilməsi, parolun keçməsi və s.) və trafikə hücum. Bu cür hücumlarla bağlı faktlar internet ictimaiyyətinə çox məlumdur.
İnformasiya təhlükəsizliyi probleminin həllinə daha bir məşhur yanaşma SSL (Secure Sockets Layer) texnologiyasına əsaslanan yanaşmadır. SSL-dən istifadə edərkən müştəri ilə məlumatların ötürüldüyü server arasında təhlükəsiz rabitə kanalı qurulur, yəni. Şəbəkə üzərindən aydın mətnlə məlumatların ötürülməsi problemini nisbətən həll olunmuş hesab etmək olar. SSL ilə bağlı əsas problem açar sistemin qurulması və ona nəzarətdir. Məlumatların serverdə aydın mətndə saxlanması probleminə gəlincə, o, həll olunmamış qalır.
Yuxarıda təsvir olunan yanaşmaların digər mühüm çatışmazlığı onların həm server, həm də şəbəkə müştəri proqram təminatı tərəfindən dəstəyinə ehtiyac olmasıdır ki, bu da həmişə mümkün və ya rahat olmur. Xüsusilə kütləvi və qeyri-mütəşəkkil müştərilərə yönəlmiş sistemlərdə.
Müəllifin təklif etdiyi yanaşma internetdə əsas məlumat daşıyıcısı olan html səhifələrinin özünün qorunmasına əsaslanır. Qorunmanın mahiyyəti ondan ibarətdir ki, HTML səhifələri olan fayllar serverdə şifrələnmiş formada saxlanılır. Bu halda, onların şifrələndiyi açar yalnız onu şifrələyən şəxsə (inzibatçıya) və müştərilərə məlumdur (ümumiyyətlə, açar sisteminin qurulması problemi şəffaf fayl vəziyyətində olduğu kimi həll olunur) şifrələmə).
Müştərilər Netscape Plug-in for Netscape texnologiyasından istifadə edərək təhlükəsiz məlumat əldə edir. Bu modullar proqramlardır, daha doğrusu proqram komponentləri MIME standartında müəyyən fayl növləri ilə əlaqəli olan. MIME İnternetdə fayl formatlarını təyin edən beynəlxalq standartdır. Məsələn, aşağıdakı fayl növləri mövcuddur: text/html, text/plane, image/jpg, image/bmp və s. Bundan əlavə, standart təyinetmə mexanizmini müəyyənləşdirir xüsusi növlər müstəqil tərtibatçılar tərəfindən müəyyən edilə və istifadə edilə bilən fayllar.
Beləliklə, xüsusi MIME fayl növləri ilə əlaqəli plaginlərdən istifadə olunur. Əlaqə ondan ibarətdir ki, istifadəçi müvafiq tipli fayllara daxil olduqda, brauzer onunla əlaqəli Plug-ini işə salır və bu modul fayl məlumatlarını vizuallaşdırmaq və istifadəçinin bu fayllarla hərəkətlərini emal etmək üçün bütün hərəkətləri yerinə yetirir.
Ən məşhur plug-in modullarına avi formatında videoları oynadan modullar daxildir. Bu fayllara baxmaq brauzerlərin standart imkanlarına daxil deyil, lakin müvafiq Plug-in quraşdırmaqla siz bu faylları brauzerdə asanlıqla görə bilərsiniz.
Bundan əlavə, bütün şifrələnmiş fayllar müəyyən edilmiş beynəlxalq standarta uyğun olaraq MIME tipli fayllar kimi müəyyən edilir. "application/x-shp". Daha sonra fayl növü ilə əlaqələndirmək üçün Netscape texnologiyası və protokollarından istifadə edərək Plug-in hazırlanır. Bu modul iki funksiyanı yerinə yetirir: birincisi, parol və istifadəçi identifikatoru tələb edir, ikincisi, faylın şifrəsini açmaq və brauzer pəncərəsinə çıxarmaq işini görür. Bu modul bütün müştəri kompüterlərinin brauzerlərində Netscape tərəfindən müəyyən edilmiş standart sıraya uyğun olaraq quraşdırılır.
Bu anda işin hazırlıq mərhələsi başa çatır və sistem işə hazırdır. Əməliyyat zamanı müştərilər standart ünvanlarından (URL) istifadə edərək şifrələnmiş HTML səhifələrinə daxil olurlar. Brauzer bu səhifələrin növünü müəyyən edir və bizim hazırladığımız modulu avtomatik işə salır, ona şifrələnmiş faylın məzmununu ötürür. Modul müştərinin autentifikasiyasını həyata keçirir və uğurla başa çatdıqdan sonra səhifənin məzmununu açır və göstərir.
Bütün bu proseduru yerinə yetirərkən, müştəri səhifələrin "şəffaf" şifrələnməsi hissini alır, çünki yuxarıda təsvir edilən sistemin bütün işləri onun gözlərindən gizlidir. Eyni zamanda, html səhifələrinə xas olan bütün standart xüsusiyyətlər, məsələn, şəkillərdən istifadə, Java appletləri, CGI skriptləri qorunur.
Bu yanaşmanın bir çox informasiya təhlükəsizliyi problemlərini həll etdiyini görmək asandır, çünki açıq formada o, yalnız müştərilərin kompüterlərində yerləşir, məlumat şifrələnmiş formada şəbəkə üzərindən ötürülür. İnformasiya əldə etmək məqsədi güdən təcavüzkar yalnız konkret istifadəçiyə hücum edə bilər və heç bir server informasiya təhlükəsizliyi sistemi bu hücumdan qoruya bilməz.
Hazırda müəllif Netscape Navigator (3.x) brauzeri və Netscape Communicator 4.x üçün təklif olunan yanaşma əsasında iki informasiya təhlükəsizliyi sistemi işləyib hazırlayıb. ərzində ön sınaq Məlum olub ki, hazırlanmış sistemlər MExplorer-in nəzarəti altında normal fəaliyyət göstərə bilir, lakin bütün hallarda deyil.
Qeyd etmək vacibdir ki, sistemlərin bu versiyaları HTML səhifəsi ilə əlaqəli obyektləri şifrələmir: şəkillər, skript appletləri və s.
Sistem 1 tək obyekt kimi faktiki html səhifələrinin qorunmasını (şifrələnməsini) təklif edir. Siz bir səhifə yaradırsınız və sonra onu şifrələyirsiniz və serverə köçürürsünüz. Şifrələnmiş səhifəyə daxil olduqda, o, avtomatik olaraq şifrələnir və xüsusi pəncərədə göstərilir. Server proqram təminatından təhlükəsizlik sistemi dəstəyi tələb olunmur. Bütün şifrələmə və deşifrə işləri müştərinin iş stansiyasında aparılır. Bu sistem universaldır, yəni. səhifənin strukturundan və məqsədindən asılı deyil.
Sistem 2 müdafiəyə fərqli yanaşma təklif edir. Bu sistem qorunan məlumatların səhifənizin müəyyən hissəsində göstərilməsini təmin edir. Məlumat serverdə şifrələnmiş fayldadır (mütləq html formatında deyil). Səhifənizə daxil olduqda, təhlükəsizlik sistemi avtomatik olaraq bu fayla daxil olur, ondan məlumatları oxuyur və onu səhifənin müəyyən hissəsində göstərir. Bu yanaşma minimal çox yönlülüklə maksimum səmərəlilik və estetik gözəlliyə nail olmağa imkan verir. Bunlar. sistemin müəyyən bir məqsədə yönəldiyi ortaya çıxır.
Bu yanaşma internet vasitəsilə elektron ödəniş sistemlərinin qurulması zamanı da tətbiq oluna bilər. Bu halda, Veb serverin müəyyən səhifəsinə daxil olduqda, istifadəçiyə ödəniş sifarişi formasını göstərən Plug-in modulu işə salınır. Müştəri onu doldurduqdan sonra modul ödəniş məlumatlarını şifrələyir və serverə göndərir. Eyni zamanda o, istifadəçidən elektron imza tələb edə bilər. Üstəlik, şifrələmə və imza açarları istənilən mediadan oxuna bilər: disketlər, elektron planşetlər, smart kartlar və s.
2.3 Elektron ödəniş sistemləri üçün əsas tələblərə uyğunluq texnologiyalarının təhlili
Yuxarıda biz İnternet üzərindən ödəniş sistemlərinin qurulması üçün istifadə oluna bilən üç texnologiyanı təsvir etdik: bu, Java tətbiqetmələri, Active-X komponentləri və plug-in modullarına əsaslanan texnologiyadır. Gəlin onları müvafiq olaraq J, AX və P texnologiyaları adlandıraq.
Təcavüzkarın kompüterə hücum etmək qabiliyyətinin artırılmaması tələbini nəzərə alın. Bunu etmək üçün, mümkün hücum növlərindən birini təhlil edək - müvafiq müştəri müdafiə modullarının təcavüzkar tərəfindən dəyişdirilməsi. J texnologiyası vəziyyətində bunlar appletlər, AX vəziyyətində sualtı komponentlər, P vəziyyətində bunlar plug-in modullarıdır. Aydındır ki, təcavüzkarın mühafizə modullarını birbaşa müştərinin kompüterində əvəz etmək imkanı var. Bu hücumun həyata keçirilməsi mexanizmləri bu təhlilin əhatə dairəsi xaricindədir, lakin qeyd etmək lazımdır ki, bu hücumun həyata keçirilməsi sözügedən müdafiə texnologiyasından asılı deyil. Və hər bir texnologiyanın təhlükəsizlik səviyyəsi eynidir, yəni. onların hamısı bu hücuma eyni dərəcədə qeyri-sabitdir.
Əvəzetmə baxımından J və AX texnologiyalarında ən həssas nöqtə onların İnternetdən yüklənməsidir. Məhz bu anda hücumçu əvəzetmə həyata keçirə bilər. Üstəlik, təcavüzkar bankın serverində bu modulları əvəz edə bilsə, o, İnternetdə dolaşan ödəniş sistemi məlumatlarının bütün həcmlərinə çıxış əldə edir.
P texnologiyası vəziyyətində əvəzetmə təhlükəsi yoxdur, çünki modul şəbəkədən endirilməmişdir - o, daimi olaraq müştərinin kompüterində saxlanılır.
Əvəzetmənin nəticələri fərqlidir: J-texnologiyası vəziyyətində təcavüzkar yalnız müştərinin daxil etdiyi məlumatları oğurlaya bilər (bu, ciddi təhlükədir), Active-X və Plug-in vəziyyətində isə təcavüzkar kompüterdə işləyən müştərinin daxil olduğu hər hansı məlumatı əldə etmək.
Hazırda müəllif Java proqramlarının saxtalaşdırılması hücumlarının həyata keçirilməsi üçün xüsusi üsullardan xəbərdar deyil. Görünür, bu hücumlar zəif inkişaf edir, çünki nəticədə məlumat oğurlamaq üçün imkanlar praktiki olaraq yoxdur. Lakin Active-X komponentlərinə hücumlar geniş yayılmış və yaxşı məlumdur.
İnternet vasitəsilə elektron ödəniş sistemində dövr edən məlumatların mühafizəsi tələbini nəzərdən keçirək. Aydındır ki, bu halda J texnologiyası çox əhəmiyyətli bir məsələdə həm P, həm də AX-dan aşağıdır. İnformasiya təhlükəsizliyinin bütün mexanizmləri şifrələmə və ya elektron imzaya əsaslanır və bütün müvafiq alqoritmlər əsas elementlərin tətbiqini tələb edən kriptoqrafik çevrilmələrə əsaslanır. Hazırda əsas elementlərin uzunluğu 32-128 bayt təşkil edir, ona görə də istifadəçidən onları klaviaturadan daxil etməyi tələb etmək demək olar ki, mümkün deyil. Sual yaranır: onlara necə daxil olmaq olar? P və AX texnologiyalarının kompüter resurslarına çıxışı olduğundan, bu problemin həlli aydındır və hamıya məlumdur - açarlar yerli fayllardan, disketlərdən, planşetlərdən və ya smart kartlardan oxunur. Lakin J texnologiyası vəziyyətində bu cür giriş mümkün deyil, bu o deməkdir ki, ya müştəridən mənasız məlumatların uzun ardıcıllığını daxil etməyi tələb etməlisən, ya da əsas elementlərin uzunluğunu azaltmaqla kriptoqrafik çevrilmələrin gücünü azaltmalı və buna görə də məlumatı azaltmalısan. təhlükəsizlik mexanizmlərinin etibarlılığı. Üstəlik, bu azalma çox əhəmiyyətlidir.
Elektron ödəniş sisteminin serverdə yerləşən məlumatların icazəsiz oxunmasından və dəyişdirilməsindən qorunmasını təşkil etməli olduğu tələbini nəzərdən keçirək. Bu tələb ondan irəli gəlir ki, sistem istifadəçi üçün nəzərdə tutulmuş məxfi məlumatların serverdə yerləşdirilməsini nəzərdə tutur. Məsələn, emal nəticələri haqqında qeyd ilə ona göndərilən ödəniş tapşırıqlarının siyahısı.
P texnologiyası vəziyyətində bu məlumat şifrələnmiş və serverdə yerləşdirilən HTML səhifələri şəklində təqdim olunur. Bütün hərəkətlər yuxarıda təsvir olunan alqoritmə uyğun olaraq həyata keçirilir (HTML səhifələrinin şifrələnməsi).
J və AX texnologiyaları vəziyyətində, bu məlumat serverdəki faylda hansısa strukturlaşdırılmış formada yerləşdirilə bilər və komponentlər və ya appletlər verilənlərin oxunması və vizuallaşdırılması əməliyyatlarını yerinə yetirməlidir. Bütün bunlar ümumiyyətlə appletlərin və komponentlərin ümumi ölçüsünün artmasına və nəticədə müvafiq səhifələrin yüklənmə sürətinin azalmasına səbəb olur.
Bu tələb baxımından P texnologiyası daha çox istehsal qabiliyyətinə görə qalib gəlir, yəni. daha aşağı inkişaf yükü və şəbəkədən keçərkən komponentlərin dəyişdirilməsinə daha böyük müqavimət.
Bank yerli şəbəkəsinin qorunması ilə bağlı sonuncu tələbə gəlincə, o, firewall (firewall) sisteminin səlahiyyətli qurulması yolu ilə yerinə yetirilir və sözügedən texnologiyalardan asılı deyildir.
Beləliklə, yuxarıda göstərilənlər ilkin olaraq həyata keçirildi müqayisəli təhlil J, AX və P texnologiyaları, bundan belə nəticə çıxır ki, müştərinin kompüterinin təhlükəsizlik dərəcəsinin qorunması elektron ödəniş sistemlərində istifadə olunan kriptoqrafik çevrilmələrin gücündən əhəmiyyətli dərəcədə əhəmiyyətlidirsə, J texnologiyasından istifadə edilməlidir.
Texnologiya P ödəniş informasiya təhlükəsizliyi sistemlərinin əsasını təşkil edən ən optimal texnoloji həll kimi görünür, çünki o, gücü birləşdirir. standart tətbiq Win32 və İnternet vasitəsilə hücumlardan qorunma. Bu texnologiyadan istifadə edərək layihələrin praktiki və kommersiya tətbiqi, məsələn, Rusiya Maliyyə Kommunikasiyaları şirkəti tərəfindən həyata keçirilir.
AX texnologiyasına gəldikdə, onun istifadəsi səmərəsiz və müdaxilə edənlərin hücumlarına qarşı qeyri-sabit görünür.
NƏTİCƏ
Elektron pul getdikcə daha aydın şəkildə bizim gündəlik reallığımıza çevrilməyə başlayır ki, bu da ən azı nəzərə alınmalıdır. Təbii ki, yaxın əlli ildə (yəqin ki,) heç kim adi pulu ləğv etməyəcək. Amma elektron pulları idarə edə bilməmək və onların gətirdiyi imkanları əldən vermək, son on beş ildə bu qədər çətinliklə hərəkətə gətirilən öz ətrafına könüllü olaraq “dəmir pərdə” çəkmək deməkdir. Bir çox iri şirkətlər öz xidmətləri və malları üçün elektron ödənişlər vasitəsilə ödəniş təklif edirlər. Bu, istehlakçıya çox vaxt qənaət edir.
Elektron cüzdanınızı açmaq və pulla işləmək üçün pulsuz proqram kütləvi kompüterlər üçün maksimum uyğunlaşdırılmışdır və bir az təcrübədən sonra adi istifadəçi üçün heç bir problem yaratmır. Bizim dövrümüz kompüterlər, internet və e-ticarət dövrüdür. Bu sahələrdə biliyə və müvafiq alətlərə sahib olan insanlar böyük uğurlar əldə edirlər. Elektron pullar internetə çıxışı olan bir şəxs üçün hər gün daha geniş yayılan, getdikcə daha çox imkanlar açan pullardır.
Hesablama və qrafik işin məqsədi aşağıdakı vəzifələri yerinə yetirmək və həll etmək idi:
1. Elektron ödəniş sistemlərinin əsas vəzifələri və onların fəaliyyət prinsipləri, xüsusiyyətləri müəyyən edilir.
2. Əsas elektron ödəniş sistemləri təhlil edilir.
3. Elektron puldan istifadə ilə bağlı təhlükələr təhlil edilir.
4. Elektron ödəniş sistemlərindən istifadə zamanı mühafizə vasitələri təhlil edilir.
BİBLİOQRAFİK SİYAHISI
1. Antonov N.G., Pessel M.A. Pul dövriyyəsi, kredit və banklar. -M.: Finstatinform, 2005, s.179-185.
2. Bank portfeli - 3. -M.: Somintek, 2005, s.288-328.
3. Mixaylov D.M. Beynəlxalq ödənişlər və zəmanətlər. M.: FBK-PRESS, 2008, s. 20-66.
4. Polyakov V.P., Moskovkina L.A. Mərkəzi bankların strukturu və funksiyaları. Xarici təcrübə: Dərslik. - M.: İNFRA-M, 2006.
5. Qaykoviç Yu.V., Perşin A.S. Elektron bank sistemlərinin təhlükəsizliyi. - M: Birləşmiş Avropa, 2004
6. Demin V.S. və başqaları.Avtomatlaşdırılmış bank sistemləri. - M: Menatep-İnform, 2007
7. Krisin V.A. Biznes təhlükəsizliyi. - M: Maliyyə və Statistika, 2006
8. Linkov İ.İ. və başqaları.Kommersiya strukturlarında informasiya bölmələri: necə sağ qalmaq və uğur qazanmaq. - M: NIT, 2008
9. Titorenko G.A. və başqaları Bank fəaliyyətinin kompüterləşdirilməsi. - M: Finstatinform, 2007
10. Tuşnolobov İ.B., Urusov D.P., Yartsev V.İ. Paylanmış şəbəkələr. - Sankt-Peterburq: Peter, 2008
12. Aqlitsky I. Rusiya banklarının informasiya təminatının vəziyyəti və perspektivləri. - Bank texnologiyaları, 2007 No 1.
Repetitorluq
Mövzunu öyrənmək üçün kömək lazımdır?
Mütəxəssislərimiz sizi maraqlandıran mövzularda məsləhətlər verəcək və ya repetitorluq xidmətləri göstərəcək.
Ərizənizi təqdim edin konsultasiya əldə etmək imkanını öyrənmək üçün mövzunu indi göstərərək.
3. Elektron ödənişlərin qorunması
Bankın təhlükəsizliyi problemi xüsusilə aktualdır, çünki bank məlumatları, birincisi, real pulu təmsil edir, ikincisi, çoxlu sayda bank müştərilərinin məxfi maraqlarına toxunur.
2000-ci ildə e-ticarət bazarının ölçüsü
| Bazarın ölçüsü və xüsusiyyətləri | Təxmini, dollar |
| Bütün İnternet məhsulu alışlarının ümumi dəyəri | 4,5-6 mlrd |
| Orta alıcıya düşən bütün alışların ümumi dəyəri | 600-800 |
| Bir İnternet əməliyyatına görə orta alış dəyəri | 25-35 |
| İnternet alış əməliyyatlarının tam həcmi | 130-200 milyon |
| Onlayn məhsul alışlarının payı | 60-70% |
| Çatdırılmış malların alış payı | 30-40% |
Elektron ödəniş sistemlərinin işləməsinin ümumi sxemi
Sistemlə müqavilə bağlamış və müvafiq lisenziya almış bank iki funksiyada çıxış edə bilər - bu sistemin bütün digər iştirakçı banklar tərəfindən ödənişə qəbul edilən ödəniş alətlərinin emitenti kimi və ekvayinq bankı, xidmət göstərən müəssisələr kimi. bu sistemin digər emitentlər tərəfindən buraxılmış ödəniş alətlərini ödəniş üçün qəbul etmək və bu ödəniş vasitələrini öz filiallarında nağdlaşdırmaya qəbul etmək.
Ödənişin qəbulu proseduru olduqca sadədir. İlk növbədə, müəssisənin kassiri müvafiq xüsusiyyətlərdən istifadə edərək kartın həqiqiliyini yoxlamalıdır.
Şirkət ödəniş edərkən müştərinin kart rekvizitlərini surətçıxarma maşını - imprinter vasitəsi ilə xüsusi çekə köçürməli, çekə alışın edildiyi və ya xidmətlər göstərildiyi məbləği daxil etməli və müştərinin imzasını almalıdır.
Bu şəkildə verilən çekə slip deyilir. Tranzaksiyaların təhlükəsiz aparılması üçün ödəniş sistemi icazəsiz ödənişlərin həyata keçirilə biləcəyi müxtəlif regionlar və biznes növləri üçün məbləğlər üzrə aşağı hədləri tövsiyə edir. Limit həddi keçərsə və ya müştərinin şəxsiyyətinə şübhə yaranarsa, şirkət avtorizasiya prosesini həyata keçirməyə borcludur.
Prosedurun texniki aspektlərinə toxunmadan qeyd edirik ki, avtorizasiya zamanı şirkət faktiki olaraq müştərinin hesabının vəziyyəti haqqında məlumat əldə edir və bununla da müştərinin kartın sahibliyini və onun ödəmə qabiliyyətini müəyyən etmək imkanı əldə edir. əməliyyatın məbləğində. Slipin bir nüsxəsi şirkətdə qalır, ikincisi müştəriyə verilir, üçüncüsü alıcı banka təhvil verilir və müştərinin hesabından şirkətə ödəniş məbləğinin ödənilməsi üçün əsas rolunu oynayır.
Son illərdə POS-terminallar geniş populyarlıq qazanıb, onlardan istifadə edərək vərəqələri doldurmağa ehtiyac yoxdur. Kartın təfərrüatları POS-terminalda quraşdırılmış oxucunun maqnit zolağından oxunur, əməliyyat məbləği klaviaturadan daxil edilir və terminal daxili modem vasitəsilə müvafiq ödəniş sisteminə avtorizasiya üçün müraciət edir. Bu zaman prosessinq mərkəzinin texniki imkanlarından istifadə edilir ki, onun xidmətləri bank tərəfindən tacirə təqdim edilir. Bu halda, şirkət müştərinin imza nümunəsi və əməliyyat gününün sonunda terminalın yaratdığı paket faylları olan kassa aparatının surəti ilə banka hesabat verir.
Son illərdə getdikcə daha çox diqqət yetirilir mikroprosessor kartlarından istifadə edən bank sistemləri.
Xarici olaraq, bu yaddaş daşıyıcıları kartın içərisində lehimlənmiş yaddaş çipi və ya mikroprosessor və onun səthində göstərilən əlaqə lövhəsi ləçəkləri istisna olmaqla, adi kartlardan heç bir fərqi yoxdur.
Bu kartların yuxarıda göstərilənlərdən əsas fərqi odur ki, onlar özləri tranzit hesab olduqları üçün müştərinin hesabının vəziyyəti haqqında məlumatı birbaşa daşıyırlar. Aydındır ki, belə kartların hər bir toplama məntəqəsi xüsusi POS terminalla (çip oxuyucusu ilə) təchiz olunmalıdır.
Kartdan istifadə edə bilmək üçün müştəri onu bank terminalındakı hesabından yükləməlidir. Dialoq kartı - terminal və ya müştəri kartı - ticarət kartı zamanı bütün əməliyyatlar OFF-LINE rejimində aparılır.
Belə bir sistem çipin yüksək dərəcədə təhlükəsizliyi və tam debet ödəniş sxemi sayəsində demək olar ki, tamamilə təhlükəsizdir. Bundan əlavə, kartın özü adi kartdan xeyli baha olsa da, OFF-LINE rejiminin telekommunikasiya yükündən istifadə etməməsi səbəbindən əməliyyat zamanı sistem daha da ucuz olur.
Plastik bank kartları ilə elektron ödənişlər müxtəlif növlər“Bank 1 - Müştəri - Müəssisə - Bank 2” zəncirində hesablaşmalar və “Bank 1 - ... - Bank N” tipli banklararası hesablaşmalar üçün kifayət qədər çevik və universal mexanizmdir. Bununla belə, bu ödəniş alətlərinin çox yönlü olması onları fırıldaqçılıq üçün xüsusilə cəlbedici hədəfə çevirir. Sui-istifadə ilə bağlı itkilərin illik dəyəri ümumi dövriyyə ilə müqayisədə nisbətən kiçik olsa da, əhəmiyyətli məbləğ təşkil edir.
Təhlükəsizlik sistemini və onun inkişafını plastik kartlarla qeyri-qanuni əməliyyatlar üsullarından təcrid etmək olmaz ki, bunlar da aşağıdakılara bölünə bilər: Cinayətlərin 5 əsas növü.
1. Saxta kartlarla əməliyyatlar.
Bu növ fırıldaqçılıq ödəniş sistemindəki itkilərin ən böyük hissəsini təşkil edir. Real kartların yüksək texniki və texnoloji təhlükəsizliyinə görə, evdə hazırlanmış kartlar son vaxtlar nadir hallarda istifadə olunur və sadə diaqnostikadan istifadə etməklə müəyyən edilə bilər.
Bir qayda olaraq, saxtakarlıq üçün oğurlanmış kart blanklarından istifadə olunur, onların üzərində bank və müştəri rekvizitləri tətbiq olunur. Cinayətkarlar texniki cəhətdən yüksək səviyyədə təchiz olunaraq, hətta kartın maqnit zolağına məlumat yaza və ya onu köçürə, bir sözlə saxtakarlığı yüksək səviyyədə həyata keçirə bilirlər.
Bu cür hərəkətlərin təqsirkarları, bir qayda olaraq, mütəşəkkil cinayətkar qruplardır, bəzən emitent bankların müştəri hesabları və əməliyyat prosedurları haqqında məlumatlara çıxışı olan əməkdaşları ilə əlbir olurlar. Beynəlxalq kriminal ictimaiyyətə hörmətlə yanaşaraq qeyd etmək lazımdır ki, saxta kartlar Rusiyada bank bazarının bu sektorunun inkişafının başlanğıcı ilə demək olar ki, eyni vaxtda peyda olub.
2. Oğurlanmış/itirilmiş kartlarla əməliyyatlar.
Yalnız fırıldaqçı müştərinin PİN kodunu bildiyi halda oğurlanmış kartdan istifadə etməklə böyük ziyan vurmaq mümkündür. Sonra oğurlanmış kartı verən bank onu elektron stop siyahısına (etibarsız kartların siyahısı) salmağa vaxt çatmazdan əvvəl elektron kassalar şəbəkəsi - bankomatlar vasitəsilə müştərinin hesabından böyük məbləği çıxarmaq mümkün olur.
3. Xidmətlər və mallar üçün çoxsaylı ödənişlər “mərtəbə limitindən” artıq olmayan və icazə tələb etməyən məbləğlər üçün. Ödəniş etmək üçün cinayətkar yalnız müştərinin imzasını saxtalaşdırmalıdır. Ancaq bu sxemlə ən cəlbedici sui-istifadə obyekti əlçatmaz olur - nağd pul. Bu kateqoriyaya emitent bank tərəfindən poçt vasitəsilə müştərilərinə göndərilərkən oğurlanmış kartların daxil olması ilə bağlı cinayətlər daxildir.
4. Poçt/Telefon Sifarişi Fırıldaqçılığı.
Bu cinayət növü müştərinin poçt və ya telefon sifarişi ilə malların və xidmətlərin çatdırılması xidmətinin inkişafı ilə əlaqədar yaranıb. Cinayətkar qurbanının kredit kartının nömrəsini bilərək, onu sifariş blankında göstərə və müvəqqəti yaşayış yerində sifariş aldıqdan sonra qaça bilər.
5. Hesabdan çoxlu pul çıxarılması.
Bu cinayətlər adətən işçilər tərəfindən törədilir hüquqi şəxs, kredit kartı ilə müştəridən mal və xidmətlərə görə ödənişin qəbul edilməsi və bir ödəniş faktı üzrə bir neçə ödəniş çekinin verilməsi ilə həyata keçirilir. Təqdim edilmiş çeklərə əsasən şirkətin hesabına satılan malların və ya göstərilən xidmətlərin dəyərindən daha çox vəsait daxil olur. Lakin bir sıra əməliyyatları başa vurduqdan sonra cinayətkar müəssisəni bağlamağa və ya tərk etməyə məcbur olur.
Belə hərəkətlərə yol verməmək üçün kart istifadəçilərinə əməliyyatlar apararkən (az məbləğdə olsa belə) imzalanan sənədlərə daha diqqətli olmaları tövsiyə olunur.
Təhlükəsizlik şöbələrinin istifadə etdiyi üsulları iki əsas kateqoriyaya bölmək olar. Birinci və bəlkə də ən vacib səviyyə plastik kartın özünün texniki təhlükəsizliyi ilə bağlıdır. İndi əminliklə deyə bilərik ki, texnoloji nöqteyi-nəzərdən kart əskinaslardan daha yaxşı qorunur və mürəkkəb texnologiyalardan istifadə etmədən onu özünüz hazırlamaq demək olar ki, mümkün deyil.
İstənilən ödəniş sisteminin kartları ciddi şəkildə müəyyən edilmiş standartlara cavab verir. Xəritənin standart forması var. Sistemdəki bankın identifikasiya nömrəsi (BIN kodu) və müştərinin bank hesabının nömrəsi, onun adı və soyadı, kartın istifadə müddəti qabartılır və kartın üz tərəfində ciddi şəkildə müəyyən edilmiş mövqelərdə yerləşdirilir. Həmçinin holoqrafik şəkildə hazırlanmış ödəniş sistemi simvolu da var. Kart nömrəsinin son dörd rəqəmi bilavasitə holoqrafik simvolun üzərinə qabartılır (relyeflə sıxılır) və bu, simvolu məhv etmədən holoqramı köçürməyi və ya kodu yenidən qabartmağı qeyri-mümkün edir.
Kartın arxa tərəfində maqnit zolağı və sahibinin imza nümunəsi olan sahə var. Ödəniş sisteminin özünün təfərrüatları, təhlükəsizlik nişanları, məlumatın surətinin çıxarılmasına mane olan simvollar maqnit zolağında ciddi şəkildə müəyyən edilmiş mövqelərdə və kriptoqrafik alqoritmlərdən istifadə edilməklə qeyd olunur, kartın üz tərəfində çap olunmuş məlumatların təkrarlanması həyata keçirilir. Sahibinin imza nümunəsi sahəsi xüsusi örtüklüdür. İmzanı silmək və ya irəli sürmək üçün ən kiçik cəhddə örtük məhv edilir və ödəniş sisteminin təhlükəsizlik simvolları ilə fərqli rəngli substrat görünür.
Kartın qalan sahəsi tamamilə emitent bankın sərəncamındadır və bankın simvolları, onun reklamı və müştərilər üçün lazım olan məlumatlarla ixtiyari şəkildə bəzədilmişdir. Kartın özü yalnız ultrabənövşəyi işıq altında görünən simvollarla qorunur.
Texniki mühafizə tədbirlərinə həmçinin bank rabitəsinin, bank şəbəkələrinin qeyri-qanuni müdaxilələrdən, nasazlıqlardan və məlumatların sızmasına və ya hətta məhvinə səbəb olan digər xarici təsirlərdən qorunması da daxildir. Mühafizə proqram və aparat tərəfindən həyata keçirilir və səlahiyyətli ödəniş sistemi təşkilatları tərəfindən sertifikatlaşdırılır.
Mühafizə tədbirlərinin ikinci kateqoriyasına plastik kartlarla işləmək üçün bank şöbələrindən məlumat sızmasının qarşısının alınması tədbirləri daxildir. Əsas prinsip işçilərin rəsmi vəzifələrinin dəqiq müəyyən edilməsi və buna uyğun olaraq məxfi məlumatlara çıxışın iş üçün tələb olunan minimumdan çox olmayan dərəcədə məhdudlaşdırılmasıdır.
Bu tədbirlər cinayətkarların işçilərlə sövdələşmə riskini və ehtimalını azaldır. İşçilərin bacarıqlarını artırmaq üçün tematik seminarlar keçirilir. Ödəniş sistemləri mütəmadi olaraq təhlükəsizlik bülletenləri paylayır, burada kartlarla bağlı cinayətlər haqqında rəsmi material və statistik məlumatlar dərc olunur, cinayətkarların əlamətləri və saxta kartların qanunsuz dövriyyəyə daxil olmasının əlamətləri barədə məlumat verir. Bülletenlər vasitəsilə əməkdaşlar öyrədilir və cinayətlərin azaldılmasına yönəlmiş profilaktik və xüsusi tədbirlər təşkil edilir.
Şöbə işçilərinin kadr seçiminə xüsusi diqqət yetirilir. Bütün təhlükəsizlik məsələləri xüsusi bir təhlükəsizlik işçisinin məsuliyyətidir. Profilaktik tədbirlər arasında ən mühüm yeri “plastik pullarla” rəftarın mədəni səviyyəsini yüksəltməyə yönəlmiş müştərilərlə iş tutur. Kartla diqqətli və ehtiyatlı davranmaq cinayətin qurbanı olmaq ehtimalını xeyli azaldır.
Elektron hesablaşma və ödəniş sistemində pozuntuların təhlili
Mütəxəssislər arasında yaxşı məlumdur ki, Norveçin İkinci Dünya Müharibəsində sürətlə yıxılması, əsasən, Britaniya Kral Donanmasının kodlarının alman kriptoqrafları tərəfindən sındırılması ilə əlaqədardır. Onlar əvvəlki illərdə Kral Donanmasının 40 nömrəli otağının mütəxəssislərinin Almaniyaya qarşı istifadə etdikləri üsullarla eyni üsullardan istifadə ediblər. müharibə.
İkinci Dünya Müharibəsindən bəri hökumətin kriptoqrafiyadan istifadəsinə dair məxfilik pərdəsi qaldırılıb. Bu təəccüblü deyil və təkcə soyuq müharibə ilə bağlı deyil, həm də bürokratların (hər hansı bir təşkilatda) öz səhvlərini etiraf etmək istəməmələri ilə bağlıdır.
ATM fırıldaqçılığının əslində törədildiyi bəzi üsullara nəzər salaq. Məqsəd dizaynerlərin öz məhsulunun nəzəri toxunulmazlığına yönəlmiş fikirlərini təhlil etmək və baş verənlərdən dərs almaqdır.
Çox texniki hiylələr olmadan həyata keçirilə bilən bir neçə növ fırıldaqları, habelə onların baş verməsinə imkan verən bank prosedurlarını göstərən bir neçə sadə nümunə ilə başlayaq.
Məlumdur ki, müştərinin kartındakı maqnit zolağında yalnız onun hesab nömrəsi olmalıdır və onun şəxsi identifikasiya nömrəsi (PİN) hesab nömrəsinin şifrələnməsi və nəticədən dörd rəqəm götürülməsi yolu ilə əldə edilir. Beləliklə, bankomat şifrələməni həyata keçirə və ya başqa bir şəkildə PİN-in doğrulamasını həyata keçirə bilməlidir (məsələn, interaktiv sorğu).
İngiltərədəki Winchester Crown Məhkəməsi bu yaxınlarda sadə, lakin təsirli bir sxemdən istifadə edən iki cinayətkarı məhkum etdi. Onlar bankomatlarda növbələrə dayanıb, müştərilərin PİN-kodlarına baxıb, bankomatın rədd etdiyi kartları götürüb və onlardan hesab nömrələrini boş kartlara köçürüb, müştərilərin hesablarını soymaq üçün istifadə ediblər.
Bu hiylə bir neçə il əvvəl Nyu-York bankında istifadə edilmişdi (və bildirildi). Hadisəni törədən şəxs işdən qovulmuş bankomat texniki işçisi olub və ərazidə mühafizə xidməti olan bank onu tutarkən 80 min dolları oğurlamağı bacarıb.
Bu hücumlar uğurlu olub, çünki banklar müştərinin bütün hesab nömrəsini bank kartına çap edib və bundan əlavə, maqnit zolağında kriptoqrafik artıqlıq olmayıb. Düşünərdiniz ki, New York Bank-ın dərsi alınacaq, amma yox.
Texniki hücumun başqa bir növü bir çox bankomat şəbəkələrinin əməliyyata icazə verərkən mesajları şifrələməməsinə və autentifikasiya prosedurlarını yerinə yetirməməsinə əsaslanır. Bu o deməkdir ki, təcavüzkar bankdan ATM-ə “Ödənişə icazə verirəm” cavabını yaza və sonra bankomat boş olana qədər qeydi təkrarlaya bilər. “Visserasiya” kimi tanınan bu üsul təkcə kənar hücumçular tərəfindən istifadə edilmir. Bank operatorlarının cinayət ortaqları ilə birlikdə bankomatları “bağırlamaq” üçün şəbəkəyə nəzarət cihazından istifadə etdiyi məlum bir hal var.
Test əməliyyatları problemin başqa bir mənbəyidir
Bir növ bankomat üçün on notun paylanmasını yoxlamaq üçün on dörd rəqəmli açar ardıcıllığından istifadə edilmişdir. Müəyyən bir bank bu ardıcıllığı uzaq bankomatlardan istifadə üçün təlimatında çap etdi. Üç ildən sonra pul birdən yoxa çıxmağa başladı. Bu tip bankomatlardan istifadə edən bütün banklar sınaq əməliyyatının qarşısını almaq üçün proqram yamaqlarını işə salana qədər onlar davam etdi.
Ən sürətlə böyüyən fırıldaqlar müştəri hesablarını və PİN kodları toplamaq üçün saxta terminallardan istifadəni əhatə edən fırıldaqlardır. Bu növün hücumları ilk dəfə 1988-ci ildə ABŞ-da təsvir edilmişdir. Fırıldaqçılar istənilən kartı qəbul edən və bir qutu siqaret buraxan maşın düzəldiblər. Bu ixtira mağazaya yerləşdirilib və PİN kodlar və maqnit kartlardan alınan məlumatlar modem vasitəsilə ötürülüb. Hiylə bütün dünyaya yayıldı.
Texniklər də müştərilərin şikayətlərinə məhəl qoyulmayacağını bilərək onlardan pul oğurlayırlar. Şotlandiyada bir bankda yardım masasının mühəndisi kompüteri bankomata qoşdu və müştərilərin hesab nömrələrini və PİN kodlarını qeyd etdi. Daha sonra o, kartları saxtalaşdıraraq hesablardan pul oğurlayıb. Bir daha müştərilər boş divarlardan şikayət etdilər. Bank bu təcrübəyə görə Şotlandiyanın yüksək səviyyəli hüquq rəsmilərindən biri tərəfindən açıq şəkildə tənqid edilib.
Dörd rəqəmli PİN-dən istifadənin məqsədi odur ki, əgər kimsə başqasının bank kartını taparsa və ya oğurlayarsa, kodu təsadüfi təxmin etmək şansı on mində birdir. PİN kodu daxil etmək üçün yalnız üç cəhdə icazə verilirsə, oğurlanmış kartdan pul çıxarma ehtimalı üç mində birdən azdır. Bununla belə, bəzi banklar dörd rəqəmin verdiyi müxtəlifliyi azaltmağı bacarıb.
Bəzi banklar hesab nömrəsini kriptoqrafik olaraq konvertasiya etməklə, təsadüfi seçilmiş PİN-dən istifadə etməklə (və ya müştərilərin seçiminə icazə verməklə) PİN kodu əldə etmək modelinə əməl edir və sonra onu yadda saxlamaq üçün kriptotransformasiya edir. Müştəriyə təxmin etmək asan olan PİN kodu seçmək imkanı verməklə yanaşı, bu yanaşma bəzi texniki tələlər təqdim edir.
Bəzi banklar faylda şifrələnmiş PİN dəyəri saxlayır. Bu o deməkdir ki, proqramçı öz PİN kodunun şifrələnmiş dəyərini əldə edə və verilənlər bazasında eyni PİN kodu ilə bütün digər hesablar üçün axtarış edə bilər.
Böyük Britaniya banklarından biri hətta kartın maqnit zolağına şifrəli PİN kodu yazıb. Kriminal cəmiyyətə on beş il lazım olub ki, onlar öz kartlarının maqnit zolağındakı hesab nömrəsini əvəz edə və sonra hesabdan oğurlamaq üçün öz PİN kodu ilə istifadə edə bilərlər.
Bu səbəbdən VISA sistemi banklara şifrələmədən əvvəl müştərinin hesab nömrəsini öz PİN kodu ilə birləşdirməyi tövsiyə edir. Ancaq bütün banklar bunu etmir.
İndiyə qədər daha mürəkkəb hücumlar sadə icra və əməliyyat proseduru xətaları ilə əlaqələndirilib. Peşəkar təhlükəsizlik tədqiqatçıları bu cür kobud səhvləri maraqsız hesab etməyə meyllidirlər və buna görə də diqqəti daha incə texniki qüsurlardan istifadə edən hücumlara yönəldirlər. Bank işinin də bir sıra təhlükəsizlik zəif cəhətləri var.
Bank sistemlərinə yüksək texnoloji hücumlar nadir olsa da, onlar ictimai nöqteyi-nəzərdən maraq doğurur, çünki Aİ İnformasiya Təhlükəsizliyi Texnologiyalarının Qiymətləndirilməsi Meyarları (ITSEC) kimi hökumət təşəbbüsləri məlum texniki şərtlərə uyğun olaraq sertifikatlaşdırılmış bir sıra məhsullar hazırlamaq məqsədi daşıyır. səhvlər. Bu proqramın əsasını təşkil edən təkliflər ondan ibarətdir ki, müvafiq məhsulların icrası və emal prosedurları mahiyyət etibarı ilə xətasız olacaq və hücum dövlət təhlükəsizlik agentliyinin əməkdaşlarının təlimi ilə müqayisə oluna bilən texniki təlim tələb edir. Göründüyü kimi, bu yanaşma mülki sistemlərdən daha çox hərbi sistemlərə uyğundur.
Daha mürəkkəb hücumların necə həyata keçirildiyini başa düşmək üçün bank təhlükəsizliyinə daha ətraflı baxmaq lazımdır.
Təhlükəsizlik modulları ilə bağlı problemlər
Bütün təhlükəsizlik məhsulları eyni keyfiyyətə malik deyil və bir neçə bankda yaxşı məhsulları orta səviyyəli məhsullardan fərqləndirmək üçün təlim keçmiş mütəxəssislər var.
Həqiqi təcrübədə şifrələmə məhsulları ilə, xüsusən köhnə IBM 3848 təhlükəsizlik modulu və ya hazırda bank təşkilatları üçün tövsiyə olunan modullarla bağlı bəzi problemlər var.
Bankda texniki təchizatla təmin edilmiş təhlükəsizlik modulları yoxdursa, PİN kodun şifrələmə funksiyası müvafiq arzuolunmaz nəticələrlə proqram təminatında həyata keçiriləcək. Təhlükəsizlik modulunun proqram təminatı istehsalçının mühəndisləri tərəfindən proqram məhsullarının sazlanması üçün kəsilmə nöqtələrinə malik ola bilər. Banklardan biri onu şəbəkəyə daxil etmək qərarına gələndə və istehsalçının sistem mühəndisi tələb olunan şlüzün işini təmin edə bilməyəndə bu fakt diqqətə çatdırılıb. İşi yerinə yetirmək üçün o, sistemdən PİN-ləri çıxarmaq üçün bu hiylələrdən birini istifadə etdi. Belə kəsmə nöqtələrinin mövcudluğu təhlükəsizlik modullarının idarə edilməsi üçün etibarlı prosedurların yaradılmasını qeyri-mümkün edir.
Bəzi təhlükəsizlik modulları istehsalçıları bu cür hücumları asanlaşdırırlar. Məsələn, günün vaxtı əsasında işləyən açarları yaratmaq üçün metoddan istifadə edilir və nəticədə gözlənilən 56 deyil, faktiki olaraq yalnız 20 açar bit istifadə olunur. Beləliklə, ehtimal nəzəriyyəsinə görə, yaradılan hər 1000 açar üçün, iki uyğun olacaq.
Bu, təcavüzkarın bank kommunikasiyalarını manipulyasiya etdiyi bəzi incə sui-istifadələri mümkün edir ki, bir terminaldan edilən əməliyyatlar digərindən edilən əməliyyatlarla əvəzlənsin.
Bir bankın proqramçıları müştəri açarlarının şifrələmə proqramlarına daxil edilməsi ilə bağlı çətinliklərlə belə narahat olmadılar. Sadəcə olaraq, sistem işə salındıqda həmişə sıfıra sıfırlanan yaddaş sahəsindəki əsas dəyərlərə göstəricilər quraşdırdılar. Nəticə bu qərar məlum oldu ki, əsl və test sistemləri eyni əsas saxlama yerlərindən istifadə etdi. Bankın texniki işçiləri anladılar ki, onlar müştərinin PİN kodlarını sınaq avadanlığında əldə edə bilərlər. Onlardan bir neçəsi oğurlanmış bank kartları üçün PİN kodları seçmək üçün yerli cinayətkarlarla əlaqə saxlayıb. Bankın mühafizə meneceri baş verənləri açıqlayanda o, avtomobil qəzasında ölüb (və yerli polis bütün müvafiq materialı “itirib”). Bank müştərilərinə yeni kartlar göndərməkdən çəkinmədi.
Təhlükəsizlik modullarının əsas məqsədlərindən biri proqramçıların və kompüterlərə daxil olan işçilərin əsas bank məlumatlarını əldə etmələrinin qarşısını almaqdır. Bununla belə, təhlükəsizlik modullarının elektron komponentləri tərəfindən təmin edilən məxfilik çox vaxt kriptoqrafik nüfuz cəhdlərinə tab gətirmir.
Təhlükəsizlik modullarının daxili istifadə üçün öz əsas açarları var və bu açarlar müəyyən bir yerdə saxlanılmalıdır. Açarın ehtiyat nüsxəsi tez-tez PROM kimi asanlıqla oxuna bilən formada saxlanılır və açar vaxtaşırı oxuna bilər, məsələn, zona və terminal açarları dəstinə nəzarət bir təhlükəsizlik modulundan başqa. Belə hallarda bank bu əməliyyatın həyata keçirilməsi prosesində tamamilə mütəxəssislərin ixtiyarındadır.
Dizayn texnologiyaları ilə bağlı problemlər
ATM dizayn texnologiyasını qısaca müzakirə edək. Köhnə modellərdə şifrələmə proqramının kodu modulun özündə deyil, yanlış yerdə - idarəetmə cihazında yerləşirdi. Nəzarət cihazı modulun yaxınlığında müəyyən bir ərazidə yerləşdirilməli idi. Amma çoxlu sayda bankomat hazırda bank binasının yaxınlığında yerləşmir. Böyük Britaniya universitetlərindən birində bankomat kampusda yerləşirdi və şifrələnməmiş hesab nömrələri və PİN kodları göndərirdi. telefon xəttişəhərdən bir neçə mil aralıda yerləşən filialın idarəetmə blokuna. Telefon xəttini dinləyən cihazdan istifadə etməkdən narahat olan hər kəs minlərlə saxta kartları düzəldə bilər.
Ən yaxşı məhsullardan birinin satın alındığı hallarda belə, səhv tətbiq və ya səhv düşünülmüş texnoloji prosedurların bank üçün çətinliklərə səbəb olduğu çox sayda seçim var. Əksər təhlükəsizlik modulları hər bir əməliyyat üçün bir sıra qaytarma kodları qaytarır. Onlardan bəziləri, məsələn, “açar paritet xətası” proqramçının əslində istifadə olunan modulla sınaqdan keçirməsi barədə xəbərdarlıq edir. Bununla belə, bir neçə bank bu xəbərdarlıqları ələ keçirmək və buna uyğun hərəkət etmək üçün lazım olan cihaz drayverini yazmaqla məşğuldur.
Bankların “əlaqədar xidmətlər göstərən” firmalarla ATM sisteminin hamısı və ya bir hissəsi üçün subpodrat bağladıqları və PİN kodları bu firmalara ötürdüyü hallar var.
PİN kodların iki və ya daha çox bank arasında paylaşıldığı hallar da olub. Bütün bank işçiləri etibarlı hesab edilsə belə, kənar firmalar banka məxsus təhlükəsizlik siyasətini həyata keçirməyə bilər. Bu firmalardakı işçilər həmişə lazımi qaydada yoxlanılmır, çox güman ki, az maaş alırlar, həvəssiz və ehtiyatsızdırlar ki, bu da saxtakarlığın düşünülməsinə və icrasına səbəb ola bilər.
Təsvir edilən idarəetmə səhvlərinin çoxu layihənin psixoloji hissəsinin inkişafının olmamasına əsaslanır. Bank filialları və kompüter mərkəzləri gündəlik işlərini başa vurarkən standart prosedurlara əməl etməlidirlər, lakin yalnız məqsədi aydın olan nəzarət prosedurlarına ciddi əməl oluna bilər. Məsələn, filialın seyfinin açarlarını müdirlə mühasib arasında bölüşdürmək yaxşı başa düşülür: bu, hər ikisini ailələrinin girov götürülməsindən qoruyur. Kriptoqrafik açarlar tez-tez istifadəçi dostu formada qablaşdırılmır və buna görə də düzgün istifadə oluna bilməz. Qismən cavab faktiki olaraq açarlara bənzəyən qurğular ola bilər (nüvə silahı qoruyucularının kriptoqrafik açarlarında modelləşdirilmiş).
Əməliyyat prosedurlarının təkmilləşdirilməsi haqqında çox şey yazmaq olar, lakin məqsəd hər hansı kriptoqrafik açarın ondan sui-istifadə etmək üçün texniki imkanı olan birinin əlinə keçməsinin qarşısını almaqdırsa, o zaman təlimatlarda və təlim kurslarında açıq bir məqsəd olmalıdır. “Qeyri-müəyyənlik ilə təhlükəsizlik” prinsipi çox vaxt xeyirdən çox zərər verir.
Açar paylanması
Açarların paylanması bank filialları üçün xüsusi problem yaradır. Bildiyiniz kimi, nəzəriyyə iki bankirin hər birinin öz açar komponentini daxil etməsini tələb edir ki, onların birləşməsi terminalın əsas açarını verir. Terminalın əsas açarında şifrələnmiş PİN kod texniki xidmətdən sonra ilk əməliyyat zamanı bankomata göndərilir.
ATM texniki hər iki əsas komponenti alırsa, o, PİN kodu və saxta kartları deşifrə edə bilər. Təcrübədə açarları əlində saxlayan filial müdirləri bankomata xidmət zamanı yanında dayanmaq istəmədikləri üçün onları mühəndisə təhvil verməkdən az qala məmnundurlar. Üstəlik, terminal açarını daxil etmək köhnə menecerlərin öz ləyaqətindən aşağı hesab etdikləri klaviaturadan istifadə etmək deməkdir.
Açarları səhv idarə etmək adi bir təcrübədir. Texniki heyətdən olan bir mühəndisə hər iki mikrosxemin əsas açarları ilə verildiyi məlum bir hal var. Nəzəriyyədə ikili nəzarət prosedurları mövcud olsa da, təhlükəsizlik işçiləri çipləri təhvil veriblər, çünki sonuncu açarlar istifadə olunub və heç kim nə edəcəyini bilmirdi. Mühəndis kartları saxtalaşdırmaqdan daha çox şey edə bilər. O, açarları götürüb uzaqlaşa və bütün bankomat əməliyyatlarını dayandıra bilərdi.
Açarların qorunanlardan daha çox açıq fayllarda saxlanması maraqsız deyil. Bu, təkcə ATM açarlarına deyil, milyardlarla dəyərində əməliyyatları həyata keçirən SWIFT kimi banklar arasında hesablaşma sistemləri üçün açarlara da aiddir. Terminal düymələri və zona düymələri kimi başlanğıc açarlarından yalnız bir dəfə istifadə etmək və sonra onları məhv etmək müdrik olardı.
Kriptanalitik təhlükələr
Yəqin ki, kriptovalyutalar bank sistemləri üçün ən az təhlükə yaradır, lakin onlara tam endirim etmək olmaz. Bəzi banklar (böyük və tanınmış banklar da daxil olmaqla) hələ də DES-dən əvvəlki illərdə yaradılmış yerli kriptoqrafik alqoritmlərdən istifadə edirlər. Bir məlumat şəbəkəsində məlumat blokları sabit əlavə edilməklə sadəcə “parçalanmışdır”. Şəbəkənin 40-dan çox bank tərəfindən istifadə edilməsinə baxmayaraq, bu üsul beş il ərzində tənqid olunmayıb. Üstəlik, bu bankların bütün sığorta, audit və təhlükəsizlik ekspertləri, görünür, sistemin texniki xüsusiyyətlərini oxuyurlar.
Hətta “hörmətli” alqoritm istifadə olunsa belə, o, uyğun olmayan parametrlərlə həyata keçirilə bilər. Məsələn, bəzi banklar tələb olunan təhlükəsizlik səviyyəsini təmin etmək üçün açar uzunluğunun ən azı 500 bit olmasına baxmayaraq, açar uzunluğu 100 ilə 400 bit arasında dəyişən RSA alqoritmini tətbiq etmişlər.
Siz həmçinin müəyyən bankın istifadə etdiyi açarı tapana qədər bütün mümkün şifrələmə açarlarını sınayaraq, kobud gücdən istifadə edərək açar tapa bilərsiniz.
Beynəlxalq şəbəkələrdə zona düymələrindən istifadə edərək işləyən açarları şifrələmək üçün istifadə edilən protokollar zona açarına bu şəkildə hücum etməyi asanlaşdırır. Zona açarı bir dəfə açılıbsa, bank tərəfindən şəbəkə üzərindən göndərilən və ya qəbul edilən bütün PlN kodları deşifrə edilə bilər. Kanada Bankının mütəxəssisləri tərəfindən aparılan son araşdırma, DES-ə bu cür hücumun hər zona açarı üçün təxminən 30.000 funt sterlinqə başa gələcəyini müəyyən etdi. Nəticə etibarı ilə, mütəşəkkil cinayətkarlığın resursları belə bir cinayət üçün kifayət qədər kifayətdir və belə bir cinayəti kifayət qədər varlı şəxs həyata keçirə bilər.
Yəqin ki, açarları tapmaq üçün lazım olan ixtisaslaşdırılmış kompüterlər bəzi ölkələrin, o cümlədən hazırda xaos vəziyyətində olan ölkələrin kəşfiyyat xidmətlərində yaradılıb. Nəticə etibarilə, bu avadanlığın mühafizəçilərinin ondan şəxsi maraqları üçün istifadə edə bilməsi riski var.
Kiçik və böyük bütün sistemlərdə proqram səhvləri var və insan səhvinə məruz qalır. Bank sistemləri də istisna deyil və sənaye istehsalında çalışmış hər kəs bunu dərk edir. Filial hesablaşma sistemləri onilliklər ərzində inkişaf etmiş bir çox qarşılıqlı modullarla daha böyük və mürəkkəb olmağa meyllidir. Bəzi əməliyyatlar qaçılmaz olaraq səhv yerinə yetiriləcək: debetlər təkrarlana bilər və ya hesab səhv dəyişdirilə bilər.
Bu vəziyyət iri şirkətlərin maliyyə nəzarətçiləri üçün yeni deyil, bank hesablarını tutuşdurmaq üçün xüsusi heyət saxlayır. Səhv debet yarandıqda, bu işçilər baxılması üçün müvafiq sənədləri tələb edirlər və sənədlər çatışmadıqda bankdan səhv ödənişin geri qaytarılmasını alırlar.
Bununla belə, ATM müştərilərinin mübahisəli ödənişləri ödəmək üçün bu imkanı yoxdur. ABŞ-dan kənar bankirlərin əksəriyyəti sadəcə sistemlərində heç bir səhv olmadığını söyləyirlər.
Belə siyasət müəyyən hüquqi və inzibati risklərə gətirib çıxarır. Birincisi, saxtakarlıq gizlədildiyi üçün sui-istifadə ehtimalı yaradır. İkincisi, bu, müştəri üçün çox mürəkkəb sübutlara gətirib çıxarır ki, bu da ABŞ məhkəmələrində prosedurun sadələşdirilməsinə səbəb olub. Üçüncüsü, bank işçilərinin tutulma ehtimalının az olduğunu bildiyinə əsaslanaraq oğurluğa dolayısı ilə sövq edilməsi ilə bağlı mənəvi təhlükə var. Dördüncüsü, bu, ideoloji qüsurdur, çünki müştəri iddialarının mərkəzləşdirilmiş şəkildə qeydə alınmaması səbəbindən dələduzluq hallarına düzgün təşkil olunmuş nəzarət imkanları yoxdur.
ATM itkiləri ilə bağlı biznes fəaliyyətinə təsirini dəqiq qiymətləndirmək çətindir. Böyük Britaniyada Xəzinədarlığın İqtisadiyyat Katibi (bank işini tənzimləyən nazir) 1992-ci ilin iyununda belə səhvlərin hər gün edilən üç milyon əməliyyatdan ən azı ikisinə təsir etdiyini bildirdi. Lakin son məhkəmə çəkişmələri altında bu rəqəm əvvəlcə 250.000 səhv əməliyyatdan 1-ə, sonra 100.000-də 1-ə və nəhayət, 34.000-də 1-ə düzəldildi.
Şikayət edən müştərilər adətən bank işçiləri tərəfindən rədd edildiyindən və insanların çoxu sadəcə olaraq hesablarından birdəfəlik pul çıxarılmasını fərq edə bilmədiklərindən, ən yaxşı ehtimal odur ki, 10.000 səhv əməliyyatdan 1-i baş verir. 50 il ərzində həftədə bir dəfə bankomatdan dörd müştəridən birinin ömrü boyu bankomatlardan istifadə ilə bağlı problem yaşayacağını gözləyə bilərik.
Kriptoqrafik sistem dizaynerləri sistem nasazlıqlarının nəzəri olaraq necə baş verə biləcəyindən daha çox praktikada necə baş verdiyi barədə məlumatın olmaması səbəbindən əlverişsiz vəziyyətdədirlər. Bu dezavantaj rəy səhv təhdid modelinin istifadəsinə gətirib çıxarır. Dizaynerlər səylərini adətən səhvlərə səbəb olan şeylərə deyil, sistemdə uğursuzluğa səbəb ola biləcək şeylərə yönəldirlər. Bir çox məhsul o qədər mürəkkəb və mürəkkəbdir ki, nadir hallarda düzgün istifadə olunur. Nəticə odur ki, əksər səhvlər sistemin tətbiqi və saxlanması ilə bağlıdır. Xüsusi bir nəticə bankomat fırıldaqlarının çoxluğu olmuşdur ki, bu da təkcə maliyyə itkilərinə deyil, həm də ədalətsizliklərə və bank sisteminə etimadın azalmasına səbəb olmuşdur.
Kriptoqrafik metodların tətbiqinə misal olaraq EXCELLENCE rəqəmsal imzasından istifadə edən kriptoqrafik məlumatların mühafizə sistemini göstərmək olar.
EXCELLENCE proqram təminatının kriptoqrafik sistemi kriptoqrafik şifrələmə, rəqəmsal imza və autentifikasiya funksiyalarından istifadə etməklə IBM-ə uyğun fərdi kompüterlər arasında işlənmiş, saxlanılan və ötürülən məlumatı qorumaq üçün nəzərdə tutulmuşdur.
Sistem dövlət standartlarına uyğun kriptoqrafik alqoritmləri həyata keçirir: şifrələmə - GOST 28147-89. Rəqəmsal imza RSA alqoritminə əsaslanır.
Ciddi autentifikasiyaya və açar sertifikatına malik açar sistem beynəlxalq təcrübədə geniş istifadə olunan X.509 protokolu və açıq RSA açar paylanması prinsipi üzərində qurulub.
Sistem fayl səviyyəsində məlumatın işlənməsi üçün kriptoqrafik funksiyaları ehtiva edir:
və açarlarla işləmək üçün kriptoqrafik funksiyalar:
Hər bir şəbəkə abunəçisinin öz şəxsi və açıq açarı var. Hər bir istifadəçinin məxfi açarı onun fərdi açar disketində və ya fərdi elektron kartında qeyd olunur. Abunəçinin açarının məxfiliyi onun üçün şifrələnmiş məlumatın qorunmasını və onun rəqəmsal imzasının saxtalaşdırılmasının mümkünsüzlüyünü təmin edir.
Sistem iki növ əsas məlumat daşıyıcısını dəstəkləyir:
Hər bir şəbəkə abunəçisinin adları ilə birlikdə icazəsiz modifikasiyadan qorunan bütün sistem abunəçilərinin açıq açarlarının fayl kataloqu vardır. Hər bir abunəçi şəxsi açarını gizli saxlamağa borcludur.
Funksional olaraq EXCELLENCE sistemi excell_s.exe proqram modulu şəklində həyata keçirilir və MS DOS 3.30 və daha yüksək əməliyyat sistemində işləyir. Funksiyaların icrası üçün parametrlər formada verilir komanda xətti DOS. Bundan əlavə, qrafik interfeys təqdim olunur. Proqram avtomatik olaraq Intel386/486/Pentium prosessorunda 32 bit əməliyyatları tanıyır və dəstəkləyir.
Başqalarına daxil etmək üçün proqram sistemləri Aşağıdakı rejimlərdə RAM-da verilənlərlə işləmək üçün əsas kriptoqrafik funksiyaları ehtiva edən EXCELLENCE sisteminin variantı tətbiq edilmişdir: yaddaş - yaddaş; yaddaş - fayl; fayl - yaddaş.
21-ci əsrin əvvəlləri üçün proqnoz
İnformasiya təhlükəsizliyi probleminin həlli üçün təsirli tədbirlər görəcək bank rəhbərliyinin payı 40-80%-ə qədər artmalıdır. Əsas problem xidmət personalı (o cümlədən keçmiş) olacaq (halların 40%-dən 95%-ə qədər), əsas təhlükə növləri isə icazəsiz giriş (UNA) və viruslar (bankların 100%-ə qədəri virus hücumlarına məruz qalacaq) olacaq. ).
İnformasiya təhlükəsizliyini təmin etmək üçün ən mühüm tədbirlər informasiya təhlükəsizliyi xidmətlərinin ən yüksək peşəkarlığı olacaqdır. Bunun üçün banklar mənfəətin 30%-ə qədərini informasiya təhlükəsizliyinə xərcləməli olacaqlar.
Yuxarıda sadalanan bütün tədbirlərə baxmayaraq, informasiya təhlükəsizliyi probleminin mütləq həlli mümkün deyil. Eyni zamanda, bankın informasiya təhlükəsizliyi sisteminin səmərəliliyi bütünlüklə ona yatırılan vəsaitin həcmi və informasiya təhlükəsizliyi xidmətinin peşəkarlığı ilə, bankın informasiya təhlükəsizliyi sisteminin pozulması ehtimalı isə bütünlüklə bankın informasiya təhlükəsizliyinin təmin edilməsinin dəyəri ilə müəyyən edilir. təhlükəsizlik sisteminin və fırıldaqçıların ixtisaslarının aradan qaldırılması. (Xarici təcrübədə güman edilir ki, təhlükəsizlik sistemini aradan qaldırmağın dəyəri qorunan məlumatın dəyərinin 25% -dən çox deyilsə, onu "sındırmaq" mənasızdır).
4-cü fəsil elektron bank sistemlərinin qorunmasına yanaşmanın xüsusiyyətlərini araşdırdı. Bu sistemlərin spesifik xüsusiyyəti elektron məlumat mübadiləsinin xüsusi forması - elektron ödənişlərdir ki, onlar olmadan heç bir müasir bank mövcud ola bilməz.
Elektron məlumat mübadiləsi (EDE) biznes, kommersiya və maliyyə elektron sənədlərinin kompüterdən kompüterə mübadiləsidir. Məsələn, sifarişlər, ödəniş təlimatları, müqavilə təklifləri, hesab-fakturalar, qəbzlər və s.
EOD ticarət əməliyyatının hazırlanması, müqavilənin bağlanması və çatdırılmanın həyata keçirilməsinin bütün mərhələlərində ticarət tərəfdaşları (müştərilər, təchizatçılar, resellerlər və s.) arasında operativ qarşılıqlı əlaqəni təmin edir. Müqavilənin ödənilməsi və vəsaitlərin köçürülməsi mərhələsində EDI maliyyə sənədlərinin elektron mübadiləsinə səbəb ola bilər. Bu, ticarət və ödəniş əməliyyatları üçün effektiv mühit yaradır:
* Real vaxt rejimində ticarət tərəfdaşlarını mal və xidmətlərin təklifləri ilə tanış etmək, tələb olunan məhsul/xidməti seçmək, kommersiya şərtlərini (qiymət və çatdırılma müddəti, ticarət endirimləri, zəmanət və xidmət öhdəlikləri) aydınlaşdırmaq mümkündür;
* Real vaxt rejimində malların/xidmətlərin sifarişi və ya müqavilə təklifinin tələb edilməsi;
* Malların çatdırılmasına, müşayiətedici sənədlərin (qaimə-faktura, qaimə-faktura, komponent siyahıları və s.) elektron poçt vasitəsilə qəbuluna operativ nəzarət;
* Malların/xidmətlərin çatdırılmasının, hesab-fakturaların verilməsinin və ödənilməsinin tamamlanmasının təsdiqi;
* Bank krediti və ödəniş əməliyyatlarının icrası. OED-in üstünlüklərinə aşağıdakılar daxildir:
* Kağızsız texnologiyaya keçməklə əməliyyatların maya dəyərinin azaldılması. Mütəxəssislər kağız sənədlərin emalı və saxlanması xərclərini kommersiya əməliyyatlarının və malların çatdırılmasının ümumi dəyərinin 3-8%-i səviyyəsində qiymətləndirirlər. EED-dən istifadənin faydası, məsələn, ABŞ avtomobil sənayesində istehsal olunan avtomobil üçün 200 dollardan çox hesablanır;
* Hesablaşma və pul dövriyyəsinin sürətinin artırılması;
* Hesablamaların rahatlığının artırılması.
EED-in inkişafı üçün iki əsas strategiya var:
1. EOD tərəfdaşlarla daha sıx qarşılıqlı əlaqəyə imkan verən rəqabət üstünlüyü kimi istifadə olunur. Bu strategiya böyük təşkilatlar tərəfindən qəbul edilmişdir və Genişləndirilmiş Müəssisə yanaşması adlanır.
2. EDI bəzi konkret sənaye layihələrində və ya kommersiya və digər təşkilatların assosiasiyalarının təşəbbüslərində onların qarşılıqlı fəaliyyətinin səmərəliliyini artırmaq üçün istifadə olunur.
ABŞ və Qərbi Avropadakı banklar EDI-nin yayılmasında öz əsas rolunu və biznes və şəxsi tərəfdaşlarla daha sıx qarşılıqlı əlaqədən əldə edilən əhəmiyyətli faydaları artıq dərk ediblər. OED banklara əvvəllər yüksək qiymətə görə istifadə edə bilməyən müştərilərə, xüsusən də kiçik müştərilərə xidmət göstərməyə kömək edir.
EDI-nin geniş yayılmasına əsas maneə sənədlərin rabitə kanalları ilə mübadiləsi zamanı təqdimatlarının müxtəlifliyidir. Bu maneəni aradan qaldırmaq üçün müxtəlif təşkilatlar müxtəlif sənaye sahələri üçün EED sistemlərində sənədlərin təqdim edilməsi üçün standartlar hazırlamışlar:
QDTI - General Trade Interchange (Avropa, beynəlxalq ticarət);
MDSND - Milli Avtomatlaşdırılmış Klirinq Mərkəzi Assosiasiyası (ABŞ, Avtomatlaşdırılmış Klirinq Mərkəzinin Milli Assosiasiyası);
TDCC - Nəqliyyat Məlumatlarının Koordinasiya Komitəsi;
VICS - Könüllü Industry Communication Standard (ABŞ, Könüllü Sənayelərarası Əlaqə Standartı);
WINS - Anbar Məlumat Şəbəkəsi Standartları informasiya şəbəkəsiəmtəə anbarları).
1993-cü ilin oktyabrında UN/ECE beynəlxalq qrupu EDIFACT standartının ilk versiyasını nəşr etdi. Hazırlanmış sintaksis qaydaları və kommersiya məlumat elementləri iki ISO standartı şəklində rəsmiləşdirilmişdir:
ISO 7372 - Ticarət Məlumatı Element Kataloqu;
ISO 9735 - EDIFACT - Tətbiq səviyyəsində sintaksis qaydaları.
EOD-un xüsusi halı elektron ödənişlərdir - müştərilər və banklar arasında, banklar və digər maliyyə və kommersiya təşkilatları arasında maliyyə sənədlərinin mübadiləsi.
Elektron ödənişlər konsepsiyasının mahiyyəti ondan ibarətdir ki, rabitə xətləri üzərindən göndərilən, lazımi qaydada rəsmiləşdirilən və ötürülən mesajlar bir və ya bir neçə bank əməliyyatının aparılması üçün əsasdır. Prinsipcə, bu əməliyyatları yerinə yetirmək üçün kağız sənədlər tələb olunmur (baxmayaraq ki, onlar verilə bilər). Başqa sözlə desək, rabitə xətləri ilə göndərilən mesajda göndəricinin öz hesabı, xüsusən də qəbul edən bankın müxbir hesabı (klirinq mərkəzi ola bilər) üzrə bəzi əməliyyatlar apardığı və alıcının bu əməliyyatı yerinə yetirməli olduğu barədə məlumat verilir. mesajda göstərilən əməliyyatlar. Belə bir mesaj əsasında siz pul göndərə və ya qəbul edə, kredit aça, alış və ya xidmət üçün ödəniş edə və hər hansı digər əməliyyatları həyata keçirə bilərsiniz. bank əməliyyatı. Belə mesajlar elektron pul, bank əməliyyatlarının belə mesajların göndərilməsi və ya alınması əsasında həyata keçirilməsi isə elektron ödənişlər adlanır. Təbii ki, elektron ödənişlərin edilməsi bütün prosesi tələb edir etibarlı müdafiə. Əks halda bank və onun müştəriləri ciddi problemlərlə üzləşəcək.
Elektron ödənişlər banklararası, ticarət və fərdi ödənişlər üçün istifadə olunur.
Banklararası və ticarət hesablaşmaları təşkilatlar (hüquqi şəxslər) arasında aparılır, buna görə də bəzən onları korporativ adlandırırlar. Fərdi müştərilərin iştirak etdiyi hesablaşmalar şəxsi adlanır.
Bank sistemlərində baş verən böyük oğurluqların əksəriyyəti birbaşa və ya dolayısı ilə elektron ödəniş sistemləri ilə bağlıdır.
Müxtəlif ölkələrdə çoxlu sayda maliyyə institutlarını və onların müştərilərini əhatə edən elektron ödəniş sistemlərinin, xüsusən də qlobal sistemlərin yaradılması yolunda bir çox maneələr mövcuddur. Əsas olanlar bunlardır:
1. Əməliyyatlar və xidmətlər üçün vahid standartların olmaması, vahid bank sistemlərinin yaradılmasını xeyli çətinləşdirir. Hər bir iri bank öz EOD şəbəkəsini yaratmağa çalışır ki, bu da onun istismarı və saxlanması xərclərini artırır. Dublikat sistemlər onlardan istifadəni çətinləşdirir, qarşılıqlı müdaxilə yaradır və müştərilərin imkanlarını məhdudlaşdırır.
2. Maliyyə spekulyasiyası imkanlarının artmasına səbəb olan pul kütləsinin mobilliyinin artması “sərgərdan kapital” axınını genişləndirir. Bu pullar bazarda vəziyyəti dəyişdirə və qısa müddətdə sabitliyi poza bilər.
3. Maliyyə hesablaşmalarının aparılması zamanı texniki vasitələrin və proqram təminatının nasazlıqları və nasazlıqları, bu da sonrakı hesablaşmalar üçün ciddi fəsadlara və müştərilər tərəfindən banka inamın itirilməsinə səbəb ola bilər, xüsusən də bank əlaqələrinin sıx birləşməsi (bir növ) “səhvlərin yayılması”). Bununla yanaşı, informasiyanın emalına bilavasitə rəhbərlik edən sistem operatorlarının və administrasiyasının rolu və məsuliyyəti xeyli artır.
İstənilən elektron ödəniş sisteminin müştərisi olmaq, yaxud öz sistemini təşkil etmək istəyən hər bir təşkilat bundan xəbərdar olmalıdır.
Etibarlı işləmək üçün elektron ödəniş sistemi yaxşı qorunmalıdır.
Ticarət hesablaşmaları müxtəlif ticarət təşkilatları arasında aparılır. Banklar ödəniş edən təşkilatın hesabından pulu alan təşkilatın hesabına köçürərkən bu hesablaşmalarda vasitəçi kimi iştirak edirlər.
Tacir hesablaşmaları elektron ödənişlər proqramının ümumi uğuru üçün son dərəcə vacibdir. Müxtəlif şirkətlərin maliyyə əməliyyatlarının həcmi adətən bank əməliyyatlarının ümumi həcminin əhəmiyyətli hissəsini təşkil edir.
Ticarət hesablaşmalarının növləri müxtəlif təşkilatlar üçün çox fərqlidir, lakin onlar həyata keçirildikdə həmişə iki növ məlumat işlənir: ödəniş mesajları və köməkçi (statistika, hesabatlar, bildirişlər). Maliyyə təşkilatları üçün ən böyük maraq, əlbəttə ki, ödəniş mesajlarından alınan məlumatlardır - hesab nömrələri, məbləğlər, balans və s. Ticarət təşkilatları üçün hər iki məlumat növü eyni dərəcədə vacibdir - birincisi maliyyə vəziyyətinə dair ipucu verir, ikincisi qərarların qəbul edilməsində və siyasətin hazırlanmasında kömək edir.
Ticarət hesablaşmalarının ən çox yayılmış növləri bunlardır:
* Birbaşa depozit.
Bu hesablaşma növünün mənası ondan ibarətdir ki, təşkilat əvvəlcədən hazırlanmış maqnit daşıyıcılarından və ya xüsusi mesajlardan istifadə etməklə, banka öz işçiləri və ya müştəriləri ilə müəyyən növ ödənişləri avtomatik həyata keçirməyi tapşırır. Belə ödənişlərin həyata keçirilməsi şərtləri əvvəlcədən razılaşdırılır (maliyyələşmə mənbəyi, məbləğ və s.). Onlar əsasən müntəzəm ödənişlər (müxtəlif sığorta növləri üzrə ödənişlər, kredit ödənişləri, əmək haqqı və s.) üçün istifadə olunur. İnstitusional olaraq birbaşa depozit, məsələn, çeklərdən istifadə etməklə ödənişlərdən daha rahatdır.
1989-cu ildən bəri birbaşa əmanətdən istifadə edən işçilərin sayı iki dəfə artaraq cəmi 25%-ə çatmışdır. Bu gün 7 milyondan çox amerikalı maaşlarını birbaşa depozit vasitəsilə alır. Banklar üçün birbaşa depozit aşağıdakı üstünlükləri təklif edir:
Kağız sənədlərin emalı ilə bağlı tapşırıqların həcminin azaldılması və nəticədə əhəmiyyətli məbləğlərə qənaət edilməsi;
Depozitlərin sayının artması, çünki ödənişlərin həcminin 100%-i depozitə qoyulmalıdır.
Banklardan əlavə, həm sahiblər, həm də işçilər faydalanır; rahatlığı artır və xərclər azalır.
* OED istifadə edərək hesablamalar.
Buradakı məlumatlar fakturalar, fakturalar, komponent vərəqləri və s.
EDI-ni həyata keçirmək üçün aşağıdakı əsas xidmətlər dəsti tələb olunur:
X.400 standartına uyğun e-poçt;
Fayl ötürülməsi;
Nöqtədən nöqtəyə rabitə;
Verilənlər bazasına onlayn giriş;
Poçt qutusu;
İnformasiya təqdimat standartlarının transformasiyası.
EDI istifadə edən mövcud ticarət hesablaşma sistemlərinə misal olaraq:
Milli Bank və Royal Bank (Kanada) IBM İnformasiya Şəbəkəsindən istifadə edərək öz müştəriləri və tərəfdaşları ilə bağlıdır;
1986-cı ildə əsası qoyulan Bank of Scotland Transkontinental Avtomatlaşdırılmış Ödəniş Xidməti (TAPS) Bank of Scotland-ı müxbir banklar və avtomatlaşdırılmış klirinq mərkəzləri vasitəsilə 15 ölkədəki müştərilər və tərəfdaşlarla əlaqələndirir.
Elektron banklararası hesablaşmalar əsasən iki növdür:
* Vasitəçi bankın güclü kompüter sistemindən (klirinq bank) və bu bankda hesablaşmalarda iştirak edən bankların müxbir hesablarından istifadə etməklə hesablaşmaların aparılması. Sistem hüquqi şəxslərin qarşılıqlı pul tələblərinin və öhdəliklərinin balansın sonradan köçürülməsi ilə əvəzləşdirilməsinə əsaslanır. Klirinq fond və əmtəə birjalarında da geniş tətbiq edilir ki, burada əməliyyat iştirakçılarının qarşılıqlı tələbləri üzrə hesablaşma klirinq mərkəzi və ya xüsusi elektron klirinq sistemi vasitəsilə həyata keçirilir.
Banklararası klirinq hesablaşmaları xüsusi klirinq mərkəzləri, kommersiya bankları, bir bankın filial və filialları arasında - baş ofis vasitəsilə həyata keçirilir. Bir sıra ölkələrdə klirinq mərkəzlərinin funksiyalarını mərkəzi banklar yerinə yetirirlər. Avtomatlaşdırılmış klirinq mərkəzləri (ACH) maliyyə institutları arasında vəsait mübadiləsi üçün xidmətlər göstərir. Ödəniş əməliyyatları əsasən debet və ya kreditlə məhdudlaşır. AKP sisteminin üzvləri AKP Dərnəyinin üzvü olan maliyyə qurumlarıdır. Assosiasiya coğrafi bölgə daxilində elektron ödənişlərin həyata keçirilməsi üçün qaydaları, prosedurları və standartları hazırlamaq məqsədi ilə yaradılır. Qeyd etmək lazımdır ki, ACP vəsaitlərin və müşayiət olunan məlumatların köçürülməsi mexanizmindən başqa bir şey deyil. Özləri ödəniş xidmətləri göstərmirlər. ACP-lər kağız maliyyə sənədlərinin emal sistemlərini tamamlamaq üçün yaradılmışdır. İlk avtomatik transmissiya 1972-ci ildə Kaliforniyada ortaya çıxdı; hazırda ABŞ-da 48 avtomatik transmissiya fəaliyyət göstərir. 1978-ci ildə bütün 48 ACH şəbəkəsini kooperativ əsasda birləşdirən Milli Avtomatlaşdırılmış Klirinq Mərkəzi Assosiasiyası (NACHA) yaradıldı.
Əməliyyatların həcmi və xarakteri daim genişlənir. ACP-lər biznes hesablaşmalarını və elektron məlumat mübadiləsi əməliyyatlarını həyata keçirməyə başlayır. Müxtəlif bank və şirkətlərin üç illik səylərindən sonra kredit və debitləri avtomatik emal etmək üçün CTP (Korporativ Ticarət Ödənişi) sistemi yaradılmışdır. Mütəxəssislərin fikrincə, avtomatik transmissiya funksiyalarının genişləndirilməsi tendensiyası yaxın gələcəkdə də davam edəcək.
* İki bankın loro nostro hesablarından istifadə etməklə, ola bilsin, təşkilati və ya dəstəkləyici rol oynayan üçüncü tərəfin iştirakı ilə bir-biri ilə birbaşa əlaqə saxladığı birbaşa hesablaşmalar. Təbii ki, qarşılıqlı əməliyyatların həcmi belə hesablaşma sisteminin təşkili xərclərini əsaslandırmaq üçün kifayət qədər böyük olmalıdır. Tipik olaraq, belə bir sistem bir neçə bankı birləşdirir və hər bir cüt vasitəçilərdən yan keçərək bir-biri ilə birbaşa əlaqə qura bilər. Lakin bu halda qarşılıqlı fəaliyyət göstərən bankların mühafizəsi (açarların bölüşdürülməsi, idarəetmə, fəaliyyətinə nəzarət və hadisələrin qeydiyyatı) ilə məşğul olan nəzarət mərkəzinə ehtiyac var.
Dünyada belə sistemlər kifayət qədər çoxdur - bir neçə bankı və ya filialı birləşdirən kiçik sistemlərdən tutmuş minlərlə iştirakçını birləşdirən nəhəng beynəlxalq sistemlərə qədər. Bu sinfin ən məşhur sistemi SWIFT-dir.
Bu yaxınlarda elektron ödənişlərin üçüncü növü meydana çıxdı - elektron çekin kəsilməsi, onun mahiyyəti kağız çekin təqdim edildiyi maliyyə institutuna göndərilməsi marşrutunu dayandırmaqdır. Lazım gələrsə, onun elektron analoqu xüsusi mesaj şəklində daha da "səyahət edir". Elektron çekin yönləndirilməsi və ödənilməsi ACH-dən istifadə etməklə həyata keçirilir.
1990-cı ildə NACHA "Elektron çekin kəsilməsi" milli pilot proqramının sınaqdan keçirilməsinin birinci mərhələsini elan etdi. Onun məqsədi böyük miqdarda kağız çeklərin emalı xərclərini azaltmaqdır.
Elektron ödəniş sistemindən istifadə edərək pul göndərilməsi aşağıdakı addımları əhatə edir (xüsusi şərtlərdən və sistemin özündən asılı olaraq, sifariş dəyişə bilər):
1. Birinci bankın sistemində müəyyən hesab tələb olunan məbləğ qədər azaldılır.
2. Birinci bankda ikinci bankın müxbir hesabı eyni məbləğdə artır.
3. Birinci bankdan ikinci banka yerinə yetirilən hərəkətlər (hesabın identifikatorları, məbləğ, tarix, şərtlər və s.) haqqında məlumatı özündə əks etdirən mesaj göndərilir; bu halda göndərilən mesaj saxtakarlıqdan müvafiq şəkildə qorunmalıdır: şifrələnmiş, rəqəmsal imza və nəzarət sahələri ilə təmin edilmiş və s.
4. Tələb olunan məbləğ ikincidə birinci bankın müxbir hesabından silinir.
5. İkinci bankda müəyyən hesab tələb olunan məbləğdə artırılır.
6. İkinci bank hesaba düzəlişlər edilməsi barədə birinciyə bildiriş göndərir; bu mesaj həmçinin ödəniş mesajının qorunmasına bənzər şəkildə saxtakarlığa qarşı qorunmalıdır.
7. Mübadilə protokolu həm abonentlər, həm də ola bilsin ki, üçüncü tərəf (şəbəkə idarəetmə mərkəzində) münaqişələrin qarşısını almaq üçün qeydə alınır.
Mesajın ötürülməsi yolu boyunca vasitəçilər ola bilər - klirinq mərkəzləri, məlumatların ötürülməsində vasitəçi banklar və s. Bu cür hesablamaların əsas çətinliyi tərəfdaşına inamdır, yəni hər bir abunəçi müxbirinin bütün lazımi hərəkətləri yerinə yetirəcəyinə əmin olmalıdır.
Elektron ödənişlərin tətbiqinin genişləndirilməsi üçün maliyyə sənədlərinin elektron təqdimatının standartlaşdırılması həyata keçirilir. Bu, 70-ci illərdə iki təşkilat çərçivəsində başladı:
1) ANSI (Amerika Milli Standart İnstitutu) ANSI X9.2-1080 (Maliyyə İnstitutu arasında Debet və Kredit Kartı Mesaj Mübadiləsi üçün Mübadilə Mesajı Spesifikasiyası) nəşr etdi. 1988-ci ildə oxşar standart ISO tərəfindən qəbul edilmiş və ISO 8583 (Bank Card Originated Messages Interchange Message Specifications - Content for Financial Transactions) adlanmışdır;
2) SWIFT (Society for Worldwide Interbank Financial Telecommunications) banklararası mesajlar üçün bir sıra standartlar işləyib hazırlamışdır.
ISO 8583 standartına uyğun olaraq, maliyyə sənədi mesajın və ya elektron sənədin (elektron kredit kartı, X.400 formatında mesaj və ya EDIFACT sintaksisindəki sənəd) müəyyən sahələrində yerləşən bir sıra məlumat elementlərini (təfsilatı) ehtiva edir. Hər bir məlumat elementinə (ED) öz unikal nömrəsi verilir. Məlumat elementi ya məcburi ola bilər (yəni bu tip hər mesaja daxil edilir) və ya isteğe bağlı (bəzi mesajlarda olmaya bilər).
Bit miqyası mesajın tərkibini müəyyən edir (onda mövcud olan ED-lər). Bit miqyasının müəyyən bir rəqəmi birinə təyin edilərsə, bu, müvafiq ED-nin mesajda olduğunu bildirir. Mesajların kodlaşdırılmasının bu üsulu sayəsində mesajın ümumi uzunluğu azalır, bir çox ED ilə mesajların təqdim edilməsində çeviklik əldə edilir və yeni ED-lərin və mesaj növlərinin standart strukturun elektron sənədinə daxil edilməsi imkanı təmin edilir.
Elektron banklararası ödənişlərin bir neçə üsulu var. Onlardan ikisini nəzərdən keçirək: çeklə ödəniş (xidmətdən sonra ödəniş) və akkreditivlə ödəniş (gözlənilən xidmət üçün ödəniş). Ödəniş sorğuları və ya ödəniş tapşırıqları vasitəsilə ödəniş kimi digər üsullar da oxşar təşkilata malikdir.
Çeklə ödəniş ödəyicinin şəxsiyyətini təsdiq edən kağız və ya digər sənəd əsasında həyata keçirilir. Bu sənəd çekdə göstərilən məbləğin sahibinin hesabından təqdim edənin hesabına köçürülməsi üçün əsasdır. Çeklə ödəniş aşağıdakı addımları əhatə edir:
Çekin alınması;
Banka çekin təqdim edilməsi;
Çek sahibinin hesabından çek sahibinin hesabına köçürmə tələbi;
Pul köçürməsi;
Ödəniş barədə bildiriş.
Bu cür ödənişlərin əsas çatışmazlıqları asanlıqla saxtalaşdırıla bilən köməkçi sənədə (çek) ehtiyac, həmçinin ödənişin başa çatdırılması üçün əhəmiyyətli vaxt tələb olunur (bir neçə günə qədər).
Buna görə də, son vaxtlar akkreditivlə ödəniş kimi bu ödəniş növü daha çox yayılmışdır. Buraya aşağıdakı addımlar daxildir:
Kreditin verilməsi barədə müştəri tərəfindən banka bildiriş;
Kreditin verilməsi və pulun köçürülməsi barədə alıcının bankına bildiriş;
Kreditin alınması barədə alıcıya məlumat verilməsi.
Bu sistem sizə ödənişləri çox qısa müddətdə həyata keçirməyə imkan verir. Kredit haqqında bildiriş (elektron) poçt, disketlər, maqnit lentləri ilə göndərilə bilər.
Yuxarıda müzakirə edilən ödəniş növlərinin hər birinin öz üstünlükləri və mənfi cəhətləri var. Çeklər kiçik məbləğlərin ödənilməsi, eləcə də qeyri-qanuni ödənişlər üçün ən əlverişlidir. Bu hallarda ödənişdə gecikmə çox da əhəmiyyətli deyil, kreditdən istifadə isə yersizdir. Akkreditivdən istifadə edilən ödənişlər adətən müntəzəm ödənişlər və əhəmiyyətli məbləğlər üçün istifadə olunur. Bu hallarda klirinq gecikməsinin olmaması pul dövriyyəsinin müddətini azaltmaqla xeyli vaxta və pula qənaət etməyə imkan verir. Bu iki metodun ümumi çatışmazlığı etibarlı elektron ödəniş sisteminin təşkilinə pul xərcləmək ehtiyacıdır.
