Métodos para proteger el sistema de pago electrónico de dinero digital. ¿Las principales formas de proteger el dinero electrónico? Medidas de seguridad para los sistemas de pago electrónico
Los sistemas de pago electrónico son uno de los tipos más populares de trabajo con moneda electrónica. Cada año se desarrollan cada vez más activamente, ocupando una parte bastante grande del mercado para trabajar con divisas. Junto a ellos también se desarrollan tecnologías que garantizan su seguridad. Porque hoy en día no puede existir ningún sistema de pago electrónico sin buenas tecnologías y sistemas de seguridad, que a su vez garanticen la seguridad de las transacciones monetarias. Existen muchos sistemas de pago electrónico, así como tecnologías de seguridad. Cada uno de ellos tiene diferentes principios operativos y tecnologías, así como sus propias ventajas y desventajas. Además, quedan sin resolver una serie de cuestiones teóricas y prácticas, lo que determina la relevancia del tema de investigación.
Cada sistema de pago electrónico utiliza sus propios métodos, algoritmos de cifrado y protocolos de transferencia de datos para realizar transacciones y transferencias de datos seguras. Algunos sistemas utilizan el algoritmo de cifrado RSA y el protocolo de transferencia HTTP, mientras que otros utilizan el algoritmo DES y el protocolo SSL para transferir datos cifrados. La idea detrás de escribir este artículo es estudiar y analizar una serie de sistemas de pago populares, es decir, las tecnologías de seguridad utilizadas en ellos, y descubrir cuál es el más avanzado.
Durante la redacción del artículo se realizó una investigación sobre los sistemas de pago y un análisis de la seguridad de los sistemas de pago existentes. Se analizaron cuatro sistemas de pago (Webmoney, Yandex.Money, RauPa1 y E-Port) según los mismos criterios. Los sistemas se evaluaron utilizando un sistema multinivel que incluye parámetros anidados. Por supuesto, todos estos criterios se relacionan con el área. seguridad de información. Hay dos criterios principales: soporte técnico para la seguridad de la información de los pagos y soporte organizativo y legal. Cada uno de estos dos parámetros se evaluó mediante un sistema de tres puntos. La escala de calificación es exactamente esta, ya que el desarrollo actual de los sistemas de pago electrónico en nuestro país se encuentra en tal nivel que la mayoría de sus parámetros sólo pueden describirse con las palabras “sí o no”. En consecuencia, si un sistema de pago electrónico coincide mejor con cualquier parámetro, recibe la puntuación más alta (3); si no responde en absoluto, recibe la puntuación mínima (0). Si el sistema no tiene este criterio en su forma explícita, pero si hay servicios o capacidades asociadas con el que falta, otorgamos una puntuación intermedia: uno o dos.
Al evaluar los sistemas de pago electrónico, conviene recordar que en diferentes condiciones el valor del mismo parámetro no es el mismo. Por ejemplo, varios servicios que aumentan significativamente el nivel de protección solo pueden ser implementados por el usuario de forma voluntaria; además, la mera presencia de estos servicios en el sistema es valiosa. El factor humano no ha sido cancelado ni será cancelado nunca, por lo que se tiene en cuenta que el servicio puede estar implementado o no realizado.
Soporte técnico para la seguridad de las transacciones.
Este es el primero de los criterios: un conjunto de parámetros que, como su nombre indica, proporciona el aspecto técnico de la protección de la información. Antes de este parámetro, se incluyen los siguientes: métodos criptográficos de cifrado, autenticación y acceso mediante un especial hardware(en el caso más primitivo, utilizando llaves USB).
No es ningún secreto que el principal criterio para proteger la información en términos técnicos es, por supuesto, el cifrado de datos y, más concretamente, los algoritmos criptográficos con los que se implementan. También se sabe que cuanto más larga sea la clave, más difícil será descifrarla y, en consecuencia, acceder a información confidencial. Tres de los sistemas probados utilizan el conocido y respetado algoritmo RSA: Webmoney, Yandex.Money, PayPal. E-Port utiliza cifrado mediante el protocolo SSL versión 3.0. De hecho, el cifrado se implementa mediante claves SSL, que son únicas, se generan durante la sesión y se denominan clave de sesión. La longitud de la clave SSL en el sistema E-Port varía de 40 a 128 bits, lo que es suficiente para un nivel aceptable de seguridad en las transacciones.
El siguiente parámetro en el soporte técnico de la seguridad de la información de las transacciones es la autenticación, es decir. un conjunto de soluciones que el usuario necesita para acceder a su propia información personal. Aquí todo es sencillo. Los sistemas Webmoney y Yandex.Money utilizan dos criterios de acceso, mientras que PayPal y E-Port utilizan sólo uno. En Webmoney, para acceder al sistema y realizar pagos, debe ingresar una contraseña y una clave especial, Yandex.Money funciona de manera similar: se requiere una contraseña y un programa de billetera especial. En todos los demás sistemas, el acceso se proporciona mediante contraseña. Sin embargo, en el sistema E-Port, para funcionar utilizando el protocolo SSL, el servidor web del cliente potencial (y cualquier otro participante en el sistema) debe tener un certificado digital especial recibido de una de las empresas autorizadas. Este certificado se utiliza para autenticar el servidor web del cliente. El mecanismo de seguridad del certificado utilizado en E-Port está certificado por RSA Security. El tercer y último criterio de este estudio es el acceso al sistema mediante hardware especial, como llaves USB.
Métodos de cifrado criptográfico
Webmoney y Yandex.Money usan una clave con una longitud de 1024 bits (un indicador muy alto, es casi imposible descifrar dicha clave usando un método simple de fuerza bruta), y PayPal usa una clave de la mitad de longitud: 512 bits. , para los dos primeros sistemas, usando este criterio obtenemos el punto máximo: 3. PayPal, debido a que utiliza una clave de cifrado más corta, obtiene dos puntos. Sólo queda evaluar E-Port según este parámetro. A pesar de que utiliza el protocolo SSL e incluso de una longitud de clave de hasta 128 bits, E-Port tiene cierta vulnerabilidad potencial: muchas versiones antiguas de navegadores admiten el cifrado con longitudes de clave más cortas, por lo que existe la posibilidad de piratear los datos recibidos; en consecuencia, para aquellos que utilizan el navegador como cliente para sistema de pago, necesitas trabajar con eso ultima versión(Por supuesto, esto no siempre es conveniente o posible). Sin embargo, en la columna "cifrado", E-Port puede recibir una puntuación de 1,7: el sistema obtuvo esta puntuación gracias al uso del protocolo progresivo PGP para cifrar mensajes de correo electrónico.
Autenticación
Los sistemas Webmoney y Yandex.Money utilizan dos criterios de acceso, mientras que PayPal y E-Port utilizan sólo uno. En Webmoney, para acceder al sistema y realizar pagos, debe ingresar una contraseña y una clave especial. Yandex.Money funciona de manera similar: se requiere una contraseña y un programa de billetera especial, en todos los demás sistemas el acceso se realiza mediante contraseña. Sin embargo, en el sistema E-Port se utiliza el servidor web del cliente potencial para trabajar mediante el protocolo SSL.
Según Webmoney y Yandex.Money, aquí reciben tres puntos, PayPal - 0 puntos, E-Port - uno.
Aquí es incluso más fácil que con los parámetros anteriores. De todos los sistemas, sólo Webmoney PayPal tiene esta opción adicional; estos últimos no ofrecen esa posibilidad. Así, teniendo en cuenta el coeficiente de ponderación, Webmoney y PayPal recibieron 1,5 puntos por este parámetro, todos los demás recibieron cero.
Después de evaluar los dos criterios, podemos resumir. Según la suma de los parámetros considerados, Webmoney resultó ser seguro. De hecho, si el usuario utiliza todos los servicios de seguridad que ofrece, puede permanecer prácticamente invulnerable a los estafadores. El segundo lugar lo ocupó el sistema Yandex.Money, el tercero PayPal (este sistema es ideal para personas jurídicas por su importante transparencia legal de pagos) y el último lugar lo otorgó el sistema E-Port.
Además, resumiendo el análisis de los sistemas de pago, podemos decir que la elección de un sistema de pago electrónico no se realiza en función de un parámetro de seguridad, aunque sea uno de los más importantes. Los sistemas de pago electrónico también difieren en la disponibilidad de servicios y la facilidad de uso; hay muchos otros factores.
conclusiones
Los pagos electrónicos son una etapa natural en el desarrollo de las telecomunicaciones. La demanda es alta en aquellos nichos donde existe un producto completo, un producto digital, cuyas propiedades están bien "superpuestas" con las propiedades del pago en línea: pago instantáneo, entrega instantánea. , sencillez y ausencia de marca.
sistema de pago por internet es un sistema para realizar pagos entre organizaciones financieras, empresariales y usuarios de Internet en el proceso de compra/venta de bienes y servicios a través de Internet. Es el sistema de pago que permite convertir un servicio de procesamiento de pedidos o una tienda electrónica en una tienda completa con todos los atributos estándar: al seleccionar un producto o servicio en el sitio web del vendedor, el comprador puede realizar un pago sin salir del computadora.
En un sistema de comercio electrónico, los pagos se realizan sujetos a una serie de condiciones:
1. Mantener la confidencialidad. Al realizar pagos a través de Internet, el comprador quiere que sus datos (por ejemplo, el número de la tarjeta de crédito) sean conocidos únicamente por las organizaciones que tienen el derecho legal de hacerlo.
2. Mantener la integridad de la información. Nadie puede cambiar la información de compra.
3. Autenticación. Los compradores y vendedores deben tener confianza en que todas las partes involucradas en una transacción son quienes dicen ser.
4. Medios de pago. Posibilidad de pago mediante cualquier medio de pago a disposición del comprador.
6. Garantías de riesgo del vendedor. Al comerciar en Internet, el vendedor está expuesto a muchos riesgos asociados con el rechazo del producto y la deshonestidad del comprador. La magnitud de los riesgos debe acordarse con el proveedor del sistema de pago y otras organizaciones incluidas en la cadena comercial mediante acuerdos especiales.
7. Minimizar las tarifas de transacción. Las tarifas de procesamiento de transacciones para ordenar y pagar bienes están naturalmente incluidas en su precio, por lo que reducir el precio de la transacción aumenta la competitividad. Es importante señalar que la transacción debe pagarse en cualquier caso, incluso si el comprador rechaza la mercancía.
Todas estas condiciones deben implementarse en el sistema de pago por Internet, que, en esencia, son versiones electrónicas de los sistemas de pago tradicionales.
Así, todos los sistemas de pago se dividen en:
Débito (trabajando con cheques electrónicos y efectivo digital);
Crédito (trabajar con tarjetas de crédito).
Sistemas de débito
Los esquemas de pago con débito se construyen de manera similar a sus prototipos fuera de línea: cheque y dinero regular. El esquema involucra a dos partes independientes: emisores y usuarios. Se entiende por emisor la entidad que gestiona el sistema de pagos. Emite algunas unidades electrónicas que representan pagos (por ejemplo, dinero en cuentas bancarias). Los usuarios del sistema realizan dos funciones principales. Realizan y aceptan pagos en Internet utilizando unidades electrónicas emitidas.
Los cheques electrónicos son análogos a los cheques en papel normales. Estas son las instrucciones del pagador a su banco para transferir dinero de su cuenta a la cuenta del beneficiario. La operación se produce previa presentación por parte del destinatario del cheque en el banco. Aquí hay dos diferencias principales. En primer lugar, al emitir un cheque en papel, el pagador pone su firma real y, en la versión en línea, una firma electrónica. En segundo lugar, los propios cheques se emiten electrónicamente.
Los pagos se realizan en varias etapas:
1. El pagador emite un cheque electrónico, lo firma con firma electrónica y lo envía al destinatario. Para garantizar una mayor confiabilidad y seguridad, el número de cuenta corriente se puede cifrar con la clave pública del banco.
2. El cheque se presenta para su pago al sistema de pago. A continuación (ya sea aquí o en el banco que atiende al destinatario) se realiza un cheque. firma electronica.
3. Si se confirma su autenticidad, se entrega la mercancía o se presta el servicio. El dinero se transfiere de la cuenta del pagador a la cuenta del destinatario.
La simplicidad del esquema de pago (Fig. 43), lamentablemente, se ve compensada por las dificultades de su implementación debido a que los esquemas de cheques aún no se han generalizado y no existen centros de certificación para la implementación de firmas electrónicas.
Una firma digital electrónica (EDS) utiliza un sistema de cifrado de clave pública. Esto crea una clave privada para firmar y una clave pública para verificación. La clave privada la almacena el usuario y todos pueden acceder a la clave pública. La forma más conveniente de distribuir claves públicas es utilizar autoridades de certificación. Allí se almacenan los certificados digitales que contienen la clave pública e información sobre el propietario. Esto libera al usuario de la obligación de distribuir él mismo su clave pública. Además, las autoridades certificadoras brindan autenticación para garantizar que nadie pueda generar claves en nombre de otra persona.
El dinero electrónico simula completamente el dinero real. Al mismo tiempo, la organización emisora, el emisor, emite sus análogos electrónicos, llamados de manera diferente en diferentes sistemas (por ejemplo, cupones). Luego, son comprados por los usuarios, que los utilizan para pagar sus compras, y luego el vendedor los canjea del emisor. Cuando se emite, cada unidad monetaria está certificada mediante un sello electrónico, que es verificado por la estructura emisora antes del canje.
Una de las características del dinero físico es su anonimato, es decir, no indica quién lo utilizó y cuándo. Algunos sistemas, por analogía, permiten al comprador recibir dinero electrónico de tal forma que no se puede determinar la conexión entre él y el dinero. Esto se hace mediante un esquema de firma ciega.
También vale la pena señalar que al usar dinero electrónico No es necesaria la autenticación, ya que el sistema se basa en la puesta en circulación del dinero antes de su uso.
La Figura 44 muestra un esquema de pago utilizando dinero electrónico.
El mecanismo de pago es el siguiente:
1. El comprador cambia por adelantado dinero real por dinero electrónico. El almacenamiento de efectivo con el cliente se puede realizar de dos formas, lo que viene determinado por el sistema utilizado:
En el disco duro de su computadora;
En tarjetas inteligentes.
Diferentes sistemas ofrecen diferentes esquemas de intercambio. Algunos abren cuentas especiales a las que se transfieren fondos de la cuenta del comprador a cambio de facturas electrónicas. Algunos bancos pueden emitir ellos mismos dinero electrónico. Al mismo tiempo, se emite únicamente a solicitud del cliente, seguido de su transferencia a la computadora o tarjeta de este cliente y el retiro del equivalente en efectivo de su cuenta. Al implementar una firma ciega, el propio comprador crea facturas electrónicas, las envía al banco, donde, cuando llega dinero real a la cuenta, se certifican con un sello y se devuelven al cliente.
Además de la conveniencia de dicho almacenamiento, también tiene desventajas. Los daños a un disco o a una tarjeta inteligente provocan una pérdida irreversible de dinero electrónico.
2. El comprador transfiere dinero electrónico para la compra al servidor del vendedor.
3. El dinero se presenta al emisor, quien verifica su autenticidad.
4. Si las facturas electrónicas son genuinas, la cuenta del vendedor se incrementa en el monto de la compra y la mercancía se envía al comprador o se proporciona el servicio.
Una de las características distintivas importantes del dinero electrónico es la posibilidad de realizar micropagos. Esto se debe al hecho de que el valor nominal de los billetes puede no corresponder a monedas reales (por ejemplo, 37 kopeks).
Tanto los bancos como las organizaciones no bancarias pueden emitir efectivo electrónico. Sin embargo, aún no se ha desarrollado un sistema convertir diferentes tipos de dinero electrónico. Por tanto, sólo los propios emisores pueden canjear el efectivo electrónico que emitieron. Además, el Estado no garantiza el uso de dicho dinero procedente de estructuras no financieras. Sin embargo, el bajo costo de transacción hace que el efectivo electrónico sea una herramienta atractiva para los pagos en línea.
Sistemas de crédito
Los sistemas de crédito de Internet son análogos de los sistemas convencionales que funcionan con tarjetas de crédito. La diferencia es que todas las transacciones se realizan a través de Internet y, como resultado, la necesidad de medidas adicionales de seguridad y autenticación.
En la realización de pagos a través de Internet mediante tarjetas de crédito intervienen:
1. Comprador. Un cliente con una computadora con navegador web y acceso a Internet.
2. Banco emisor. La cuenta bancaria del comprador se encuentra aquí. El banco emisor emite tarjetas y es garante de las obligaciones financieras del cliente.
3. Vendedores. Se entiende por vendedores los servidores de Comercio Electrónico donde se mantienen catálogos de bienes y servicios y se aceptan las órdenes de compra de los clientes.
4. Bancos adquirentes. Bancos que atienden a vendedores. Cada vendedor tiene un único banco en el que mantiene su cuenta corriente.
5. Sistema de pago por Internet. Componentes electrónicos que actúan como intermediarios entre otros participantes.
6. Sistema de pago tradicional. Un conjunto de medios financieros y tecnológicos para el servicio de tarjetas de este tipo. Entre las principales tareas que resuelve el sistema de pagos se encuentra asegurar el uso de tarjetas como medio de pago de bienes y servicios, utilizar servicios bancarios, realizar compensaciones mutuas, etc. Los participantes en el sistema de pago son personas físicas y jurídicas unidas mediante el uso de tarjetas de crédito.
7. Centro de procesamiento del sistema de pagos. Una organización que brinda información e interacción tecnológica entre los participantes del sistema de pago tradicional.
8. Banco liquidador del sistema de pago. Una entidad de crédito que realiza liquidaciones mutuas entre los participantes del sistema de pago en nombre del centro de procesamiento.
El esquema de pago general en dicho sistema se muestra en la Figura 45.
1. El comprador en la tienda electrónica crea una canasta de productos y selecciona el método de pago “tarjeta de crédito”.
A través de la tienda, es decir, los parámetros de la tarjeta se ingresan directamente en el sitio web de la tienda, luego de lo cual se transfieren al sistema de pago por Internet (2a);
En el servidor del sistema de pago (2b).
Las ventajas de la segunda vía son obvias. En este caso, la información sobre las tarjetas no permanece en la tienda y, en consecuencia, se reduce el riesgo de recibirlas por parte de terceros o ser engañado por el vendedor. En ambos casos, al transferir datos de tarjetas de crédito, todavía existe la posibilidad de que sean interceptados por atacantes en la red. Para evitarlo, los datos se cifran durante la transmisión.
El cifrado, naturalmente, reduce la posibilidad de interceptación de datos en la red, por lo que es recomendable realizar las comunicaciones entre comprador/vendedor, vendedor/sistema de pago por Internet, comprador/sistema de pago por Internet utilizando protocolos seguros. Los más comunes en la actualidad son el protocolo SSL (Secure Sockets Layer), así como el estándar SET (Secure Electronic Transaction), diseñado para reemplazar eventualmente a SSL al procesar transacciones relacionadas con pagos de compras con tarjeta de crédito en Internet.
3. El sistema de pago por Internet transmite una solicitud de autorización al sistema de pago tradicional.
4. El siguiente paso depende de si el banco emisor mantiene una base de datos de cuentas en línea. Si existe una base de datos, el centro de procesamiento envía al banco emisor una solicitud de autorización de tarjeta (ver introducción o diccionario) (4a) y luego (4b) recibe su resultado. Si no existe dicha base de datos, el propio centro de procesamiento almacena información sobre el estado de las cuentas de los titulares de tarjetas, listas de exclusión y cumple con las solicitudes de autorización. Esta información es actualizada periódicamente por los bancos emisores.
La tienda proporciona un servicio o envía mercancías (8a);
El centro de procesamiento transmite información sobre la transacción completada al banco liquidador (8b). El dinero de la cuenta del comprador en el banco emisor se transfiere a través del banco liquidador a la cuenta de la tienda en el banco adquirente.
Para realizar dichos pagos en la mayoría de los casos necesita un especial software. Puede entregarse al comprador (llamado billetera electrónica), al vendedor y a su banco de servicio.
Introducción
1. Sistemas de pago electrónico y su clasificación
1.1 Conceptos básicos
1.2 Clasificación de los sistemas de pago electrónico.
1.3 Análisis de los principales sistemas de pago electrónico utilizados en Rusia
2. Medidas de seguridad para los sistemas de pago electrónico
2.1 Amenazas asociadas al uso de sistemas de pago electrónico
2.2 Tecnologías para proteger los sistemas de pago electrónico
2.3 Análisis de tecnologías para el cumplimiento requerimientos básicos a los sistemas de pago electrónico
Conclusión
Bibliografía
INTRODUCCIÓN
Un tema altamente especializado, los pagos electrónicos y el dinero electrónico, que hace 10 años era de poco interés para pocas personas, recientemente se ha vuelto relevante no sólo para los empresarios, sino también para los usuarios finales. Probablemente una de cada dos personas que lee ocasionalmente el ordenador o la prensa popular conoce las palabras de moda “e-business” y “e-commerce”. La tarea de pago remoto (transferencia de dinero a largas distancias) ha pasado de la categoría especial a la cotidiana. Sin embargo, la abundancia de información sobre este tema no contribuye en absoluto a la claridad de la mente de los ciudadanos. Tanto por la complejidad como por la falta de desarrollo conceptual del problema de los pagos electrónicos, y por el hecho de que muchos divulgadores suelen trabajar según el principio de un teléfono roto, en el nivel cotidiano todo, por supuesto, está claro para todos. Pero esto será así hasta que llegue el momento del desarrollo práctico de los pagos electrónicos. Aquí es donde hay una falta de comprensión sobre cuán apropiado es el uso de pagos electrónicos en ciertos casos.
Mientras tanto, la tarea de aceptar pagos electrónicos es cada vez más importante para quienes van a realizar negocios a través de Internet, así como para quienes van a realizar compras a través de Internet. Este artículo está destinado a ambos.
El principal problema al considerar los sistemas de pago electrónico para un principiante es la diversidad de su diseño y principios operativos y el hecho de que, a pesar de la similitud externa de su implementación, en sus profundidades se pueden esconder mecanismos tecnológicos y financieros bastante diferentes.
El rápido desarrollo de la popularidad de Internet global ha generado un poderoso impulso para el desarrollo de nuevos enfoques y soluciones en diversas áreas de la economía mundial. Incluso sistemas tan conservadores como los sistemas de pago electrónico de los bancos han sucumbido a las nuevas tendencias. Esto se reflejó en la aparición y desarrollo de nuevos sistemas de pago: sistemas de pago electrónico a través de Internet, cuya principal ventaja es que los clientes pueden realizar pagos (transacciones financieras), evitando la etapa agotadora y a veces técnicamente difícil de transportar físicamente una orden de pago. al Banco. Los bancos y las instituciones bancarias también están interesados en implementar estos sistemas, ya que pueden aumentar la velocidad del servicio al cliente y reducir los costos generales para realizar pagos.
Los sistemas de pago electrónico hacen circular información, incluida información confidencial, que requiere protección contra la visualización, modificación e imposición de información falsa. Desarrollar tecnologías de seguridad apropiadas centradas en Internet es actualmente un desafío importante. La razón de esto es que la arquitectura, los recursos centrales y las tecnologías redes de internet centrado en organizar el acceso o la recogida abrir información. Sin embargo, recientemente han aparecido enfoques y soluciones que indican la posibilidad de utilizar tecnologías estándar de Internet en la construcción de sistemas para la transmisión segura de información a través de Internet.
El RGR tiene como objetivo analizar los sistemas de pago electrónico y desarrollar recomendaciones para el uso de cada uno de ellos. Con base en el objetivo, se formulan las siguientes etapas de la realización del RGR:
1. Determinar las principales tareas de los sistemas de pago electrónico y los principios de su funcionamiento, sus características.
2. Analizar los principales sistemas de pago electrónico.
3. Analizar las amenazas asociadas al uso del dinero electrónico.
4. Analizar las medidas de seguridad en el uso de sistemas de pago electrónico.
1. SISTEMAS DE PAGO ELECTRÓNICOS Y SU CLASIFICACIÓN
1.1 Conceptos básicos
Pagos electrónicos. Para empezar, es legítimo hablar del surgimiento de los pagos electrónicos como una forma de pago no monetario en la segunda mitad del siglo XX. En otras palabras, la transferencia de información sobre pagos por transferencia bancaria existe desde hace mucho tiempo, pero adquirió una calidad fundamentalmente nueva cuando aparecieron computadoras en ambos extremos de los cables. La información se transmitía mediante télex, teletipo y redes informáticas que aparecieron en ese momento. Un salto cualitativamente nuevo se expresó en el hecho de que la velocidad de los pagos aumentó significativamente y estuvo disponible la posibilidad de su procesamiento automático.
Posteriormente, surgieron equivalentes electrónicos de otros tipos de pagos: pagos en efectivo y otros medios de pago (por ejemplo, cheques).
Sistemas de pago electrónico (EPS). Llamamos sistema de pago electrónico a cualquier complejo de hardware específico y software, permitiendo pagos electrónicos.
Existir varias maneras y canales de comunicación para el acceso a la EPS. Hoy en día, el más común de estos canales es Internet. La difusión de las EPS va en aumento, cuyo acceso se realiza mediante teléfono móvil(vía SMS, WAP y otros protocolos). Otros métodos son menos comunes: por módem, por teléfono de tonos, por teléfono a través de un operador.
Dinero electrónico. Término vago. Si se analiza detenidamente lo que hay detrás de esto, es fácil comprender que el dinero electrónico es un nombre incorrecto para “efectivo electrónico”, así como para los sistemas de pago electrónico como tales.
Este malentendido terminológico se debe a la libertad de traducción de términos del inglés. Dado que los pagos electrónicos en Rusia se desarrollaron mucho más lentamente que en Europa y Estados Unidos, nos vimos obligados a utilizar condiciones firmemente establecidas. Por supuesto, nombres de efectivo electrónico como “efectivo digital” (e-cash), “dinero digital”, “efectivo electrónico” (efectivo digital)2 tienen derecho a la vida.
En general, el término “dinero electrónico” no significa nada específico, por lo que en el futuro intentaremos evitar su uso.
Efectivo electrónico:
Se trata de una tecnología que apareció en los años 90 del siglo pasado y que permite realizar pagos electrónicos que no están directamente vinculados a la transferencia de dinero de una cuenta a otra en un banco u otra organización financiera, es decir, directamente entre personas, los participantes finales. en el pago. Otra propiedad importante del efectivo electrónico es el anonimato de los pagos que proporciona. El centro de autorización que certifica el pago no tiene información sobre quién transfirió específicamente el dinero y a quién.
El efectivo electrónico es uno de los tipos de pagos electrónicos. Una unidad de efectivo electrónico no es más que una obligación financiera del emisor (banco u otra institución financiera), esencialmente similar a una letra de cambio normal. Los pagos mediante efectivo electrónico aparecen cuando resulta inconveniente utilizar otros sistemas de pago. Un ejemplo claro es la renuencia de un comprador a proporcionar información sobre su tarjeta de crédito al pagar un producto en Internet.
Una vez decidida la terminología, podemos pasar a la siguiente etapa de nuestra conversación: hablemos de la clasificación de EPS. Dado que las EPS median en los pagos electrónicos, la división de las EPS se basa en diferentes tipos de estos pagos.
Además, la tecnología de software y/o hardware en la que se basa el mecanismo EPS juega un papel muy importante en esta cuestión.
1.2 Clasificación de los sistemas de pago electrónico.
Los sistemas de pago electrónico se pueden clasificar basándose tanto en las características específicas de los pagos electrónicos como en la tecnología específica subyacente al sistema de pago electrónico.
Clasificación de las EPS según el tipo de pagos electrónicos:
1. Según la composición de los participantes en el pago (Tabla 1).
tabla 1
| Tipo de pagos electrónicos | Partes de pago | Análogo en el sistema tradicional de liquidación de efectivo. | Ejemplo de EPS |
| Pagos de banco a banco | Instituciones financieras | sin análogos | |
| Pagos B2B | Entidades legales | Pagos sin efectivo entre organizaciones | |
| Pagos С2B | Consumidores finales de bienes y servicios y personas jurídicas - vendedores | Pagos en efectivo y no en efectivo de compradores a vendedores | Piloto de crédito |
| Pagos C2C | Individuos | Pagos directos en efectivo entre particulares, transferencias postales y telegráficas |
No consideraremos más aquellos sistemas de pago electrónico que están diseñados para realizar pagos electrónicos del tipo "banco a banco". Estos sistemas son extremadamente complejos, afectan en mayor medida a los aspectos tecnológicos del funcionamiento del sistema bancario y probablemente no sean de interés para las amplias masas de nuestros lectores.
Además, cabe señalar que existe otro tipo de pago que lógicamente no encaja del todo en la Tabla 1. Según criterios formales, entra completamente en el área C2B, pero sin embargo no puede proporcionarse mediante EPS generalizados de este tipo. Los micropagos se caracterizan por un costo de los bienes extremadamente pequeño (centavos o fracciones de centavo). El más característico de todos. articulos populares Un ejemplo de sistema que implementa micropagos es la venta de chistes (a un céntimo la pieza). Sistemas como Eaccess y Phonepay son adecuados para realizar micropagos.
2. Por tipo de operaciones realizadas (Tabla 2).
Tabla 2
| Tipo de pagos electrónicos | ¿Dónde se utilizan? | Ejemplo de EPS |
| Operaciones de gestión de cuentas bancarias. | Sistemas "banco cliente" con acceso vía módem, Internet, teléfono móvil, etc. | Operaciones para gestionar una cuenta bancaria del Sistema Cliente |
| Operaciones de transferencia de dinero sin abrir una cuenta bancaria | Sistemas de transferencia de dinero Red de computadoras, similar a las transferencias postales y telegráficas | |
| Transacciones con cuentas bancarias de tarjetas | Tarjetas plásticas de débito y crédito. | Cyberplat (Cyberpos) |
| Transacciones con cheques electrónicos y otras obligaciones de pago no monetarias | Sistemas cerrados de pagos entre empresas. | Cyberplat (Ciberverificación) |
| Transacciones con (cuasi) efectivo electrónico | Cálculos con físico. personas, análogos electrónicos de fichas y tarjetas prepagas utilizadas como sustitutos del dinero para pagar bienes |
Cabe señalar que los sistemas del tipo “cliente-banco” se conocen desde hace bastante tiempo. Podrías acceder a tu cuenta bancaria mediante un módem. Durante la última década, han surgido nuevas oportunidades para administrar su cuenta a través de Internet, a través de una interfaz web fácil de usar. Este servicio se denominó "banca por Internet" y no introdujo nada fundamentalmente nuevo en los sistemas de pago del tipo "cliente-banco". Además, existen otras opciones para acceder a una cuenta bancaria, por ejemplo, mediante un teléfono móvil (banca WAP, banca por SMS). En este sentido, en este artículo no nos detendremos específicamente en este tipo de EPS, solo señalaremos que actualmente en Rusia alrededor de 100 bancos comerciales brindan servicios de banca por Internet, utilizando más de 10 EPS diferentes.
Clasificación de EPS según la tecnología utilizada:
Una de las cualidades más importantes del EPS es su resistencia al robo. Esta es quizás la característica más discutida de estos sistemas. Como puede verse en la Tabla 3, al resolver el problema de la seguridad del sistema, la mayoría de los enfoques para construir un sistema de seguridad electrónico se basan en el secreto de una determinada base de datos central que contiene información crítica. Al mismo tiempo, algunos de ellos añaden a esto base secreta Estos niveles adicionales de protección se basan en la durabilidad del hardware.
En principio, existen otras tecnologías a partir de las cuales se pueden construir EPS. Por ejemplo, no hace mucho apareció en los medios una noticia sobre el desarrollo de un EPS basado en discos CDR integrados en una tarjeta de plástico. Sin embargo sistemas similares no se utilizan ampliamente en la práctica mundial y, por lo tanto, no nos centraremos en ellos.
Tabla 3
| Tecnología | ¿En qué se basa la estabilidad del sistema? | Ejemplo de EPS |
| Sistemas con servidor central banco cliente, transferencia de fondos. | Secreto de las claves de acceso | Telebank (Guta-banco), "Banco de servicios de Internet" (Avtobank) |
| Tarjetas inteligentes | Resistencia del hardware de las tarjetas inteligentes a la piratería | Mondex, ACUERDO |
| Tarjetas magnéticas y tarjetas de crédito virtuales | Asistencia, Élite |
|
| Tarjetas de rascar | Secreto de la base de datos con números y códigos de tarjetas rasca y gana. | Puerto electrónico, Creditpilot, Webmoney, Paycash, Rapira |
| Archivo/billetera en forma de programa en la computadora del usuario | Fortaleza criptográfica del protocolo de intercambio de información. | |
| Llamada telefónica paga | Secreto de la base de datos central con códigos PIN y estabilidad del hardware de la red telefónica inteligente. | Acceso electrónico, pago telefónico |
1.3 Análisis de los principales sistemas de pago electrónico utilizados en Rusia
Actualmente, en la Internet rusa se utilizan bastantes sistemas de pago electrónico, aunque no todos se utilizan ampliamente. Es característico que casi todos los sistemas de pago occidentales utilizados en RuNet estén vinculados a tarjetas de crédito. Algunos de ellos, por ejemplo PayPal, se niegan oficialmente a trabajar con clientes de Rusia. Los sistemas más utilizados en la actualidad son:
CyberPlat se refiere a sistemas de tipo mixto (desde el punto de vista de cualquiera de las clasificaciones anteriores). De hecho, podemos decir que dentro de este sistema se reúnen tres tipos distintos bajo un mismo techo: el clásico sistema “cliente-banco”, que permite a los clientes gestionar cuentas abiertas en bancos que participan en el sistema (11 bancos rusos y 1 letón). ; Sistema CyberCheck, que le permite realizar pagos seguros entre personas jurídicas conectadas al sistema; y un sistema de adquisición por Internet, es decir, que procesa pagos aceptados con tarjetas de crédito: CyberPos. Entre todos los sistemas de adquisición por Internet disponibles en el mercado ruso, CyberPlat procesa el mayor número de tipos de tarjetas de crédito, a saber: Visa, Mastercard/Eurocard, American Express7, Diners Club, JCB, Union Card; ha anunciado su inminente conexión a el sistema de tarjeta STB y la tarjeta ACCORD/Bashcard. Extraoficialmente, los empleados de la empresa afirmaron que estaban explorando la posibilidad de interactuar con otros sistemas de tarjetas rusos. Además de lo anterior, la empresa CyberPlat proporciona procesamiento de tarjetas rasca y gana del sistema de pago E-port y anunció la próxima puesta en funcionamiento de una pasarela con el sistema Paycash.
Actualmente, para aumentar el nivel de protección contra pagos con tarjetas de crédito robadas, la empresa está desarrollando la tecnología especializada PalPay, que permite al vendedor comprobar si el comprador realmente tiene acceso a la cuenta bancaria asociada a la tarjeta de crédito o sólo conoce sus datos. La puesta en funcionamiento de esta tecnología aún no se ha anunciado oficialmente.
El sistema CyberCheck es de gran interés para organizar el trabajo con socios corporativos. Su característica principal (en comparación con la aceptación de pagos con tarjetas de crédito) es la imposibilidad de que el pagador se niegue a realizar el pago a posteriori. En otras palabras, recibir la confirmación de pago de CyberCheck es tan confiable como recibir dicha confirmación del banco donde se encuentra la cuenta del comerciante. Todas estas características hacen de CyberPlat quizás el más avanzado e interesante para los vendedores de EPS en la Internet rusa.
El sistema Assist en términos de procesamiento de pagos con tarjetas de crédito es, en muchos sentidos, un análogo funcional de CyberPlat. En Moscú, sus intereses están representados por Alfa Bank. Un total de 5 bancos están conectados al sistema. El subsistema de adquisición por Internet le permite aceptar pagos con Visa, Mastercard/Eurocard, tarjeta STB. A partir de septiembre, los pagos de otros sistemas de tarjetas declarados en el servidor del sistema Assist no fueron aceptados. Sin embargo, según información extraoficial, en un futuro próximo será posible aceptar tarjetas Diners Club, tarjetas de débito Cirrus Maestro y Visa Electron. Curiosamente, este tipo de tarjetas no suelen ser aceptadas por las empresas adquirentes, pero debido a su bajo coste, estas tarjetas son muy comunes. Normalmente, la negativa a aceptar tarjetas de débito está motivada por motivos de seguridad. Quizás ASSIST pueda solucionar este problema utilizando el protocolo SET, cuyo soporte fue anunciado por la compañía el otro día. A diferencia del método tradicional de pago con tarjetas de plástico en Internet, que permite al titular de la tarjeta rechazar el pago realizado con ella (contracargo), el protocolo SET garantiza la autenticidad de la transacción, reduciendo significativamente el riesgo para el vendedor.
El método de liquidación mediante certificados electrónicos adquiridos a un proveedor de Internet, anunciado en el sitio web de Assist, es bastante interesante porque abre nuevas líneas de negocio para los proveedores, sin embargo, según la información disponible, debido a dificultades legales, hasta hace poco no era posible. realmente utilizado por cualquiera. Sin embargo, según información no oficial, esta situación pronto cambiará: ya en el otoño de 2001 podremos ver la primera implementación práctica de este método de cálculo.
Además de los sistemas de tarjetas CyberPlat y Assist mencionados en las descripciones, hay otros que han ganado cierta popularidad en el mercado. Discover/NOVUS se distribuye ampliamente en Norteamérica y puede ser de interés para aquellas tiendas de electrónica que atienden al público occidental. No conocemos ninguna empresa adquirente nacional que procese tarjetas de este sistema, sin embargo, hay una serie de propuestas de intermediarios que representan los intereses de los adquirentes occidentales. Entre los sistemas de tarjetas rusos, después de STB y Union Card, los más destacados en el mercado son Zolotaya Korona, Sbercard (Sberbank), Universal Card y ICB-card (Promstroybank), así como la ya mencionada tarjeta ACCORD/Bashcard. La "tarjeta ICB" es procesada por un par de pequeñas empresas adquirentes, la aceptación de pagos a través de Internet con las tarjetas Zolotaya Korona y Sbercard la realizan supuestamente directamente los emisores y/o empresas relacionadas, y en el caso de la Tarjeta Universal, no No parece ser proporcionado por nadie.
Sus desarrolladores posicionan Paycash y Webmoney como sistemas de efectivo electrónico, pero tras un examen más detenido, sólo Paycash puede reclamar legítimamente tal estatus.
El desarrollo de Paycash fue iniciado por el Tavrichesky Bank, pero actualmente otros bancos están conectados al sistema, por ejemplo, Guta Bank.
Desde un punto de vista tecnológico, Paycash proporciona una imitación casi completa de los pagos en efectivo. Desde una billetera electrónica (un programa especializado instalado por el cliente en su computadora), se puede transferir dinero a otra, garantizando el anonimato del pago en relación con el banco. El sistema se ha generalizado bastante en Rusia y actualmente está intentando entrar en el mercado mundial.
El cuello de botella de Paycash es el procedimiento para transferir dinero a una billetera electrónica. Hasta hace poco la única forma Para hacer esto era ir a una sucursal bancaria y transferir dinero a la cuenta del sistema. Es cierto que había alternativas: para los usuarios del sistema Guta Bank Telebank era posible transferir dinero desde una cuenta en Guta Bank sin salir de casa, pero en algunos casos, aparentemente, era más fácil transferirlos directamente a la cuenta del vendedor. tienda electrónica sin utilizar Paycash como intermediario. También era posible transferir dinero a través de Western Union o transferencia postal o electrónica, pero el atractivo de esta ruta estaba limitado por el alto nivel de las tarifas. Para los residentes de San Petersburgo, existe una oportunidad muy exótica: llamar a un mensajero a su casa para pedir dinero. Es maravilloso, pero lamentablemente no todos vivimos en la capital del norte.
Todavía no es posible transferir dinero a Paycash desde tarjetas de crédito. Esto se debe al hecho de que las empresas que apoyan el funcionamiento de los sistemas de tarjetas brindan a sus clientes la oportunidad del llamado "contracargo": negativa a realizar un pago "retrospectivamente". El "contracargo" es un mecanismo que protege al titular de una tarjeta de crédito de los estafadores que pueden utilizar sus datos. En caso de tal rechazo, la carga de la prueba recae sobre el vendedor de que la mercancía fue efectivamente entregada al verdadero titular de la tarjeta y que el pago debe realizarse. Pero en el caso de Paycash, este tipo de prueba es básicamente imposible, por razones bastante obvias. La puerta de enlace mencionada anteriormente con CyberPlat, que está en desarrollo, también pretende resolver este problema.
Mientras tanto, para desempacar esto embotellamiento En el sistema, PayCash hizo dos movimientos bastante razonables: emitió tarjetas rasca y gana prepagas y proporcionó aceptación de pagos a través del sistema de transferencia Contact, cuyas tarifas son significativamente más bajas que las tarifas postales (2,2% frente a 8%).
El sistema Webmoney es uno de los "pioneros" en el mercado de pagos electrónicos en Rusia. Actualmente tiene carácter internacional. Según algunas informaciones, Webmoney tiene representantes no sólo en las repúblicas de la antigua URSS, sino también en países extranjeros. El operador del sistema es la organización autónoma sin ánimo de lucro "VM Center".
El modo de funcionamiento de Webmoney es muy similar al trabajo con efectivo electrónico, solo un análisis cuidadoso y meticuloso permite asegurarse de que, de hecho, Webmoney no proporciona un completo anonimato de los pagos, es decir, no están ocultos a los propietarios del sistema en sí. Sin embargo, la práctica de Webmoney ha demostrado que esta propiedad es bastante beneficiosa y permite, en algunos casos, combatir el fraude. Además, como servicio de pago independiente, VM Center ofrece certificación de personas jurídicas y físicas, lo que, naturalmente, le priva del anonimato en relación con otros participantes del sistema. Esta oportunidad es necesaria principalmente para aquellos que desean organizar una tienda de electrónica honesta y pretenden convencer a los compradores potenciales de su confiabilidad. Webmoney le permite abrir cuentas y transferir fondos en dos monedas: rublos y dólares.
Para acceder al sistema se utiliza el programa “billetera electrónica”. Las características adicionales del sistema son la transferencia de mensajes cortos de una billetera a otra, así como las transacciones de crédito entre propietarios de billeteras. Sin embargo, en nuestra opinión, pocas personas aceptarán prestar a personas anónimas a través de Internet sin la posibilidad de cobrar el préstamo por la fuerza en caso de impago.
A diferencia de Paycash, Webmoney inicialmente brindó la posibilidad de transferir efectivo regular a una billetera y retirar el contenido de las billeteras sin los tediosos procedimientos de completar órdenes de pago en el banco, pero de una manera bastante extraña, desde un punto de vista legal. . En general, el apoyo legal de Webmoney en su trabajo con organizaciones ha generado durante mucho tiempo muchas quejas.
Esta fue la razón por la que, mientras los usuarios finales instalaban activamente "billeteras", muchas tiendas de electrónica se negaban a utilizar este EPS. Es cierto que en la actualidad esta situación ha mejorado algo y la posición activa de marketing de los propietarios de Webmoney lleva al hecho de que la imagen del sistema mejora constantemente. Uno de características interesantes Esta estrategia de marketing consistió en que casi inmediatamente después de su entrada al mercado, todos tuvieron la oportunidad de ganar dinero con este sistema (algunos recordarán el proyecto "Nails" y su desarrollo posterior - visit.ru). Al igual que Paycash, Webmoney emite tarjetas rasca y gana prepagas diseñadas para depositar dinero en el sistema.
Dos sistemas basados en tarjetas rasca y gana: E-port (Avtokard-holding) y KreditPilot (Kreditpilot.com), son como hermanos gemelos. Ambos suponen que el comprador primero comprará una tarjeta rasca y gana con un código secreto en algún lugar de una amplia red de distribución o solicitándola por mensajería a domicilio, y luego comenzará a pagar en línea utilizando este código en las tiendas que aceptan pagos de estos sistemas. E-port ofrece además la posibilidad de crear tarjetas rasca y gana “virtuales” transfiriendo dinero a la cuenta de la empresa a través de un banco o mediante el sistema “Webmoney”.
El sistema Rapida, que comenzó a funcionar en septiembre de 2001, al igual que los dos anteriores, ofrece depositar dinero en la cuenta del usuario mediante tarjetas rasca y gana o pago en un banco participante en el sistema. Además, se establece la posibilidad de trabajar en la modalidad “Cliente-Banco” y transferir dinero a cuentas de personas jurídicas que no participan en el sistema, así como a personas físicas sin abrir una cuenta bancaria. El acceso al sistema se proporciona no solo a través de Internet, sino también por teléfono mediante marcación por tonos. En general, el sistema parece tecnológicamente avanzado y muy interesante, pero hasta el momento no ha pasado suficiente tiempo desde su puesta en funcionamiento para poder hablar de las perspectivas.
Los EPS, que permiten realizar el pago de la misma forma que las llamadas de larga distancia (a posteriori, en base a una factura de la compañía telefónica), aparecieron por primera vez en Estados Unidos y estaban destinados a pagar el acceso a recursos pornográficos. Sin embargo, debido a las acciones fraudulentas sistemáticas de muchos propietarios de dichos sistemas, no ganaron popularidad entre los compradores y los vendedores no estaban particularmente contentos con ellos, ya que estos sistemas tendían a retrasar significativamente los pagos.
Dos implementaciones nacionales de un concepto similar, Phonepay y Eaccess, se encuentran en el comienzo de su andadura. Ambos sistemas suponen que para realizar un pago, el cliente debe realizar una llamada a un determinado número de larga distancia con el código 8-809 (proporcionado, aparentemente, por la empresa MTU-inform), tras lo cual se le proporcionará información clave. que le dicta el robot: en el caso de Eaccess, se trata de un código PIN que se utiliza para acceder a un recurso de información de pago, y en el caso de Phonepay, es una “moneda digital” universal que consta de 12 dígitos de uno de los cinco denominaciones codificadas en el sistema. Al observar los sitios web de los sistemas, se puede observar que el acceso electrónico aún se está desarrollando gradualmente, aumentando el número de tiendas conectadas al sistema, pero Phonepay no ha conectado ni una sola tienda que no pertenezca. a los desarrolladores de su sistema.
En mi opinión, estos sistemas en Rusia tienen perspectivas muy definidas en cuanto a la facilidad de acceso a ellos por parte del usuario final, sin embargo, el alcance de su aplicación se limitará a las ventas. recursos de información. El gran retraso en la recepción de los pagos (el sistema los transferirá a la tienda no antes de que el comprador pague la factura telefónica) hace que el comercio de activos materiales utilizando estos EPS sea una actividad poco rentable.
Por último, cabe mencionar otro tipo de sistema de transferencia electrónica: los sistemas especializados de transferencias entre particulares, que compiten con las transferencias postales y telegráficas tradicionales. Los primeros en ocupar este nicho fueron sistemas extranjeros como Western Union y Money Gram. En comparación con las transferencias tradicionales, brindan mayor velocidad y confiabilidad de pago. Al mismo tiempo, tienen una serie de desventajas importantes, la principal de las cuales es el elevado coste de sus servicios, que alcanza hasta el 10% del importe de la transferencia. Otro problema es que estos sistemas no pueden usarse legalmente para aceptar sistemáticamente pagos por bienes. Sin embargo, para aquellos que simplemente quieren enviar dinero a familiares y amigos, tiene sentido prestar atención a estos sistemas, así como a sus análogos domésticos(Anelik y Contacto). Hasta el momento, ni Paycash ni Webmoney pueden competir con ellos, ya que no es posible recibir dinero en efectivo sacándolo de una billetera electrónica en algún lugar de Australia o Alemania. La Rapida EPS afirma esta posibilidad, pero hasta el momento no hay detalles en su sitio web y la geografía de las oficinas del sistema no se puede comparar con los sistemas que ya están disponibles en el mercado.
Los propietarios de tiendas de electrónica, aparentemente, deberían pensar en primer lugar en aceptar dinero de tarjetas de crédito y sistemas de efectivo electrónico: Webmoney y Paycash. Teniendo en cuenta el conjunto de características de los consumidores, en nuestra opinión, ninguno de los sistemas disponibles en el mercado ruso para aceptar pagos con tarjetas de crédito puede competir con CyberPlat. Todos los demás sistemas están sujetos a uso opcional, especialmente si recuerda que no es necesario instalar el mismo puerto electrónico por separado, ya que sus tarjetas son atendidas por CyberPlat.
2. MEDIOS DE PROTECCIÓN PARA LOS SISTEMAS DE PAGO ELECTRÓNICOS
2.1 Amenazas asociadas al uso de sistemas de pago electrónico
Consideremos posibles amenazas acciones destructivas de un atacante en relación con este sistema. Para hacer esto, veamos los principales objetivos del ataque de un atacante. El principal objetivo de un atacante son los activos financieros, o más bien sus sustitutos electrónicos (sustitutos): las órdenes de pago que circulan en el sistema de pagos. En relación con estas herramientas, un atacante puede perseguir los siguientes objetivos:
1. Robo de activos financieros.
2. Introducción de activos financieros falsificados (violación del equilibrio financiero del sistema).
3. Mal funcionamiento del sistema ( amenaza técnica).
Los objetos y objetivos especificados del ataque son de naturaleza abstracta y no permiten el análisis y desarrollo de las medidas necesarias para proteger la información, por lo que la Tabla 4 proporciona una especificación de los objetos y objetivos de los efectos destructivos del atacante.
Tabla 4 Modelo de posibles acciones destructivas de un atacante
| Objeto de influencia | Propósito de la influencia | Posibles mecanismos para implementar el impacto. |
| Páginas HTML en el servidor web del banco. | Sustitución con el fin de obtener información ingresada en una orden de pago por parte del cliente. | Ataque al servidor y sustitución de páginas en el servidor. Sustitución de páginas en el tráfico. Ataque a la computadora del cliente y sustitución de páginas del cliente. |
| Páginas de información del cliente en el servidor. | Obtener información sobre los pagos de los clientes | Ataque al servidor. Ataque de tráfico. Ataque a la computadora del cliente. |
| Datos de la orden de pago introducidos por el cliente en el formulario | Recibir información ingresada en la orden de pago por parte del cliente. | Ataque al ordenador del cliente (virus, etc.). Un ataque a estas instrucciones cuando se envían a través del tráfico. Ataque al servidor. |
| Información privada del cliente ubicada en la computadora del cliente y no relacionada con el sistema de pago electrónico | Obtención de información confidencial del cliente. Modificación de la información del cliente. Deshabilitar la computadora del cliente. | todo el complejo ataques conocidos a una computadora conectada a Internet. Ataques adicionales que surgen como resultado del uso de mecanismos del sistema de pago. |
| Información del centro de procesamiento del banco. | Divulgación y modificación de la información del centro de procesamiento y red local frasco. | Ataque a una red local conectada a Internet. |
En esta tabla se muestran los requisitos básicos que debe cumplir cualquier sistema de pago electrónico a través de Internet:
En primer lugar, el sistema debe garantizar la protección de los datos de las órdenes de pago contra cambios y modificaciones no autorizados.
En segundo lugar, el sistema no debería aumentar la capacidad del atacante para organizar ataques al ordenador del cliente.
En tercer lugar, el sistema debe proteger los datos ubicados en el servidor contra lecturas y modificaciones no autorizadas.
En cuarto lugar, el sistema debe proporcionar o respaldar un sistema para proteger la red local del banco de la influencia de la red global.
Durante el desarrollo de sistemas específicos de protección de la información de pagos electrónicos, Este modelo y los requisitos deben estar sujetos a mayor detalle. Sin embargo, tal detalle no es necesario para la presentación actual.
2.2 Tecnologías para proteger los sistemas de pago electrónico
Durante algún tiempo, el desarrollo de WWW se vio obstaculizado por el hecho de que las páginas HTML, que son la base de WWW, son texto estático, es decir. con su ayuda es difícil organizar un intercambio interactivo de información entre el usuario y el servidor. Los desarrolladores propusieron muchas formas de ampliar las capacidades de HTML en esta dirección, muchas de las cuales nunca fueron adoptadas ampliamente. Una de las soluciones más poderosas que representó una nueva etapa en el desarrollo de Internet fue la propuesta de Sun de utilizar subprogramas Java como componentes interactivos conectados a páginas HTML.
Un subprograma de Java es un programa escrito en el lenguaje de programación Java y compilado en códigos de bytes especiales, que son los códigos de alguna computadora virtual (una máquina Java) y son diferentes de los códigos de los procesadores de la familia Intel. Los subprogramas se alojan en un servidor de Internet y se descargan en la computadora del usuario cada vez que se accede a una página HTML que contiene una llamada a este subprograma.
Para ejecutar el código del subprograma, un navegador estándar incluye una implementación de un motor Java que interpreta los códigos de bytes en instrucciones de máquina en una familia de procesadores Intel (u otra familia de procesadores). Las capacidades inherentes a la tecnología de subprogramas Java, por un lado, le permiten desarrollar potentes interfaces de usuario, organizan el acceso a cualquier recurso de la red a través de URL, utilizan fácilmente protocolos TCP/IP, FTP, etc., pero, por otro lado, imposibilitan el acceso directo a los recursos del ordenador. Por ejemplo, los subprogramas no tienen acceso a sistema de archivos computadora y dispositivos conectados.
Una solución similar para ampliar las capacidades de WWW es la tecnología de Microsoft: Active X. La diferencia más significativa entre esta tecnología y Java es que los componentes (análogos de subprogramas) son programas en código. Procesador Intel y el hecho de que estos componentes tienen acceso a todos los recursos de la computadora, así como a las interfaces y servicios de Windows.
Otro enfoque menos común para ampliar las capacidades de la WWW es el complemento de Netscape para la tecnología Netscape Navigator. Es esta tecnología la que parece ser la base más óptima para construir sistemas de seguridad de la información para pagos electrónicos a través de Internet. Para mayor discusión, veamos cómo esta tecnología resuelve el problema de proteger la información del servidor web.
Supongamos que hay algún servidor web y el administrador de este servidor es necesario restringir el acceso a alguna parte de la matriz de información del servidor, es decir organizarse para que algunos usuarios tengan acceso a cierta información, pero otros no.
Actualmente, se proponen una serie de enfoques para resolver este problema, en particular, muchos SO, bajo el cual operan los servidores de Internet, requieren una contraseña para acceder a algunas de sus áreas, es decir. requieren autenticación. Este enfoque tiene dos inconvenientes importantes: en primer lugar, los datos se almacenan en el propio servidor en texto claro y, en segundo lugar, los datos se transmiten a través de la red también en texto claro. Por lo tanto, un atacante tiene la oportunidad de organizar dos ataques: al propio servidor (adivinar contraseña, omitir contraseña, etc.) y un ataque al tráfico. Los hechos de tales ataques son ampliamente conocidos por la comunidad de Internet.
Otro enfoque bien conocido para resolver el problema de la seguridad de la información es el enfoque basado en la tecnología SSL (Secure Sockets Layer). Cuando se utiliza SSL, se establece un canal de comunicación seguro entre el cliente y el servidor a través del cual se transfieren los datos, es decir. El problema de la transmisión de datos en texto claro a través de la red puede considerarse relativamente resuelto. El principal problema con SSL es la construcción del sistema de claves y el control sobre el mismo. En cuanto al problema de almacenar datos en el servidor de forma clara, sigue sin resolverse.
Otra desventaja importante de los enfoques descritos anteriormente es la necesidad de que sean compatibles tanto con el servidor como con el software del cliente de red, lo que no siempre es posible o conveniente. Especialmente en sistemas dirigidos a clientes masivos y no organizados.
El enfoque propuesto por el autor se basa en proteger las propias páginas html, que son el principal portador de información en Internet. La esencia de la protección es que los archivos que contienen páginas HTML se almacenan en el servidor de forma cifrada. En este caso, la clave con la que se cifran sólo la conoce la persona que la cifró (el administrador) y los clientes (en general, el problema de construir un sistema de claves se resuelve de la misma forma que en el caso de un archivo transparente). cifrado).
Los clientes acceden a información segura utilizando el complemento de Netscape para la tecnología Netscape. Estos módulos son programas, más precisamente componentes de software, que están asociados con ciertos tipos de archivos en el estándar MIME. MIME es un estándar internacional que define formatos de archivos en Internet. Por ejemplo, existen los siguientes tipos de archivos: texto/html, texto/plano, imagen/jpg, imagen/bmp, etc. Además, la norma define un mecanismo para establecer tipos personalizados archivos que pueden ser definidos y utilizados por desarrolladores independientes.
Por lo tanto, se utilizan complementos asociados con tipos de archivos MIME específicos. La conexión es que cuando el usuario accede a archivos del tipo correspondiente, el navegador inicia el complemento asociado y este módulo realiza todas las acciones para visualizar los datos del archivo y procesar las acciones del usuario con estos archivos.
Los módulos complementarios más conocidos incluyen módulos que reproducen vídeos en formato avi. La visualización de estos archivos no está incluida en las capacidades estándar de los navegadores, pero al instalar el complemento adecuado podrá verlos fácilmente en el navegador.
Además, todos los archivos cifrados se definen como archivos de tipo MIME de acuerdo con el estándar internacional establecido. "aplicación/x-shp". Luego se desarrolla un complemento utilizando la tecnología y los protocolos de Netscape para asociarlo con el tipo de archivo. Este módulo realiza dos funciones: en primer lugar, solicita una contraseña y un ID de usuario y, en segundo lugar, realiza el trabajo de descifrar y enviar el archivo a la ventana del navegador. Este módulo se instala de acuerdo con el orden estándar establecido por Netscape en los navegadores de todos los ordenadores cliente.
En este punto, se completa la etapa preparatoria del trabajo y el sistema está listo para funcionar. Durante la operación, los clientes acceden a páginas HTML cifradas utilizando su dirección estándar (URL). El navegador determina el tipo de estas páginas y lanza automáticamente el módulo que desarrollamos, transfiriéndole el contenido del archivo cifrado. El módulo autentica al cliente y, una vez completado con éxito, descifra y muestra el contenido de la página.
Al realizar todo este procedimiento, el cliente tiene la sensación de un cifrado de páginas "transparente", ya que todo el trabajo del sistema descrito anteriormente está oculto a sus ojos. Al mismo tiempo, se conservan todas las características estándar inherentes a las páginas HTML, como el uso de imágenes, subprogramas Java y scripts CGI.
Es fácil ver que este enfoque resuelve muchos problemas de seguridad de la información, porque en formato abierto se encuentra únicamente en las computadoras de los clientes, los datos se transmiten a través de la red en forma cifrada. Un atacante, que persigue el objetivo de obtener información, sólo puede atacar a un usuario específico y ningún sistema de seguridad de la información del servidor puede proteger contra este ataque.
Actualmente, el autor ha desarrollado dos sistemas de seguridad de la información basados en el enfoque propuesto para el navegador Netscape Navigator (3.x) y Netscape Communicator 4.x. Durante prueba previa Se encontró que los sistemas desarrollados pueden funcionar normalmente bajo el control de MExplorer, pero no en todos los casos.
Es importante tener en cuenta que estas versiones de sistemas no cifran objetos asociados con una página HTML: imágenes, subprogramas de script, etc.
El Sistema 1 ofrece protección (cifrado) de las páginas HTML reales como un solo objeto. Crea una página y luego la cifra y la copia en el servidor. Al acceder a una página cifrada, ésta se descifra automáticamente y se muestra en una ventana especial. No se requiere soporte del sistema de seguridad por parte del software del servidor. Todo el trabajo de cifrado y descifrado se lleva a cabo en la estación de trabajo del cliente. Este sistema es universal, es decir No depende de la estructura y propósito de la página.
El Sistema 2 ofrece un enfoque diferente de protección. Este sistema asegura que la información protegida se muestre en alguna área de su página. La información está en un archivo cifrado (no necesariamente en formato html) en el servidor. Cuando accede a su página, el sistema de seguridad accede automáticamente a este archivo, lee los datos y los muestra en un área determinada de la página. Este enfoque le permite lograr la máxima eficiencia y belleza estética, con una mínima versatilidad. Aquellos. el sistema resulta estar orientado a un propósito específico.
Este enfoque también se puede aplicar al crear sistemas de pago electrónico a través de Internet. En este caso, al acceder a una determinada página del servidor web, se lanza el módulo Plug-in, que muestra al usuario el formulario de orden de pago. Una vez que el cliente lo completa, el módulo cifra los datos de pago y los envía al servidor. Al mismo tiempo, podrá exigir la firma electrónica del usuario. Además, las claves de cifrado y firma se pueden leer desde cualquier soporte: disquetes, tabletas electrónicas, tarjetas inteligentes, etc.
2.3 Análisis de tecnologías para el cumplimiento de requisitos básicos de los sistemas de pago electrónico
Arriba describimos tres tecnologías que se pueden utilizar para construir sistemas de pago a través de Internet: esta es una tecnología basada en subprogramas Java, componentes Active-X y módulos enchufables. Llamémoslas tecnologías J, AX y P, respectivamente.
Considere el requisito de que no se debe aumentar la capacidad de un atacante para atacar una computadora. Para hacer esto, analicemos uno de los posibles tipos de ataques: la sustitución de los módulos de protección del cliente correspondientes por parte de un atacante. En el caso de la tecnología J se trata de subprogramas, en el caso de AX, componentes sumergibles y en el caso de P, módulos enchufables. Es obvio que un atacante tiene la oportunidad de reemplazar los módulos de protección directamente en la computadora del cliente. Los mecanismos para implementar este ataque están fuera del alcance de este análisis, sin embargo, cabe señalar que la implementación de este ataque no depende de la tecnología de protección en cuestión. Y el nivel de seguridad de cada tecnología es el mismo, es decir. Todos son igualmente inestables ante este ataque.
El punto más vulnerable de las tecnologías J y AX, desde el punto de vista de la sustitución, es su descarga de Internet. Es en este momento cuando un atacante puede realizar una sustitución. Además, si un atacante logra reemplazar estos módulos en el servidor del banco, obtiene acceso a todos los volúmenes de información sobre sistemas de pago que circulan en Internet.
En el caso de la tecnología P, no existe peligro de sustitución, ya que el módulo no se descarga de la red, sino que se almacena permanentemente en la computadora del cliente.
Las consecuencias de la sustitución son diferentes: en el caso de la tecnología J, un atacante solo puede robar la información ingresada por el cliente (lo cual es una amenaza grave), y en el caso de Active-X y Plug-in, un atacante puede obtener cualquier información a la que tenga acceso el cliente que se ejecuta en el ordenador.
Actualmente, el autor no conoce métodos específicos para implementar ataques de suplantación de subprogramas de Java. Al parecer, estos ataques no se desarrollan bien, ya que las posibilidades resultantes de robo de información prácticamente no existen. Pero los ataques a componentes Active-X están muy extendidos y son bien conocidos.
Consideremos el requisito de proteger la información que circula en el sistema de pago electrónico a través de Internet. Es obvio que en este caso la tecnología J es inferior tanto a P como a AX en una cuestión muy importante. Todos los mecanismos de seguridad de la información se basan en el cifrado o firma electrónica, y todos los algoritmos correspondientes se basan en transformaciones criptográficas que requieren la introducción de elementos clave. Actualmente, la longitud de los elementos clave es del orden de 32 a 128 bytes, por lo que exigir al usuario que los ingrese desde el teclado es casi imposible. Surge la pregunta: ¿cómo ingresarlos? Dado que las tecnologías P y AX tienen acceso a los recursos informáticos, la solución a este problema es obvia y bien conocida: las claves se leen desde archivos locales, disquetes, tabletas o tarjetas inteligentes. Pero en el caso de la tecnología J, dicha entrada es imposible, lo que significa que es necesario exigir al cliente que ingrese una larga secuencia de información sin sentido o, al reducir la longitud de los elementos clave, reducir la fuerza de las transformaciones criptográficas y, por lo tanto, reducir la fiabilidad de los mecanismos de seguridad. Además, esta reducción es muy significativa.
Consideremos el requisito de que el sistema de pago electrónico debe organizar la protección de los datos ubicados en el servidor contra lecturas y modificaciones no autorizadas. Este requisito surge del hecho de que el sistema implica colocar en el servidor información confidencial destinada al usuario. Por ejemplo, una lista de órdenes de pago enviadas con una nota sobre los resultados del procesamiento.
En el caso de la tecnología P, esta información se presenta en forma de páginas HTML, que se cifran y se colocan en el servidor. Todas las acciones se realizan de acuerdo con el algoritmo descrito anteriormente (cifrado de páginas HTML).
En el caso de las tecnologías J y AX, esta información se puede colocar de alguna forma estructurada en un archivo en el servidor, y los componentes o subprogramas deben realizar operaciones para leer y visualizar los datos. Todo esto generalmente conduce a un aumento en el tamaño total de los subprogramas y componentes y, en consecuencia, a una disminución en la velocidad de carga de las páginas correspondientes.
Desde el punto de vista de este requisito, la tecnología P gana debido a su mayor capacidad de fabricación, es decir. menores gastos generales de desarrollo y mayor resistencia a la sustitución de componentes a medida que pasan por la red.
En cuanto al último requisito para proteger la red local bancaria, se cumple mediante la construcción competente de un sistema de firewalls (firewalls) y no depende de las tecnologías en cuestión.
Así, lo anterior se llevó a cabo de forma preliminar. análisis comparativo tecnologías J, AX y P, de lo que se deduce que la tecnología J debe usarse si mantener el grado de seguridad de la computadora del cliente es significativamente más importante que la fuerza de las transformaciones criptográficas utilizadas en los sistemas de pago electrónico.
La tecnología P parece ser la solución tecnológica más óptima subyacente a los sistemas de seguridad de la información de pagos, ya que combina el poder aplicación estándar Win32 y protección contra ataques a través de Internet. La implementación práctica y comercial de proyectos que utilizan esta tecnología la lleva a cabo, por ejemplo, la empresa Russian Financial Communications.
En cuanto a la tecnología AX, su uso parece ineficaz e inestable ante ataques de intrusos.
CONCLUSIÓN
El dinero electrónico empieza a convertirse cada vez más claramente en nuestra realidad cotidiana, que, como mínimo, hay que tener en cuenta. Por supuesto, nadie abolirá el dinero ordinario en los próximos cincuenta años (probablemente). Pero no poder gestionar el dinero electrónico y perder las oportunidades que éste trae consigo significa erigir voluntariamente a nuestro alrededor un “telón de acero” que con tantas dificultades se ha movido durante los últimos quince años. Muchas grandes empresas ofrecen el pago de sus servicios y bienes mediante pagos electrónicos. Esto ahorra mucho tiempo al consumidor.
El software gratuito para abrir su billetera electrónica y para todo trabajo con dinero está adaptado al máximo para computadoras masivas y, después de un poco de práctica, no causa ningún problema al usuario promedio. Nuestro tiempo es el tiempo de las computadoras, de Internet y del comercio electrónico. Las personas que tienen conocimientos en estas áreas y las herramientas adecuadas logran un éxito tremendo. El dinero electrónico es un dinero que cada día está más extendido, abriendo cada vez más oportunidades para una persona que tiene acceso a Internet.
El objetivo del trabajo de cálculo y gráfico fue completar y resolver las siguientes tareas:
1. Se determinan las principales tareas de los sistemas de pago electrónico y los principios de su funcionamiento, sus características.
2. Se analizan los principales sistemas de pago electrónico.
3. Se analizan las amenazas asociadas al uso del dinero electrónico.
4. Se analizan los medios de protección al utilizar sistemas de pago electrónico.
LISTA BIBLIOGRAFICA
1. Antonov N.G., Pessel M.A. Circulación de dinero, crédito y bancos. -M.: Finstatinform, 2005, págs. 179-185.
2. Cartera bancaria - 3. -M.: Somintek, 2005, págs. 288-328.
3. Mijailov D.M. Pagos y garantías internacionales. M.: FBK-PRESS, 2008, págs. 20-66.
4. Polyakov V.P., Moskovkina L.A. Estructura y funciones de los bancos centrales. Experiencia extranjera: libro de texto. - M.: INFRA-M, 2006.
5. Gaikovich Yu.V., Pershin A.S. Seguridad de los sistemas de banca electrónica. - M: Europa Unida, 2004
6. Demin V.S. y otros Sistemas bancarios automatizados. - M: Menatep-Inform, 2007
7. Krysin V.A. Seguridad empresarial. - M: Finanzas y Estadísticas, 2006
8. Linkov I.I. y otros Divisiones de información en estructuras comerciales: cómo sobrevivir y tener éxito. - M: LIENDE, 2008
9. Titorenko G.A. y otros Informatización de la actividad bancaria. - M: Finstatinform, 2007
10. Tushnolobov I.B., Urusov D.P., Yartsev V.I. Redes distribuidas. - San Petersburgo: Peter, 2008
12. Aglitsky I. Estado y perspectivas de apoyo informativo a los bancos rusos. - Tecnologías bancarias, 2007 No. 1.
Tutoría
¿Necesitas ayuda para estudiar un tema?
Nuestros especialistas le asesorarán o brindarán servicios de tutoría sobre temas que le interesen.
Envíe su solicitud indicando el tema ahora mismo para conocer la posibilidad de obtener una consulta.
3. Protección de los pagos electrónicos
El problema de la seguridad bancaria es especialmente grave, ya que la información bancaria, En primer lugar, representa dinero real y, en segundo lugar, afecta los intereses confidenciales de un gran número de clientes bancarios.
Tamaño del mercado del comercio electrónico en 2000
| Tamaño y características del mercado | Estimación, dólares |
| Costo total de todas las compras de productos por Internet | 4,5-6 mil millones |
| Costo total de todas las compras por comprador promedio | 600-800 |
| Costo de compra promedio por transacción por Internet | 25-35 |
| Volumen total de transacciones de compra por Internet | 130-200 millones |
| Proporción de compras de productos en línea | 60-70% |
| Participación de las compras de bienes entregados | 30-40% |
Esquema general de funcionamiento de los sistemas de pago electrónico.
Un banco que haya celebrado un acuerdo con el sistema y haya recibido la licencia correspondiente puede actuar en dos capacidades: como emisor de instrumentos de pago de este sistema, aceptados para el pago por todos los demás bancos participantes, y como banco adquirente, que presta servicios a las empresas que aceptar para pago instrumentos de pago de este sistema, emitidos por otros emisores, y aceptar estos medios de pago para cobro en sus sucursales.
El procedimiento de aceptación del pago es bastante sencillo. En primer lugar, el cajero de la empresa debe verificar la autenticidad de la tarjeta utilizando las características adecuadas.
Al pagar, la empresa debe transferir los datos de la tarjeta del cliente a un cheque especial utilizando una fotocopiadora - impresora, ingresar en el cheque el monto por el cual se realizó la compra o se brindaron los servicios y obtener la firma del cliente.
Un cheque emitido de esta manera se llama comprobante. Para realizar transacciones de forma segura, el sistema de pagos recomienda límites más bajos en los montos para diversas regiones y tipos de negocios para los cuales se pueden realizar pagos sin autorización. Si se supera el importe límite o si existe duda sobre la identidad del cliente, la empresa está obligada a realizar un proceso de autorización.
Sin insistir en los aspectos técnicos del procedimiento, señalamos que durante la autorización, la empresa realmente obtiene acceso a información sobre el estado de la cuenta del cliente y, por lo tanto, tiene la oportunidad de establecer la propiedad de la tarjeta por parte del cliente y su capacidad de pago. en el monto de la transacción. Una copia del comprobante permanece en poder de la empresa, la segunda se transfiere al cliente, la tercera se entrega al banco adquirente y sirve como base para el reembolso del importe del pago a la empresa desde la cuenta del cliente.
En los últimos años, los terminales POS se han vuelto muy populares, mediante los cuales no es necesario completar recibos. Los detalles de la tarjeta se leen desde la banda magnética del lector integrado en el terminal POS, el monto de la transacción se ingresa desde el teclado y el terminal, a través del módem incorporado, solicita autorización al sistema de pago correspondiente. En este caso, se utilizan las capacidades técnicas del centro de procesamiento, cuyos servicios proporciona el banco al comerciante. En este caso, la empresa reporta al banco una copia de la cinta de la caja registradora con una muestra de la firma del cliente y archivos por lotes que genera el terminal al cierre del día operativo.
En los últimos años se ha prestado cada vez más atención a Sistemas bancarios que utilizan tarjetas con microprocesador..
Externamente, estos medios de almacenamiento no se diferencian de las tarjetas comunes, excepto por el chip de memoria o microprocesador soldado dentro de la tarjeta y los pétalos de la placa de contacto que se muestran en su superficie.
La diferencia fundamental entre estas tarjetas y todas las anteriores es que llevan directamente información sobre el estado de la cuenta del cliente, ya que ellas mismas son una cuenta de tránsito. Está claro que cada punto de recogida de dichas tarjetas debe estar equipado con un terminal POS especial (con lector de chips).
Para poder utilizar la tarjeta, el cliente deberá cargarla desde su cuenta en el terminal bancario. Todas las transacciones se realizan en modo OFF-LINE durante el diálogo tarjeta - terminal o tarjeta de cliente - tarjeta de comerciante.
Un sistema de este tipo es casi completamente seguro debido al alto grado de seguridad del chip y al esquema de pago de débito completo. Además, aunque la tarjeta en sí es mucho más cara que una normal, el sistema durante el funcionamiento resulta incluso más económico debido a que el modo OFF-LINE no utiliza la carga de telecomunicaciones.
Pagos electrónicos mediante tarjetas bancarias de plástico. varios tipos representan un mecanismo bastante flexible y universal para liquidaciones en la cadena "Banco 1 - Cliente - Empresa - Banco 2" y liquidaciones interbancarias del tipo "Banco 1 - ... - Banco N". Sin embargo, es la versatilidad de estos instrumentos de pago lo que los convierte en un objetivo particularmente atractivo para el fraude. El costo anual de las pérdidas relacionadas con el abuso asciende a una cantidad significativa, aunque relativamente pequeña en comparación con el volumen de negocios total.
El sistema de seguridad y su desarrollo no pueden considerarse aislados de los métodos de transacciones ilegales con tarjetas de plástico, que se pueden dividir en 5 tipos principales de delitos.
1. Operaciones con tarjetas falsas.
Este tipo de fraude representa la mayor parte de las pérdidas del sistema de pagos. Debido a la alta seguridad técnica y tecnológica de las tarjetas reales, las tarjetas caseras rara vez se utilizan últimamente y pueden identificarse mediante diagnósticos sencillos.
Como regla general, para la falsificación se utilizan tarjetas en blanco robadas, en las que están impresos los datos del banco y del cliente. Al estar técnicamente bien equipados, los delincuentes pueden incluso escribir información en la banda magnética de una tarjeta o copiarla, en una palabra, realizar falsificaciones a alto nivel.
Los perpetradores de tales acciones son, por regla general, grupos delictivos organizados, que a veces se confabulan con empleados de los bancos emisores que tienen acceso a información sobre las cuentas de los clientes y los procedimientos de transacción. Rindiendo homenaje a la comunidad criminal internacional, cabe señalar que las tarjetas falsificadas aparecieron en Rusia casi simultáneamente con el inicio del desarrollo de este sector del mercado bancario.
2. Transacciones con tarjetas robadas/perdidas.
Es posible causar daños importantes con una tarjeta robada sólo si el estafador conoce el código PIN del cliente. Entonces es posible retirar una gran cantidad de la cuenta del cliente a través de una red de cajeros electrónicos, cajeros automáticos, antes de que el banco emisor de la tarjeta robada tenga tiempo de incluirla en la lista de exclusión electrónica (lista de tarjetas no válidas).
3. Pagos múltiples por servicios y bienes para montos que no excedan el “límite mínimo” y que no requieran autorización. Para realizar pagos, el delincuente sólo necesita falsificar la firma del cliente. Sin embargo, con este esquema, el objeto de abuso más atractivo se vuelve inaccesible: dinero. Esta categoría incluye delitos relacionados con tarjetas robadas mientras el banco emisor las envía por correo a sus clientes.
4. Fraude de pedidos por correo o por teléfono.
Este tipo de delito apareció en relación con el desarrollo del servicio de entrega de bienes y servicios por correo o pedido telefónico del cliente. Conociendo el número de la tarjeta de crédito de su víctima, el delincuente puede indicarlo en el formulario de orden y, habiendo recibido la orden en el lugar de residencia temporal, escapar.
5. Múltiples retiros de la cuenta.
Estos delitos suelen ser cometidos por empleados. entidad legal, aceptar el pago de un cliente por bienes y servicios mediante tarjeta de crédito, y se realiza mediante la emisión de varios cheques de pago por un hecho de pago. Según los cheques presentados, se acredita más dinero en la cuenta de la empresa que el costo de los bienes vendidos o los servicios prestados. Sin embargo, después de realizar una serie de transacciones, el delincuente se ve obligado a cerrar o abandonar la empresa.
Para evitar este tipo de acciones, se recomienda a los usuarios de tarjetas que presten más atención a los documentos firmados al realizar transacciones (incluso por importes pequeños).
Los métodos utilizados por los departamentos de seguridad se pueden dividir en dos categorías principales. El primer nivel, y quizás el más importante, está relacionado con la seguridad técnica de la propia tarjeta de plástico. Ahora podemos decir con seguridad que desde un punto de vista tecnológico, una tarjeta está mejor protegida que los billetes y es casi imposible fabricarla usted mismo sin el uso de tecnologías sofisticadas.
Las tarjetas de cualquier sistema de pago cumplen con estándares estrictamente establecidos. El mapa tiene una forma estándar. El número de identificación del banco en el sistema (código BIN) y el número de cuenta bancaria del cliente, su nombre y apellido, la fecha de vencimiento de la tarjeta están grabados y colocados en posiciones estrictamente establecidas en el anverso de la tarjeta. También hay un símbolo del sistema de pago realizado de forma holográfica. Los últimos cuatro dígitos del número de la tarjeta están grabados (presionados en relieve) directamente sobre el símbolo holográfico, lo que hace imposible copiar el holograma o volver a grabar el código sin destruir el símbolo.
En el reverso de la tarjeta hay una banda magnética y una zona con un modelo de firma del titular. Los detalles del propio sistema de pago, marcas de seguridad, símbolos que impiden la copia de información se registran en la banda magnética en posiciones estrictamente definidas y mediante algoritmos criptográficos, y se duplica la información impresa en el anverso de la tarjeta. La zona de muestra de la firma del propietario tiene un revestimiento especial. Al menor intento de realizar borrones o reenviar la firma, el revestimiento se destruye y aparece un sustrato de diferente color con los símbolos de seguridad del sistema de pago.
El resto de la superficie de la tarjeta queda enteramente a disposición del banco emisor y está decorada de forma arbitraria con los símbolos del banco, su publicidad y la información necesaria para los clientes. La tarjeta en sí está protegida por caracteres que sólo son visibles bajo luz ultravioleta.
Las medidas técnicas de protección también incluyen la protección de las comunicaciones bancarias y las redes bancarias contra intrusiones ilegales, averías y otras influencias externas que provocan fugas o incluso destrucción de información. La protección se lleva a cabo mediante software y hardware y está certificada por organizaciones autorizadas de sistemas de pago.
La segunda categoría de medidas de protección incluye medidas para evitar la fuga de información de los departamentos bancarios para trabajar con tarjetas de plástico. El principio fundamental es una delimitación clara de las responsabilidades oficiales de los empleados y, de acuerdo con esto, limitar el acceso a información clasificada hasta un punto que no exceda el mínimo requerido para el trabajo.
Estas medidas reducen el riesgo y la posibilidad de que los delincuentes se confabulen con los empleados. Se realizan seminarios temáticos para que los empleados mejoren sus habilidades. Los sistemas de pago distribuyen periódicamente boletines de seguridad, en los que publican material oficial y estadísticas sobre delitos relacionados con tarjetas, informan sobre señales de delincuentes y señales de tarjetas falsificadas que entran en circulación ilegal. A través de boletines se capacita al personal y se organizan actividades preventivas y especiales encaminadas a reducir la delincuencia.
Se presta especial atención a la selección de personal de los empleados del departamento. Todos los asuntos de seguridad son responsabilidad de un oficial de seguridad dedicado. Entre las medidas preventivas, el lugar más importante lo ocupa el trabajo con los clientes destinado a elevar el nivel cultural en el manejo del “dinero plástico”. El manejo cuidadoso y cuidadoso de la tarjeta reduce significativamente la probabilidad de convertirse en víctima de un delito.
Análisis de infracciones en el sistema de liquidación y pago electrónico.
Es bien sabido entre los especialistas que la rápida caída de Noruega en la Segunda Guerra Mundial se debió en gran medida a que los códigos de la Royal Navy británica fueron descifrados por criptógrafos alemanes que utilizaron exactamente los mismos métodos que los especialistas de la Sala 40 de la Royal Navy utilizaron contra Alemania en la guerra anterior. guerra.
Desde la Segunda Guerra Mundial, se ha levantado un velo de secreto sobre el uso gubernamental de la criptografía. Esto no es sorprendente, y no se debe sólo a la Guerra Fría, sino también a la renuencia de los burócratas (en cualquier organización) a admitir sus errores.
Veamos algunas de las formas en que realmente se ha cometido el fraude en cajeros automáticos. El objetivo es analizar las ideas de los diseñadores encaminadas a la teórica invulnerabilidad de su producto y aprender lecciones de lo sucedido.
Comencemos con algunos ejemplos simples que muestran varios tipos de estafas que se pueden llevar a cabo sin muchos trucos técnicos, así como los procedimientos bancarios que permiten que ocurran.
Es bien sabido que la banda magnética de la tarjeta de un cliente debe contener únicamente su número de cuenta, y su número de identificación personal (PIN) se obtiene cifrando el número de cuenta y tomando cuatro dígitos del resultado. Por lo tanto, el cajero automático debe poder realizar cifrado o realizar de otro modo verificación de PIN (por ejemplo, consulta interactiva).
El Tribunal de la Corona de Winchester, en Inglaterra, condenó recientemente a dos delincuentes que utilizaron un plan sencillo pero eficaz. Hacían cola en los cajeros automáticos, miraban los códigos PIN de los clientes, recogían las tarjetas rechazadas por el cajero automático y copiaban los números de cuenta en tarjetas en blanco, que se utilizaban para robar las cuentas de los clientes.
Este truco se utilizó (y se informó) hace varios años en un banco de Nueva York. El autor era un técnico de cajeros automáticos despedido y logró robar 80.000 dólares antes de que el banco, que tenía presencia de seguridad en la zona, lo pillara en el acto.
Estos ataques tuvieron éxito porque los bancos imprimieron el número de cuenta completo del cliente en la tarjeta bancaria y, además, no había redundancia criptográfica en la banda magnética. Se podría pensar que se aprendería la lección del Banco de Nueva York, pero no.
Otro tipo de ataque técnico se basa en el hecho de que muchas redes de cajeros automáticos no cifran los mensajes y no realizan procedimientos de autenticación al autorizar una transacción. Esto significa que un atacante puede grabar una respuesta del banco al cajero automático "Autorizo el pago" y luego reproducir la grabación hasta que el cajero automático esté vacío. Esta técnica, conocida como “evisceración”, no sólo la utilizan atacantes externos. Se conoce un caso en el que los operadores bancarios utilizaron un dispositivo de control de red para "destripar" los cajeros automáticos junto con sus cómplices.
Las transacciones de prueba son otra fuente de problemas
Para un tipo de cajero automático, se utilizó una secuencia de claves de catorce dígitos para probar la dispensación de diez billetes. Cierto banco imprimió esta secuencia en su manual para el uso de cajeros automáticos remotos. Tres años después, el dinero empezó a desaparecer repentinamente. Continuaron hasta que todos los bancos que utilizaban este tipo de cajeros automáticos habilitaron parches de software para evitar la transacción de prueba.
Las estafas que más crecen son las que implican el uso de terminales falsos para recopilar cuentas de clientes y códigos PIN. Los ataques de esta especie se describieron por primera vez en Estados Unidos en 1988. Los estafadores han construido una máquina que acepta cualquier tarjeta y dispensa un paquete de cigarrillos. Este invento se colocó en una tienda y los códigos PIN y los datos de las tarjetas magnéticas se transmitieron a través de un módem. El truco se extendió por todo el mundo.
Los técnicos también roban dinero de los clientes, sabiendo que sus quejas probablemente serán ignoradas. En un banco de Escocia, un ingeniero del servicio de asistencia técnica conectó una computadora a un cajero automático y registró los números de cuenta y los PIN de los clientes. Luego falsificó las tarjetas y robó dinero de las cuentas. Una vez más, los clientes se quejaron de las paredes en blanco. El banco fue criticado públicamente por uno de los principales funcionarios jurídicos de Escocia por esta práctica.
El objetivo de utilizar un PIN de cuatro dígitos es que si alguien encuentra o roba la tarjeta bancaria de otra persona, haya una probabilidad entre diez mil de adivinar el código al azar. Si solo se permiten tres intentos para ingresar el PIN, entonces la probabilidad de retirar dinero de una tarjeta robada es menos de uno entre tres mil. Sin embargo, algunos bancos han logrado reducir la diversidad proporcionada en cuatro cifras.
Algunos bancos no siguen el patrón de obtener un PIN mediante la conversión criptográfica del número de cuenta, sino que utilizan un PIN seleccionado al azar (o permiten que los clientes elijan) y luego lo criptotransforman para recordarlo. Además de permitir al cliente elegir un PIN que sea fácil de adivinar, este enfoque presenta algunos problemas técnicos.
Algunos bancos mantienen archivado un valor de PIN cifrado. Esto significa que el programador puede obtener el valor cifrado de su propio PIN y buscar en la base de datos todas las demás cuentas con el mismo PIN.
Un gran banco del Reino Unido incluso escribió un código PIN cifrado en la banda magnética de la tarjeta. La comunidad criminal tardó quince años en darse cuenta de que podían reemplazar el número de cuenta en la banda magnética de su propia tarjeta y luego usarlo con su propio PIN para robar una cuenta.
Por este motivo, el sistema VISA recomienda que los bancos combinen el número de cuenta del cliente con su PIN antes de cifrar. Sin embargo, no todos los bancos hacen esto.
Hasta ahora, los ataques más sofisticados se han relacionado con errores simples de implementación y procedimientos operativos. Los investigadores de seguridad profesionales han tendido a considerar estos errores como poco interesantes y, por lo tanto, se han centrado en ataques basados en fallas técnicas más sutiles. La banca también tiene una serie de debilidades de seguridad.
Aunque los ataques de alta tecnología a los sistemas bancarios son raros, son de interés desde el punto de vista público, ya que iniciativas gubernamentales como los Criterios de Evaluación de Tecnología de Seguridad de la Información (ITSEC) de la UE tienen como objetivo desarrollar un conjunto de productos que estén certificados contra técnicas conocidas. errores. Las propuestas subyacentes a este programa son que los procedimientos de implementación y proceso de los productos en cuestión estarán esencialmente libres de errores y que el ataque requiere una capacitación técnica comparable a la del personal de las agencias de seguridad gubernamentales. Aparentemente, este enfoque es más apropiado para los sistemas militares que para los civiles.
Para comprender cómo se llevan a cabo ataques más sofisticados, es necesario analizar con más detalle la seguridad bancaria.
Problemas relacionados con los módulos de seguridad
No todos los productos de seguridad son de la misma calidad y pocos bancos cuentan con expertos capacitados para distinguir los buenos productos de los mediocres.
En la práctica, existen algunos problemas con los productos de cifrado, en particular, el antiguo módulo de seguridad IBM 3848 o los módulos recomendados actualmente para organizaciones bancarias.
Si el banco no dispone de módulos de seguridad implementados en hardware, la función de cifrado del código PIN se implementará en el software con las correspondientes consecuencias indeseables. El software del módulo de seguridad puede tener puntos de interrupción para la depuración de productos de software por parte de los ingenieros del fabricante. Este hecho se llamó la atención cuando uno de los bancos decidió incluirlo en la red y el ingeniero de sistemas del fabricante no pudo garantizar el funcionamiento de la puerta de enlace requerida. Para realizar el trabajo, utilizó uno de estos trucos para extraer PIN del sistema. La existencia de tales puntos de interrupción hace imposible crear procedimientos confiables para administrar los módulos de seguridad.
Algunos fabricantes de módulos de seguridad facilitan estos ataques. Por ejemplo, se utiliza un método para generar claves de trabajo en función de la hora del día y, como resultado, en realidad sólo se utilizan 20 bits de clave, en lugar de los 56 esperados. Por lo tanto, según la teoría de la probabilidad, por cada 1000 claves generadas, dos coincidirán.
Esto hace posibles algunos abusos sutiles en los que un atacante manipula las comunicaciones bancarias para que las transacciones de una terminal sean reemplazadas por transacciones de otra.
Los programadores de un banco ni siquiera se preocuparon por los problemas asociados con la introducción de claves de cliente en programas de cifrado. Simplemente instalaron punteros a los valores clave en un área de memoria que siempre se pone a cero cuando se inicia el sistema. El resultado esta decisión resultó que lo real y sistemas de prueba Utilizaron las mismas áreas de almacenamiento de claves. Los técnicos del banco se dieron cuenta de que podían obtener códigos PIN de los clientes en los equipos de prueba. Varios de ellos se pusieron en contacto con delincuentes locales para seleccionar códigos PIN de tarjetas bancarias robadas. Cuando el jefe de seguridad del banco reveló lo que estaba pasando, murió en un accidente automovilístico (y la policía local "perdió" todo el material relevante). El banco no se molestó en enviar nuevas tarjetas a sus clientes.
Uno de los principales propósitos de los módulos de seguridad es evitar que los programadores y el personal que accede a las computadoras obtengan información bancaria clave. Sin embargo, el secreto que proporcionan los componentes electrónicos de los módulos de seguridad a menudo no resiste los intentos de penetración criptográfica.
Los módulos de seguridad tienen sus propias claves maestras para uso interno y estas claves deben mantenerse en una ubicación específica. A menudo se mantiene una copia de seguridad de la clave en un formato fácilmente legible, como una PROM, y la clave puede leerse de vez en cuando, por ejemplo, cuando el control de un conjunto de claves de zona y terminal se transfiere de un módulo de seguridad a otro. otro. En tales casos, el banco queda completamente a merced de los expertos en el proceso de realización de esta operación.
Problemas asociados con las tecnologías de diseño.
Analicemos brevemente la tecnología de diseño de cajeros automáticos. En los modelos más antiguos, el código del programa de cifrado estaba ubicado en el lugar equivocado: en el dispositivo de control y no en el módulo en sí. El dispositivo de control debía colocarse muy cerca del módulo en una zona determinada. Pero actualmente una gran cantidad de cajeros automáticos no se encuentran muy cerca del edificio del banco. En una universidad del Reino Unido, se ubicó un cajero automático en el campus y enviaba números de cuenta y códigos PIN no cifrados a linea telefonica a la unidad de control de la sucursal, que se encontraba a varios kilómetros de la ciudad. Cualquiera que se molestara en utilizar un dispositivo de intervención telefónica podría falsificar tarjetas por miles.
Incluso en los casos en los que se compra uno de los mejores productos, existe una gran cantidad de opciones en las que una implementación incorrecta o procedimientos tecnológicos mal concebidos provocan problemas al banco. La mayoría de los módulos de seguridad devuelven una variedad de códigos de retorno para cada transacción. Algunos de ellos, como el "error de paridad de claves", advierten de que el programador está experimentando con un módulo que realmente se está utilizando. Sin embargo, pocos bancos se han molestado en escribir el controlador de dispositivo necesario para interceptar estas advertencias y actuar en consecuencia.
Hay casos en los que los bancos han celebrado subcontratos para todo o parte del sistema de cajeros automáticos con empresas que “prestan servicios relacionados” y han transferido códigos PIN a estas empresas.
También ha habido casos en los que dos o más bancos compartieron códigos PIN. Incluso si se considera que todo el personal del banco es digno de confianza, es posible que las empresas externas no mantengan políticas de seguridad específicas del banco. El personal de estas empresas no siempre está debidamente examinado y es probable que esté mal pagado, sea entrometido y imprudente, lo que puede llevar a la concepción y ejecución de fraudes.
Muchos de los errores de gestión descritos se basan en la falta de desarrollo de la parte psicológica del proyecto. Las sucursales bancarias y los centros de computación deben seguir procedimientos estándar al completar su jornada laboral, pero sólo aquellos procedimientos de control cuyo propósito sea claro probablemente se sigan estrictamente. Por ejemplo, compartir las llaves de la caja fuerte de la sucursal entre el gerente y el contable es algo bien entendido: los protege a ambos de que sus familias sean tomadas como rehenes. Las claves criptográficas no suelen estar empaquetadas en un formato fácil de usar y, por lo tanto, es poco probable que se utilicen correctamente. Una respuesta parcial podrían ser dispositivos que realmente se parezcan a claves (modeladas a partir de las claves criptográficas de las espoletas de armas nucleares).
Se podría escribir mucho sobre la mejora de los procedimientos operativos, pero si el objetivo es evitar que cualquier clave criptográfica caiga en manos de alguien que tenga la capacidad técnica para abusar de ella, entonces debe haber un objetivo explícito en los manuales y cursos de formación. El principio de “seguridad por oscuridad” a menudo hace más daño que bien.
Distribución de claves
La distribución de claves plantea un problema particular para las sucursales bancarias. Como usted sabe, la teoría requiere que cada uno de los dos banqueros introduzca su propio componente clave, de modo que su combinación proporcione la clave maestra del terminal. El código PIN, cifrado en la clave maestra del terminal, se envía al cajero automático durante la primera transacción después del mantenimiento.
Si el técnico del cajero automático recibe ambos componentes clave, puede descifrar el PIN y las tarjetas falsificadas. En la práctica, los gerentes de sucursal que tienen las llaves están casi felices de entregárselas al ingeniero, ya que no quieren permanecer junto al cajero automático mientras se le realiza el mantenimiento. Además, ingresar una tecla de terminal significa usar un teclado, lo que los gerentes de mayor edad consideran indigno.
Es una práctica común administrar mal las claves. Hay un caso conocido en el que a un ingeniero del personal de mantenimiento se le entregaron ambos microcircuitos con llaves maestras. Aunque en teoría existían procedimientos de control dual, los funcionarios de seguridad entregaron los chips porque se usaron las últimas claves y nadie sabía qué hacer. Un ingeniero podría hacer más que simplemente falsificar cartas. Podría haberse ido con las llaves y detener todas las operaciones en los cajeros automáticos del banco.
No deja de ser interesante que las claves se almacenen con más frecuencia en archivos abiertos que en archivos protegidos. Esto se aplica no sólo a las claves de los cajeros automáticos, sino también a las claves de los sistemas de liquidación entre bancos como SWIFT, que gestionan transacciones por valor de miles de millones. Sería aconsejable utilizar claves de inicialización, como claves de terminal y claves de zona, sólo una vez y luego destruirlas.
Amenazas criptoanalíticas
Los criptoanalistas probablemente representen la menor amenaza para los sistemas bancarios, pero no se les puede descartar por completo. Algunos bancos (incluidos los grandes y conocidos) todavía utilizan algoritmos criptográficos locales creados en los años anteriores al DES. En una red de datos, los bloques de datos simplemente se “codificaban” añadiendo una constante. Este método no fue criticado durante cinco años, a pesar de que la red fue utilizada por más de 40 bancos. Además, aparentemente todos los expertos en seguros, auditoría y seguridad de estos bancos leen las especificaciones del sistema.
Incluso si se utiliza un algoritmo "respetable", es posible que se implemente con parámetros inapropiados. Por ejemplo, algunos bancos han implementado el algoritmo RSA con longitudes de clave que oscilan entre 100 y 400 bits, aunque la longitud de la clave debe ser de al menos 500 bits para proporcionar el nivel de seguridad requerido.
También puede encontrar una clave usando fuerza bruta, probando todas las claves de cifrado posibles hasta encontrar una clave que utilice un banco específico.
Los protocolos utilizados en las redes internacionales para cifrar claves de trabajo mediante claves de zona facilitan atacar la clave de zona de esta manera. Si la clave de zona se ha abierto una vez, se pueden descifrar todos los códigos PlN enviados o recibidos por el banco a través de la red. Un estudio reciente realizado por expertos del Banco Canadiense encontró que un ataque de este tipo al DES costaría alrededor de £30.000 por clave de zona. En consecuencia, los recursos del crimen organizado son suficientes para tal delito, y tal delito podría ser cometido por un individuo suficientemente rico.
Probablemente, las computadoras especializadas necesarias para encontrar las claves fueron creadas en los servicios de inteligencia de algunos países, incluso en países que ahora se encuentran en un estado de caos. En consecuencia, existe un cierto riesgo de que los custodios de este equipo puedan utilizarlo para beneficio personal.
Todos los sistemas, pequeños y grandes, contienen errores de software y están sujetos a errores humanos. Los sistemas bancarios no son una excepción y cualquiera que haya trabajado en la producción industrial lo sabe. Los sistemas de liquidación de sucursales tienden a volverse más grandes y complejos, con muchos módulos interactivos que han evolucionado a lo largo de décadas. Algunas transacciones inevitablemente se ejecutarán incorrectamente: los débitos pueden duplicarse o una cuenta puede modificarse incorrectamente.
Esta situación no es nueva para los interventores financieros de las grandes empresas, que mantienen un personal especial para conciliar las cuentas bancarias. Cuando aparece un débito erróneo, estos empleados solicitan la documentación pertinente para su revisión y, si falta documentación, reciben un reembolso del pago incorrecto por parte del banco.
Sin embargo, los clientes de cajeros automáticos no tienen esta opción para reembolsar los pagos en disputa. La mayoría de los banqueros fuera de Estados Unidos simplemente dicen que no hay errores en sus sistemas.
Una política de este tipo conlleva ciertos riesgos legales y administrativos. En primer lugar, crea la posibilidad de abuso, ya que el fraude está oculto. En segundo lugar, esto conduce a pruebas demasiado complejas para el cliente, razón por la cual se simplificó el procedimiento en los tribunales estadounidenses. En tercer lugar, existe el riesgo moral asociado con alentar indirectamente a los empleados bancarios a robar basándose en el conocimiento de que es poco probable que los atrapen. En cuarto lugar, se trata de un defecto ideológico, ya que debido a la falta de un registro centralizado de las reclamaciones de los clientes, no existe la posibilidad de un control adecuadamente organizado de los casos de fraude.
Es difícil estimar con precisión el impacto en la actividad empresarial asociado con las pérdidas en los cajeros automáticos. En el Reino Unido, el Secretario Económico del Tesoro (el ministro responsable de la regulación bancaria) declaró en junio de 1992 que tales errores afectan al menos a dos transacciones de los tres millones que se realizan cada día. Sin embargo, debido a la presión de los litigios recientes, esta cifra se ha revisado primero a 1 de cada 250.000 transacciones erróneas, luego a 1 de cada 100.000 y finalmente a 1 de cada 34.000.
Dado que los empleados del banco rechazan a los clientes que presentan quejas y la mayoría de las personas simplemente no pueden notar un retiro único de su cuenta, la mejor estimación es que aproximadamente 1 de cada 10.000 transacciones incorrectas ocurren. ATM una vez a la semana durante 50 años, podemos esperar que uno de cada cuatro clientes experimente problemas al utilizar los cajeros automáticos a lo largo de su vida.
Los diseñadores de sistemas criptográficos están en desventaja debido a la falta de información sobre cómo ocurren las fallas del sistema en la práctica y no sobre cómo podrían ocurrir en teoría. Esta desventaja comentario conduce al uso de un modelo de amenaza incorrecto. Los diseñadores centran sus esfuerzos en lo que en el sistema puede provocar fallos, en lugar de centrarse en lo que normalmente causa errores. Muchos productos son tan complejos y complicados que rara vez se utilizan correctamente. La consecuencia es el hecho de que la mayoría de los errores están asociados con la implementación y mantenimiento del sistema. Un resultado específico ha sido una serie de fraudes en cajeros automáticos, que no sólo han provocado pérdidas financieras, sino también errores judiciales y una menor confianza en el sistema bancario.
Un ejemplo de la implementación de métodos criptográficos es el sistema de protección de información criptográfica mediante la firma digital EXCELLENCE.
El sistema criptográfico del software EXCELLENCE está diseñado para proteger la información procesada, almacenada y transmitida entre computadoras personales compatibles con IBM mediante cifrado criptográfico, firma digital y funciones de autenticación.
El sistema implementa algoritmos criptográficos que cumplen con los estándares estatales: cifrado - GOST 28147-89. La firma digital se basa en el algoritmo RSA.
El sistema de claves con autenticación estricta y certificación de claves se basa en el protocolo X.509 y el principio de distribución abierta de claves RSA, que se utilizan ampliamente en la práctica internacional.
El sistema contiene funciones criptográficas para procesar información a nivel de archivo:
y funciones criptográficas para trabajar con claves:
Cada suscriptor de la red tiene su propia clave pública y privada. La clave secreta de cada usuario se registra en su disquete de clave individual o en su tarjeta electrónica individual. El secreto de la clave del suscriptor garantiza la protección de la información cifrada para él y la imposibilidad de falsificar su firma digital.
El sistema admite dos tipos de medios de información clave:
Cada suscriptor de la red tiene un directorio de archivos de claves públicas de todos los suscriptores del sistema, protegido contra modificaciones no autorizadas, junto con sus nombres. Cada suscriptor está obligado a mantener en secreto su clave privada.
Funcionalmente, el sistema EXCELLENCE se implementa como un módulo de software excell_s.exe y se ejecuta en el sistema operativo MS DOS 3.30 y superior. Los parámetros para ejecutar funciones se pasan en el formulario línea de comando DOS. Además, se proporciona una interfaz gráfica. El programa reconoce y admite automáticamente operaciones de 32 bits en el procesador Intel386/486/Pentium.
Para integrarse en otros sistemas de software Se ha implementado una variante del sistema EXCELLENCE, que contiene funciones criptográficas básicas para trabajar con datos en la RAM en los siguientes modos: memoria - memoria; memoria - archivo; archivo - memoria.
Previsión para principios del siglo XXI.
La proporción de la dirección bancaria que tomará medidas eficaces para resolver el problema de la seguridad de la información debería aumentar hasta el 40-80%. El principal problema será el personal de servicio (incluido el ex) (del 40% al 95% de los casos), y los principales tipos de amenazas serán el acceso no autorizado (UNA) y los virus (hasta el 100% de los bancos serán objeto de ataques de virus). ).
Las medidas más importantes para garantizar la seguridad de la información serán la más alta profesionalidad de los servicios de seguridad de la información. Para esto Los bancos tendrán que gastar hasta el 30% de sus ganancias en seguridad de la información.
A pesar de todas las medidas enumeradas anteriormente, es imposible encontrar una solución absoluta al problema de la seguridad de la información. Al mismo tiempo, la efectividad del sistema de seguridad de la información de un banco está completamente determinada por la cantidad de fondos invertidos en él y el profesionalismo del servicio de seguridad de la información, y la posibilidad de violar el sistema de seguridad de la información de un banco está completamente determinada por el costo de superar el sistema de seguridad y las calificaciones de los defraudadores. (En la práctica extranjera, se cree que tiene sentido "piratear" un sistema de seguridad si el costo de superarlo no excede el 25% del valor de la información que se protege).
El Capítulo 4 examinó las características del enfoque para proteger los sistemas bancarios electrónicos. Una característica específica de estos sistemas es una forma especial de intercambio electrónico de datos: los pagos electrónicos, sin los cuales ningún banco moderno puede existir.
El intercambio electrónico de datos (EDE) es el intercambio de computadora a computadora de documentos electrónicos comerciales, financieros y de negocios. Por ejemplo, pedidos, instrucciones de pago, propuestas de contrato, facturas, recibos, etc.
El EOD garantiza una interacción rápida entre los socios comerciales (clientes, proveedores, revendedores, etc.) en todas las etapas de la preparación de una transacción comercial, la celebración de un contrato y la implementación de una entrega. En la etapa de pago del contrato y transferencia de fondos, el EDI puede conducir al intercambio electrónico de documentos financieros. Esto crea un entorno eficaz para las transacciones comerciales y de pago:
* Es posible familiarizar a los socios comerciales con ofertas de bienes y servicios, seleccionar el producto/servicio requerido, aclarar las condiciones comerciales (costo y tiempo de entrega, descuentos comerciales, garantía y obligaciones de servicio) en tiempo real;
* Realizar pedidos de bienes/servicios o solicitar una propuesta de contrato en tiempo real;
* Control operativo de la entrega de mercancías, recepción de los documentos adjuntos (facturas, facturas, listas de componentes, etc.) por correo electrónico;
* Confirmación de finalización de la entrega de bienes/servicios, emisión y pago de facturas;
* Ejecución de operaciones bancarias de crédito y pago. Las ventajas del OED incluyen:
* Reducir el costo de las operaciones mediante el cambio a tecnología sin papel. Los expertos estiman el coste de procesar y mantener la documentación en papel entre el 3 y el 8% del coste total de las transacciones comerciales y la entrega de mercancías. El beneficio del uso de EED se estima, por ejemplo, en la industria automotriz estadounidense en más de 200 dólares por automóvil fabricado;
* Incrementar la velocidad de liquidación y rotación de dinero;
* Aumentar la comodidad de los cálculos.
Hay dos estrategias clave para desarrollar EED:
1. EOD se utiliza como ventaja competitiva, permitiendo una interacción más estrecha con los socios. Esta estrategia ha sido adoptada por grandes organizaciones y se denomina enfoque empresarial extendido.
2. El EDI se utiliza en algunos proyectos industriales específicos o en iniciativas de asociaciones de organizaciones comerciales y de otro tipo para aumentar la eficiencia de su interacción.
Los bancos de Estados Unidos y Europa occidental ya han reconocido su papel clave en la difusión del EDI y los importantes beneficios que se derivan de una interacción más estrecha con socios comerciales y personales. OED ayuda a los bancos a brindar servicios a clientes, especialmente a los pequeños, aquellos que antes no podían permitirse el lujo de utilizarlos debido a su alto costo.
El principal obstáculo para la amplia difusión del EDI es la variedad de presentaciones de los documentos a la hora de intercambiarlos a través de canales de comunicación. Para superar este obstáculo, varias organizaciones han desarrollado estándares para la presentación de documentos en sistemas EED para diversas industrias:
QDTI - Intercambio Comercial General (Europa, comercio internacional);
MDSND - Asociación Nacional de Cámaras de Compensación Automatizadas (EE.UU., Asociación Nacional de Cámaras de Compensación Automatizadas);
TDCC - Comité Coordinador de Datos de Transporte;
VICS - Estándar voluntario de comunicación interindustrial (EE. UU., Estándar voluntario de comunicación interindustrial);
WINS - Estándares de la red de información de almacenes red de información almacenes de mercancías).
En octubre de 1993, el grupo internacional UN/ECE publicó la primera versión del estándar EDIFACT. El conjunto desarrollado de reglas de sintaxis y elementos de datos comerciales se formalizó en forma de dos estándares ISO:
ISO 7372 - Directorio de elementos de datos comerciales;
ISO 9735 - EDIFACT - Reglas de sintaxis a nivel de aplicación.
Un caso especial de EOD son los pagos electrónicos: el intercambio de documentos financieros entre clientes y bancos, entre bancos y otras organizaciones financieras y comerciales.
La esencia del concepto de pagos electrónicos es que los mensajes enviados a través de líneas de comunicación, correctamente ejecutados y transmitidos, son la base para realizar una o más operaciones bancarias. En principio, no se requieren documentos en papel para realizar estas operaciones (aunque sí se pueden emitir). En otras palabras, el mensaje enviado a través de las líneas de comunicación lleva información de que el remitente ha realizado algunas operaciones en su cuenta, en particular en la cuenta corresponsal del banco receptor (que puede ser un centro de compensación), y que el destinatario debe realizar las operaciones especificadas en el mensaje. Con base en dicho mensaje, puede enviar o recibir dinero, abrir un préstamo, pagar una compra o servicio y realizar cualquier otra transacción bancaria. Estos mensajes se denominan dinero electrónico y la ejecución de operaciones bancarias basadas en el envío o recepción de dichos mensajes se denomina pagos electrónicos. Naturalmente, todo el proceso de realización de pagos electrónicos requiere protección confiable. De lo contrario, el banco y sus clientes se enfrentarán a serios problemas.
Los pagos electrónicos se utilizan para pagos interbancarios, comerciales y personales.
Las liquidaciones interbancarias y comerciales se realizan entre organizaciones (personas jurídicas), por lo que a veces se las denomina corporativas. Los acuerdos que involucran a clientes individuales se denominan personales.
La mayoría de los robos importantes en los sistemas bancarios están relacionados directa o indirectamente con los sistemas de pago electrónico.
Existen muchos obstáculos para la creación de sistemas de pago electrónico, especialmente los globales, que abarcan un gran número de instituciones financieras y sus clientes en diferentes países. Los principales son:
1. Falta de estándares uniformes para operaciones y servicios, lo que complica significativamente la creación de sistemas bancarios unificados. Cada gran banco se esfuerza por crear su propia red EOD, lo que aumenta los costos de operación y mantenimiento. Los sistemas duplicados dificultan su uso, creando interferencias mutuas y limitando las capacidades de los clientes.
2. La mayor movilidad de la oferta monetaria, que conduce a un aumento de la posibilidad de especulación financiera, expande los flujos de "capital errante". Este dinero puede cambiar la situación del mercado y desestabilizarlo en poco tiempo.
3. Fallos y fallos de herramientas técnicas y errores de software al realizar liquidaciones financieras, que pueden provocar graves complicaciones para futuras liquidaciones y pérdida de confianza en el banco por parte de los clientes, especialmente debido al estrecho entrelazamiento de los vínculos bancarios (una especie de “propagación de errores”). Al mismo tiempo, aumenta significativamente el papel y la responsabilidad de los operadores y la administración del sistema, que gestionan directamente el procesamiento de la información.
Cualquier organización que quiera convertirse en cliente de algún sistema de pago electrónico, u organizar su propio sistema, debe ser consciente de ello.
Para funcionar de forma fiable, un sistema de pago electrónico debe estar bien protegido.
Los acuerdos comerciales se realizan entre varias organizaciones comerciales. Los bancos participan en estas liquidaciones como intermediarios al transferir dinero de la cuenta de la organización pagadora a la cuenta de la organización receptora.
La liquidación comercial es extremadamente importante para el éxito general de un programa de pagos electrónicos. El volumen de transacciones financieras de diversas empresas suele constituir una parte importante del volumen total de transacciones bancarias.
Los tipos de liquidaciones comerciales varían mucho para las distintas organizaciones, pero cuando se realizan siempre se procesan dos tipos de información: mensajes de pago y auxiliares (estadísticas, informes, notificaciones). Para las organizaciones financieras, el mayor interés es, por supuesto, la información de los mensajes de pago: números de cuenta, importes, saldo, etc. Para las organizaciones comerciales, ambos tipos de información son igualmente importantes: la primera proporciona una pista sobre el estado financiero, la segunda ayuda en la toma de decisiones y el desarrollo de políticas.
Los tipos más comunes de acuerdos comerciales son:
* Deposito directo.
El significado de este tipo de liquidación es que la organización ordena al banco que realice ciertos tipos de pagos a sus empleados o clientes de forma automática, utilizando medios magnéticos preparados previamente o mensajes especiales. Las condiciones para realizar dichos pagos se acuerdan previamente (fuente de financiación, importe, etc.). Se utilizan principalmente para pagos periódicos (pagos de diversos tipos de seguros, amortizaciones de préstamos, salarios, etc.). Institucionalmente, el depósito directo es más conveniente que, por ejemplo, los pagos mediante cheques.
Desde 1989, el número de empleados que utilizan el depósito directo se ha duplicado hasta alcanzar el 25% del total. Más de 7 millones de estadounidenses reciben hoy sus cheques de pago mediante depósito directo. Para los bancos, el depósito directo ofrece los siguientes beneficios:
Reducir el volumen de tareas asociadas con el procesamiento de documentos en papel y, como resultado, ahorrar cantidades significativas;
Incremento del número de depósitos, ya que se debe depositar el 100% del volumen de pagos.
Además de los bancos, se benefician tanto los propietarios como los trabajadores; La comodidad aumenta y los costos se reducen.
* Cálculos utilizando OED.
Los datos aquí son facturas, facturas, hojas de componentes, etc.
Para implementar el EDI se requiere el siguiente conjunto de servicios básicos:
Correo electrónico según el estándar X.400;
Transferencia de archivos;
Comunicación punto a punto;
Acceso en línea a bases de datos;
Buzón;
Transformación de estándares de presentación de información.
Ejemplos de sistemas de liquidación comercial actualmente existentes que utilizan EDI incluyen:
National Bank y Royal Bank (Canadá) están conectados con sus clientes y socios mediante IBM Information Network;
El Servicio de Pago Automatizado Transcontinental (TAPS) del Banco de Escocia, fundado en 1986, conecta al Banco de Escocia con clientes y socios en 15 países a través de bancos corresponsales y cámaras de compensación automatizadas.
Las liquidaciones interbancarias electrónicas son principalmente de dos tipos:
* Compensación de liquidaciones utilizando el potente sistema informático del banco intermediario (banco compensador) y cuentas corresponsales de los bancos que participan en las liquidaciones en este banco. El sistema se basa en la compensación de derechos y obligaciones dinerarios mutuos de personas jurídicas con la posterior transferencia del saldo. La compensación también se utiliza ampliamente en las bolsas de valores y de productos básicos, donde la liquidación de los créditos mutuos de los participantes en la transacción se lleva a cabo a través de una cámara de compensación o un sistema de compensación electrónico especial.
Las liquidaciones de compensación interbancarias se llevan a cabo a través de cámaras de compensación especiales, bancos comerciales, entre sucursales y sucursales de un banco, a través de la oficina central. En varios países, las funciones de cámaras de compensación las desempeñan los bancos centrales. Las cámaras de compensación automatizadas (ACH) brindan servicios para el intercambio de fondos entre instituciones financieras. Las transacciones de pago se limitan principalmente a débitos o créditos. Los miembros del sistema AKP son instituciones financieras que son miembros de la Asociación AKP. La asociación se forma con el fin de desarrollar reglas, procedimientos y estándares para la implementación de pagos electrónicos dentro de una región geográfica. Cabe señalar que la ACP no es más que un mecanismo para mover fondos y la información que lo acompaña. Ellos mismos no realizan servicios de pago. Los ACP se crearon para complementar los sistemas de procesamiento de documentos financieros en papel. La primera transmisión automática apareció en California en 1972; actualmente hay 48 transmisiones automáticas funcionando en los Estados Unidos. En 1978, se creó la Asociación Nacional de Cámara de Compensación Automatizada (NACHA), que une las 48 redes ACH de forma cooperativa.
El volumen y la naturaleza de las operaciones están en constante expansión. Los países ACP están empezando a realizar transacciones comerciales y de intercambio electrónico de datos. Luego de tres años de esfuerzos por parte de diversos bancos y empresas, se creó el sistema CTP (Corporate Trade Payment) para procesar automáticamente créditos y débitos. Según los expertos, la tendencia a ampliar las funciones de la transmisión automática continuará en un futuro próximo.
* Liquidaciones directas, en las que dos bancos se comunican directamente entre sí utilizando cuentas de loro nostro, posiblemente con la participación de un tercero que desempeña un papel organizativo o de apoyo. Naturalmente, el volumen de transacciones mutuas debe ser lo suficientemente grande como para justificar los costos de organizar dicho sistema de liquidación. Normalmente, un sistema de este tipo une a varios bancos y cada par puede comunicarse directamente entre sí, sin pasar por intermediarios. Sin embargo, en este caso, existe la necesidad de un centro de control que se ocupe de la protección de los bancos que interactúan (distribución de claves, gestión, control de funcionamiento y registro de eventos).
Hay muchos sistemas de este tipo en el mundo, desde los pequeños que conectan varios bancos o sucursales hasta los gigantes internacionales que conectan a miles de participantes. El sistema más famoso de esta clase es SWIFT.
Recientemente, ha surgido un tercer tipo de pagos electrónicos: el truncamiento de cheques electrónicos, cuya esencia es detener la ruta de envío de un cheque en papel a la institución financiera donde se presentó. Si es necesario, su análogo electrónico “viaja” más lejos en forma de un mensaje especial. El envío y reembolso de un cheque electrónico se realiza mediante ACH.
En 1990, NACHA anunció la primera fase de prueba del programa piloto nacional "Electronic Check Truncation". Su objetivo es reducir el coste de procesar grandes cantidades de cheques en papel.
El envío de dinero mediante un sistema de pago electrónico incluye los siguientes pasos (dependiendo de las condiciones específicas y del propio sistema, el pedido puede variar):
1. A una determinada cuenta en el sistema del primer banco se le reduce la cantidad requerida.
2. La cuenta corresponsal del segundo banco en el primero aumenta en la misma cantidad.
3. Se envía un mensaje del primer banco al segundo banco que contiene información sobre las acciones que se están realizando (identificadores de cuenta, monto, fecha, condiciones, etc.); en este caso, el mensaje enviado debe estar adecuadamente protegido contra falsificaciones: cifrado, provisto de firma digital y campos de control, etc.
4. El monto requerido se carga de la cuenta corresponsal del primer banco en el segundo.
5. A una determinada cuenta en el segundo banco se le aumenta la cantidad requerida.
6. El segundo banco envía al primero una notificación sobre los ajustes de cuenta realizados; este mensaje también debe protegerse contra manipulación de manera similar a proteger un mensaje de pago.
7. El protocolo de intercambio se registra tanto para los suscriptores como, posiblemente, para un tercero (en el centro de control de la red) para evitar conflictos.
Puede haber intermediarios en el camino de transmisión de mensajes: centros de compensación, bancos intermediarios en la transferencia de información, etc. La principal dificultad de tales cálculos es la confianza en su socio, es decir, cada suscriptor debe estar seguro de que su corresponsal realizará todas las acciones necesarias.
Para ampliar el uso de los pagos electrónicos, se está estandarizando la presentación electrónica de documentos financieros. Se inició en los años 70 dentro de dos organizaciones:
1) ANSI (American National Standard Institute) publicó ANSI X9.2-1080, (Especificación de mensajes de intercambio para el intercambio de mensajes de tarjetas de débito y crédito entre institutos financieros). En 1988, ISO adoptó una norma similar y la denominó ISO 8583 (Especificaciones de mensajes de intercambio de mensajes originados en tarjetas bancarias: contenido para transacciones financieras);
2) SWIFT (Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales) ha desarrollado una serie de estándares para mensajes interbancarios.
De acuerdo con la norma ISO 8583, un documento financiero contiene una serie de elementos de datos (detalles) ubicados en determinados campos de un mensaje o documento electrónico (tarjeta de crédito electrónica, mensaje en formato X.400 o documento en sintaxis EDIFACT). A cada elemento de datos (ED) se le asigna su propio número único. Un elemento de datos puede ser obligatorio (es decir, incluido en cada mensaje de este tipo) u opcional (puede estar ausente en algunos mensajes).
La escala de bits determina la composición del mensaje (aquellos ED que están presentes en él). Si un determinado dígito de la escala de bits se establece en uno, esto significa que el ED correspondiente está presente en el mensaje. Gracias a este método de codificación de mensajes, se reduce la longitud total del mensaje, se logra flexibilidad en la presentación de mensajes con muchos ED y se proporciona la capacidad de incluir nuevos ED y tipos de mensajes en un documento electrónico de estructura estándar.
Existen varios métodos para pagos interbancarios electrónicos. Consideremos dos de ellos: pago con cheque (pago después del servicio) y pago con carta de crédito (pago por el servicio esperado). Otros métodos, como el pago mediante solicitudes de pago u órdenes de pago, tienen una organización similar.
El pago mediante cheque se basa en un papel u otro documento que contiene la identificación del pagador. Este documento es la base para transferir el monto especificado en el cheque de la cuenta del propietario a la cuenta del portador. El pago con cheque incluye los siguientes pasos:
Recibir un cheque;
Enviar un cheque al banco;
Solicitud de transferencia de la cuenta del titular del cheque a la cuenta del librador;
Transferencia de dinero;
Aviso de pago.
Las principales desventajas de dichos pagos son la necesidad de un documento auxiliar (cheque), que puede falsificarse fácilmente, así como el tiempo considerable necesario para completar el pago (hasta varios días).
Por lo tanto, recientemente se ha vuelto más común este tipo de pago como pago mediante carta de crédito. Incluye los siguientes pasos:
Notificación al banco por parte del cliente sobre la concesión de un préstamo;
Notificación al banco del destinatario sobre la concesión de un préstamo y transferencia de dinero;
Notificar al destinatario sobre la recepción del préstamo.
Este sistema te permite realizar pagos en muy poco tiempo. La notificación de un préstamo puede enviarse por correo (electrónico), disquetes o cintas magnéticas.
Cada uno de los tipos de pagos discutidos anteriormente tiene sus propias ventajas y desventajas. Los cheques son más convenientes para pagar pequeñas cantidades, así como para pagos irregulares. En estos casos, el retraso en el pago no es muy significativo y el uso del crédito es inadecuado. Los pagos mediante carta de crédito se suelen utilizar para pagos regulares y para cantidades importantes. En estos casos, la ausencia de un retraso en la compensación le permite ahorrar mucho tiempo y dinero al reducir el período de rotación del dinero. La desventaja común de estos dos métodos es la necesidad de gastar dinero en organizar un sistema de pago electrónico confiable.
