Rəqəmsal pulların elektron ödəniş sisteminin qorunması üsulları. Elektron pulu qorumağın əsas yolları hansılardır? Elektron ödəniş sistemlərinin qorunması vasitələri
Elektron ödəniş sistemləri elektron valyuta ilə ən populyar iş növlərindən biridir. Hər il valyuta ilə işləmək üçün bazarın kifayət qədər böyük bir hissəsini tutaraq getdikcə daha fəal inkişaf edirlər. Onlarla yanaşı, onların təhlükəsizliyini təmin edən texnologiyalar da inkişaf edir. Bu gündən heç bir elektron ödəniş sistemi yaxşı texnologiyalar və təhlükəsizlik sistemləri olmadan mövcud ola bilməz ki, bu da öz növbəsində pul əməliyyatlarının təhlükəsiz əməliyyatını təmin edir. Bir çox elektron ödəniş sistemləri var, əslində, təhlükəsizlik texnologiyaları da var. Onların hər birinin fərqli iş prinsipləri və texnologiyaları, həmçinin öz üstünlükləri və mənfi cəhətləri var. Bundan əlavə, bir sıra nəzəri və praktiki məsələlər öz həllini tapmamış qalır ki, bu da tədqiqat mövzusunun aktuallığını müəyyən edir.
Hər bir elektron ödəniş sistemi təhlükəsiz əməliyyatlar və məlumatların ötürülməsi üçün öz metodlarından, şifrələmə alqoritmlərindən, məlumat ötürmə protokollarından istifadə edir. Bəzi sistemlər RSA şifrələmə alqoritmi və HTTP ötürmə protokolundan istifadə edir, digərləri isə şifrələnmiş məlumatları ötürmək üçün DES alqoritmi və SSL protokolundan istifadə edir. Məqalənin yazılması ideyası bir sıra məşhur ödəniş sistemlərini, yəni onlarda istifadə olunan təhlükəsizlik texnologiyalarını öyrənmək və təhlil etmək və hansının ən qabaqcıl olduğunu tapmaq üzərində qurulub.
Məqalənin yazılması zamanı ödəniş sistemlərinin tədqiqi, mövcud ödəniş sistemlərinin təhlükəsizliyinin təhlili aparılmışdır. Eyni meyarlar üzrə dörd ödəniş sistemi (Webmoney, Yandex.Money, PauPa1 və E-Port) təhlil edilib. Sistemlər daxili parametrləri özündə birləşdirən çoxsəviyyəli sistemdən istifadə etməklə qiymətləndirilib. Təbii ki, bütün bu meyarlar sferaya aiddir informasiya təhlükəsizliyi. İki əsas meyar var: ödənişlərin informasiya təhlükəsizliyinə texniki dəstək və təşkilati-hüquqi dəstək. Bu iki parametrin hər biri üç ballıq sistem üzrə qiymətləndirilib. Ölkəmizdə elektron ödəniş sistemlərinin hazırkı inkişafı elə bir səviyyədə olduğundan reytinq şkalası məhz belədir ki, onların əksər parametrlərini yalnız “bəli və ya yox” sözləri ilə təsvir etmək olar. Müvafiq olaraq, elektron ödəniş sistemi hər hansı parametrə maksimum uyğun gəlirsə, ən yüksək balı (3), ümumiyyətlə cavab vermədikdə minimum balı (0) alır. Sistemdə bu meyar açıq formada yoxdursa, lakin çatışmayan biri ilə əlaqəli hər hansı xidmət və ya imkanlar varsa, biz aralıq bal veririk - bir və ya iki.
Elektron ödəniş sistemlərini qiymətləndirərkən, fərqli şərtlərdə eyni parametrin dəyərinin eyni olmadığını xatırlamaq lazımdır. Məsələn, qorunma səviyyəsini əhəmiyyətli dərəcədə artıran bir neçə xidmət yalnız istifadəçi tərəfindən könüllü olaraq həyata keçirilə bilər, əlavə olaraq, bu xidmətlərin sistemdə olması dəyərlidir. İnsan faktorunu heç kim ləğv etməyib və heç vaxt ləğv etməyəcək, ona görə də nəzərə alınır ki, xidmət həm həyata keçirilə, həm də həyata keçirilə bilər.
Əməliyyatların texniki təhlükəsizliyi
Bu, meyarlardan birincisidir - adından göründüyü kimi, informasiyanın mühafizəsinin texniki tərəfini təmin edən parametrlər toplusu. Bu parametrə qədər aktivləşdirilib: kriptoqrafik şifrələmə, autentifikasiya və xüsusi proqramdan istifadə etməklə giriş aparat(ən primitiv halda - USB açarlarından istifadə etməklə).
Heç kimə sirr deyil ki, texniki baxımdan informasiyanın mühafizəsinin əsas meyarı, əlbəttə ki, məlumatların şifrələnməsi, daha dəqiq desək, onların həyata keçirildiyi kriptoqrafik alqoritmlərdir. O da məlumdur ki, açar uzunluğu nə qədər uzun olarsa, onun şifrəsini açmaq və müvafiq olaraq məxfi məlumatlara çıxış əldə etmək bir o qədər çətindir. Test edilmiş sistemlərdən üçü tanınmış və geniş hörmətə malik RSA alqoritmindən istifadə edir: Webmoney, Yandex.Money, PayPal. E-Port SSL 3.0 şifrələməsindən istifadə edir.Əslində şifrələmə unikal olan SSL açarlarından istifadə etməklə həyata keçirilir, onlar sessiya zamanı yaradılır və sessiya açarı adlanır. E-Port sistemində SSL açarının uzunluğu 40 ilə 128 bit arasında dəyişir ki, bu da məqbul səviyyədə əməliyyat təhlükəsizliyi üçün kifayətdir.
Əməliyyatların informasiya təhlükəsizliyinin texniki dəstəyində növbəti parametr autentifikasiyadır, yəni. istifadəçinin şəxsi məlumatlarına daxil olmaq üçün ehtiyac duyduğu həllər toplusu. Burada hər şey sadədir. Webmoney və Yandex.Money sistemləri giriş üçün iki meyardan istifadə edir, PayPal və E-Port isə yalnız bir meyardan istifadə edir. Webmoney-də sistemə daxil olmaq və ödəniş etmək üçün parol və xüsusi açarı daxil etməlisiniz.Yandex.Money də oxşar şəkildə işləyir: parol və xüsusi pul kisəsi proqramı tələb olunur. Bütün digər sistemlərdə giriş parolla həyata keçirilir. Bununla belə, E-Port sistemində SSL protokolundan istifadə etməklə işləmək üçün potensial müştərinin (və sistemin hər hansı digər üzvünün) veb serverinin səlahiyyətli şirkətlərdən birindən alınmış xüsusi rəqəmsal sertifikatı olmalıdır. Bu sertifikat müştərinin veb serverinin autentifikasiyası üçün istifadə olunur. E-Port tərəfindən istifadə edilən sertifikatın qorunması mexanizmi RSA Security tərəfindən sertifikatlaşdırılıb. Bu tədqiqat meyarlarında üçüncü və son parametr USB açarları kimi xüsusi aparatlardan istifadə etməklə sistemə daxil olmaqdır.
Kriptoqrafik şifrələmə üsulları
Webmoney və Yandex.Money 1024 bitlik açardan istifadə edir (çox yüksək rəqəmdir, sadə sadalama ilə belə açarı sındırmaq demək olar ki, mümkün deyil), PayPal isə iki dəfə qısa olan açardan - 512 bitdən istifadə edir.Müvafiq olaraq, birinci üçün iki sistem, bu meyara görə, biz maksimum bal əldə edirik - 3. PayPal, daha kiçik bir şifrələmə açarından istifadə etdiyi üçün iki xal alır. Yalnız E-Port-u bu parametrlə qiymətləndirmək qalır.Onda SSL protokolunun istifadəsinə və hətta açar uzunluğunun 128 bitə qədər olmasına baxmayaraq, E-Portda bəzi potensial zəiflik var: brauzerlərin bir çox köhnə versiyaları açarlarla şifrələməni dəstəkləyir. daha kiçik uzunluğa malikdir, buna görə də alınan məlumatları sındırmaq mümkündür; müvafiq olaraq, brauzerdən müştəri kimi istifadə edənlər üçün ödəniş sistemi, onunla işləmək lazımdır son versiya(əlbəttə ki, bu həmişə əlverişli və mümkün deyil). Bununla belə, "şifrələmə" sütununda siz E-Port üçün 1,7 bal təyin edə bilərsiniz: sistem e-poçt mesajlarının şifrələnməsi üçün mütərəqqi PGP protokolunun istifadəsi səbəbindən bu reytinqə layiq idi.
İdentifikasiyası
Webmoney və Yandex.Money sistemləri giriş üçün iki meyardan istifadə edir, PayPal və E-Port isə yalnız bir meyardan istifadə edir. Webmoney-də sistemə daxil olmaq və ödəniş etmək üçün parol və xüsusi açar daxil etməlisiniz. Yandex.Money oxşar şəkildə işləyir: parol və xüsusi pul kisəsi proqramı tələb olunur.Bütün digər sistemlərdə giriş parolladır. Ancaq E-Port sistemində SSL protokolu üzərində işləmək üçün potensial müştərinin veb serveri.
Webmoney və Yandex.Money-ə görə, onlar hərəyə üç xal, PayPal - 0 xal, E-Port - bir xal alırlar.
Bu, əvvəlki variantlardan daha asandır. Bütün sistemlərdən yalnız Webmoney PayPal-da belə bir əlavə seçim var, ikincisi belə bir fürsət vermir. Beləliklə, çəki amilini nəzərə alaraq, Webmoney və PayPal bu parametr üçün 1,5 bal, qalanları isə sıfır aldı.
İki meyar qiymətləndirildikdən sonra nəticələr ümumiləşdirilə bilər. Baxılan parametrlərin cəminə görə Webmoney təhlükəsiz olduğu ortaya çıxdı. Həqiqətən, əgər istifadəçi təqdim etdiyi bütün təhlükəsizlik xidmətlərindən istifadə edərsə, o, fırıldaqçılar qarşısında faktiki olaraq toxunulmaz qala bilər. İkinci yeri Yandex.Money sistemi, üçüncü yeri PayPal (bu sistem ödənişlərin əhəmiyyətli hüquqi şəffaflığı üçün hüquqi şəxslər üçün idealdır), sonuncu yerə isə E-Port sistemi layiq görülüb.
Bundan əlavə, ödəniş sistemlərinin təhlilini yekunlaşdıraraq deyə bilərik ki, elektron ödəniş sisteminin seçimi ən vaciblərdən biri olsa belə, bir təhlükəsizlik parametrinə görə həyata keçirilmir. Elektron ödəniş sistemləri həm də xidmətlərin mövcudluğu, istifadənin rahatlığı ilə fərqlənir - bir çox başqa amillər var.
tapıntılar
Elektron ödənişlər telekommunikasiyanın inkişafının təbii mərhələsidir Tam hüquqlu məhsulun - rəqəmsal məhsulun mövcud olduğu o nişlərdə tələbat yüksəkdir, onun xassələri onlayn ödənişin xüsusiyyətlərinə yaxşı “üstləşir”: ani ödəniş, ani çatdırılma , sadəlik və təhlükəsizlik.
İnternet ödəniş sistemiİnternet vasitəsilə mal və xidmətlərin alqı-satqısı prosesində maliyyə, biznes təşkilatları və internet istifadəçiləri arasında hesablaşmaların aparılması sistemidir. Məhz ödəniş sistemi sizə sifariş emalı xidmətini və ya elektron vitrinini bütün standart atributlara malik tam hüquqlu mağazaya çevirməyə imkan verir: satıcının saytında məhsul və ya xidməti seçməklə, alıcı mağazadan çıxmadan ödəniş edə bilər. kompüter.
Elektron ticarət sistemində ödənişlər bir sıra şərtlərə uyğun olaraq həyata keçirilir:
1. Məxfiliyə hörmət. İnternet üzərindən ödənişlər edərkən, alıcı onun məlumatlarının (məsələn, kredit kartı nömrəsi) yalnız qanuni hüququ olan təşkilatlara məlum olmasını istəyir.
2. İnformasiyanın bütövlüyünün saxlanılması. Satınalma məlumatları heç kim tərəfindən dəyişdirilə bilməz.
3. Doğrulama. Alıcılar və satıcılar əmin olmalıdırlar ki, əməliyyatda iştirak edən bütün tərəflər onların dedikləri şəxsdir.
4. Ödəniş vasitələri. Alıcının ixtiyarında olan istənilən ödəniş vasitəsi ilə ödəmə imkanı.
6. Satıcı risk zəmanətləri. İnternetdə ticarət edərkən, satıcı malların rədd edilməsi və alıcının pis niyyəti ilə əlaqəli bir çox riskə məruz qalır. Risklərin miqyası ödəniş sisteminin provayderi və ticarət zəncirlərinə daxil olan digər təşkilatlarla xüsusi müqavilələr vasitəsilə razılaşdırılmalıdır.
7. Əməliyyat haqlarını minimuma endirmək. Malların sifarişi və ödənilməsi üçün əməliyyatın icrası haqqı təbii olaraq onların maya dəyərinə daxildir, ona görə də əməliyyat qiymətinin aşağı salınması rəqabət qabiliyyətini artırır. Qeyd etmək lazımdır ki, alıcı maldan imtina etsə belə, əməliyyat istənilən halda ödənilməlidir.
Bütün bu şərtlər mahiyyətcə ənənəvi ödəniş sistemlərinin elektron versiyaları olan İnternet ödəniş sistemində həyata keçirilməlidir.
Beləliklə, bütün ödəniş sistemləri aşağıdakılara bölünür:
Debet (elektron çeklər və rəqəmsal nağd pulla işləmək);
Kredit (kredit kartları ilə işləmək).
Debet sistemləri
Debet ödəniş sxemləri onların oflayn prototiplərinə bənzər şəkildə qurulur: çek və adi nağd pul. Sxemdə iki müstəqil tərəf iştirak edir: emitentlər və istifadəçilər. Emitent ödəniş sistemini idarə edən qurum kimi başa düşülür. O, ödənişləri təmsil edən bəzi elektron vahidlər buraxır (məsələn, bank hesablarındakı pul). Sistem istifadəçiləri iki əsas funksiyanı yerinə yetirirlər. Onlar buraxılmış elektron əşyalardan istifadə edərək internetdə ödənişlər edir və qəbul edirlər.
Elektron çeklər adi kağız çeklərə bənzəyir. Bu, ödəyicinin öz hesabından pul alanın hesabına pul köçürmək üçün öz bankına verdiyi göstərişlərdir. Əməliyyat alıcının banka çek təqdim etməsi ilə baş verir. Burada iki əsas fərq var. Birincisi, kağız çek yazarkən ödəyici öz həqiqi imzasını, onlayn versiyada isə elektron imza qoyur. İkincisi, çeklərin özləri elektron qaydada verilir.
Ödənişlər bir neçə mərhələdə həyata keçirilir:
1. Ödəyici elektron çek verir, onu elektron imza ilə imzalayır və çeki alan şəxsə göndərir. Daha yüksək etibarlılıq və təhlükəsizliyi təmin etmək üçün yoxlama hesabının nömrəsi bankın açıq açarı ilə kodlaşdırıla bilər.
2. Çek ödəniş sisteminə ödəniş üçün təqdim edilir. Bundan əlavə, (ya burada, ya da alıcıya xidmət göstərən bankda) elektron imza yoxlanılır.
3. Əgər onun həqiqiliyi təsdiq olunarsa, məhsul çatdırılır və ya xidmət göstərilir. Pul ödəyicinin hesabından alıcının hesabına köçürülür.
Ödəniş sxeminin sadəliyi (şək. 43), təəssüf ki, yoxlama sxemlərinin hələ geniş yayılmaması və elektron imzanın tətbiqi üçün sertifikatlaşdırma mərkəzlərinin olmaması səbəbindən onun həyata keçirilməsinin çətinlikləri ilə kompensasiya olunur.
Elektron rəqəmsal imza (EDS) açıq açar şifrələmə sistemindən istifadə edir. Bu, imzalanma üçün şəxsi açar və yoxlama üçün açıq açar yaradır. Şəxsi açar istifadəçi tərəfindən saxlanılır, açıq açar isə hər kəs tərəfindən istifadə edilə bilər. Açıq açarların yayılmasının ən əlverişli yolu sertifikatlaşdırma mərkəzlərindən istifadə etməkdir. O, açıq açarı və sahibi haqqında məlumatları ehtiva edən rəqəmsal sertifikatları saxlayır. Bu, istifadəçini açıq açarını özü yaymaq öhdəliyindən azad edir. Bundan əlavə, sertifikatlaşdırma orqanları heç kimin başqa bir şəxsin adından açarlar yarada bilməməsini təmin etmək üçün autentifikasiya təmin edir.
Elektron pul real pulu tamamilə simulyasiya edir. Eyni zamanda, emitent təşkilat - emitent - müxtəlif sistemlərdə (məsələn, kuponlar) fərqli adlanan elektron analoqlarını buraxır. Bundan əlavə, onlar alış-veriş üçün ödəniş etmək üçün istifadə edən istifadəçilər tərəfindən alınır və sonra satıcı onları emitentdən geri alır. Emissiya zamanı hər bir pul vahidi elektron möhürlə təsdiqlənir və bu, geri qaytarılmadan əvvəl emissiya strukturu tərəfindən yoxlanılır.
Fiziki pulların xüsusiyyətlərindən biri də onun anonimliyidir, yəni kimlərin nə vaxt istifadə etdiyini göstərmir. Bəzi sistemlər, bənzətmə ilə, müştəriyə elektron nağd pulu almağa imkan verir ki, onunla pul arasındakı əlaqəni müəyyən etmək mümkün deyil. Bu, kor imza sxemindən istifadə etməklə həyata keçirilir.
İstifadə edərkən onu da qeyd etmək lazımdır elektron pul autentifikasiyaya ehtiyac yoxdur, çünki sistem pulun istifadə olunmazdan əvvəl dövriyyəyə buraxılmasına əsaslanır.
Şəkil 44 elektron puldan istifadə etməklə ödəniş sxemini göstərir.
Ödəniş mexanizmi aşağıdakı kimidir:
1. Alıcı əvvəlcədən real pulu elektron pula dəyişir. Müştəridə nağd pulun saxlanması istifadə olunan sistemlə müəyyən edilən iki yolla həyata keçirilə bilər:
Kompüterin sabit diskində;
smart kartlarda.
Fərqli sistemlər müxtəlif mübadilə sxemləri təklif edir. Bəziləri elektron əskinaslar müqabilində alıcının hesabından vəsaitlərin köçürüldüyü xüsusi hesablar açır. Bəzi banklar özləri elektron nağd pul buraxa bilərlər. Eyni zamanda, o, yalnız müştərinin istəyi ilə, sonradan bu müştərinin kompüterinə və ya kartına köçürülməklə və onun hesabından nağd pul ekvivalentinin çıxarılması ilə verilir. Kor imza tətbiq edərkən, alıcı özü elektron əskinaslar yaradır, onları banka göndərir, burada hesaba real pul daxil olduqdan sonra onlar möhürlə təsdiqlənir və müştəriyə geri göndərilir.
Belə saxlama rahatlığı ilə yanaşı, onun mənfi cəhətləri də var. Diskin və ya smart kartın zədələnməsi elektron pulun geri qaytarılması mümkün olmayan itkisi ilə nəticələnir.
2. Alıcı alış üçün elektron pulu satıcının serverinə köçürür.
3. Pul emitentə təqdim edilir, o, onların həqiqiliyini yoxlayır.
4. Elektron əskinaslar həqiqi olduqda, satıcının hesabı alışın məbləği qədər artırılır və mallar alıcıya göndərilir və ya xidmət göstərilir.
Elektron pulun mühüm fərqləndirici xüsusiyyətlərindən biri mikroödənişlər etmək imkanıdır. Bu onunla əlaqədardır ki, əskinasların nominal dəyəri real sikkələrə (məsələn, 37 qəpik) uyğun gəlməyə bilər.
Həm banklar, həm də bank olmayan təşkilatlar elektron nağd pul buraxa bilər. Ancaq hələ də inkişaf etdirilməyib bir sistem müxtəlif növ elektron pulların konvertasiyası. Buna görə də, yalnız emitentlər özləri tərəfindən buraxılmış elektron nağd pulları geri ala bilərlər. Bundan əlavə, qeyri-maliyyə strukturlarından belə pulların istifadəsinə dövlət zəmanəti vermir. Bununla belə, əməliyyatın aşağı qiyməti elektron nağd pulu İnternetdə ödənişlər üçün cəlbedici alətə çevirir.
Kredit sistemləri
İnternet-kredit sistemləri kredit kartları ilə işləyən adi sistemlərin analoqlarıdır. Fərq bütün əməliyyatların İnternet vasitəsilə aparılmasında və nəticədə əlavə təhlükəsizlik və autentifikasiya ehtiyacındadır.
Kredit kartlarından istifadə etməklə İnternet vasitəsilə ödənişlərin həyata keçirilməsinə aşağıdakılar daxildir:
1. Alıcı. Veb brauzeri və İnternetə çıxışı olan kompüteri olan müştəri.
2. Emitent bank. Budur alıcının hesabı. Emitent bank kartları buraxır və müştərinin maliyyə öhdəliklərinin yerinə yetirilməsinin təminatçısıdır.
3. Satıcılar. Satıcılar mal və xidmətlərin kataloqlarını saxlayan və müştərilərin satınalma sifarişlərini qəbul edən Elektron Ticarət serverləridir.
4. Ekvayring banklar. Tacirlərə xidmət göstərən banklar. Hər bir satıcının cari hesabını saxladığı bir bankı var.
5. İnternet ödəniş sistemi. Digər iştirakçılar arasında vasitəçi olan elektron komponentlər.
6. Ənənəvi ödəniş sistemi. Bu tip kartlara xidmət göstərmək üçün maliyyə və texnoloji vasitələrin toplusu. Ödəniş sisteminin həll etdiyi əsas vəzifələr sırasında kartlardan mal və xidmətlərə görə ödəniş vasitəsi kimi istifadənin təmin edilməsi, bank xidmətlərindən istifadə, qarşılıqlı hesablaşmalar və s. Ödəniş sisteminin iştirakçıları kredit kartlarından istifadə münasibətləri ilə birləşmiş fiziki və hüquqi şəxslərdir.
7. Ödəniş sisteminin prosessinq mərkəzi. Ənənəvi ödəniş sistemində iştirakçılar arasında informasiya və texnoloji qarşılıqlı əlaqəni təmin edən təşkilat.
8. Ödəniş sisteminin hesablaşma bankı. prosessinq mərkəzi adından ödəniş sisteminin iştirakçıları arasında qarşılıqlı hesablaşmaları həyata keçirən kredit təşkilatı.
Belə sistemdə ödənişlərin ümumi sxemi Şəkil 45-də göstərilmişdir.
1. Elektron mağazada alıcı mal səbətini formalaşdırır və ödəniş üsulunu "kredit kartı" seçir.
Mağaza vasitəsilə, yəni kartın parametrləri birbaşa mağazanın saytına daxil edilir, bundan sonra onlar İnternet ödəniş sisteminə keçirilir (2a);
Ödəniş sisteminin serverində (2b).
İkinci yolun üstünlükləri göz qabağındadır. Bu zaman kartlar haqqında məlumat mağazada qalmır və müvafiq olaraq onların üçüncü şəxslər tərəfindən alınması və ya satıcı tərəfindən saxtakarlıq riski azalır. Hər iki halda, kredit kartı təfərrüatlarını köçürərkən, onların şəbəkədəki təcavüzkarlar tərəfindən tutulma ehtimalı hələ də mövcuddur. Bunun qarşısını almaq üçün ötürülmə zamanı məlumatlar şifrələnir.
Şifrələmə, şübhəsiz ki, şəbəkədə məlumatların ələ keçirilməsi imkanlarını azaldır, ona görə də alıcı/satıcı, satıcı/İnternet ödəniş sistemi, alıcı/İnternet ödəniş sistemi rabitələri təhlükəsiz protokollardan istifadə etməklə həyata keçirilir. Bu gün bunlardan ən çox yayılmışı SSL (Secure Sockets Layer) protokolu, həmçinin SET (Təhlükəsiz Elektron Transaction) təhlükəsiz elektron əməliyyat standartıdır ki, bu da internetdə kredit kartı ilə satınalmalar üçün ödənişlərlə bağlı əməliyyatların işlənməsi zamanı SSL-i nəhayət əvəz etmək üçün nəzərdə tutulub.
3. İnternet ödəniş sistemi avtorizasiya sorğusunu ənənəvi ödəniş sisteminə göndərir.
4. Növbəti addım emitent bankın hesabların onlayn məlumat bazasını (DB) saxlayıb-saxlamamasından asılıdır. Məlumat bazası mövcuddursa, prosessinq mərkəzi emitent banka kartın avtorizasiyası üçün sorğu göndərir (giriş və ya lüğətə baxın) (4a) və sonra (4b) onun nəticəsini alır. Əgər belə bir baza yoxdursa, o zaman prosessinq mərkəzi özü kart sahiblərinin hesablarının vəziyyəti haqqında məlumatları saxlayır, stop siyahılarını saxlayır və avtorizasiya sorğularını yerinə yetirir. Bu məlumatlar emitent banklar tərəfindən mütəmadi olaraq yenilənir.
Mağaza xidmət göstərir və ya məhsul göndərir (8a);
Prosessinq mərkəzi başa çatmış əməliyyat haqqında məlumatı hesablaşma bankına göndərir (8b). Alıcının emitent bankdakı hesabından pul hesablaşma bankı vasitəsilə mağazanın ekvayer bankdakı hesabına köçürülür.
Belə ödənişləri etmək üçün əksər hallarda xüsusi proqram təminatı. O, alıcıya (elektron pul kisəsi adlanır), satıcıya və onun xidmət bankına çatdırıla bilər.
Giriş
1. Elektron ödəniş sistemləri və onların təsnifatı
1.1 Əsas anlayışlar
1.2 Elektron ödəniş sistemlərinin təsnifatı
1.3 Rusiyada istifadə olunan əsas elektron ödəniş sistemlərinin təhlili
2. Elektron ödəniş sistemlərinin mühafizə vasitələri
2.1 Elektron ödəniş sistemlərindən istifadə ilə bağlı təhlükələr
2.2 Elektron ödəniş sistemləri üçün təhlükəsizlik texnologiyaları
2.3 Uyğunluq üçün texnologiyaların təhlili əsas tələblər elektron ödəniş sistemlərinə
Nəticə
Biblioqrafik siyahı
GİRİŞ
10 il əvvəl az maraq kəsb edən elektron ödənişlər və elektron pulların yüksək ixtisaslaşmış mövzusu son vaxtlar təkcə iş adamları üçün deyil, həm də son istifadəçilər üçün aktuallaşıb. Dəbli "e-biznes", "e-ticarət" sözləri yəqin ki, hərdən bir kompüter və ya məşhur mətbuatı oxuyan hər ikinci şəxs tərəfindən tanınır. Uzaqdan ödəniş (uzaq məsafələrə pul köçürmə) vəzifəsi xüsusi olanlar kateqoriyasından gündəlik olanlara keçdi. Ancaq bu məsələ ilə bağlı məlumatların çoxluğu vətəndaşların şüurunda aydınlığa heç də kömək etmir. Həm elektron ödənişlər probleminin mürəkkəbliyi və konseptual inkişaf etməməsi, həm də bir çox populyarlaşdırıcıların tez-tez zədələnmiş telefon prinsipi ilə, məişət səviyyəsində işləməsi səbəbindən, əlbəttə ki, hər şey hər kəsə aydındır. Ancaq bu, elektron ödənişlərin praktik inkişafının növbəsi gələnə qədərdir. Müəyyən hallarda elektron ödənişlərdən istifadənin nə dərəcədə məqsədəuyğun olması ilə bağlı anlaşılmazlıq məhz burada üzə çıxır.
Bu arada, elektron ödənişlərin qəbulu vəzifəsi İnternetdən istifadə edərək bizneslə məşğul olmaq istəyənlər, eləcə də İnternet üzərindən alış-veriş etmək niyyətində olanlar üçün getdikcə daha vacib olur. Bu məqalə hər ikisi üçündür.
Başlayanlar üçün elektron ödəniş sistemlərini nəzərdən keçirərkən əsas problem onların dizaynının və iş prinsiplərinin müxtəlifliyi və həyata keçirilməsinin zahiri oxşarlığına baxmayaraq, onların dərinliklərində tamamilə fərqli texnoloji və maliyyə mexanizmlərinin gizlənə bilməsidir.
Qlobal İnternetin populyarlığının sürətli inkişafı dünya iqtisadiyyatının müxtəlif sahələrində yeni yanaşmaların və həllərin inkişafı üçün güclü təkan yaratdı. Hətta banklardakı elektron ödəniş sistemləri kimi konservativ sistemlər də yeni tendensiyalara tab gətirdi. Bu, yeni ödəniş sistemlərinin - İnternet vasitəsilə elektron ödəniş sistemlərinin yaranması və inkişafında özünü göstərdi ki, bunun da əsas üstünlüyü müştərilərin ödəniş tapşırığının fiziki daşınmasının yorucu və bəzən texniki cəhətdən çətin mərhələsini keçərək ödənişləri (maliyyə əməliyyatları) həyata keçirə bilməsidir. banka. Banklar və bank qurumları da bu sistemlərin tətbiqində maraqlıdırlar, çünki onlar müştərilərə xidmət sürətini artırmağa və ödənişlərin həyata keçirilməsi üçün qaimə xərclərini azaltmağa imkan verir.
Elektron ödəniş sistemləri məxfi məlumatlar da daxil olmaqla, yalan məlumatlara baxmaqdan, dəyişdirilməkdən və tətbiq edilməsindən qorunmağı tələb edən məlumatları dövriyyə edir. Müvafiq İnternet yönümlü təhlükəsizlik texnologiyalarının inkişafı hazırda əsas problemdir. Bunun səbəbi arxitektura, əsas resurslar və texnologiyalardır İnternet şəbəkələri girişin və ya toplanmasının təşkilinə yönəlmişdir açıq məlumat. Bununla belə, son vaxtlar İnternet üzərindən məlumatın təhlükəsiz ötürülməsi üçün sistemlərin qurulmasında standart İnternet texnologiyalarından istifadənin mümkünlüyünü göstərən yanaşmalar və həllər var.
RGR-nin məqsədi elektron ödəniş sistemlərini təhlil etmək və onların hər birinin istifadəsi üçün tövsiyələr hazırlamaqdır. Məqsəddən asılı olaraq RGR-nin həyata keçirilməsinin aşağıdakı mərhələləri tərtib edilmişdir:
1. Elektron ödəniş sistemlərinin əsas vəzifələrini və onların fəaliyyət prinsiplərini, xüsusiyyətlərini müəyyənləşdirin.
2. Elektron ödənişlərin əsas sistemlərini təhlil edin.
3. Elektron puldan istifadə ilə bağlı təhlükələri təhlil edin.
4. Elektron ödəniş sistemlərindən istifadə zamanı mühafizə vasitələrini təhlil edin.
1. ELEKTRON ÖDƏNİŞ SİSTEMLERİ VƏ ONLARIN TƏSNİFATI
1.1 Əsas anlayışlar
Elektron ödənişlər. Ondan başlayaq ki, XX əsrin ikinci yarısında nağdsız ödənişlərin bir növü kimi elektron ödənişlərin meydana çıxmasından danışmaq qanunauyğundur. Başqa sözlə, ödənişlər haqqında məlumatların naqillə ötürülməsi çoxdan mövcud idi, lakin naqillərin hər iki ucunda kompüterlər görünəndə prinsipcə yeni keyfiyyət əldə etdi. Məlumat o dövrdə meydana çıxan teleks, teletayp, kompüter şəbəkələri vasitəsilə ötürülürdü. Keyfiyyətcə yeni bir sıçrayış, ödənişlərin həyata keçirilməsi sürətinin əhəmiyyətli dərəcədə artması və onları avtomatik emal etmək mümkün olması ilə ifadə edildi.
Sonralar digər ödəniş növlərinin elektron ekvivalentləri də meydana çıxdı - nağd ödənişlər və digər ödəniş vasitələri (məsələn, çeklər).
Elektron ödəniş sistemləri (EPS). Elektron ödəniş sistemini elektron ödənişləri həyata keçirməyə imkan verən hər hansı bir xüsusi aparat və proqram kompleksi adlandırırıq.
Mövcüd olmaq müxtəlif yollarla və EPS-ə daxil olmaq üçün rabitə kanalları. Bu gün bu kanallardan ən çox yayılanı internetdir. EPS-in yayılması artmaqdadır, ona giriş köməyi ilə həyata keçirilir mobil telefon(SMS, WAP və digər protokollar vasitəsilə). Digər üsullar daha az yayılmışdır: modemlə, ton yığımı ilə telefonla, operator vasitəsilə telefonla.
Elektron pul. Qeyri-müəyyən bir termin. Bunun arxasında nəyin dayandığını diqqətlə nəzərdən keçirsəniz, elektron pulun "elektron nağd pul", eləcə də elektron ödəniş sistemləri üçün yanlış bir ad olduğunu başa düşmək asandır.
Terminologiyada bu anlaşılmazlıq terminlərin ingilis dilindən tərcümə edilməsinin sərbəstliyi ilə bağlıdır. Rusiyada elektron ödənişlər Avropa və Amerikaya nisbətən daha yavaş inkişaf etdiyindən, biz köklü şərtlərdən istifadə etməyə məcbur olduq. Təbii ki, elektron nağd pulun "rəqəmsal nağd pul" (e-cash), "rəqəmsal pul" (rəqəmsal pul), "elektron nağd pul" (rəqəmsal nağd pul)2 kimi adları yaşamaq hüququna malikdir.
Ümumiyyətlə, “elektron pul” termini konkret heç nə demək deyil, ona görə də gələcəkdə onun istifadəsindən yayınmağa çalışacağıq.
Elektron nağd pul:
Bu, keçən əsrin 90-cı illərində ortaya çıxan bir texnologiyadır ki, pulun hesabdan bank və ya digər maliyyə təşkilatındakı hesaba, yəni birbaşa şəxslər arasında köçürülməsi ilə birbaşa əlaqəli olmayan elektron ödənişləri həyata keçirməyə imkan verir. - ödənişin yekun iştirakçıları. Elektron nağd pulun digər mühüm xüsusiyyəti onun təqdim etdiyi ödənişlərin anonimliyidir. Ödənişi təsdiq edən avtorizasiya mərkəzində pulun dəqiq kimə və kimə köçürülməsi barədə məlumat yoxdur.
Elektron nağd pul elektron ödəniş növlərindən biridir. Elektron nağd pul vahidi emitentin (bank və ya digər maliyyə institutunun) maliyyə öhdəliyindən başqa bir şey deyil, mahiyyətcə adi vekselə bənzəyir. Elektron nağd puldan istifadə edilən ödənişlər digər ödəniş sistemlərindən istifadənin əlverişsiz olduğu yerlərdə görünür. Yaxşı bir nümunə, alıcının İnternetdə mallar üçün ödəniş edərkən kredit kartı haqqında məlumat vermək istəməməsidir.
Terminologiyaya qərar verərək, söhbətimizin növbəti mərhələsinə keçə bilərik - EPS-nin təsnifatı haqqında danışaq. EPS elektron hesablamalara vasitəçi olduğundan, EPS-nin bölünməsi bu hesablamaların müxtəlif növlərinə əsaslanır.
Bundan əlavə, EPS mexanizminin əsaslandığı proqram və/yaxud aparat texnologiyası bu məsələdə çox mühüm rol oynayır.
1.2 Elektron ödəniş sistemlərinin təsnifatı
Elektron ödəniş sistemləri həm elektron ödənişlərin xüsusiyyətlərinə, həm də EPS-nin əsasında duran xüsusi texnologiyaya əsasən təsnif edilə bilər.
Elektron ödənişlərin növündən asılı olaraq EPS təsnifatı:
1. Ödəniş iştirakçılarının tərkibinə görə (cədvəl 1).
Cədvəl 1
| Elektron ödənişlərin növü | Ödəniş tərəfləri | Ənənəvi pul hesablaşma sistemində analoq | EPS nümunəsi |
| Bankdan banka ödənişlər | Maliyyə institutları | analoqları yoxdur | |
| B2B ödənişləri | Hüquqi şəxslər | Təşkilatlar arasında nağdsız ödənişlər | |
| С2B ödənişləri | Malların və xidmətlərin son istehlakçıları və hüquqi şəxslər - satıcılar | Alıcılardan satıcılara nağd və nağdsız ödənişlər | Kredit pilotu |
| C2C ödənişləri | fiziki şəxslər | Fiziki şəxslər arasında birbaşa nağd hesablaşmalar, poçt, teleqraf köçürmələri |
Gələcəkdə "bank-bank" tipli elektron hesablaşmalara xidmət etmək üçün nəzərdə tutulmuş EPS-ləri nəzərdən keçirməyəcəyik. Bu cür sistemlər son dərəcə mürəkkəbdir, onlar daha çox bank sisteminin işləməsinin texnoloji aspektlərinə təsir göstərir və çox güman ki, oxucularımızın geniş kütlələrini maraqlandırmır.
Bundan əlavə, qeyd etmək lazımdır ki, məntiqi olaraq Cədvəl 1-ə tam uyğun gəlməyən başqa bir ödəniş növü də var. Formal xüsusiyyətlərə görə, o, tamamilə C2B sahəsinə düşür, lakin buna baxmayaraq, bu tip geniş yayılmış EPS vasitəsilə təmin edilə bilməz. . Mikroödəmələr malların olduqca kiçik (sent və ya sentin fraksiyaları) dəyəri ilə xarakterizə olunur. Hamısından ən xarakterik məşhur məqalələr mikroödəmələri həyata keçirən sistemə misal zarafatlar satışıdır (hər bir sent üçün). Eaccess və Phonepay kimi sistemlər mikro ödənişlər üçün uyğundur.
2. Görülən əməliyyatların növünə görə (cədvəl 2).
cədvəl 2
| Elektron ödənişlərin növü | Onlar harada istifadə olunur | EPS nümunəsi |
| Bank hesablarının idarə edilməsi əməliyyatları | Modem, internet, mobil telefon və s. vasitəsilə çıxışı olan “Müştəri bank” sistemləri. | Sistemin bank hesablarının idarə edilməsi əməliyyatları "müştəri |
| Bank hesabı açmadan pul köçürmə əməliyyatları | pul köçürmə sistemləri kompüter şəbəkələri poçt və teleqraf köçürmələrinə bənzəyir | |
| Kart bank hesabları ilə əməliyyatlar | Debet və kredit plastik kartları | Cyberplat (Cyberpos) |
| Elektron çeklər və digər qeyri-pul ödəniş öhdəlikləri ilə əməliyyatlar | Şirkətlərarası ödənişlərin qapalı sistemləri | Cyberplat (Cybercheck) |
| Elektron (kvazi) nağd pulla əməliyyatlar | Fiziki ilə hesablamalar fiziki şəxslər, malların ödənilməsi üçün pul surroqatları kimi istifadə olunan tokenlərin və əvvəlcədən ödənilmiş kartların elektron analoqları |
Qeyd edək ki, “müştəri-bank” sistemləri çoxdan məlumdur. Modemdən istifadə edərək bank hesabınıza daxil ola bilərsiniz. Son on il ərzində istifadəçi dostu veb interfeysi vasitəsilə İnternetdən istifadə edərək hesabınızı idarə etmək üçün yeni imkanlar yaranmışdır. Bu xidmət "İnternet bankçılıq" adlanırdı və "müştəri-bank" tipli ödəniş sistemlərinə prinsipial olaraq yeni heç nə təqdim etməmişdir. Bundan əlavə, bank hesabına daxil olmaq üçün başqa variantlar var, məsələn, mobil telefondan istifadə (WAP-banking, SMS-banking). Bununla əlaqədar olaraq, bu məqalədə bu növ EPS üzərində xüsusi olaraq dayanmayacağıq, yalnız qeyd edəcəyik ki, hazırda Rusiyada 100-ə yaxın kommersiya bankı 10-dan çox müxtəlif EPS-dən istifadə edərək İnternet bankçılıq xidmətləri göstərir.
İstifadə olunan texnologiyadan asılı olaraq EPS təsnifatı:
EPS-nin ən vacib keyfiyyətlərindən biri oğurluğa qarşı müqavimətdir. Bəlkə də bu cür sistemlərin ən çox müzakirə olunan xüsusiyyətidir. Cədvəl 3-dən göründüyü kimi, sistemin təhlükəsizliyi problemini həll edərkən, EPS qurmaq üçün yanaşmaların əksəriyyəti kritik məlumatları ehtiva edən müəyyən bir mərkəzi məlumat bazasının məxfiliyinə əsaslanır. Eyni zamanda, bəziləri buna əlavə edirlər gizli baza aparatın davamlılığına əsaslanan əlavə qorunma səviyyələri.
Prinsipcə, EPS-nin qurulması üçün başqa texnologiyalar da var. Məsələn, bir müddət əvvəl mediada plastik karta daxil edilmiş CDR disklərə əsaslanan EPS-nin hazırlanması ilə bağlı xəbər yayıldı. Lakin oxşar sistemlər dünya praktikasında geniş istifadə olunmur və buna görə də biz onların üzərində dayanmayacağıq.
Cədvəl 3
| Texnologiya | Sistemin sabitliyi nəyə əsaslanır? | EPS nümunəsi |
| Mərkəzi server müştəri bankı olan sistemlər, pul köçürmələri | Giriş açarlarının təhlükəsizliyi | Telebank (Quta-bank), "İnternet Xidmət Bankı" (Autobank) |
| Ağıllı kartlar | Ağıllı kartın sındırmaya aparat müqaviməti | Mondex, ACCORD |
| Maqnetik kartlar və virtual kredit kartları | Kömək et, Elit |
|
| danışıq kartları | Danışıq kartlarının nömrələri və kodları ilə verilənlər bazasının məxfiliyi | E-port, Creditpilot, Webmoney, Paycash, Rapira |
| Fayl/pul kisəsi istifadəçinin kompüterində proqram kimi | İnformasiya mübadiləsi protokolunun kriptoqrafik gücü | |
| Ödənişli telefon zəngi | Mərkəzi məlumat bazasının pin kodları ilə məxfiliyi və intellektual telefon şəbəkəsinin aparat sabitliyi | Giriş, Phonepay |
1.3 Rusiyada istifadə olunan əsas elektron ödəniş sistemlərinin təhlili
Hal-hazırda Rusiya İnternetində kifayət qədər çox sayda elektron ödəniş sistemi istifadə olunur, baxmayaraq ki, hamısı geniş istifadə olunmur. Xarakterik olaraq, Runet-də istifadə edilən demək olar ki, bütün Qərb ödəniş sistemləri kredit kartları ilə bağlıdır. Onların bəziləri, məsələn, PayPal, Rusiyadan olan müştərilərlə işləməkdən rəsmən imtina edir. Aşağıdakı sistemlər bu gün ən çox istifadə olunur:
CyberPlat qarışıq tipli sistemlərə aiddir (yuxarıdakı təsnifatlardan hər hansı biri baxımından). Əslində deyə bilərik ki, bu sistem çərçivəsində üç ayrı sistem bir dam altında toplanır: müştərilərə sistemdə iştirak edən banklarda (11 Rusiya bankı və 1 Latviya bankı) açılmış hesabları idarə etməyə imkan verən klassik “müştəri-bank” sistemi. ); sistemə qoşulmuş hüquqi şəxslər arasında təhlükəsiz ödənişlər etməyə imkan verən CyberCheck sistemi; və internet ekvayrinq sistemi, yəni kredit kartlarından qəbul edilən ödənişlərin emalı - CyberPos. Rusiya bazarında mövcud olan bütün İnternet ekvayrinq sistemləri arasında CyberPlat ən çox kredit kartı növlərinin işlənməsini təmin edir, yəni: Visa, Mastercard/Eurocard, American Express7, Diners Club, JCB, Union Card, STB-yə qaçılmaz əlaqə. kart sistemi elan edilib və ACCORD-card/Bashkard. Qeyri-rəsmi olaraq, şirkətin əməkdaşları digər Rusiya kart sistemləri ilə docking imkanları üzərində işlədiklərini iddia etdilər. Yuxarıda göstərilənlərə əlavə olaraq, CyberPlat E-port ödəniş sisteminin skreç-kartlarının emalını təmin edir və qarşıdan gələn Paycash sistemi ilə şlüzün istifadəyə verilməsini elan edir.
Hal-hazırda, oğurlanmış kredit kartlarından ödənişlərdən qorunma səviyyəsini artırmaq üçün şirkət ixtisaslaşmış PalPay texnologiyasını inkişaf etdirir, bu da satıcıya alıcının bank hesabına həqiqətən daxil olub-olmadığını yoxlamaq imkanı verilməsindən ibarətdir. kredit kartı və ya yalnız onun təfərrüatlarını bilir. Rəsmi olaraq bu texnologiyanın istifadəyə verilməsi hələ elan edilməyib.
CyberCheck sistemi korporativ tərəfdaşlarla işin təşkili üçün böyük maraq doğurur. Onun əsas xüsusiyyəti (kredit kartları ilə ödənişlərin qəbulu ilə müqayisədə) faktdan sonra ödəyicinin ödəniş etməkdən imtinasının mümkünsüzlüyüdür. Başqa sözlə, CyberCheck-dən ödəniş təsdiqini almaq, satıcının hesabının yerləşdiyi bankdan belə təsdiqi almaq qədər etibarlıdır. Bütün bu xüsusiyyətlər CyberPlat-ı Rusiya İnternetində EPS satıcıları üçün bəlkə də ən qabaqcıl və maraqlı edir.
Kredit kartlarından ödənişlərin işlənməsi baxımından Assist sistemi bir çox cəhətdən CyberPlat-ın funksional analoqudur. Moskvada onun maraqlarını Alfa-Bank təmsil edir. Ümumilikdə sistemə 5 bank qoşulub. İnternet ekvayrinq alt sistemi Visa, Mastercard/Eurocard, STB-kartdan ödənişləri qəbul etməyə imkan verir. Sentyabr ayına olan məlumata görə, Assist sisteminin serverində bəyan edilmiş digər kart sistemlərindən ödənişlərin qəbulu həqiqətən təmin edilməyib. Lakin qeyri-rəsmi məlumatlara görə, yaxın gələcəkdə Diners Club kartları, Cirrus Maestro və Visa Electron debet kartlarını qəbul etmək mümkün olacaq. Maraqlıdır ki, bu tip kartlar adətən ekvayinq şirkətlər tərəfindən qəbul edilmir, lakin ucuzluğuna görə bu kartlar çox yayılmışdır. Adətən debet kartlarını qəbul etməkdən imtina təhlükəsizlik mülahizələri ilə əsaslandırılır. Ola bilsin ki, ASSIST şirkəti ötən gün dəstək elan etdiyi SET protokolundan istifadə edərək bu problemi həll edə biləcək. İnternetdə plastik kartlarla ödənişin ənənəvi metodundan fərqli olaraq, kart sahibinə ondan edilən ödənişdən (charge-back) imtina etməyə imkan verir, SET protokolu əməliyyatın həqiqiliyinə zəmanət verir, ticarətçi üçün riski əhəmiyyətli dərəcədə azaldır.
İnternet provayderindən alınmış elektron sertifikatlardan istifadə etməklə Assist saytında elan edilən ödəniş üsulu provayderlər üçün yeni iş sahələri açdığı üçün olduqca maraqlıdır, lakin mövcud məlumatlara görə, hüquqi çətinliklər ucbatından son vaxtlara qədər heç kim ondan istifadə etməyib. . Buna baxmayaraq, yenə də qeyri-rəsmi məlumatlara görə, bu vəziyyət tezliklə dəyişəcək - 2001-ci ilin payızında biz bu hesablama metodunun ilk praktik tətbiqini görə bilərik.
Təsvirlərdə qeyd olunan CyberPlat və Assist kart sistemlərinə əlavə olaraq, bazarda bir qədər paylanmış başqaları da var. Discover/NOVUS Şimali Amerikada geniş yayılmışdır və Qərb auditoriyası üçün işləyən elektron mağazalar üçün maraqlı ola bilər. Bu sistemin kartlarını emal edəcək yerli ekvayrinq şirkətlərindən xəbərimiz yoxdur, lakin Qərb ekvayerlərinin maraqlarını təmsil edən vasitəçilərdən bir sıra təkliflər var. Rusiya kart sistemləri arasında STB və Union Card-dan sonra bazarda ən çox diqqət çəkən Zolotaya Korona, Sbercard (Sberbank), Universal Card və ICB-kart (Promstroybank), həmçinin yuxarıda qeyd olunan ACCORD kartı / Bashcard . "ICB-kart" bir neçə kiçik ekvayinq şirkəti tərəfindən idarə olunur, "Qızıl Tac" və "Sbercard" kartlarından İnternet vasitəsilə ödənişlərin qəbulu guya birbaşa emitentlər və/və ya onlarla əlaqəli şirkətlər tərəfindən təmin edilir və Universal Kart vəziyyətində, görünür, heç kim tərəfindən təmin edilmir.
Paycash və Webmoney öz tərtibatçıları tərəfindən elektron nağd pul sistemləri kimi yerləşdirilib, lakin daha yaxından araşdırıldıqdan sonra yalnız Paycash haqlı olaraq belə statusa iddia edə bilər.
Paycash-in inkişafı Tauride Bank tərəfindən başladılmışdır, lakin hazırda digər banklar sistemə qoşulmuşdur, məsələn, Guta-Bank.
Texnoloji nöqteyi-nəzərdən Paycash nağd ödənişlərin demək olar ki, tam imitasiyasını təmin edir. Bir elektron cüzdandan (müştəri tərəfindən kompüterində quraşdırılmış xüsusi proqram) pul banka münasibətdə ödənişin anonimliyini təmin etməklə digərinə köçürülə bilər. Sistem Rusiyada kifayət qədər geniş yayılmışdır və hazırda dünya bazarına çıxmaq üçün cəhdlər edir.
Paycash-in darboğazı elektron pul kisəsinə pul köçürmə prosedurudur. Son vaxtlara qədər bunun yeganə yolu bank filialına getmək və sistem hesabına pul köçürmək idi. Düzdür, alternativlər var idi - Guta-bank Telebank sisteminin istifadəçiləri üçün evdən çıxmadan Quta-bankdakı hesabdan pul köçürmək mümkün idi, lakin bəzi hallarda, görünür, onları birbaşa hesaba köçürmək daha asandır. satıcının - Paycash-dən vasitəçi kimi istifadə etmədən elektron mağaza. Western Union və ya poçt/teleqraf köçürməsi ilə pul köçürmələri də mümkün idi, lakin bu marşrutun cəlbediciliyi komissiyanın yüksək səviyyəsi ilə məhdudlaşırdı. Sankt-Peterburq sakinləri üçün çox ekzotik bir fürsət var - evdə pul üçün kuryer çağırmaq. Əla, amma təəssüf ki, hamımız şimal paytaxtda yaşamırıq.
Kredit kartlarından Paycash-a pul köçürmə imkanı hələ də yoxdur. Bu onunla bağlıdır ki, kart sistemlərinin işini dəstəkləyən şirkətlər öz müştərilərinə qondarma “charge back” – ödənişdən “backdating” etməkdən imtina etmək imkanı verirlər. “Charge back” kredit kartı sahibini onun detallarından istifadə edə bilən fırıldaqçılardan qoruyan mexanizmdir. Belə bir imtina halında, malın həqiqətən kart sahibinə çatdırıldığını və ödənişin həyata keçirilməli olduğunu sübut etmək vəzifəsi satıcının üzərinə düşür. Ancaq Paycash vəziyyətində, bu cür sübut əsasən mümkün deyil - açıq səbəblərə görə. Yuxarıda qeyd olunan və inkişaf mərhələsində olan CyberPlat ilə şlüz də bu problemi həll etmək üçün nəzərdə tutulub.
Hələlik, onu tikmək üçün darboğaz sistemdə PayCash iki kifayət qədər ağlabatan addım atdı - əvvəlcədən ödənilmiş danışıq kartlarının buraxılması və tarifləri poçt tariflərindən əhəmiyyətli dərəcədə aşağı olan Kontakt köçürmə sistemi vasitəsilə ödənişlərin qəbul edilməsini təmin etmək (2,2% və 8%).
Webmoney sistemi Rusiyada elektron ödəniş bazarında "qabaqcıllardan" biridir. Hazırda beynəlxalq səviyyədədir. Bəzi məlumatlara görə, Webmoney-in təkcə ölkələrdə - keçmiş SSRİ respublikalarında deyil, həm də xarici ölkələrdə nümayəndələri var. Sistemin operatoru "VM-center" avtonom qeyri-kommersiya təşkilatıdır.
Webmoney-in iş rejimi elektron nağd pulla işləməyə çox bənzəyir, yalnız diqqətli və diqqətli bir təhlil bizə Webmoney-in ödənişlərin tam anonimliyini təmin etmədiyinə, yəni sistem sahiblərinin özlərindən bağlanmadığına əmin olmağa imkan verir. . Bununla belə, Webmoney təcrübəsi göstərdi ki, bu əmlak kifayət qədər faydalıdır və bəzi hallarda fırıldaqçılıqla məşğul olmağa imkan verir. Üstəlik, ayrıca pullu xidmət kimi “VM-Center” hüquqi və fiziki şəxslərin sertifikatlaşdırılmasını təklif edir, təbii olaraq sistemin digər iştirakçılarına münasibətdə onu anonimlikdən məhrum edir. Bu fürsət, ilk növbədə, vicdanlı elektron mağaza təşkil etmək istəyən və potensial alıcıları öz etibarlılığına inandırmaq niyyətində olanlar üçün lazımdır. Webmoney sizə iki valyutada hesablar açmağa və vəsait köçürməyə imkan verir: rubl və dollar.
Sistemə daxil olmaq üçün “elektron pul kisəsi” proqramından istifadə edilir. Sistemin əlavə xüsusiyyətləri qısa mesajların pul kisəsindən pul kisəsinə köçürülməsi, həmçinin pul kisəsi sahibləri arasında kredit əməliyyatlarıdır. Lakin, fikrimizcə, geri qaytarılmadığı halda krediti məcburi şəkildə yığa bilməyən, anonim şəxslərə internet vasitəsilə borc verməyə razılaşan az adam olacaq.
Paycash-dən fərqli olaraq, Webmoney əvvəlcə bankda ödəniş tapşırıqlarını doldurmaq üçün yorucu prosedurlar olmadan, lakin hüquqi nöqteyi-nəzərdən olduqca qəribə bir şəkildə həm adi nağd pulu pul kisəsinə köçürmək, həm də pul kisələrinin içindəkiləri nağdlaşdırmaq imkanı verdi. Ümumiyyətlə, uzun müddət təşkilatlarla işləmək baxımından Webmoney-in hüquqi dəstəyi bir çox tənqidlərə səbəb oldu.
Son istifadəçilər özləri üçün aktiv şəkildə “pul kisələri” quraşdırarkən, bir çox elektron mağazalar bu EPS-dən istifadə etməkdən imtina etmələrinin səbəbi bu idi. Düzdür, hazırda bu vəziyyət bir qədər yaxşılaşıb və Webmoney sahiblərinin aktiv marketinq mövqeyi ona gətirib çıxarır ki, sistemin imici daim yaxşılaşır. Biri maraqlı xüsusiyyətlər Bu marketinq strategiyası ondan ibarət idi ki, bazara daxil olduqdan dərhal sonra hər kəsə bu sistemdə pul qazanmaq imkanı verilirdi (bəzi insanlar Nails layihəsini və onun sonrakı inkişafını xatırlaya bilər - visiting.ru). Paycash kimi, Webmoney də sistemə pul yatırmaq üçün nəzərdə tutulmuş əvvəlcədən ödənilmiş danışıq kartları buraxır.
Skratç kartlarına əsaslanan iki sistem: E-port (Autocard-holding) və CreditPilot (Creditpilot.com) əkiz qardaşlar kimidir. Onların hər ikisi güman edir ki, alıcı əvvəlcə geniş paylama şəbəkəsinin bir yerindən və ya evinə kuryer sifariş etməklə gizli kodu olan skretch kartı alacaq, bundan sonra o, ödənişləri qəbul edən mağazalarla bu koddan istifadə edərək internetdə ödəniş etməyə başlayacaq. bu sistemlərdən. E-port əlavə olaraq bank və ya “Webmoney” sistemi vasitəsilə şirkətin hesabına pul köçürməklə “virtual” danışıq kartları yaratmaq imkanını təklif edir.
2001-ci ilin sentyabrında fəaliyyətə başlayan Rapida sistemi, əvvəlki iki sistem kimi, skreç kartları vasitəsilə istifadəçinin hesabına pul yatırmağı və ya sistemin üzv bankında ödəniş etməyi təklif edir. Bundan əlavə, “Müştəri-Bank” rejimində işləmək və sistemin iştirakçısı olmayan hüquqi şəxslərin, habelə fiziki şəxslərin bank hesabı açmadan hesablarına pul köçürmələrinin mümkünlüyü açıqlanıb. Sistemə giriş təkcə internet vasitəsilə deyil, həm də telefonla, toxunuşlu yığımdan istifadə etməklə təmin edilir. Ümumiyyətlə, sistem texnoloji cəhətdən inkişaf etmiş və çox maraqlı görünür, lakin hələ ki, onun istifadəyə verilməsindən perspektivlər barədə danışmaq üçün kifayət qədər vaxt keçməyib.
Şəhərlərarası zənglər üçün ödənildiyi kimi ödəniş etməyə imkan verən EPS (faktdan sonra, telefon şirkətindən gələn qanun layihəsi əsasında) ilk dəfə ABŞ-da peyda olub və porno resurslara giriş üçün pul ödəməyi nəzərdə tuturdu. . Bununla belə, bu cür sistemlərin bir çox sahiblərinin sistematik saxtakarlıq hərəkətləri səbəbindən alıcılar arasında populyarlıq qazana bilmədilər və satıcılar onlardan xüsusilə razı deyildilər, çünki bu sistemlər ödənişləri əhəmiyyətli dərəcədə gecikdirməyə çalışırdılar.
Bu konsepsiyanın iki yerli tətbiqi - Phonepay və Eaccess - səyahətin başlanğıcındadır. Hər iki sistem hesab edir ki, müştəri ödəniş etmək üçün 8-809 kodunda müəyyən bir şəhərlərarası nömrəyə zəng etməlidir (görünür, MTU-inform şirkəti tərəfindən verilir), bundan sonra bəzi əsas məlumatlar robot tərəfindən ona diktə olunsun.Eaccess vəziyyətində bu, ödənişli informasiya resursuna daxil olmaq üçün istifadə olunan pin kodudur, Phonepay-da isə, bu, birindən birinin 12 rəqəmindən ibarət universal “rəqəmsal sikkə”dir. sistemdə sərt kodlanmış beş nominal.-giriş hələ də tədricən inkişaf edir, sistemə qoşulan mağazaların sayını artırır və Phonepay tərtibatçılara aid olmayan bir dənə də olsun mağazanı öz sisteminə qoşmayıb.
Fikrimcə, Rusiyada bu cür sistemlərin son istifadəçi tərəfindən onlara giriş asanlığı ilə bağlı kifayət qədər müəyyən perspektivləri var, lakin onların əhatə dairəsi satışla məhdudlaşacaq. informasiya resursları. Ödənişlərin qəbulunda uzun gecikmə (sistem onları alıcının telefon hesabını ödədiyi vaxtdan tez olmayan mağazaya köçürəcək) bu EPS-dən istifadə edərək maddi aktivlərin ticarətini olduqca zərərli edir.
Nəhayət, EPS-nin başqa bir növünü qeyd etmək lazımdır - ənənəvi poçt və teleqraf köçürmələri ilə rəqabət aparan şəxslər arasında xüsusi transfer sistemləri. Bu nişi ilk olaraq Western Union və Money Gram kimi xarici sistemlər tuturdu. Ənənəvi köçürmələrlə müqayisədə onlar daha sürətli və təhlükəsiz ödənişləri təmin edirlər. Eyni zamanda, onların bir sıra əhəmiyyətli çatışmazlıqları var, bunlardan başlıcası xidmətlərinin yüksək qiymətidir, transfer məbləğinin 10% -ə çatır. Başqa bir narahatçılıq isə ondan ibarətdir ki, bu sistemlər qanuni olaraq mallar üçün ödənişləri sistematik qəbul etmək üçün istifadə edilə bilməz. Ancaq yalnız qohumlarına və dostlarına pul göndərmək istəyənlər üçün bu sistemlərə, eləcə də yerli həmkarlarına (Anelik və Contact) diqqət yetirmək mantiqidir. İndiyə qədər nə Paycash, nə də Webmoney onlarla rəqabət apara bilmir, çünki Avstraliya və ya Almaniyada hardasa elektron pul kisəsindən çıxarıb nağd pul əldə etmək mümkün deyil. EPS Rapida belə bir ehtimalı bəyan edir, lakin hələlik saytda heç bir təfərrüat yoxdur və sistemin ofislərinin coğrafiyası artıq bazarda olan sistemlərlə müqayisə oluna bilməz.
Elektron mağazaların sahibləri, görünür, ilk növbədə kredit kartlarından və elektron pul sistemlərindən - Webmoney və Paycash-dən pul qəbul etmək barədə düşünməlidirlər. İstehlakçı xüsusiyyətlərinin birləşməsi baxımından, fikrimizcə, Rusiya bazarında kredit kartlarından ödənişlərin qəbulu sistemlərinin heç biri CyberPlat ilə rəqabət apara bilməz. Bütün digər sistemlər isteğe bağlı istifadəyə tabedir, xüsusən də eyni E-portun ayrıca quraşdırılmasına ehtiyac olmadığını xatırlayırsınızsa, çünki onun kartlarına CyberPlat tərəfindən xidmət göstərilir.
2. ELEKTRON ÖDƏNİŞ SİSTEMLƏRİNİN MÜDAFİƏ VASİTƏLƏRİ
2.1 Elektron ödəniş sistemlərindən istifadə ilə bağlı təhlükələr
düşünün mümkün təhlükələr təcavüzkarın bu sistemlə bağlı dağıdıcı hərəkətləri. Bunu etmək üçün təcavüzkarın əsas hücum obyektlərini nəzərdən keçirin. Təcavüzkarın hücumunun əsas obyekti maliyyə resursları, daha doğrusu, onların elektron əvəzediciləri (surroqatları) - ödəniş sistemində dövriyyədə olan ödəniş tapşırıqlarıdır. Bu alətlərlə əlaqədar olaraq, təcavüzkar aşağıdakı məqsədləri həyata keçirə bilər:
1. Pul vəsaitlərinin oğurlanması.
2. Saxta vəsaitlərin tətbiqi (sistemin maliyyə balansının pozulması).
3. Sistem performansının pozulması ( texniki təhlükə).
Hücumun göstərilən obyektləri və məqsədləri mücərrəd xarakter daşıyır və məlumatın mühafizəsi üçün zəruri tədbirlərin təhlilinə və işlənib hazırlanmasına imkan vermir, ona görə də Cədvəl 4-də hücumçunun dağıdıcı təsirlərinin obyekt və məqsədlərinin spesifikasiyası verilmişdir.
Cədvəl 4 Təcavüzkarın mümkün dağıdıcı hərəkətlərinin modeli
| Təsir obyekti | Təsirin məqsədi | Təsiri həyata keçirmək üçün mümkün mexanizmlər. |
| Bankın veb serverində HTML səhifələri | Müştəri tərəfindən ödəniş tapşırığına daxil edilmiş məlumatların əldə edilməsi məqsədi ilə əvəzetmə. | Serverə hücum və serverdəki səhifələrin dəyişdirilməsi. Trafikdə səhifələrin dəyişdirilməsi. Müştərinin kompüterinə hücum və müştəridəki səhifələrin dəyişdirilməsi |
| Serverdəki müştəri məlumat səhifələri | Müştəri (lər)in ödənişləri haqqında məlumatın əldə edilməsi | Serverə hücum. Trafikə hücum. Müştərinin kompüterinə hücum. |
| Müştəri tərəfindən formada daxil edilmiş ödəniş sifarişi məlumatları | Müştəri tərəfindən ödəniş tapşırığına daxil edilmiş məlumatların əldə edilməsi. | Müştərinin kompüterinə hücum (viruslar və s.). Bu təlimatlar trafik vasitəsilə göndərildikdə onlara hücum edin. Serverə hücum. |
| Müştərinin kompüterində yerləşən və elektron ödəniş sisteminə aid olmayan şəxsi müştəri məlumatları | Müştəridən məxfi məlumatların əldə edilməsi. Müştəri məlumatlarının dəyişdirilməsi. Müştərinin kompüterinin söndürülməsi. | Bütün kompleks məlum hücumlarİnternetə qoşulmuş kompüterə. Ödəniş sistemi mexanizmlərinin istifadəsi nəticəsində ortaya çıxan əlavə hücumlar. |
| Bank prosessinq mərkəzi məlumatı. | Prosessinq mərkəzinin məlumatlarının açıqlanması və dəyişdirilməsi və yerli şəbəkə banka. | İnternetə qoşulmuş yerli şəbəkəyə hücum. |
Bu cədvəldən İnternet üzərindən istənilən elektron ödəniş sisteminin təmin etməli olduğu əsas tələbləri izləyin:
Birincisi, sistem ödəniş tapşırığı məlumatlarının icazəsiz dəyişikliklərdən və modifikasiyalardan qorunmasını təmin etməlidir.
İkincisi, sistem təcavüzkarın müştərinin kompüterinə hücum təşkil etmək qabiliyyətini artırmamalıdır.
Üçüncüsü, sistem serverdə yerləşən məlumatların icazəsiz oxunmasından və dəyişdirilməsindən qorunmasını təmin etməlidir.
Dördüncüsü, sistem bankın yerli şəbəkəsini qlobal şəbəkənin təsirindən qorumaq üçün sistemi təmin etməli və ya dəstəkləməlidir.
Elektron ödəniş məlumatlarının qorunması üçün xüsusi sistemlərin inkişafı zamanı, bu model və tələblər daha ətraflı nəzərdən keçirilməlidir. Bununla belə, cari təqdimat üçün belə detal tələb olunmur.
2.2 Elektron ödəniş sistemləri üçün təhlükəsizlik texnologiyaları
Bir müddət WWW-nin inkişafı, WWW-nin əsasını təşkil edən html səhifələrinin statik mətn olması, yəni. onların köməyi ilə istifadəçi ilə server arasında interaktiv məlumat mübadiləsini təşkil etmək çətindir. Tərtibatçılar HTML-nin bu istiqamətdə imkanlarını genişləndirmək üçün bir çox yollar təklif etmişlər, onların çoxu geniş şəkildə qəbul edilməmişdir. İnternetin inkişafında yeni mərhələ olan ən güclü həllərdən biri Sun-un HTML səhifələrinə qoşulmuş interaktiv komponentlər kimi Java appletlərindən istifadə etmək təklifi idi.
Java appleti Java proqramlaşdırma dilində yazılmış və bəzi virtual kompüterlərin - Java maşınının kodları olan və Intel prosessorlarının kodlarından fərqli olan xüsusi bayt kodlarına yığılmış proqramdır. Appletlər İnternetdəki serverdə yerləşdirilir və həmin appletə zəng olan HTML səhifəsinə hər dəfə daxil olduqda istifadəçinin kompüterinə endirilir.
Aplet kodlarını icra etmək üçün standart brauzer bayt kodları Intel (və ya digər) prosessorlar ailəsinin maşın təlimatlarına şərh edən Java maşın tətbiqini ehtiva edir. Java tətbiqetmələrinin texnologiyasına xas olan imkanlar, bir tərəfdən güclü inkişaf etməyə imkan verir istifadəçi interfeysləri, URL vasitəsilə istənilən şəbəkə resurslarına çıxışı təşkil edir, TCP/IP, FTP və s. protokollardan istifadə etmək asandır və digər tərəfdən, kompüter resurslarına birbaşa daxil olmağı qeyri-mümkün edir. Məsələn, appletlərin girişi yoxdur fayl sistemi kompüter və qoşulmuş cihazlar.
WWW imkanlarını genişləndirmək üçün oxşar həll Microsoft-un Active X texnologiyasıdır.Bu texnologiya ilə Java arasında ən əhəmiyyətli fərq komponentlərin (appletlərin analoqları) kodlardakı proqramlar olmasıdır. Intel prosessoru və bu komponentlərin bütün kompüter resurslarına, həmçinin Windows interfeyslərinə və xidmətlərinə çıxışı var.
WWW təkmilləşdirilməsinə daha az yayılmış yanaşma Netscape-in Netscape Navigator texnologiyası üçün Plug-in-dir. Məhz bu texnologiya İnternet vasitəsilə elektron ödənişlər üçün informasiya təhlükəsizliyi sistemlərinin qurulması üçün ən optimal əsas kimi görünür. Əlavə təqdimat üçün bu texnologiyanın Veb server məlumatlarının qorunması problemini necə həll etdiyini nəzərdən keçirək.
Tutaq ki, hansısa Veb server var və bu serverin administratoru serverin informasiya massivinin hansısa hissəsinə girişi məhdudlaşdırmalıdır, yəni. elə təşkil edin ki, bəzi istifadəçilər bəzi məlumatlara çıxış əldə etsin, digərləri isə yox.
Hal-hazırda bu problemin həlli üçün bir sıra yanaşmalar təklif olunur, xüsusən də çoxları ƏS, nəzarəti altında İnternet serverlərinin fəaliyyət göstərdiyi, bəzi ərazilərinə daxil olmaq üçün parol tələb edin, yəni. autentifikasiya tələb olunur. Bu yanaşmanın iki əhəmiyyətli çatışmazlığı var: birincisi, verilənlər serverin özündə açıq formada saxlanılır, ikincisi, məlumatlar şəbəkə üzərindən də açıq formada ötürülür. Beləliklə, təcavüzkarın iki hücum təşkil etmək imkanı var: serverin özünə (parol təxmin etmək, paroldan yan keçmək və s.) və trafikə hücum. Bu cür hücumların həyata keçirilməsi faktları internet ictimaiyyətinə çox məlumdur.
İnformasiya təhlükəsizliyi probleminin həllinə daha bir məşhur yanaşma SSL (Secure Sockets Layer) texnologiyasına əsaslanan yanaşmadır. SSL-dən istifadə edərkən, müştəri ilə server arasında məlumatların ötürüldüyü təhlükəsiz rabitə kanalı qurulur, yəni. şəbəkə üzərindən aydın mətnlə məlumatların ötürülməsi problemini nisbətən həll olunmuş hesab etmək olar. SSL ilə bağlı əsas problem əsas sistemin qurulması və ona nəzarətdir. Məlumatların serverdə açıq formada saxlanması probleminə gəlincə, o, həll olunmamış qalır.
Yuxarıda təsvir olunan yanaşmaların digər vacib çatışmazlığı, həm serverin, həm də şəbəkə müştərisinin proqram təminatı tərəfindən dəstəyinə ehtiyacdır, bu həmişə mümkün və rahat deyil. Xüsusilə kütləvi və qeyri-mütəşəkkil müştəriyə yönəlmiş sistemlərdə.
Müəllifin təklif etdiyi yanaşma internetdə əsas informasiya daşıyıcısı olan html səhifələrinin birbaşa qorunmasına əsaslanır. Qorunmanın mahiyyəti ondan ibarətdir ki, tərkibində HTML səhifələri olan fayllar şifrələnmiş formada serverdə saxlanılır. Eyni zamanda, onların şifrələndiyi açar yalnız onu şifrələyən şəxsə (inzibatçıya) və müştərilərə məlumdur (ümumiyyətlə, açar sisteminin qurulması problemi şəffaf vəziyyətdə olduğu kimi həll olunur. fayl şifrələməsi).
Müştərilər Netscape Plug-in for Netscape texnologiyası vasitəsilə təhlükəsiz məlumat əldə edir. Bu modullar proqramlardır, daha doğrusu proqram komponentləri MIME standartında müəyyən fayl növləri ilə əlaqəli olan. MIME İnternetdə fayl formatlarını təyin edən beynəlxalq standartdır. Məsələn, aşağıdakı fayl növləri var: text/html, text/plane, image/jpg, image/bmp və s. Bundan əlavə, standart təyinetmə mexanizmini müəyyənləşdirir xüsusi növlər müstəqil tərtibatçılar tərəfindən müəyyən edilə və istifadə edilə bilən fayllar.
Beləliklə, müəyyən MIME fayl növləri ilə əlaqəli olan plaginlərdən istifadə olunur. Əlaqə ondan ibarətdir ki, istifadəçi müvafiq tipli fayllara daxil olduqda, brauzer onunla əlaqəli Plug-ini işə salır və bu modul fayl məlumatlarını vizuallaşdırmaq və istifadəçinin bu fayllarla hərəkətlərini emal etmək üçün bütün hərəkətləri yerinə yetirir.
Ən məşhur Plug-in modulları avi formatında video klipləri oynadan modullardır. Bu fayllara baxmaq brauzerlərin adi imkanlarına daxil deyil, lakin müvafiq Plug-in quraşdırmaqla siz bu faylları brauzerdə asanlıqla görə bilərsiniz.
Bundan əlavə, müəyyən edilmiş beynəlxalq standart sifarişə uyğun olaraq bütün şifrələnmiş fayllar MIME tipli fayllar kimi müəyyən edilir. "application/x-shp". Sonra Netscape texnologiyası və protokollarına uyğun olaraq, bu fayl növü ilə əlaqəli olan Plug-in hazırlanır. Bu modul iki işi görür: birincisi, parol və istifadəçi identifikatoru tələb edir, ikincisi, faylın şifrəsini açmaq və brauzer pəncərəsində göstərmək işini görür. Bu modul bütün müştəri kompüterlərinin brauzerlərində Netscape tərəfindən müəyyən edilmiş qaydalara uyğun olaraq quraşdırılır.
İşin bu hazırlıq mərhələsində sistem işə hazırdır. Əməliyyat zamanı müştərilər standart ünvanlarında (URL) şifrələnmiş html səhifələrinə daxil olurlar. Brauzer bu səhifələrin növünü müəyyən edir və bizim hazırladığımız modulu avtomatik işə salır, ona şifrələnmiş faylın məzmununu ötürür. Modul müştərinin autentifikasiyasını həyata keçirir və uğurla başa çatdıqdan sonra səhifənin məzmununu deşifrə edir və göstərir.
Bütün bu proseduru yerinə yetirərkən, müştəri "şəffaf" səhifə şifrələməsi hissini alır, çünki yuxarıda təsvir edilən bütün sistem əməliyyatları onun gözlərindən gizlidir. Eyni zamanda, html səhifələrinə daxil edilmiş bütün standart funksiyalar, məsələn, şəkillərdən istifadə, Java proqramları, CGI skriptləri qorunur.
Bu yanaşmanın bir çox informasiya təhlükəsizliyi problemlərini həll etdiyini görmək asandır açıq formada, o, yalnız müştərilərin kompüterlərində olur, məlumat şifrələnmiş formada şəbəkə üzərindən ötürülür. Məlumat əldə etmək məqsədi güdən təcavüzkar yalnız konkret istifadəçiyə hücum edə bilər və heç bir server məlumatını mühafizə sistemi bu hücumdan qoruya bilməz.
Hazırda müəllif Netscape Navigator (3.x) və Netscape Communicator 4.x brauzerləri üçün təklif olunan yanaşma əsasında iki informasiya təhlükəsizliyi sistemi işləyib hazırlayıb. ərzində qabaqcadan sınaq müəyyən edilmişdir ki, hazırlanmış sistemlər MExplorer-in nəzarəti altında normal fəaliyyət göstərə bilər, lakin bütün hallarda deyil.
Qeyd etmək lazımdır ki, sistemlərin bu versiyaları HTML səhifəsi ilə əlaqəli obyektləri şifrələmir: şəkillər, skript appletləri və s.
Sistem 1 faktiki html səhifələrinin tək bir obyekt kimi qorunmasını (şifrələnməsini) təklif edir. Siz bir səhifə yaradırsınız, sonra onu şifrələyirsiniz və serverə köçürürsünüz. Şifrələnmiş səhifəyə daxil olduqda, o, avtomatik olaraq şifrələnir və xüsusi pəncərədə göstərilir. Təhlükəsizlik sisteminin server proqramı tərəfindən dəstəklənməsi tələb olunmur. Şifrələmə və şifrənin açılması ilə bağlı bütün işlər müştərinin iş stansiyasında aparılır. Bu sistem universaldır, yəni. səhifənin strukturundan və məqsədindən asılı deyil.
Sistem 2 təhlükəsizliyə fərqli yanaşma təklif edir. Bu sistem səhifənizin bəzi sahələrində qorunan məlumatların göstərilməsini təmin edir. Məlumat serverdə şifrələnmiş fayldadır (mütləq html formatında deyil). Səhifənizə getdiyiniz zaman mühafizə sistemi avtomatik olaraq bu fayla daxil olur, ondan məlumatları oxuyur və onları səhifənin müəyyən hissəsində göstərir. Bu yanaşma minimal çox yönlülüklə maksimum səmərəlilik və estetik gözəlliyə nail olmağa imkan verir. Bunlar. sistemin müəyyən bir məqsədə yönəldiyi ortaya çıxır.
Bu yanaşma internet vasitəsilə elektron ödəniş sistemlərinin qurulmasında da tətbiq oluna bilər. Bu halda, Veb serverin müəyyən səhifəsinə daxil olduqda, istifadəçiyə ödəniş sifarişi formasını göstərən Plug-in modulu işə salınır. Müştəri onu doldurduqdan sonra modul ödəniş məlumatlarını şifrələyir və serverə göndərir. Eyni zamanda o, istifadəçidən elektron imza tələb edə bilər. Üstəlik, şifrələmə açarları və imzaları istənilən mühitdən oxumaq olar: disketlər, elektron planşetlər, smart kartlar və s.
2.3 Elektron ödəniş sistemləri üçün əsas tələblərə uyğunluq texnologiyalarının təhlili
Yuxarıda, biz İnternet üzərindən ödəniş sistemlərinin qurulmasında istifadə edilə bilən üç texnologiyanı təsvir etdik: bu, Java proqramları, Active-X komponentləri və Plug-inlərə əsaslanan texnologiyadır. Gəlin onları müvafiq olaraq J, AX və P texnologiyaları adlandıraq.
Təcavüzkarın kompüterə hücum etmək qabiliyyətinin artmaması tələbini nəzərə alın. Bunu etmək üçün, mümkün hücum növlərindən birini təhlil edək - müvafiq müştəri müdafiə modullarının təcavüzkar tərəfindən dəyişdirilməsi. J texnologiyası vəziyyətində bunlar appletlər, AX vəziyyətində sualtı komponentlər, P vəziyyətində bunlar plaginlərdir. Aydındır ki, təcavüzkar müştərinin kompüterində mühafizə modullarını birbaşa əvəz etmək imkanına malikdir. Bu hücumun həyata keçirilməsi mexanizmləri bu təhlilin əhatə dairəsi xaricindədir, lakin qeyd etmək lazımdır ki, bu hücumun həyata keçirilməsi nəzərdən keçirilən müdafiə texnologiyasından asılı deyil. Və hər bir texnologiyanın təhlükəsizlik səviyyəsi eynidir, yəni. onların hamısı bu hücuma eyni dərəcədə həssasdırlar.
Əvəzetmə baxımından J və AX texnologiyalarında ən həssas nöqtə onların İnternetdən yüklənməsidir. Məhz bu məqamda hücumçu əvəzetmə edə bilər. Üstəlik, təcavüzkar bankın serverində bu modulları əvəz etməyi bacarırsa, o zaman o, internetdə dolaşan ödəniş sisteminin bütün məlumatlarına çıxış əldə edir.
P texnologiyası vəziyyətində əvəzetmə təhlükəsi yoxdur, çünki modul şəbəkədən yüklənməmişdir - o, daimi olaraq müştərinin kompüterində saxlanılır.
Spoofinqin nəticələri müxtəlifdir: J-texnologiyası vəziyyətində təcavüzkar yalnız müştərinin daxil etdiyi məlumatları oğurlaya bilər (bu, ciddi təhlükədir), Active-X və Plug-in vəziyyətində isə təcavüzkar kompüterdə işləyən müştərinin əldə edə biləcəyi hər hansı məlumatı əldə edin.
Hazırda müəllif Java proqramlarının saxtalaşdırılması hücumlarını həyata keçirməyin xüsusi yollarından xəbərsizdir. Göründüyü kimi, bu hücumlar zəif inkişaf edir, çünki nəticədə məlumat oğurlamaq üçün imkanlar praktiki olaraq yoxdur. Lakin Active-X komponentlərinə hücumlar geniş yayılmış və yaxşı məlumdur.
İnternet vasitəsilə elektron ödəniş sistemində dolaşan məlumatların qorunması tələbini nəzərdən keçirin. Aydındır ki, bu halda, J texnologiyası çox əhəmiyyətli bir məsələdə həm P, həm də AX-dan aşağıdır. İnformasiyanın mühafizəsinin bütün mexanizmləri şifrələmə və ya elektron imzaya əsaslanır və bütün müvafiq alqoritmlər əsas elementlərin tətbiqini tələb edən kriptoqrafik transformasiyalara əsaslanır. Hazırda əsas elementlərin uzunluğu təxminən 32-128 bayt təşkil edir, ona görə də istifadəçidən onları klaviaturadan daxil etməyi tələb etmək demək olar ki, mümkün deyil. Sual yaranır ki, onlara necə daxil olmaq olar? P və AX texnologiyalarının kompüter resurslarına çıxışı olduğundan, bu problemin həlli aydındır və hamıya məlumdur - düymələr lokal fayllardan, disketlərdən, planşetlərdən və ya smart kartlardan oxunur. Lakin J texnologiyası vəziyyətində belə bir giriş mümkün deyil, bu o deməkdir ki, ya müştəridən mənasız məlumatların uzun ardıcıllığını daxil etməyi tələb etməlisən, ya da əsas elementlərin uzunluğunu azaltmaqla kriptoqrafik çevrilmələrin gücünü azaltmalısan. , nəticədə mühafizə mexanizmlərinin etibarlılığını azaldır. Üstəlik, bu azalma çox əhəmiyyətlidir.
Elektron ödəniş sisteminin serverdə yerləşən məlumatların icazəsiz oxunmasından və dəyişdirilməsindən qorunmasını təşkil etməli olduğu tələbini nəzərə alın. Bu tələb ondan irəli gəlir ki, sistem istifadəçi üçün nəzərdə tutulmuş məxfi məlumatların serverdə yerləşdirilməsini nəzərdə tutur. Məsələn, emal nəticələrinə dair qeyd ilə onun göndərdiyi ödəniş tapşırıqlarının siyahısı.
P texnologiyası vəziyyətində məlumatlar şifrələnmiş və serverdə yerləşdirilən html səhifələri şəklində təqdim olunur. Bütün hərəkətlər yuxarıda təsvir olunan alqoritmə uyğun olaraq həyata keçirilir (html səhifələrinin şifrələnməsi).
J və AX texnologiyaları vəziyyətində, bu məlumat serverdəki faylda hansısa strukturlaşdırılmış formada yerləşdirilə bilər və komponentlər və ya appletlər verilənlərin oxunması və vizuallaşdırılması əməliyyatlarını yerinə yetirməlidir. Bütün bunlar ümumilikdə appletlərin və komponentlərin ümumi ölçüsünün artmasına və nəticədə müvafiq səhifələrin yükləmə sürətinin azalmasına səbəb olur.
Bu tələb baxımından P texnologiyası daha çox istehsal qabiliyyətinə görə qalib gəlir, yəni. inkişaf üçün daha az məsrəf və şəbəkədən keçərkən komponentlərin dəyişdirilməsinə daha böyük müqavimət.
Bank yerli şəbəkəsini qorumaq üçün sonuncu tələbə gəlincə, o, təhlükəsizlik divarları (firewall) sisteminin səlahiyyətli qurulması yolu ilə yerinə yetirilir və nəzərdən keçirilən texnologiyalardan asılı deyildir.
Beləliklə, yuxarıda göstərilənlər ilkin idi müqayisəli təhlil J, AX və P texnologiyaları, buradan belə çıxır ki, müştərinin kompüterinin təhlükəsizlik dərəcəsinin qorunması elektron ödəniş sistemlərində istifadə olunan kriptoqrafik çevrilmələrin gücündən daha vacib olduqda J texnologiyasından istifadə edilməlidir.
P texnologiyası ödəniş informasiya təhlükəsizliyi sistemlərinin əsasını təşkil edən ən optimal texnoloji həll kimi görünür, çünki o, gücü birləşdirir. standart tətbiq Win32 və İnternet üzərindən hücumlardan qorunma. Bu texnologiyadan istifadə edərək layihələrin praktiki və kommersiya tətbiqi, məsələn, Rusiya Maliyyə Kommunikasiyaları şirkəti tərəfindən həyata keçirilir.
AX texnologiyasına gəlincə, onun istifadəsi səmərəsiz və zərərli hücumlara qarşı qeyri-sabit görünür.
NƏTİCƏ
Elektron pul getdikcə daha çox gündəlik reallığımıza çevrilir, ən azı onunla hesablaşmaq lazımdır. Əlbəttə ki, yaxın əlli ildə (yəqin ki) heç kim adi pulu ləğv etməyəcək. Amma elektron pulları idarə edə bilməmək və onların gətirdiyi imkanları əldən vermək son on beş ildə bu qədər çətinliklə sökülən öz ətrafına könüllü olaraq “dəmir pərdə” çəkmək deməkdir. Bir çox iri firmalar öz xidmətləri və malları üçün elektron ödənişlər vasitəsilə ödəniş təklif edirlər. İstehlakçı üçün bu, çox vaxta qənaət edir.
Elektron cüzdanınızı açmaq və pulla işləmək üçün pulsuz proqram kütləvi kompüterlər üçün maksimum uyğunlaşdırılmışdır və bir az təcrübədən sonra adi istifadəçi üçün heç bir problem yaratmır. Bizim dövrümüz kompüterlər, internet və e-ticarət dövrüdür. Bu sahələrdə biliyə və müvafiq vasitələrə sahib olan insanlar böyük uğurlar əldə edirlər. Elektron pullar hər gün daha geniş yayılan və Şəbəkəyə çıxışı olan şəxs üçün getdikcə daha çox imkanlar açan pullardır.
Hesablama və qrafik işin məqsədi yerinə yetirildi və aşağıdakı vəzifələr həll edildi:
1. Elektron ödəniş sistemlərinin əsas vəzifələri və onların fəaliyyət prinsipləri, xüsusiyyətləri müəyyən edilir.
2. Elektron ödənişlərin əsas sistemləri təhlil edilir.
3. Elektron puldan istifadə ilə bağlı təhlükələri təhlil edib.
4. Elektron ödəniş sistemlərindən istifadə zamanı mühafizə vasitələrini təhlil etmişdir.
İSTİFADƏLƏR
1. Antonov N.G., Pessel M.A. Pul dövriyyəsi, kredit və banklar. -M.: Finstatinform, 2005, s.179-185.
2. Bank portfeli - 3. - M .: Somintek, 2005, s.288-328.
3. Mixaylov D.M. Beynəlxalq ödənişlər və zəmanətlər. Moskva: FBK-PRESS, 2008, s. 20-66.
4. Polyakov V.P., Moskovkina L.A. Mərkəzi bankların strukturu və funksiyaları. Xarici təcrübə: Dərslik. - M.: İNFRA-M, 2006.
5. Qaykoviç Yu.V., Perşin A.S. Elektron bank sistemlərinin təhlükəsizliyi. - M: Birləşmiş Avropa, 2004
6. Demin V.S. s. avtomatlaşdırılmış bank sistemləri. - M: Menatep-İnform, 2007
7. Krisin V.A. Biznes təhlükəsizliyi. - M: Maliyyə və statistika, 2006
8. Linkov İ.İ. və başqaları.Kommersiya strukturlarında informasiya bölmələri: necə sağ qalmaq və uğur qazanmaq. - M: NIT, 2008
9. Titorenko G.A. və digər bank işinin kompüterləşdirilməsi. - M: Finstatinform, 2007
10. Tuşnolobov İ.B., Urusov D.P., Yartsev V.İ. Paylanmış şəbəkələr. - Sankt-Peterburq: Peter, 2008
12. Aqlitsky I. Rusiya banklarının informasiya təminatının vəziyyəti və perspektivləri. - Bank texnologiyaları, 2007 No 1.
Repetitorluq
Mövzunun öyrənilməsinə kömək lazımdır?
Mütəxəssislərimiz sizi maraqlandıran mövzular üzrə məsləhət və ya repetitorluq xidmətləri göstərəcək.
Ərizə təqdim edin konsultasiya əldə etmək imkanını öyrənmək üçün mövzunu indi göstərərək.
3. Elektron ödənişlərin qorunması
Bank məlumatı kimi bank təhlükəsizliyi məsələsi xüsusilə aktualdır, birincisi, real pulu təmsil edir, ikincisi, çoxlu sayda bank müştərilərinin məxfi maraqlarına toxunur.
2000-ci ildə e-ticarət bazarının ölçüsü
| Bazarın həcmi və xüsusiyyətləri | Qiymətləndirmə, ABŞ dolları |
| Bütün İnternet məhsulu alışlarının ümumi dəyəri | 4,5-6 mlrd |
| Orta müştəriyə düşən bütün alışların ümumi dəyəri | 600-800 |
| İnternet əməliyyatına görə orta alış dəyəri | 25-35 |
| İnternet üzərindən əməliyyatların-alqıların ümumi həcmi | 130-200 milyon |
| Məhsulların onlayn alış payı | 60-70% |
| Çatdırılmış malların alış payı | 30-40% |
Elektron ödəniş sistemlərinin işləməsinin ümumi sxemi
Sistemlə müqavilə bağlamış və müvafiq lisenziya almış bank iki funksiyada - bu sistemin bütün digər iştirakçı banklar tərəfindən ödənişə qəbul edilmiş ödəniş vasitələrinin emitenti kimi və ödənişi qəbul edən müəssisələrə xidmət göstərən ekvayinq bankı kimi çıxış edə bilər. bu sistemin digər emitentlər tərəfindən buraxılmış ödəniş vasitələri və bu ödəniş vasitələrini öz filiallarında nağdlaşdırmaya qəbul edir.
Ödəniş prosesi olduqca sadədir. Müəssisənin kassiri ilk növbədə kartın həqiqiliyini müvafiq işarələrə görə yoxlamalıdır.
Şirkət ödəniş edərkən müştərinin kartının rekvizitlərini surətçıxaran – imprinterdən istifadə etməklə xüsusi çekə köçürməli, çekə hansı məbləğdə alış-veriş edildiyini və ya xidmətlərin göstərildiyini daxil etməli və müştərinin imzasını almalıdır.
Bu şəkildə tərtib edilmiş çekə slip deyilir. Tranzaksiyaların təhlükəsiz aparılması üçün ödəniş sistemi icazəsiz hesablaşmalar üçün istifadə oluna bilən müxtəlif regionlar və biznes növləri üçün məbləğlər üçün aşağı limitlər tövsiyə edir. Məbləğ həddi keçərsə və ya müştərinin şəxsiyyətinə şübhə yaranarsa, şirkət avtorizasiya prosesini həyata keçirməyə borcludur.
Prosedurun texniki aspektləri üzərində dayanmadan qeyd edirik ki, avtorizasiya zamanı müəssisə faktiki olaraq müştərinin hesabının vəziyyəti haqqında məlumat əldə edir və bununla da kartın müştəriyə məxsusluğunu və onun ödəmə qabiliyyətini müəyyən etmək imkanı əldə edir. əməliyyat məbləği məbləğində. Slipin bir nüsxəsi şirkətdə qalır, ikincisi müştəriyə verilir, üçüncüsü ekvayer banka təhvil verilir və müştərinin hesabından şirkətə ödəniş məbləğinin ödənilməsi üçün əsas rolunu oynayır.
Son illərdə POS-terminallar geniş populyarlıq qazanmışdır, onlardan istifadə edərkən vərəqələri doldurmağa ehtiyac yoxdur. Kartın təfərrüatları POS-terminalda quraşdırılmış oxucunun maqnit zolağından oxunur, əməliyyat məbləği klaviaturadan daxil edilir və terminal daxili modem vasitəsilə müvafiq ödəniş sisteminə avtorizasiya üçün müraciət edir. Bu zaman prosessinq mərkəzinin texniki imkanlarından istifadə edilir ki, onun xidmətləri bank tərəfindən tacirə təqdim edilir. Bu halda, şirkət iş gününün sonunda terminalın yaratdığı müştərinin imza nümunəsi və paket faylları olan kassa lentinin surəti ilə banka hesabat verir.
Son illərdə getdikcə daha çox diqqət yetirilir mikroprosessor kartlarından istifadə edən bank sistemləri.
Xarici olaraq, bu məlumat daşıyıcıları kartın içərisində lehimlənmiş yaddaş çipi və ya mikroprosessor və onun səthində yerləşdirilmiş kontakt lövhələri istisna olmaqla, adi kartlardan fərqlənmir.
Bu kartların yuxarıdakılardan əsas fərqi ondan ibarətdir ki, onlar özləri tranzit hesab olduqları üçün müştərinin hesabının vəziyyəti haqqında məlumatı birbaşa daşıyırlar. Aydındır ki, belə kartların hər bir qəbul məntəqəsi xüsusi POS-terminalla (çip oxuyucusu ilə) təchiz olunmalıdır.
Kartdan istifadə edə bilmək üçün müştəri onu bank terminalındakı hesabından endirməlidir. Dialoq kartı - terminal və ya müştəri kartı - ticarət kartı zamanı bütün əməliyyatlar OFF-LINE rejimində aparılır.
Belə bir sistem çip təhlükəsizliyinin yüksək dərəcəsi və tam debet hesablaşma sxemi sayəsində demək olar ki, tamamilə təhlükəsizdir. Bundan əlavə, kartın özü adi kartdan xeyli baha olsa da, OFF-LINE rejimində telekommunikasiya yükündən istifadə edilmədiyi üçün əməliyyat prosesində sistem daha da ucuz olur.
Plastik bank kartları ilə elektron ödənişlər müxtəlif növlər“Bank 1 - Müştəri - Müəssisə - Bank 2” silsiləsində və “Bank 1 - ... - Bank N” tipli banklararası hesablaşmalarda kifayət qədər çevik və universal hesablaşma mexanizmini təmsil edir. Bununla belə, bu ödəniş alətlərinin çox yönlü olması onları fırıldaqçılıq üçün xüsusilə cəlbedici hədəflər edir. Sui-istifadə nəticəsində illik itki maddəsi ümumi dövriyyə ilə müqayisədə nisbətən kiçik olsa da, təsir edici məbləğdir.
Təhlükəsizlik sistemini və onun inkişafını plastik kartlarla qeyri-qanuni əməliyyatların üsullarından təcrid etmək olmaz, bunlara bölünə bilər: Cinayətlərin 5 əsas növü.
1. Saxta kartlarla əməliyyatlar.
Bu növ dələduzluq ödəniş sisteminin itkilərinin ən böyük hissəsini təşkil edir. Real kartların yüksək texniki və texnoloji təhlükəsizliyinə görə, öz-özünə hazırlanmış kartlar son vaxtlar nadir hallarda istifadə olunur və onları ən sadə diaqnostikadan istifadə etməklə müəyyən etmək olar.
Bir qayda olaraq, saxtakarlıq üçün oğurlanmış kart blanklarından istifadə edilir, onların üzərində bankın və müştərinin rekvizitləri tətbiq olunur. Cinayətkarlar texniki cəhətdən yüksək səviyyədə təchiz olunaraq, hətta kartın maqnit zolağına məlumat yerləşdirə və ya onu köçürə, bir sözlə saxtakarlığı yüksək səviyyədə həyata keçirə bilirlər.
Bu cür hərəkətlərin təqsirkarları, bir qayda olaraq, mütəşəkkil cinayətkar qruplardır, bəzən emitent bankların müştəri hesabları və əməliyyatların aparılması qaydası haqqında məlumatlara çıxışı olan əməkdaşları ilə əlbir olurlar. Beynəlxalq kriminal ictimaiyyətə hörmətlə yanaşaraq qeyd etmək lazımdır ki, saxta kartlar Rusiyada bank bazarının bu sektorunun inkişafının başlanğıcı ilə demək olar ki, eyni vaxtda peyda olub.
2. Oğurlanmış/itirilmiş kartlarla əməliyyatlar.
Oğurlanmış karta böyük ziyan vurmaq yalnız o halda mümkündür ki, fırıldaqçı müştərinin PİN kodunu bilsin. Daha sonra oğurlanmış kartı verən bank onu elektron stop siyahısına (etibarsız kartların siyahısı) salmağa vaxt çatmazdan əvvəl elektron kassirlər - bankomatlar şəbəkəsi vasitəsilə müştərinin hesabından böyük məbləğdə vəsait çıxarmaq mümkün olur.
3. Xidmətlər və mallar üçün çoxlu ödəniş “mərtəbə həddi”ndən artıq olmayan və icazə tələb etməyən məbləğlər üçün. Ödənişləri həyata keçirmək üçün cinayətkar yalnız müştərinin imzasını saxtalaşdırmalıdır. Ancaq bu sxemlə ən cəlbedici sui-istifadə obyekti əlçatmaz olur - nağd pul. Bu kateqoriyaya emitent bank tərəfindən müştərilərinə poçt vasitəsilə köçürülməsi zamanı oğurlanmış kartlarla bağlı cinayətlər daxildir.
4. Poçt/telefon sifarişləri ilə fırıldaqçılıq.
Bu cinayət növü müştərinin poçt və ya telefon sifarişi ilə malların və xidmətlərin çatdırılması xidmətinin inkişafı ilə əlaqədar yaranıb. Qurbanının kredit kartı nömrəsini bilən cinayətkar onu sifariş blankında göstərə bilər və müvəqqəti yaşayış ünvanı üçün sifariş aldıqdan sonra yoxa çıxa bilər.
5. Hesabdan çoxlu pul çıxarılması.
Bu cinayətlər adətən işçilər tərəfindən törədilir hüquqi şəxs, kredit kartı ilə müştəridən mal və xidmətlərə görə ödənişin qəbul edilməsi və bir ödəniş faktına görə bir neçə ödəniş qəbzi verilməklə həyata keçirilir. Təqdim olunan çeklər əsasında şirkətin hesabına satılan malın və ya göstərilən xidmətlərin dəyərindən daha çox vəsait daxil olur. Lakin bir sıra əməliyyatlardan sonra cinayətkar müəssisəni bağlamağa və ya tərk etməyə məcbur olur.
Belə hərəkətlərə yol verməmək üçün kart istifadəçilərinə əməliyyatlar apararkən (hətta kiçik məbləğlərdə də) imzalanan sənədlərə diqqət yetirmələri tövsiyə olunur.
Təhlükəsizlik şöbələrinin istifadə etdiyi üsulları iki əsas kateqoriyaya bölmək olar. Birinci və bəlkə də ən vacib səviyyə plastik kartın özünün texniki təhlükəsizliyi ilə bağlıdır. İndi əminliklə deyə bilərik ki, texnologiya baxımından kart əskinaslardan daha yaxşı qorunur və mürəkkəb texnologiyalardan istifadə etmədən onu özünüz hazırlamaq demək olar ki, mümkün deyil.
İstənilən ödəniş sisteminin kartları ciddi şəkildə müəyyən edilmiş standartlara cavab verir. Kartın standart forması var. Sistemdə bankın identifikasiya nömrəsi (BIN kodu) və müştərinin bankdakı hesab nömrəsi, onun adı və soyadı, kartın etibarlılıq müddəti qabartılıb və kartın üz tərəfində ciddi şəkildə müəyyən edilmiş mövqelərdə yerləşdirilib. Həmçinin holoqrafik üsulla hazırlanmış ödəniş sisteminin simvolu da var. Kartın nömrəsinin son dörd rəqəmi bilavasitə holoqrafik simvolun üzərində qabartma (qabartma) edilir ki, bu da simvolu məhv etmədən holoqramı köçürməyi və ya kodu yenidən qabartmağı mümkünsüz edir.
Kartın arxa tərəfində maqnit zolağı və sahibinin imzasının nümunəsi olan sahə var. Ciddi müəyyən edilmiş mövqelərdə və kriptoqrafik alqoritmlərdən istifadə edilməklə maqnit zolağında ödəniş sisteminin özünün detalları, təhlükəsizlik nişanları, məlumatların surətinin çıxarılmasına mane olan simvollar qeyd olunur, kartın üz tərəfində çap olunmuş məlumatlar təkrarlanır. Sahibinin imza nümunəsi sahəsi xüsusi örtüklüdür. İmzanı silmək və ya irəli sürmək üçün ən kiçik cəhddə örtük məhv edilir və ödəniş sisteminin təhlükəsizlik simvolları ilə fərqli rəngli substrat görünür.
Kartın səthinin qalan hissəsi tamamilə emitent bankın sərəncamına verilir və bankın simvolları, onun reklamı və müştərilər üçün zəruri olan məlumatlarla özbaşına tərtib edilir. Kartın özü yalnız ultrabənövşəyi işıq altında görünən işarələrlə qorunur.
Texniki mühafizə tədbirləri həmçinin bank kommunikasiyalarının, bank şəbəkələrinin qeyri-qanuni müdaxilələrdən, nasazlıqlardan və məlumatların sızmasına və ya hətta məhvinə səbəb olan digər xarici təsirlərdən qorunmasını əhatə edir. Mühafizə proqram və texniki vasitələrlə həyata keçirilir və ödəniş sisteminin səlahiyyətli təşkilatları tərəfindən sertifikatlaşdırılır.
Mühafizə tədbirlərinin ikinci kateqoriyasına plastik kartlarla məşğul olan bank departamentlərindən məlumat sızmasının qarşısının alınması tədbirləri daxildir. Əsas prinsip işçilərin vəzifələrinin dəqiq müəyyən edilməsi və buna uyğun olaraq iş üçün lazım olan minimumdan çox olmayan miqdarda məxfi məlumatlara çıxışın məhdudlaşdırılmasıdır.
Bu tədbirlər cinayətkarlar və işçilər arasında sövdələşmə riskini və ehtimalını azaldır. İşçilərlə ixtisasartırma üçün tematik seminarlar keçirilir. Ödəniş sistemləri mütəmadi olaraq kartlarla cinayətlərə dair rəsmi materialları və statistik məlumatları dərc edən təhlükəsizlik bülletenlərini yayır, cinayətkarların əlamətlərini və qanunsuz dövriyyəyə daxil olan saxta kartların əlamətlərini bildirir. Bülletenlər vasitəsilə işçilərə təlimlər keçirilir, cinayətlərin azaldılması üçün profilaktik və xüsusi tədbirlər təşkil edilir.
Şöbə işçilərinin kadr seçiminə xüsusi diqqət yetirilir. Bütün təhlükəsizlik məsələləri xüsusi bir təhlükəsizlik işçisinin məsuliyyətidir. Profilaktik tədbirlər arasında ən mühüm yeri “plastik pullarla” rəftarın mədəni səviyyəsinin yüksəldilməsinə yönəlmiş müştərilərlə iş tutur. Kartla diqqətli və ehtiyatlı davranmaq cinayətin qurbanı olmaq ehtimalını xeyli azaldır.
Elektron hesablaşmalar və ödənişlər sistemində pozuntuların təhlili
Mütəxəssis dairələrində yaxşı məlumdur ki, İkinci Dünya Müharibəsində Norveçin sürətlə süqutu böyük ölçüdə Britaniya Kral Donanmasının şifrələrinin alman kriptoqrafları tərəfindən sındırılması ilə əlaqədardır. əvvəlki müharibədə Almaniyaya qarşı.
İkinci Dünya Müharibəsindən bəri hökumətin kriptoqrafiyadan istifadəsinin üzərinə məxfilik pərdəsi çökdü. Bu təəccüblü deyil və təkcə soyuq müharibə ilə bağlı deyil, həm də bürokratların (hər hansı bir təşkilatda) öz səhvlərini etiraf etmək istəməməsi səbəbindən.
Gəlin ATM fırıldaqlarının əslində törədildiyi bəzi üsullara nəzər salaq. Məqsəd dizaynerlərin məhsullarının nəzəri cəhətdən toxunulmazlığına yönəlmiş fikirlərini təhlil etmək və baş verənlərdən ibrət dərsləri çıxarmaqdır.
Böyük texniki düzəlişlər olmadan həyata keçirilə bilən bir neçə növ fırıldaqları, habelə onların baş verməsinə imkan verən bank prosedurlarını göstərən bir neçə sadə nümunə ilə başlayaq.
Məlumdur ki, müştərinin kartındakı maqnit zolağında yalnız onun hesab nömrəsi olmalıdır və onun şəxsi identifikasiya nömrəsi (PİN) hesab nömrəsinin şifrələnməsi və nəticədən dörd rəqəm götürülməsi yolu ilə əldə edilir. Beləliklə, bankomat şifrələmə prosedurunu yerinə yetirə və ya başqa şəkildə PİN-in yoxlanışını həyata keçirə bilməlidir (məsələn, interaktiv sorğu ilə).
Bu yaxınlarda İngiltərənin Vinçester Crown Məhkəməsi sadə, lakin təsirli sxemdən istifadə edən iki cinayətkarı mühakimə etdi. Onlar bankomatlarda növbələrə dayanıb, müştərinin PİN kodlarını gözləyib, bankomatın rədd etdiyi kartları götürüb və onlardan hesab nömrələrini müştərilərin hesablarını soymaq üçün istifadə edilən boş karta köçürüblər.
Bu hiylə bir neçə il əvvəl Nyu-York bankında istifadə edilmişdi (və bildirildi). Günahkar işdən qovulmuş bankomat texniki işçisi olub və bankdan əvvəl 80.000 dollar oğurlamağı bacarıb, ərazini təhlükəsizlik işçiləri ilə doldurduqdan sonra onu cinayət başında yaxalayıb.
Bu hücumlar uğur qazandı, çünki banklar müştərinin hesab nömrəsini tam şəkildə bank kartına çap etdilər və bundan əlavə, maqnit zolağında kriptoqrafik artıqlıq yox idi. New York Bank-ın dərsinin alınacağını düşünmək olardı, amma yox.
Texniki hücumun başqa bir növü bir çox bankomat şəbəkələrində əməliyyata icazə verildikdə mesajların şifrələnməməsi və autentifikasiya prosedurlarının yerinə yetirilməməsinə əsaslanır. Bu o deməkdir ki, təcavüzkar bankdan ATM-ə “Mən ödənişə icazə verirəm” cavabını yaza və sonra bankomat boş olana qədər qeydi yenidən sürüşdürə bilər. Evisserasiya kimi tanınan bu üsul yalnız kənar hücumçular tərəfindən istifadə edilmir. Bank operatorlarının cinayət ortaqları ilə birlikdə bankomatları “bağırlamaq” üçün şəbəkəyə nəzarət cihazından istifadə etdiyi bir hadisə məlumdur.
Test əməliyyatları problemin başqa bir mənbəyidir
Bir bankomat növü üçün on əskinasın buraxılmasını yoxlamaq üçün on dörd rəqəmli açar ardıcıllığından istifadə edilmişdir. Bank bu ardıcıllığı uzaq bankomatlardan istifadə üçün təlimatda çap edib. Üç ildən sonra pulun yoxa çıxması birdən başladı. Bu tip bankomatdan istifadə edən bütün banklar sınaq əməliyyatını qadağan edən proqram yamaları daxil edənə qədər onlar davam etdi.
Ən sürətli artım müştəri hesablarını və PİN kodları toplamaq üçün saxta terminallardan istifadə edən fırıldaqlarla özünü göstərir. Bu tip hücumlar ilk dəfə 1988-ci ildə ABŞ-da təsvir edilmişdir. Fırıldaqçılar istənilən kartı qəbul edən və bir qutu siqaret buraxan maşın düzəldiblər. Bu ixtira mağazaya yerləşdirilib və PİN kodlar və maqnit kartlardan alınan məlumatlar modem vasitəsilə ötürülüb. Hiylə bütün dünyaya yayıldı.
Müştərilərin şikayətlərinə məhəl qoyulmayacağını bilən texniki işçilər də onların pulunu oğurlayırlar. Şotlandiyada bir bankda yardım masasının mühəndisi kompüteri bankomata qoşdu və müştəri hesablarının nömrələrini və PİN kodlarını qeyd etdi. Daha sonra o, kartları saxtalaşdıraraq hesablardan pul oğurlayıb. Və yenə müştərilər boş divarlara şikayət etdilər. Bu təcrübəyə görə bank Şotlandiyanın ən yüksək qanuni məmurlarından biri tərəfindən açıq şəkildə tənqid olundu.
Dörd rəqəmli PİN-dən istifadənin məqsədi odur ki, kimsə başqasının bank kartını taparsa və ya oğurlayarsa, təsadüfən kodu təxmin etmək şansı on mində birdir. Yalnız üç PİN cəhdinə icazə verilirsə, o zaman oğurlanmış kartdan pul çıxarmaq şansı üç mində birdən azdır. Bununla belə, bəzi banklar verilən çeşidi dörd rəqəmli azaltmağa nail olublar.
Bəzi banklar hesab nömrəsini kriptoqrafik şəkildə çevirməklə PİN kodu əldə etmək sxeminə əməl etmirlər, lakin təsadüfi seçilmiş PİN kodundan istifadə etməklə (yaxud müştərilərə seçim etmək imkanı verməklə) və sonra onu yadda saxlamaq üçün kriptoqrafik şəkildə konvertasiya edirlər. Müştəriyə təxmin etmək asan olan PİN kodu seçmək imkanı verməklə yanaşı, bu yanaşma bəzi texniki tələlərə gətirib çıxarır.
Bəzi banklar faylda şifrələnmiş PİN dəyəri saxlayır. Bu o deməkdir ki, proqramçı öz PİN kodunun şifrələnmiş dəyərini əldə edə və verilənlər bazasında eyni PİN kodu ilə bütün digər hesablar üçün axtarış edə bilər.
Böyük Britaniya banklarından biri hətta kartın maqnit zolağında PİN kodun şifrələnmiş dəyərini qeyd etdi. Öz kartının maqnit zolağında olan hesab nömrəsini dəyişdirmək və daha sonra hansısa hesabdan oğurlamaq üçün onu öz PİN kodu ilə istifadə etmək mümkün olduğunu kriminal cəmiyyətə başa düşmək on beş il çəkdi.
Bu səbəbdən VISA sistemində banklara şifrələmədən əvvəl müştərinin hesab nömrəsini öz PİN kodu ilə birləşdirməsi tövsiyə olunur. Ancaq bütün banklar bunu etmir.
İndiyə qədər daha mürəkkəb hücumlar sadə icra və əməliyyat proseduru xətaları ilə bağlıdır. Peşəkar təhlükəsizlik tədqiqatçıları bu cür kobud səhvləri maraqsız hesab etməyə meylli idilər və buna görə də diqqəti daha incə texniki qüsurların inkişafına əsaslanan hücumlara yönəldirdilər. Bank işində də bir sıra təhlükəsizlik zəiflikləri var.
Yüksək texnologiyalara əsaslanan bank sistemlərinə hücumlar nadir olsa da, ictimai nöqteyi-nəzərdən maraqlıdır, çünki Aİ İnformasiya Təhlükəsizliyi Texnologiyalarının Qiymətləndirilməsi Meyarları (ITSEC) kimi hökumət təşəbbüsləri sertifikatlaşdırılmış məhsullar toplusunu inkişaf etdirmək məqsədi daşıyır. məlum texniki səhvlərdən azad olun. Bu proqramın əsasını təşkil edən təkliflər ondan ibarətdir ki, müvafiq məhsulların tətbiqi və texnoloji prosedurları mahiyyət etibarı ilə xətasız olacaq və hücum dövlət təhlükəsizlik orqanları ilə müqayisə edilə bilən texniki təlim tələb edir. Göründüyü kimi, bu yanaşma mülki sistemlərdən daha çox hərbi sistemlərə uyğundur.
Daha mürəkkəb hücumların necə həyata keçirildiyini başa düşmək üçün bank təhlükəsizlik sisteminə daha ətraflı baxmaq lazımdır.
Təhlükəsizlik modulları ilə bağlı problemlər
Bütün təhlükəsizlik məhsulları eyni yüksək keyfiyyətə malik deyil və bir neçə bankda yaxşı məhsulları orta səviyyəli məhsullardan fərqləndirmək üçün ixtisaslı mütəxəssislər var.
Həqiqi praktikada şifrələmə məhsulları ilə bağlı bəzi problemlər var, xüsusən də köhnə IBM 3848 təhlükəsizlik modulu və ya hazırda bank təşkilatları üçün tövsiyə olunan modullar.
Əgər bankda texniki təchizata əsaslanan təhlükəsizlik modulları yoxdursa, PİN kodun şifrələnməsi funksiyası müvafiq arzuolunmaz nəticələrlə proqram təminatında həyata keçiriləcək. Təhlükəsizlik modulu proqram təminatında istehsalçının mühəndisləri tərəfindən proqram məhsullarının sazlanması üçün kəsilmə nöqtələri ola bilər. Banklardan birində onun şəbəkəyə daxil edilməsi barədə qərar qəbul edildikdə və istehsalçının sistem mühəndisi tələb olunan şlüzün işləməsini təmin edə bilmədikdə bu fakta diqqət çəkilib. İşi yerinə yetirmək üçün o, sistemdən PİN-ləri çıxarmaq üçün bu hiylələrdən birini istifadə etdi. Belə kəsmə nöqtələrinin mövcudluğu təhlükəsizlik modullarının idarə edilməsi üçün etibarlı prosedurların yaradılmasını qeyri-mümkün edir.
Bəzi təhlükəsizlik modulları istehsalçıları bu cür hücumları özləri asanlaşdırırlar. Məsələn, günün vaxtı əsasında işləyən açarların yaradılması metodundan istifadə edilir və nəticədə gözlənilən 56 deyil, faktiki olaraq yalnız 20 açar biti istifadə olunur. Beləliklə, ehtimal nəzəriyyəsinə görə, hər 1000 yaradılan açar üçün, iki uyğun olacaq.
Bu, təcavüzkarın bankın kommunikasiyalarını manipulyasiya etdiyi bəzi incə sui-istifadələrə imkan verir ki, bir terminalın əməliyyatları digərinin əməliyyatları ilə əvəz olunsun.
Bir bankın proqramçıları müştəri açarlarının şifrələmə proqramlarına daxil edilməsi ilə bağlı çətinliklərdən belə narahat olmadılar. Onlar sadəcə olaraq sistemin başlanğıcında həmişə sıfıra təyin olunan yaddaş sahəsindəki əsas dəyərlərə göstəricilər qoyurlar. nəticə bu qərar real və test sistemlərinin eyni əsas saxlama sahələrindən istifadə etməsi idi. Bankın texniki işçiləri müəyyən ediblər ki, sınaq avadanlığı üzərində müştəri PİN-ləri əldə edə bilərlər. Onlardan bir neçəsi oğurlanmış bank kartları üçün PİN kodları seçmək üçün yerli cinayətkarlarla əlaqə saxlayıb. Bankın təhlükəsizlik meneceri baş verənləri açıqlayanda o, avtomobil qəzasında həlak olub (və yerli polis bütün müvafiq materialları “itirib”). Bank müştərilərinə yeni kartlar göndərməkdən çəkinmədi.
Təhlükəsizlik modullarının əsas məqsədlərindən biri proqramçıların və kompüterlərə çıxışı olan işçilərin əsas bank məlumatlarını əldə etmələrinin qarşısını almaqdır. Bununla belə, təhlükəsizlik modullarının elektron komponentləri tərəfindən təmin edilən məxfilik çox vaxt kriptoqrafik nüfuz cəhdlərinə tab gətirə bilmir.
Təhlükəsizlik modullarının daxili istifadə üçün öz əsas açarları var və bu açarlar müəyyən bir yerdə saxlanılmalıdır. Açarın ehtiyat nüsxəsi tez-tez PROM yaddaşı kimi asanlıqla oxuna bilən formada saxlanılır və açar vaxtaşırı oxuna bilər, məsələn, bir təhlükəsizlik modulundan zona və terminal açarları dəsti üzərində nəzarəti ötürərkən başqasına. Belə hallarda bank bu əməliyyatın həyata keçirilməsi prosesində tamamilə mütəxəssislərin ixtiyarındadır.
Dizayn texnologiyaları ilə bağlı problemlər
Bankomatların dizayn texnologiyasını qısaca müzakirə edək. Köhnə modellərdə şifrələmə proqramları üçün kod modulun özündə deyil, səhv yerdə - idarəetmə cihazında yerləşdirilib. Nəzarət cihazı modulun bilavasitə yaxınlığında müəyyən bir ərazidə yerləşdirilməli idi. Amma çoxlu sayda bankomat hazırda bank binasının yaxınlığında yerləşmir. İngiltərədəki bir universitetdə bankomat kampusda yerləşirdi və şifrələnməmiş hesab nömrələri və PİN-lər göndərilirdi. telefon xəttişəhərdən bir neçə mil aralıda yerləşən filialın idarəetmə blokuna daxil olub. Telefon xəttini dinləyən cihazdan istifadə etməkdə tənbəllik etməyən hər kəs minlərlə saxta kartları düzəldə bilərdi.
Ən yaxşı məhsullardan birinin satın alındığı hallarda belə, səhv tətbiq və ya səhv düşünülmüş texnoloji prosedurların bank üçün problemə səbəb olduğu çox sayda hal var. Əksər təhlükəsizlik modulları hər bir əməliyyat üçün bir sıra qaytarma kodları qaytarır. Onlardan bəziləri, məsələn, "açar paritet xətası" proqramçının istifadə olunan faktiki modulla təcrübə apardığı barədə xəbərdarlıq edir. Bununla belə, bir neçə bank bu xəbərdarlıqları tutmaq və buna uyğun hərəkət etmək üçün lazım olan cihaz sürücüsünü yazmaqdan narahatdır.
Bankların ATM təchizatı sisteminin hamısını və ya bir hissəsini “əlaqədar xidmətlər göstərən” firmalara subpodrat bağladıqları və PİN kodlarını bu firmalara köçürdüyü məlumdur.
PİN kodların iki və ya daha çox bank arasında paylaşıldığı presedentlər də olub. Bütün bank işçiləri etibarlı hesab edilsə belə, kənar firmalar banklara xas olan təhlükəsizlik siyasətini saxlamaya bilər. Bu firmaların işçi heyəti həmişə lazımi qaydada yoxlanılmır, çox güman ki, az maaş alır, maraqlanır və ehtiyatsızdır ki, bu da saxtakarlığın dizaynına və icrasına səbəb ola bilər.
Təsvir edilən bir çox idarəetmə səhvlərinin əsasında layihənin psixoloji hissəsinin inkişaf etdirilməməsi dayanır. Bankın filialları və kompüter mərkəzləri gündəlik işlərini başa vurarkən standart prosedurlara riayət etməlidirlər, lakin yalnız məqsədi aydın olan nəzarət prosedurlarına ciddi şəkildə əməl oluna bilər. Məsələn, menecerlə mühasib arasında filial seyfinin açarlarını bölüşdürmək yaxşı başa düşülür: bu, onların hər ikisini ailələri tərəfindən girov götürülməkdən qoruyur. Kriptoqrafik açarlar tez-tez istifadəçi dostu formada qablaşdırılmır və buna görə də düzgün istifadə oluna bilməz. Qismən cavab əslində açarlara bənzəyən qurğular ola bilər (nüvə silahı qoruyucularının kriptoqrafik açarlarının təsvirində).
Əməliyyat prosedurlarının təkmilləşdirilməsi haqqında çox şey yazmaq olar, lakin məqsəd hər hansı kriptoqrafik açarın ondan sui-istifadə etmək üçün texniki imkanı olan birinin əlinə keçməsinin qarşısını almaqdırsa, o zaman təlimatlarda və təlim kurslarında dəqiq məqsəd qoyulmalıdır. “Qeyri-müəyyənlik vasitəsilə təhlükəsizlik” prinsipi çox vaxt xeyirdən çox zərər verir.
Açar paylanması
Açarların paylanması bank filialları üçün xüsusi problem yaradır. Bildiyiniz kimi, nəzəriyyə iki bankirdən hər birinin fərqli açar komponenti daxil etməsini tələb edir ki, onların birləşməsi terminalın əsas açarını verir. Terminalın əsas açarında şifrələnmiş PİN kod texniki xidmətdən sonra ilk əməliyyat zamanı bankomata göndərilir.
Əgər bankomatın texniki işçisi açarın hər iki komponentini alarsa, o, PİN kodu deşifrə edə və kartları saxtalaşdıra bilər. Təcrübədə açarları saxlayan filial müdirləri bankomata xidmət zamanı yanında dayanmaq istəmədikləri üçün onları mühəndisə təhvil verməkdən az qala məmnundurlar. Üstəlik, terminal açarını daxil etmək köhnə menecerlərin öz ləyaqətindən aşağı hesab etdiyi klaviaturadan istifadə etmək deməkdir.
Açarları səhv idarə etmək adi bir təcrübədir. Baş açarları olan hər iki mikrosxemin xidmət personalından mühəndisə təhvil verildiyi məlum bir hal var. Nəzəriyyədə ikili nəzarət prosedurları mövcud olsa da, son açarlar istifadə olunduğundan təhlükəsizlik işçiləri çipləri təhvil verdilər və heç kim nə edəcəyini bilmirdi. Mühəndis təkcə kartları saxtalaşdıra bilməzdi. O, açarları götürüb uzaqlaşa və bütün bankomat əməliyyatlarını dayandıra bilərdi.
Açarların qorunanlardan daha çox açıq fayllarda saxlanması maraqsız deyil. Bu, təkcə ATM açarlarına deyil, həm də milyardlarla məbləğində əməliyyatların aparıldığı SWIFT kimi banklararası hesablaşma sistemlərinin açarlarına da aiddir. Terminal düymələri və zona düymələri kimi başlanğıc açarlarından yalnız bir dəfə istifadə etmək və sonra onları məhv etmək müdrik olardı.
Kriptoanalitik təhlükələr
Kriptanalistlər, ehtimal ki, bank sistemləri üçün ən az təhlükədir, lakin onlara tamamilə endirim etmək olmaz. Bəzi banklar (böyük və məşhur banklar da daxil olmaqla) hələ də DES-dən əvvəlki illərdən yerli kriptoqrafik alqoritmlərdən istifadə edirlər. Bir məlumat şəbəkəsində məlumat blokları sabit əlavə edilməklə sadəcə “şişdirildi”. Şəbəkənin 40-dan çox bank tərəfindən istifadə edilməsinə baxmayaraq, bu üsul beş il ərzində tənqid olunmayıb. Üstəlik, bu bankların sığorta, audit və təhlükəsizlik üzrə bütün mütəxəssisləri, görünür, sistemin texniki xüsusiyyətlərini oxuyurlar.
Hətta “hörmətli” alqoritmdən istifadə edilsə belə, o, uyğun olmayan parametrlərlə həyata keçirilə bilər. Məsələn, bəzi banklar tələb olunan təhlükəsizlik səviyyəsini təmin etmək üçün açar uzunluğunun ən azı 500 bit olmasına baxmayaraq, açar uzunluğu 100-400 bit olan RSA alqoritmini tətbiq etmişlər.
Siz həmçinin müəyyən bir bankdan istifadə edən açarı tapana qədər bütün mümkün şifrələmə açarlarını sınayaraq, kobud gücdən istifadə edərək açarı tapa bilərsiniz.
Beynəlxalq şəbəkələrdə əməliyyat açarlarını zona düymələri ilə şifrələmək üçün istifadə edilən protokollar zona açarına bu şəkildə hücum etməyi asanlaşdırır. Zona açarı bir dəfə açılıbsa, bank tərəfindən şəbəkə üzərindən göndərilən və ya qəbul edilən bütün PlN kodları deşifrə edilə bilər. Kanada Bankının son araşdırması göstərdi ki, DES-ə bu cür hücum hər bir zona açarı üçün təxminən 30.000 funt-sterlinqə başa gələcək. Nəticə etibarilə, belə bir cinayət üçün mütəşəkkil cinayətkarlığın resursları kifayət qədər kifayətdir və belə bir cinayəti kifayət qədər varlı şəxs həyata keçirə bilər.
Yəqin ki, açarları tapmaq üçün lazım olan ixtisaslaşmış kompüterlər bəzi ölkələrin, o cümlədən hazırda xaos içində olan ölkələrin xüsusi xidmətlərində yaradılıb. Buna görə də, bu avadanlığın sahiblərinin şəxsi maraqları üçün istifadə edə bilməsi riski var.
Kiçik və böyük bütün sistemlərdə səhvlər var və operator səhvinə meyllidir. Bank sistemləri də istisna deyil və sənaye istehsalında çalışmış hər kəs bundan xəbərdardır. Filial hesablaşma sistemləri onilliklər ərzində inkişaf edən bir çox qarşılıqlı modullarla daha böyük və mürəkkəb olmağa meyllidir. Bəzi əməliyyatlar qaçılmaz olaraq səhv icra ediləcək: debet təkrarlana bilər və ya hesab səhv dəyişdirilə bilər.
Bu vəziyyət bank hesablarını tutuşdurmaq üçün xüsusi heyət saxlayan iri şirkətlərin maliyyə nəzarətçiləri üçün yeni deyil. Səhv debet baş verdikdə həmin vəzifəli şəxslər təhlil üçün müvafiq sənədləri tələb edir və sənədlər çatışmadıqda bankdan yanlış ödənişin pulunu geri alırlar.
Bununla belə, ATM müştərilərinin mübahisəli ödənişləri geri qaytarmaq imkanı yoxdur. ABŞ-dan kənar bankirlərin əksəriyyəti sadəcə olaraq sistemlərində heç bir səhv olmadığını deyirlər.
Belə bir siyasət müəyyən hüquqi və inzibati riskləri ehtiva edir. Birincisi, bu, sui-istifadə ehtimalını yaradır, çünki saxtakarlıq konspirativdir. İkincisi, bu, müştəri üçün çox mürəkkəb sübutlara gətirib çıxarır ki, bu da ABŞ məhkəmələrində prosedurun sadələşdirilməsinə səbəb olub. Üçüncüsü, bank işçilərinin tutulma ehtimalının az olduğunu bildiyi üçün dolayı yolla oğurluğa həvəsləndirilməsi ilə bağlı mənəvi ziyandır. Dördüncüsü, bu, ideoloji qüsurdur, çünki müştəri iddialarının mərkəzləşdirilmiş uçotunun olmaması səbəbindən dələduzluq hallarına düzgün şəkildə nəzarət etmək imkanı yoxdur.
Bankomatlardakı itkilərin biznes fəaliyyətinə təsirini dəqiq qiymətləndirmək olduqca çətindir. Böyük Britaniyada Xəzinədarlığın İqtisadiyyat Katibi (bank tənzimlənməsinə cavabdeh olan nazir) 1992-ci ilin iyununda belə səhvlərin gündəlik üç milyon əməliyyatdan ən azı ikisinə təsir etdiyini bildirdi. Lakin son məhkəmə çəkişmələrinin təzyiqi ilə bu rəqəm əvvəlcə 250.000-də 1 səhv əməliyyat, sonra 100.000-də 1 və nəhayət, 34.000-də 1-ə düzəldildi.
Şikayət edən müştərilər adətən bank işçiləri tərəfindən rədd edildiyindən və insanların çoxu sadəcə olaraq hesabdan birdəfəlik pul çıxarılmasını fərq etmədiyindən, ən real fərziyyə odur ki, 10.000-ə təxminən 1 səhv əməliyyat olur.Beləliklə, əgər orta müştəri 50 il ərzində həftədə bir dəfə bankomatdan istifadə edən hər dörd müştəridən birinin ömrü boyu bankomatdan istifadəsində problem yaşayacağını gözləyə bilərik.
Kriptoqrafik sistemlərin dizaynerləri sistem nasazlıqlarının nəzəri olaraq necə baş verə biləcəyindən çox, praktikada necə baş verdiyi barədə məlumatın olmaması səbəbindən əlverişsiz vəziyyətdədirlər. Bu dezavantaj rəy yanlış təhdid modelinin istifadəsinə gətirib çıxarır. Dizaynerlər adətən səhvlərə səbəb olan şeylərə diqqət yetirmək əvəzinə, sistemdə nəyin pozulmasına səbəb ola biləcəyinə diqqət yetirirlər. Bir çox məhsul o qədər mürəkkəb və mürəkkəbdir ki, nadir hallarda düzgün istifadə olunur. Nəticə budur ki, səhvlərin əksəriyyəti sistemin tətbiqi və saxlanması ilə bağlıdır. Xüsusi nəticə təkcə maliyyə itkilərinə deyil, həm də ədalətin pozulmasına və bank sisteminə etimadın azalmasına səbəb olan bankomat fırıldaqlarının çoxluğu oldu.
Kriptoqrafik metodların tətbiqinə misal olaraq EXCELLENCE rəqəmsal imzasından istifadə edən kriptoqrafik məlumatların mühafizə sistemini göstərmək olar.
EXCELLENCE proqram təminatının kriptoqrafik sistemi kriptoqrafik şifrələmə, rəqəmsal imza və autentifikasiya funksiyalarından istifadə etməklə IBM-ə uyğun fərdi kompüterlər arasında işlənmiş, saxlanılan və ötürülən məlumatı qorumaq üçün nəzərdə tutulmuşdur.
Sistem dövlət standartlarına cavab verən kriptoqrafik alqoritmləri həyata keçirir: şifrələmə - GOST 28147-89. Rəqəmsal imza RSA alqoritminə əsaslanır.
Güclü autentifikasiyaya və açar sertifikatına malik əsas sistem beynəlxalq təcrübədə geniş istifadə olunan X.509 protokoluna və RSA açarlarının ictimai paylanması prinsipinə əsaslanır.
Sistem fayl səviyyəsində məlumatın işlənməsi üçün kriptoqrafik funksiyaları ehtiva edir:
və açarlarla işləmək üçün kriptoqrafik funksiyalar:
Şəbəkənin hər bir abunəçisinin öz məxfi və açıq açarı var. Hər bir istifadəçinin məxfi açarı onun fərdi açar disketində və ya fərdi elektron kartında qeyd olunur. Abunəçinin açarının məxfiliyi onun üçün şifrələnmiş məlumatın qorunmasını və onun rəqəmsal imzasının saxtalaşdırılmasının mümkünsüzlüyünü təmin edir.
Sistem iki növ əsas medianı dəstəkləyir:
Şəbəkənin hər bir abunəçisində sistemin bütün abunəçilərinin adları ilə birlikdə icazəsiz dəyişikliklərdən qorunan açıq açarlarının fayl-kataloqu vardır. Hər bir abunəçi öz gizli açarını gizli saxlamağa borcludur.
Funksional olaraq EXCELLENCE sistemi excell_s.exe proqram modulu kimi həyata keçirilir və MS DOS 3.30 və yuxarı versiyalarda işləyir. Funksiyaların icrası üçün parametrlər formada verilir komanda xətti DOS. Bundan əlavə, interfeys qrafik qabığı verilir. Proqram avtomatik olaraq Intel386/486/Pentium prosessorunun 32 bit əməliyyatlarını tanıyır və dəstəkləyir.
Başqalarına daxil etmək üçün proqram sistemləri Aşağıdakı rejimlərdə operativ yaddaşda verilənlərlə işləmək üçün əsas kriptoqrafik funksiyaları özündə əks etdirən EXCELLENCE sisteminin variantı tətbiq edilmişdir: yaddaş - yaddaş; yaddaş - fayl; fayl yaddaşdır.
XXI əsrin əvvəlləri üçün proqnoz
İnformasiya təhlükəsizliyi probleminin həlli üçün təsirli tədbirlər görəcək bank rəhbərliyinin payı 40-80%-ə qədər artmalıdır. Əsas problem texniki xidmət (keçmişlər də daxil olmaqla) personal (halların 40%-dən 95%-ə qədər) olacaq və əsas təhlükə növləri icazəsiz giriş (UAS) və viruslar olacaq (bankların 100%-ə qədəri virus hücumlarına məruz qalacaq) ).
İnformasiya təhlükəsizliyini təmin etmək üçün ən mühüm tədbirlər informasiya təhlükəsizliyi xidmətlərinin ən yüksək peşəkarlığı olacaqdır. Bunun üçün banklar öz mənfəətlərinin 30%-ə qədərini informasiya təhlükəsizliyinə xərcləməli olacaqlar.
Yuxarıda sadalanan bütün tədbirlərə baxmayaraq, informasiya təhlükəsizliyi probleminin mütləq həlli mümkün deyil. Eyni zamanda, bankın informasiya təhlükəsizliyi sisteminin səmərəliliyi ona yatırılan vəsaitin həcmi və informasiya təhlükəsizliyi xidmətinin peşəkarlığı ilə, bankın informasiya təhlükəsizliyi sisteminin pozulmasının mümkünlüyü isə bütünlüklə bankın informasiya təhlükəsizliyinin təmin edilməsinin dəyəri ilə müəyyən edilir. fırıldaqçıların müdafiə sistemini və ixtisaslarını aradan qaldırmaq. (Xarici təcrübədə, mühafizə sisteminin aradan qaldırılmasının dəyəri qorunan məlumatın dəyərinin 25% -dən çox olmadıqda, onu "çatmağın" mənası olduğuna inanılır).
4-cü fəsildə elektron bank sistemlərinin qorunmasına yanaşmanın xüsusiyyətləri nəzərdən keçirilmişdir. Bu sistemlərin spesifik xüsusiyyəti elektron məlumat mübadiləsinin xüsusi forması - elektron ödənişlərdir ki, onlar olmadan heç bir müasir bank mövcud ola bilməz.
Elektron Məlumat Mübadiləsi (EDI) biznes, kommersiya, maliyyə elektron sənədlərinin kompüterdən kompüterə mübadiləsidir. Məsələn, sifarişlər, ödəniş təlimatları, müqavilə təklifləri, fakturalar, qəbzlər və s.
OED ticarət əməliyyatının hazırlanması, müqavilənin bağlanması və çatdırılmanın həyata keçirilməsinin bütün mərhələlərində ticarət tərəfdaşlarının (müştərilər, təchizatçılar, resellerlər və s.) operativ qarşılıqlı əlaqəsini təmin edir. Müqavilənin ödənilməsi və pul köçürmələri mərhələsində EOS maliyyə sənədlərinin elektron mübadiləsinə səbəb ola bilər. Bu, ticarət və ödəniş əməliyyatları üçün effektiv mühit yaradır:
* Real vaxt rejimində ticarət tərəfdaşlarını mal və xidmətlərin təklifləri ilə tanış etmək, lazımi məhsul/xidmət seçmək, kommersiya şərtlərini (qiymət və çatdırılma müddəti, ticarət endirimləri, zəmanət və xidmət öhdəlikləri) aydınlaşdırmaq mümkündür;
* Real vaxt rejimində mal/xidmət sifariş etmək və ya müqavilə təklifi tələb etmək;
* Malların çatdırılmasına operativ nəzarət, e-poçt vasitəsilə müşayiətedici sənədlərin qəbulu (qaimə-faktura, qaimə-faktura, komponent çıxarış və s.);
* Malların/xidmətlərin tədarükünün başa çatmasının təsdiqi, hesab-fakturaların verilməsi və ödənilməsi;
* Bank krediti və ödəniş əməliyyatlarının həyata keçirilməsi. OED-in üstünlüklərinə aşağıdakılar daxildir:
* Kağızsız texnologiyaya keçidlə əlaqədar əməliyyatların dəyərinin azaldılması. Mütəxəssislər kağız qeydlərin emalı və saxlanması xərclərini kommersiya əməliyyatlarının və malların çatdırılmasının ümumi dəyərinin 3-8%-i səviyyəsində qiymətləndirirlər. EOS-un istifadəsindən əldə edilən qazanc, məsələn, ABŞ avtomobil sənayesində istehsal olunan avtomobilə görə 200 dollardan çox qiymətləndirilir;
* Pulun hesablanması və dövriyyəsinin sürətinin artırılması;
* Hesablamaların rahatlığının yaxşılaşdırılması.
EEA-nın inkişafı üçün iki əsas strategiya var:
1. OED partnyorlarla daha sıx qarşılıqlı əlaqə yaratmağa imkan verən rəqabət üstünlüyü kimi istifadə olunur. Bu strategiya böyük təşkilatlarda qəbul edilir və Genişləndirilmiş Müəssisə yanaşması adlanır.
2. OED bəzi konkret sənaye layihələrində və ya kommersiya və digər təşkilatların birliklərinin təşəbbüslərində onların qarşılıqlı fəaliyyətinin səmərəliliyini artırmaq üçün istifadə olunur.
ABŞ və Qərbi Avropanın bankları ƏMTQ-nin yayılmasında öz əsas rolunu artıq dərk etmiş və biznes və şəxsi tərəfdaşlarla daha sıx qarşılıqlı əlaqədən əldə edilən əhəmiyyətli faydaları dərk etmişlər. OED banklara müştərilərə, xüsusən kiçik müştərilərə, əvvəllər yüksək qiymətə görə onlardan istifadə edə bilməyənlərə xidmət göstərməkdə kömək edir.
EOS-un geniş yayılmasına əsas maneə, sənədlərin rabitə kanalları vasitəsilə mübadiləsi zamanı təqdimatlarının müxtəlifliyidir. Bu maneəni aradan qaldırmaq üçün müxtəlif təşkilatlar müxtəlif sənaye sahələri üçün EOS sistemlərində sənədlərin təqdimatı üçün standartlar hazırlamışlar:
QDTI - General Trade Interchange (Avropa, beynəlxalq ticarət);
MDSND - Milli Avtomatlaşdırılmış Klirinq Mərkəzi Assosiasiyası (ABŞ, Avtomatlaşdırılmış Klirinq Mərkəzinin Milli Assosiasiyası);
TDCC - Nəqliyyat Məlumatlarının Koordinasiya Komitəsi;
VICS - Könüllü Industry Communication Standard (ABŞ, Könüllü Sənayelərarası Əlaqə Standartı);
WINS - Anbar Məlumat Şəbəkəsi Standartları informasiya şəbəkəsi anbarlar).
1993-cü ilin oktyabrında beynəlxalq BMT/ECE qrupu EDIFACT standartının ilk versiyasını nəşr etdi. Hazırlanmış sintaksis qaydaları və kommersiya məlumat elementləri iki ISO standartı şəklində rəsmiləşdirilmişdir:
ISO 7372 - Ticarət Məlumat Elementləri Kataloqu (Kommersiya Məlumat Elementləri Kataloqu);
ISO 9735 - EDIFACT - Tətbiq səviyyəsində sintaksis qaydaları.
EOD-nun xüsusi halı elektron ödənişlərdir - müştərilər və banklar arasında, banklar və digər maliyyə və kommersiya təşkilatları arasında maliyyə sənədlərinin mübadiləsi.
Elektron ödənişlər konsepsiyasının mahiyyəti ondan ibarətdir ki, rabitə xətləri üzərindən göndərilən, lazımi qaydada tərtib edilmiş və ötürülən mesajlar bir və ya bir neçə bank əməliyyatının aparılması üçün əsasdır. Prinsipcə, bu əməliyyatları yerinə yetirmək üçün kağız sənədlər tələb olunmur (baxmayaraq ki, onlar verilə bilər). Başqa sözlə desək, rabitə xətləri ilə göndərilən mesajda göndəricinin öz hesabı, xüsusən də qəbul edən bankın müxbir hesabı (klirinq mərkəzi ola bilər) üzrə bəzi əməliyyatlar apardığı və alıcının bu əməliyyatı yerinə yetirməli olduğu barədə məlumat verilir. mesajda göstərilən əməliyyatlar. Belə bir mesaj əsasında siz pul göndərə və ya qəbul edə, kredit aça, alış və ya xidmət üçün ödəniş edə və hər hansı digər əməliyyatları həyata keçirə bilərsiniz. bank əməliyyatı. Belə mesajlar elektron pul, bank əməliyyatlarının belə mesajların göndərilməsi və ya alınması əsasında həyata keçirilməsi isə elektron ödənişlər adlanır. Təbii ki, bütün elektron ödənişlərin edilməsi prosesi lazımdır etibarlı müdafiə. Əks halda bank və onun müştəriləri ciddi problemlərlə üzləşəcək.
Elektron ödənişlər banklararası, ticarət və şəxsi hesablaşmalar üçün istifadə olunur.
Banklararası və ticarət hesablaşmaları təşkilatlar (hüquqi şəxslər) arasında aparılır, buna görə də onları bəzən korporativ adlandırırlar. Fərdi müştərilərin iştirak etdiyi hesablaşmalar şəxsi adlanır.
Bank sistemlərində baş verən böyük oğurluqların əksəriyyəti birbaşa və ya dolayısı ilə elektron ödəniş sistemləri ilə bağlıdır.
Müxtəlif ölkələrdə çoxlu sayda maliyyə institutlarını və onların müştərilərini əhatə edən elektron ödəniş sistemlərinin, xüsusən də qlobal ödəniş sistemlərinin yaradılması yolunda bir çox maneələr mövcuddur. Əsas olanlar bunlardır:
1. Əməliyyatlar və xidmətlər üçün vahid standartların olmaması, vahid bank sistemlərinin yaradılmasını xeyli çətinləşdirir. Hər bir iri bank öz ETO şəbəkəsini yaratmağa çalışır ki, bu da onun istismarı və saxlanması xərclərini artırır. Dublikat sistemlər onlardan istifadəni çətinləşdirir, qarşılıqlı müdaxilə yaradır və müştərilərin imkanlarını məhdudlaşdırır.
2. Maliyyə spekulyasiyası imkanlarının artmasına səbəb olan pul kütləsinin hərəkətliliyinin artması “sərgərdan kapital” axınını genişləndirir. Bu pullar bazardakı vəziyyəti qısa zamanda dəyişməyə, sabitliyi pozmağa qadirdir.
3. Maliyyə hesablaşmalarının həyata keçirilməsi zamanı texniki və proqram təminatı xətalarının uğursuzluqları və uğursuzluqları, xüsusən də bank əlaqələrinin sıx bir-birinə qarışması səbəbindən sonrakı hesablaşmalar üçün ciddi fəsadlara və müştərilər tərəfindən banka inamın itməsinə səbəb ola bilər (a "səhv yayılması" növü). Bununla yanaşı, informasiyanın emalına bilavasitə nəzarət edən sistemin operatorları və administrasiyasının rolu və məsuliyyəti xeyli artır.
İstənilən elektron ödəniş sisteminin müştərisi olmaq, yaxud öz sistemini təşkil etmək istəyən hər bir təşkilat bundan xəbərdar olmalıdır.
Etibarlı işləmək üçün elektron ödəniş sistemi yaxşı qorunmalıdır.
Ticarət hesablaşmaları müxtəlif ticarət təşkilatları arasında aparılır. Banklar ödəniş edən təşkilatın hesabından pulu alan təşkilatın hesabına köçürərkən bu hesablamalarda vasitəçi kimi iştirak edirlər.
Ticarət hesablaşmaları elektron ödəniş proqramının ümumi uğuru üçün çox vacibdir. Müxtəlif şirkətlərin maliyyə əməliyyatlarının həcmi adətən bank əməliyyatlarının ümumi həcminin əhəmiyyətli hissəsini təşkil edir.
Ticarət hesablaşmalarının növləri müxtəlif təşkilatlar üçün çox fərqlidir, lakin onların həyata keçirilməsi zamanı həmişə iki növ məlumat işlənir: ödəniş mesajları və köməkçi məlumatlar (statistik məlumatlar, xülasələr, bildirişlər). Maliyyə institutları üçün, əlbəttə ki, ödəniş mesajlarının məlumatları ən çox maraq doğurur - hesab nömrələri, məbləğlər, balans və s. Ticarət təşkilatları üçün hər iki məlumat növü eyni dərəcədə vacibdir - birincisi maliyyə vəziyyətinə dair ipucu verir, ikincisi - qərarların qəbul edilməsində və siyasətin hazırlanmasında kömək edir.
Ən çox istifadə edilən ticarət hesablaşmaları aşağıdakı iki növdür:
* Birbaşa depozit.
Bu ödəniş növünün mənası ondan ibarətdir ki, təşkilat əvvəlcədən hazırlanmış maqnit daşıyıcılarından və ya xüsusi mesajlardan istifadə etməklə, banka öz işçiləri və ya müştəriləri üçün müəyyən növ ödənişləri avtomatik həyata keçirməyi tapşırır. Belə hesablamaların həyata keçirilməsi şərtləri əvvəlcədən razılaşdırılır (maliyyələşmə mənbəyi, məbləğ və s.). Onlar əsasən müntəzəm ödənişlər (müxtəlif sığorta növləri üzrə ödənişlər, kreditlərin ödənilməsi, əmək haqqı və s.) üçün istifadə olunur. Təşkilat baxımından birbaşa depozit, məsələn, çeklərlə ödənişlərdən daha rahatdır.
1989-cu ildən bəri birbaşa əmanətdən istifadə edən işçilərin sayı iki dəfə artaraq cəmi 25%-ə çatmışdır. Bu gün 7 milyondan çox amerikalı əmək haqqını birbaşa depozit şəklində alır. Banklar üçün birbaşa depozit aşağıdakı üstünlükləri təklif edir:
Kağız sənədlərin emalı ilə bağlı tapşırıqların həcminin azaldılması və nəticədə əhəmiyyətli məbləğlərə qənaət edilməsi;
Əmanətlərin sayının artması, çünki ödənişlərin həcminin 100%-i depozit üzrə aparılmalıdır.
Banklardan əlavə, sahiblər və işçilər də faydalanır; rahatlığın artırılması və xərclərin azaldılması.
* EOS istifadə edərək hesablamalar.
Buradakı məlumatlar fakturalar, fakturalar, komponent hesabatları və s.
EEA-nın həyata keçirilməsi aşağıdakı əsas xidmətlərin həyata keçirilməsini tələb edir:
X.400 elektron poçtu;
Fayl ötürülməsi;
Nöqtədən nöqtəyə rabitə;
Onlayn rejimdə verilənlər bazasına daxil olmaq;
Poçt qutusu;
İnformasiya təqdimat standartlarının transformasiyası.
EOS-dan istifadə edərək, mövcud ticarət hesablaşma sistemlərinə nümunələr:
Milli Bank və Royal Bank (Kanada) IBM İnformasiya Şəbəkəsi vasitəsilə öz müştəriləri və tərəfdaşları ilə əlaqə saxlayır;
1986-cı ildə əsası qoyulan Bank of Scotland Transkontinental Avtomatlaşdırılmış Ödəniş Xidməti (TAPS) müxbir banklar və avtomatlaşdırılmış klirinq mərkəzləri vasitəsilə Şotlandiya Bankını 15 ölkədəki müştərilər və tərəfdaşlarla əlaqələndirir.
Elektron banklararası hesablaşmalar əsasən iki növdür:
* Vasitəçi bankın (klirinq bankının) güclü kompüter sistemindən və bu bankla hesablaşmalarda iştirak edən bankların müxbir hesablarından istifadə etməklə hesablaşmaların aparılması. Sistem hüquqi şəxslərin qarşılıqlı pul tələblərinin və öhdəliklərinin balansın sonradan köçürülməsi ilə əvəzləşdirilməsinə əsaslanır. Klirinq fond və əmtəə birjalarında da geniş tətbiq edilir, burada əməliyyatların iştirakçılarının qarşılıqlı tələblərinin əvəzləşdirilməsi klirinq mərkəzi və ya xüsusi elektron klirinq sistemi vasitəsilə həyata keçirilir.
Banklararası klirinq hesablaşmaları xüsusi klirinq mərkəzləri, kommersiya bankları, bir bankın filial və filialları arasında - baş ofis vasitəsilə həyata keçirilir. Bir sıra ölkələrdə klirinq mərkəzlərinin funksiyalarını mərkəzi banklar yerinə yetirirlər. Avtomatlaşdırılmış klirinq mərkəzləri (ACP) maliyyə institutları arasında vəsait mübadiləsi üçün xidmətlər göstərir. Ödəniş əməliyyatları əsasən debet və ya kreditdir. ACP sisteminin üzvləri ACP assosiasiyasının üzvü olan maliyyə qurumlarıdır. Assosiasiya coğrafi regionda elektron ödənişlərin həyata keçirilməsi üçün qaydaları, prosedurları və standartları hazırlamaq məqsədi ilə yaradılmışdır. Qeyd edək ki, AKP vəsaitlərin və onu müşayiət edən məlumatların hərəkəti mexanizmindən başqa bir şey deyil. Özləri ilə ödəniş xidmətləri həyata keçirmirlər. Kağız əsaslı maliyyə sənədlərinin işlənməsi sistemlərini tamamlamaq üçün ACP-lər yaradılmışdır. İlk ACP 1972-ci ildə Kaliforniyada meydana çıxdı, hazırda ABŞ-da 48 ACP var. 1978-ci ildə bütün 48 ACP şəbəkəsini kooperativ əsasda birləşdirən Milli Avtomatlaşdırılmış Klirinq Mərkəzi Assosiasiyası (NACHA) yaradıldı.
Əməliyyatların həcmi və xarakteri daim genişlənir. ACP-lər biznes hesablaşmalarını və elektron məlumat mübadiləsi əməliyyatlarını həyata keçirməyə başlayır. Müxtəlif bankların və şirkətlərin üç illik səylərindən sonra kredit və debetləri avtomatik emal etmək üçün nəzərdə tutulmuş CTP (Korporativ Ticarət Ödənişi) sistemi yaradılmışdır. Ekspertlərin fikrincə, yaxın gələcəkdə AKP-nin funksiyalarının genişləndirilməsi tendensiyası davam edəcək.
* İki bankın loro nostro hesabları vasitəsilə bir-biri ilə bilavasitə əlaqə saxladığı, ola bilsin ki, üçüncü tərəfin təşkilati və ya dəstək rolunda iştirakı ilə birbaşa hesablaşmalar. Təbii ki, qarşılıqlı əməliyyatların həcmi belə hesablaşma sisteminin təşkili xərclərini əsaslandırmaq üçün kifayət qədər böyük olmalıdır. Tipik olaraq, belə bir sistem bir neçə bankı birləşdirir, halbuki hər bir cüt vasitəçilərdən yan keçərək bir-biri ilə birbaşa əlaqə saxlaya bilər. Lakin bu halda qarşılıqlı fəaliyyət göstərən bankların mühafizəsi (açarların paylanması, idarəetmə, fəaliyyətinə nəzarət və hadisələrin qeydiyyatı) ilə məşğul olan nəzarət mərkəzinə ehtiyac var.
Dünyada belə sistemlər kifayət qədər çoxdur - kiçik sistemlərdən tutmuş, bir neçə bankı və ya filialı birləşdirən, minlərlə iştirakçını birləşdirən nəhəng beynəlxalq sistemlərə qədər. Bu sinfin ən məşhur sistemi SWIFT-dir.
Bu yaxınlarda elektron ödənişin üçüncü növü meydana çıxdı - elektron çeklərin emalı (elektron çekin kəsilməsi), onun mahiyyəti təqdim edildiyi maliyyə institutuna kağız çek göndərilməsi yolunu dayandırmaqdır. Lazım gələrsə, onun elektron həmkarı xüsusi mesaj şəklində daha da “səyahət edir”. Elektron çekin yönləndirilməsi və ödənilməsi ACP-dən istifadə etməklə həyata keçirilir.
1990-cı ildə NACHA "Elektron çekin kəsilməsi" adlı milli eksperimental proqramın sınaqdan keçirilməsinin birinci mərhələsini elan etdi. Onun məqsədi böyük miqdarda kağız çeklərin emalı xərclərini azaltmaqdır.
Elektron ödəniş sistemindən istifadə edərək pul göndərilməsi aşağıdakı addımları əhatə edir (xüsusi şərtlərdən və sistemin özündən asılı olaraq, prosedur fərqli ola bilər):
1. Birinci bankın sistemində müəyyən hesab tələb olunan məbləğdə azaldılır.
2. Birinci bankda ikinci bankın müxbir hesabı eyni məbləğdə artırılır.
3. Birinci bankdan ikinciyə yerinə yetirilən hərəkətlər (hesabın identifikatorları, məbləğ, tarix, şərtlər və s.) haqqında məlumatı özündə əks etdirən mesaj göndərilir; eyni zamanda yönləndirilən mesaj saxtakarlıqdan adekvat şəkildə qorunmalıdır: şifrələnmiş, rəqəmsal imza və nəzarət sahələri və s.
4. Tələb olunan məbləğ ikincidə birinci bankın müxbir hesabından silinir.
5. İkinci bankda müəyyən hesab tələb olunan məbləğdə artırılır.
6. İkinci bank hesaba düzəlişlər edilməsi barədə birinci banka bildiriş göndərir; bu mesaj da ödəniş mesajına bənzər şəkildə saxtakarlıqdan qorunmalıdır.
7. Mübadilə protokolu həm abonentlər, həm də ola bilsin ki, üçüncü tərəf (şəbəkə idarəetmə mərkəzində) münaqişələrin qarşısını almaq üçün müəyyən edilir.
Mesajların ötürülməsi yolunda vasitəçilər ola bilər - klirinq mərkəzləri, məlumatların ötürülməsində vasitəçi banklar və s. Bu cür hesablamaların əsas çətinliyi partnyorunuza inamdır, yəni abunəçilərin hər biri öz müxbirinin bütün lazımi hərəkətləri yerinə yetirəcəyinə əmin olmalıdır.
Elektron ödənişlərin tətbiqinin genişləndirilməsi üçün maliyyə sənədlərinin elektron təqdimatının standartlaşdırılması həyata keçirilir. 70-ci illərdə iki təşkilatın bir hissəsi olaraq başlamışdır:
1) ANSI (Amerika Milli Standart İnstitutu) ANSI X9.2-1080 (Maliyyə İnstitutu arasında Debet və Kredit Kartı Mesaj Mübadiləsi üçün Mübadilə Mesajı Spesifikasiyası) nəşr etdi. 1988-ci ildə oxşar standart ISO tərəfindən qəbul edilmiş və ISO 8583 (Bank Card Originated Messages Interchange Message Specifications - Content for Financial Transactions) adlandırılmışdır;
2) SWIFT (Society for Worldwide Interbank Financial Telecommunications) banklararası mesajlar üçün bir sıra standartlar işləyib hazırlamışdır.
ISO 8583 standartına uyğun olaraq, maliyyə sənədi mesajın və ya elektron sənədin (elektron kredit kartı, X.400 mesajı və ya EDIFACT sintaksisindəki sənəd) müəyyən sahələrində yerləşən bir sıra məlumat elementlərini (rekvizitlərini) ehtiva edir. . Hər bir məlumat elementinə (ED) öz unikal nömrəsi verilir. Məlumat elementi ya məcburi ola bilər (yəni bu tip hər mesaja daxil edilir) və ya isteğe bağlı (bəzi mesajlarda olmaya bilər).
Bit miqyası mesajın tərkibini müəyyən edir (onda mövcud olan ED-lər). Əgər bit miqyasının bəzi rəqəmi birinə təyin edilibsə, bu o deməkdir ki, mesajda müvafiq ED mövcuddur. Mesajların kodlaşdırılmasının bu üsulu sayəsində mesajın ümumi uzunluğu azalır, bir çox ED ilə mesajların təqdim edilməsində çeviklik əldə edilir və standart strukturun elektron sənədinə yeni ED və mesaj növləri daxil etmək mümkündür.
Elektron banklararası ödənişlərin bir neçə yolu var. Onlardan ikisini nəzərdən keçirin: çeklə ödəniş (xidmətdən sonra ödəniş) və akkreditivlə ödəniş (gözlənilən xidmət üçün ödəniş). Ödəniş tapşırıqları və ya ödəniş tapşırıqları vasitəsilə ödəniş kimi digər üsullar da oxşar təşkilata malikdir.
Çeklə ödəniş ödəyicinin şəxsiyyətini əks etdirən kağız və ya digər sənəd əsasında həyata keçirilir. Bu sənəd çekdə göstərilən məbləğin sahibinin hesabından təqdim edənin hesabına köçürülməsi üçün əsasdır. Çeklə ödəniş aşağıdakı addımları əhatə edir:
çekin alınması;
çekin banka təqdim edilməsi;
çek sahibinin hesabından emitentin hesabına köçürmə tələbi;
Pul köçürməsi;
Ödəniş bildirişi.
Bu cür ödənişlərin əsas çatışmazlıqları saxtalaşdırmaq asan olan köməkçi sənədə (çek) ehtiyac, habelə ödənişin həyata keçirilməsinə sərf olunan əhəmiyyətli vaxtdır (bir neçə günə qədər).
Ona görə də son illərdə akkreditivlə ödəniş kimi ödəniş növü daha çox yayılmışdır. Buraya aşağıdakı addımlar daxildir:
Kreditin verilməsi barədə müştəri tərəfindən banka bildiriş;
Benefisiarın bankına kreditin verilməsi və pul köçürməsi barədə bildiriş;
Kreditin alınması barədə alıcıya bildiriş.
Bu sistem sizə ödənişləri çox qısa müddətdə həyata keçirməyə imkan verir. Kredit bildirişi (e-mail) poçt, disketlər, maqnit lentləri ilə göndərilə bilər.
Yuxarıda göstərilən ödəniş növlərinin hər birinin öz üstünlükləri və mənfi cəhətləri var. Çeklər kiçik məbləğlərin ödənilməsi, eləcə də təsadüfi ödənişlər üçün ən əlverişlidir. Bu hallarda ödənişdə gecikmə çox da əhəmiyyətli deyil, kreditdən istifadə isə yersizdir. Akkreditiv hesablaşmaları adətən müntəzəm ödənişlər və əhəmiyyətli məbləğlər üçün istifadə olunur. Bu hallarda klirinq gecikməsinin olmaması dövriyyə müddətini azaltmaqla xeyli vaxta və pula qənaət edir. Bu iki metodun ümumi çatışmazlığı etibarlı elektron ödənişlər sisteminin təşkili xərclərinə ehtiyacdır.
