Menetelmät digitaalisen rahan sähköisen maksujärjestelmän suojaamiseksi. Mitkä ovat tärkeimmät tavat suojata sähköistä rahaa? Sähköisten maksujärjestelmien suojakeinot

Menetelmät digitaalisen rahan sähköisen maksujärjestelmän suojaamiseksi. Mitkä ovat tärkeimmät tavat suojata sähköistä rahaa? Sähköisten maksujärjestelmien suojakeinot

Sähköiset maksujärjestelmät ovat yksi suosituimmista sähköisen valuutan työskentelystä. Joka vuosi ne kehittyvät yhä aktiivisemmin ja miehittävät melko suuren osan valuutan kanssa työskentelyn markkinoista. Niiden ohella kehittyvät myös teknologiat heidän turvallisuutensa takaamiseksi. Nykyään mikään sähköinen maksujärjestelmä ei voi olla olemassa ilman hyvää teknologiaa ja turvajärjestelmiä, jotka puolestaan ​​varmistavat rahansiirtojen turvallisen kaupankäynnin. Itse asiassa sähköisiä maksujärjestelmiä on paljon, samoin kuin turvateknologiaa. Jokaisella niistä on erilaiset työskentelyperiaatteet ja -tekniikat sekä omat etunsa ja haittansa. Lisäksi useita teoreettisia ja käytännön kysymyksiä on edelleen ratkaisematta, mikä määrää tutkimusaiheen relevanssin.

Jokainen sähköinen maksujärjestelmä käyttää omia menetelmiään, salausalgoritmejaan, tiedonsiirtoprotokolliaan turvallisten tapahtumien ja tiedonsiirron suorittamiseen. Jotkut järjestelmät käyttävät RSA-salausalgoritmia ja HTTPs-siirtoprotokollaa, toiset käyttävät DES-algoritmia ja SSL-protokollaa salatun tiedon siirtämiseen. Ajatus artikkelin kirjoittamisesta perustuu useiden suosittujen maksujärjestelmien, nimittäin niissä käytettyjen turvatekniikoiden, tutkimiseen ja analysointiin ja edistyneimmän järjestelmän selvittämiseen.

Artikkelin kirjoittamisen aikana tehtiin maksujärjestelmien tutkimuksia, analyysi olemassa olevien maksujärjestelmien turvallisuudesta. Neljä maksujärjestelmää (Webmoney, Yandex.Money, PauPa1 ja E-Port) analysoitiin samojen kriteerien mukaan. Järjestelmät arvioitiin käyttämällä monitasoista järjestelmää, joka sisältää sisäkkäisiä parametreja. Tietenkin kaikki nämä kriteerit koskevat sfääriä tietoturva. Pääkriteereitä on kaksi: tekninen tuki maksujen tietoturvalle sekä organisatorinen ja oikeudellinen tuki. Kumpikin näistä kahdesta parametristä arvioitiin kolmen pisteen järjestelmässä. Luokitusasteikko on juuri tämä, koska sähköisten maksujärjestelmien nykyinen kehitys maassamme on sellaisella tasolla, että suurinta osaa niiden parametreista voidaan kuvata vain sanoilla "kyllä ​​tai ei". Vastaavasti, jos sähköinen maksujärjestelmä vastaa maksimaalisesti mitä tahansa parametria, se saa korkeimman pistemäärän (3), jos se ei vastaa ollenkaan, vähimmäispistemäärän (0). Jos järjestelmässä ei ole tätä kriteeriä nimenomaisessa muodossaan, mutta jos puuttuvaan liittyy palveluita tai ominaisuuksia, annamme välipisteen - yksi tai kaksi.

Sähköisiä maksujärjestelmiä arvioitaessa tulee muistaa, että eri olosuhteissa saman parametrin arvo ei ole sama. Esimerkiksi useita suojaustasoa merkittävästi lisääviä palveluita käyttäjä voi toteuttaa vain vapaaehtoisesti, lisäksi näiden palvelujen läsnäolo järjestelmässä on arvokasta. Kukaan ei ole perunut inhimillistä tekijää eikä tule koskaan perumaan sitä, joten huomioidaan, että palvelu voi olla sekä toteutettu että toteuttamatta jäänyt.

Liiketoimien tekninen turvallisuus

Tämä on ensimmäinen kriteereistä - parametrien joukko, joka tarjoaa nimensä mukaisesti tietojen suojauksen teknisen puolen. Tähän asetukseen asti käytössä: kryptografiset salausmenetelmät, todennus ja pääsy käyttämällä erityistä laitteisto(primitiivisimmässä tapauksessa - käyttämällä USB-avaimia).

Ei ole mikään salaisuus, että tärkein kriteeri tietojen suojaamiselle teknisesti on tietysti tietojen salaus ja tarkemmin sanottuna salausalgoritmit, joilla ne on toteutettu. Tiedetään myös, että mitä pidempi avaimen pituus, sitä vaikeampaa on sen salauksen purkaminen ja vastaavasti luottamuksellisten tietojen saaminen. Kolme testatuista järjestelmistä käyttää tunnettua ja laajalti arvostettua RSA-algoritmia: Webmoney, Yandex.Money, PayPal. E-Port käyttää SSL-salausta versio 3.0. Itse asiassa salaus toteutetaan SSL-avaimilla, jotka ovat ainutlaatuisia, ne syntyvät istunnon aikana ja joita kutsutaan istuntoavaimeksi. SSL-avaimen pituus E-Port-järjestelmässä vaihtelee välillä 40-128 bittiä, mikä on varsin riittävä tapahtumaturvallisuuden hyväksyttävälle tasolle.

Tapahtuman tietoturvan teknisessä tuessa seuraava parametri on autentikointi eli autentikointi eli autentikointi. joukko ratkaisuja, joita käyttäjä tarvitsee päästäkseen käsiksi omiin henkilötietoihinsa. Täällä kaikki on yksinkertaista. Webmoney- ja Yandex.Money-järjestelmät käyttävät kahta pääsykriteeriä, kun taas PayPal ja E-Port käyttävät vain yhtä. Webmoneyssa sinun on syötettävä salasana ja erityinen avain päästäksesi järjestelmään ja suorittaaksesi maksuja Yandex.Money toimii samalla tavalla: vaaditaan salasana ja erityinen lompakko-ohjelma. Kaikissa muissa järjestelmissä pääsy tapahtuu salasanalla. Kuitenkin E-Port-järjestelmässä SSL-protokollaa käyttävän potentiaalisen asiakkaan (ja minkä tahansa muun järjestelmän jäsenen) web-palvelimella on oltava erityinen digitaalinen varmenne, joka on vastaanotettu joltakin valtuutetulta yritykseltä. Tätä varmennetta käytetään asiakkaan web-palvelimen todentamiseen. E-Portin käyttämä varmenteen suojausmekanismi on RSA Securityn sertifioima. Kolmas ja viimeinen parametri tässä tutkimuskriteerissä on pääsy järjestelmään erikoislaitteistolla, kuten USB-avaimilla.

Kryptografiset salausmenetelmät

Webmoney ja Yandex.Money käyttävät 1024-bitin avainta (erittäin korkea luku, sellaisen avaimen murtaminen yksinkertaisella luettelolla) ja PayPal kaksi kertaa lyhyempää avainta - 512 bittiä. kahdessa järjestelmässä tämän kriteerin mukaan saamme maksimipisteen - 3. PayPal saa kaksi pistettä, koska se käyttää pienempää salausavainta. Jää vain arvioida E-Port tällä parametrilla Huolimatta SSL-protokollan käytöstä siinä ja jopa 128 bitin avaimen pituudesta, E-Portissa on mahdollista haavoittuvuutta: monet vanhemmat selainversiot tukevat salausta avaimilla lyhyempi, joten vastaanotettu data on mahdollista hakkeroida; vastaavasti niille, jotka käyttävät selainta asiakkaana maksujärjestelmä, sinun on työskenneltävä sen kanssa uusin versio(tämä ei tietenkään aina ole kätevää ja mahdollista). "Salaus"-sarakkeessa voit kuitenkin asettaa E-Portille 1,7 pistettä: järjestelmä ansaitsi tämän arvosanan, koska se käyttää progressiivista PGP-protokollaa sähköpostiviestien salaamiseen.

Todennus

Webmoney- ja Yandex.Money-järjestelmät käyttävät kahta pääsykriteeriä, kun taas PayPal ja E-Port käyttävät vain yhtä. Webmoneyssa sinun on syötettävä salasana ja erityinen avain päästäksesi järjestelmään ja suorittaaksesi maksuja. Yandex.Money toimii samalla tavalla: vaaditaan salasana ja erityinen lompakko-ohjelma. Kaikissa muissa järjestelmissä pääsy tapahtuu salasanalla. Kuitenkin E-Port-järjestelmä toimii yli SSL-protokollan, web-palvelimen potentiaalisen asiakkaan.

Webmoneyn ja Yandex.Moneyn mukaan he saavat kukin kolme pistettä, PayPal - 0 pistettä, E-Port - yhden.

Tämä on jopa helpompaa kuin edellisillä vaihtoehdoilla. Kaikista järjestelmistä vain Webmoney PayPalilla on tällainen lisävaihtoehto, jälkimmäiset eivät tarjoa tällaista mahdollisuutta. Näin ollen, kun otetaan huomioon painotuskerroin, Webmoney ja PayPal saivat 1,5 pistettä tästä parametrista, kaikki loput - nolla.

Kun nämä kaksi kriteeriä on arvioitu, tulokset voidaan laskea yhteen. Tarkastettujen parametrien summan mukaan Webmoney osoittautui turvalliseksi. Itse asiassa, jos käyttäjä käyttää kaikkia sen tarjoamia tietoturvapalveluja, hän voi jäädä käytännössä haavoittumattomaksi huijareille. Toisen sijan sijoittui Yandex.Money-järjestelmä, kolmannen sijan PayPal (tämä järjestelmä on ihanteellinen juridisille henkilöille maksujen merkittävän oikeudellisen läpinäkyvyyden vuoksi), ja viimeinen paikka myönnettiin E-Port-järjestelmälle.

Lisäksi maksujärjestelmien analyysin yhteenvetona voidaan sanoa, että sähköisen maksujärjestelmän valintaa ei tehdä yhden turvaparametrin mukaan, vaikka se olisikin yksi tärkeimmistä. Sähköiset maksujärjestelmät eroavat toisistaan ​​myös palvelujen saatavuudessa, helppokäyttöisyydessä - on monia muita tekijöitä.

johtopäätöksiä

Sähköinen maksaminen on luonnollinen vaihe televiestinnän kehityksessä.Kysyntä on korkea niillä markkina-alueilla, joissa on täysi tuote - digitaalinen tuote, jonka ominaisuudet ovat hyvin "päällekkäin" verkkomaksamisen ominaisuuksien kanssa: pikamaksu, välitön toimitus. , yksinkertaisuus ja turvallisuus.

Internet-maksujärjestelmä on järjestelmä selvitysten suorittamiseen rahoitus-, yritys- ja Internet-käyttäjien välillä tavaroiden ja palveluiden osto-/myyntiprosessissa Internetin kautta. Maksujärjestelmän avulla voit muuttaa tilaustenkäsittelypalvelun tai sähköisen liikkeen täysimittaiseksi myymäläksi kaikilla vakioominaisuuksilla: valitsemalla tuotteen tai palvelun myyjän verkkosivuilta, ostaja voi suorittaa maksun poistumatta tietokone.

Verkkokauppajärjestelmässä maksut suoritetaan useilla ehdoilla:

1. Luottamuksellisuuden kunnioittaminen. Maksaessaan Internetin kautta ostaja haluaa tietonsa (esimerkiksi luottokortin numeron) olevan vain sellaisille organisaatioille, joilla on siihen laillinen oikeus.

2. Tietojen eheyden säilyttäminen. Kukaan ei voi muuttaa ostotietoja.

3. Todennus. Ostajien ja myyjien on oltava varmoja siitä, että kaikki kauppaan osallistuvat osapuolet ovat niitä, joita he sanovat olevansa.

4. Maksuvälineet. Mahdollisuus maksaa millä tahansa ostajan käytettävissä olevalla maksutavalla.

6. Myyjän riskitakuu. Internetissä käydessään kauppaa myyjä altistuu monille riskeille, jotka liittyvät tavaroiden kieltäytymiseen ja ostajan vilpillisyyteen. Riskien suuruus tulee sopia maksujärjestelmän tarjoajan ja muiden kauppaketjuihin kuuluvien organisaatioiden kanssa erityisillä sopimuksilla.

7. Minimoi transaktiomaksut. Tavaroiden tilauksen ja maksamisen kaupan käsittelymaksu sisältyy luonnollisesti niiden hintaan, joten kauppahinnan alentaminen lisää kilpailukykyä. On tärkeää huomata, että kauppa on maksettava joka tapauksessa, vaikka ostaja kieltäytyisi tavarasta.

Kaikki nämä ehdot on otettava käyttöön Internet-maksujärjestelmässä, joka on pohjimmiltaan perinteisten maksujärjestelmien sähköisiä versioita.

Siten kaikki maksujärjestelmät on jaettu:

Debit (työskentely elektronisten shekkien ja digitaalisen käteisen kanssa);

Luotto (työskentely luottokorteilla).

Debit-järjestelmät

Debit-maksujärjestelmät on rakennettu samalla tavalla kuin niiden offline-prototyypit: shekki ja tavallinen käteinen. Järjestelmässä on mukana kaksi riippumatonta osapuolta: liikkeeseenlaskijat ja käyttäjät. Liikkeeseenlaskijalla tarkoitetaan tahoa, joka hallinnoi maksujärjestelmää. Se julkaisee joitakin maksuja edustavia elektronisia yksiköitä (esimerkiksi pankkitileillä olevaa rahaa). Järjestelmän käyttäjät suorittavat kaksi päätoimintoa. He suorittavat ja hyväksyvät maksuja Internetissä käyttämällä annettuja sähköisiä tuotteita.

Sähköiset sekit vastaavat tavallisia paperisekkejä. Nämä ovat maksajan pankkilleen antamat ohjeet siirtää rahaa tililtään maksunsaajan tilille. Toiminto tapahtuu, kun vastaanottaja esittää sekin pankissa. Tässä on kaksi tärkeintä eroa. Ensinnäkin, kun kirjoitat paperisekkiä, maksaja laittaa todellisen allekirjoituksensa ja verkkoversiossa sähköisen allekirjoituksen. Toiseksi itse shekit myönnetään sähköisesti.

Maksut suoritetaan useissa vaiheissa:

1. Maksaja antaa sähköisen shekin, allekirjoittaa sen sähköisellä allekirjoituksella ja lähettää sen vastaanottajalle. Paremman luotettavuuden ja turvallisuuden takaamiseksi sekkitilinumero voidaan koodata pankin julkisella avaimella.

2. Sekki esitetään maksettavaksi maksujärjestelmään. Lisäksi (joko täällä tai vastaanottajaa palvelevassa pankissa) suoritetaan sekki Sähköinen allekirjoitus.

3. Jos tuotteen aitous varmistetaan, tuote toimitetaan tai palvelu tarjotaan. Rahat siirretään maksajan tililtä vastaanottajan tilille.

Maksujärjestelmän yksinkertaisuutta (kuva 43) kompensoivat valitettavasti sen toteuttamisen vaikeudet, jotka johtuvat siitä, että shekkijärjestelmät eivät ole vielä yleistyneet eikä sähköisten allekirjoitusten toteuttamiseen ole varmennuskeskuksia.

Sähköinen digitaalinen allekirjoitus (EDS) käyttää julkisen avaimen salausjärjestelmää. Tämä luo yksityisen avaimen allekirjoitusta varten ja julkisen avaimen vahvistusta varten. Yksityinen avain on käyttäjällä, kun taas julkinen avain on kaikkien saatavilla. Kätevin tapa jakaa julkisia avaimia on käyttää varmennekeskuksia. Se tallentaa digitaalisia varmenteita, jotka sisältävät julkisen avaimen ja tiedot omistajasta. Tämä vapauttaa käyttäjän velvollisuudesta jakaa julkisen avaimensa itse. Lisäksi varmenneviranomaiset varmistavat, että kukaan ei voi luoda avaimia toisen henkilön puolesta.

Elektroninen raha simuloi täysin oikeaa rahaa. Samanaikaisesti liikkeeseenlaskijaorganisaatio - liikkeeseenlaskija - laskee liikkeeseen sähköisiä vastineensa, joita kutsutaan eri järjestelmissä eri tavalla (esimerkiksi kupongit). Lisäksi ne ostavat käyttäjät, jotka käyttävät niitä ostosten maksamiseen, ja sitten myyjä lunastaa ne liikkeeseenlaskijalta. Liikkeeseen laskettaessa jokainen rahayksikkö varmentaa sähköisellä leimalla, jonka liikkeeseenlaskijaorganisaatio tarkastaa ennen lunastusta.

Yksi fyysisen rahan ominaisuuksista on sen nimettömyys, eli se ei osoita, kuka sitä on käyttänyt ja milloin. Jotkut järjestelmät antavat analogisesti asiakkaan vastaanottaa sähköistä käteistä siten, että hänen ja rahan välistä suhdetta ei voida määrittää. Tämä tehdään käyttämällä sokeaa allekirjoitusjärjestelmää.

On myös huomioitava, että käytettäessä elektronista rahaa autentikointia ei tarvita, koska järjestelmä perustuu rahan laskemiseen liikkeeseen ennen sen käyttöä.

Kuva 44 esittää sähköisen rahan maksutapaa.

Maksumekanismi on seuraava:

1. Ostaja vaihtaa oikean rahan sähköiseen rahaan etukäteen. Käteisen säilyttäminen asiakkaan luona voidaan suorittaa kahdella tavalla, mikä määräytyy käytetyn järjestelmän mukaan:

tietokoneen kiintolevylle;

älykorteilla.

Eri järjestelmät tarjoavat erilaisia ​​vaihtojärjestelmiä. Jotkut avaavat erityistilejä, joille siirretään varoja ostajan tililtä sähköisiä seteleitä vastaan. Jotkut pankit voivat laskea liikkeeseen sähköistä käteistä itse. Samanaikaisesti se myönnetään vain asiakkaan pyynnöstä, jonka jälkeen se siirretään tämän asiakkaan tietokoneelle tai kortille ja käteisraha nostetaan hänen tililtään. Sokeaa allekirjoitusta toteutettaessa ostaja itse luo sähköisiä seteleitä, lähettää ne pankkiin, jossa oikeaa rahaa tilille saatuaan ne varmennetaan sinetillä ja lähetetään takaisin asiakkaalle.

Tällaisen säilytyksen mukavuuden lisäksi sillä on myös haittoja. Levyn tai sirukortin vaurioituminen johtaa peruuttamattomasti sähköisen rahan menettämiseen.

2. Ostaja siirtää sähköistä rahaa ostoa varten myyjän palvelimelle.

3. Rahat esitetään liikkeeseenlaskijalle, joka varmistaa niiden aitouden.

4. Jos sähköiset setelit ovat aitoja, myyjän tiliä korotetaan ostosummalla ja tavarat toimitetaan ostajalle tai palvelu tarjotaan.

Yksi sähköisen rahan tärkeistä erottamisominaisuuksista on kyky suorittaa mikromaksuja. Tämä johtuu siitä, että setelien nimellisarvo ei välttämättä vastaa todellisia kolikoita (esimerkiksi 37 kopekkaa).

Sekä pankit että pankkien ulkopuoliset organisaatiot voivat laskea liikkeeseen sähköistä käteistä. Sitä ei kuitenkaan ole vielä kehitetty yksi järjestelmä muuntamalla erityyppisiä sähköisiä rahaa. Siksi vain liikkeeseenlaskijat voivat itse lunastaa liikkeeseen laskeman sähköisen käteisen. Valtio ei myöskään takaa tällaisten ei-rahoitusrakenteiden rahojen käyttöä. Kuitenkin kaupankäynnin alhainen hinta tekee e-käteisestä houkuttelevan välineen maksamiseen Internetissä.

Luottojärjestelmät

Internet-luottojärjestelmät ovat analogeja tavanomaisille luottokorteilla toimiville järjestelmille. Ero on kaikkien Internetin kautta tapahtuvien tapahtumien suorittamisessa ja sen seurauksena lisäturvallisuuden ja autentikoinnin tarpeessa.

Seuraavat osallistuvat maksujen suorittamiseen Internetin kautta luottokorteilla:

1. Ostaja. Asiakas, jolla on tietokone, jossa on verkkoselain ja Internet-yhteys.

2. Liikkeeseenlaskeva pankki. Tässä on ostajan tili. Myönnetty pankki myöntää kortteja ja on asiakkaan taloudellisten velvoitteiden täyttämisen takaaja.

3. Myyjät. Myyjät ovat verkkokaupan palvelimia, jotka ylläpitävät tavara- ja palveluluetteloita ja ottavat vastaan ​​asiakkaiden ostotilauksia.

4. Vastaanottavat pankit. Kauppiaita palvelevat pankit. Jokaisella myyjällä on yksi pankki, jossa hän pitää käyttötiliään.

5. Internet-maksujärjestelmä. Elektroniset komponentit, jotka ovat välittäjiä muiden osallistujien välillä.

6. Perinteinen maksujärjestelmä. Joukko taloudellisia ja teknisiä keinoja tämän tyyppisten korttien huoltoon. Maksujärjestelmän ratkaisemia päätehtäviä ovat korttien käytön varmistaminen tavaroiden ja palveluiden maksuvälineenä, pankkipalvelujen käyttö, keskinäiset maksut jne. Maksujärjestelmän osallistujat ovat yksityishenkilöitä ja oikeushenkilöitä, joita yhdistävät luottokorttien käyttösuhteet.

7. Maksujärjestelmän käsittelykeskus. Organisaatio, joka tarjoaa tietoa ja teknistä vuorovaikutusta perinteisen maksujärjestelmän osallistujien välillä.

8. Maksujärjestelmän selvityspankki. Luottolaitos, joka suorittaa keskinäisiä maksuja maksujärjestelmän osallistujien välillä käsittelykeskuksen puolesta.

Yleinen maksukaavio tällaisessa järjestelmässä on esitetty kuvassa 45.

1. Ostaja verkkokaupassa muodostaa tavarakorin ja valitsee maksutavan "luottokortti".

Liikkeen kautta eli kortin parametrit syötetään suoraan kaupan verkkosivuille, minkä jälkeen ne siirretään Internet-maksujärjestelmään (2a);

Maksujärjestelmän palvelimella (2b).

Toisen tavan edut ovat ilmeiset. Tällöin tiedot korteista eivät jää myymälään, ja vastaavasti riski saada niitä kolmansilta osapuolilta tai myyjän tekemä petos pienenee. Molemmissa tapauksissa luottokorttitietoja siirrettäessä on silti mahdollisuus, että verkon hyökkääjät sieppaavat ne. Tämän estämiseksi tiedot salataan lähetyksen aikana.

Salaus tietysti vähentää mahdollisuutta siepata dataa verkossa, joten ostajan/myyjän, myyjän/Internet-maksujärjestelmän, ostajan/internet-maksujärjestelmän kommunikaatio tapahtuu mieluiten suojattuja protokollia käyttäen. Nykyisin yleisin niistä on SSL (Secure Sockets Layer) -protokolla sekä SET (Secure Electronic Transaction) suojattu sähköinen tapahtumastandardi, joka on suunniteltu lopulta korvaamaan SSL Internetissä tehtyjen luottokorttiostojen maksutapahtumien käsittelyssä.

3. Internet-maksujärjestelmä lähettää valtuutuspyynnön perinteiseen maksujärjestelmään.

4. Seuraava vaihe riippuu siitä, ylläpitääkö kortin myöntänyt pankki online-tietokantaa (DB) tileistä. Jos tietokanta on saatavilla, käsittelykeskus lähettää myöntäneelle pankille kortin valtuutuspyynnön (katso johdanto tai sanakirja) (4a) ja sitten (4b) vastaanottaa tuloksensa. Jos tällaista tukikohtaa ei ole, käsittelykeskus tallentaa itse tiedot kortinhaltijoiden tilien tilasta, pysäytysluetteloista ja täyttää valtuutuspyynnöt. Liikkeeseenlaskijapankit päivittävät näitä tietoja säännöllisesti.

Kauppa tarjoaa palvelun tai lähettää tuotteen (8a);

Käsittelykeskus lähettää tiedot suoritetusta tapahtumasta maksupankille (8b). Rahat ostajan myöntäneessä pankissa olevalta tililtä siirretään maksupankin kautta myymälän tilille vastaanottavassa pankissa.

Tällaisten maksujen suorittamiseksi useimmissa tapauksissa erityinen ohjelmisto. Se voidaan toimittaa ostajalle (kutsutaan sähköiseksi lompakoksi), myyjälle ja hänen huoltopankilleen.


Johdanto

1. Sähköiset maksujärjestelmät ja niiden luokittelu

1.1 Peruskäsitteet

1.2 Sähköisten maksujärjestelmien luokittelu

1.3 Analyysi tärkeimmistä Venäjällä käytettävistä sähköisistä maksujärjestelmistä

2. Sähköisten maksujärjestelmien suojauskeinot

2.1 Sähköisten maksujärjestelmien käyttöön liittyvät uhat

2.2 Sähköisten maksujärjestelmien turvatekniikat

2.3 Teknologioiden analyysi vaatimustenmukaisuuden varmistamiseksi perusvaatimukset sähköisiin maksujärjestelmiin

Johtopäätös

Bibliografinen luettelo

JOHDANTO

Sähköisten maksujen ja sähköisen rahan pitkälle erikoistunut aihe, joka ei kiinnostanut 10 vuotta sitten, on viime aikoina tullut ajankohtainen paitsi liikemiehille myös loppukäyttäjille. Muodikkaat sanat "e-business", "e-commerce" tuntee luultavasti joka toinen tietokonetta tai suosittua lehdistöä ainakin satunnaisesti lukeva. Etämaksamisen tehtävä (rahojen siirtäminen pitkiä matkoja) on siirtynyt erityisten luokasta arkipäivään. Tätä asiaa koskevan tiedon runsaus ei kuitenkaan lisää kansalaisten mielissä lainkaan selkeyttä. Sekä sähköisten maksujen ongelman monimutkaisuuden ja käsitteellisen alikehittyneen vuoksi että koska monet popularisoijat työskentelevät usein vaurioituneen puhelimen periaatteella, kotitaloustasolla kaikki on tietysti kaikille selvää. Mutta tämä on siihen asti, kunnes tulee sähköisen maksamisen käytännön kehityksen vuoro. Tässä paljastuu väärinkäsitys siitä, kuinka tarkoituksenmukaista sähköisten maksujen käyttö tietyissä tapauksissa on.

Samaan aikaan sähköisten maksujen vastaanottamisesta on tulossa yhä tärkeämpi tehtävä niille, jotka aikovat asioida Internetin avulla, sekä niille, jotka aikovat tehdä ostoksia verkon kautta. Tämä artikkeli on molemmille.

Aloittelijan sähköisiä maksujärjestelmiä harkittaessa suurin ongelma on niiden suunnittelun ja toimintaperiaatteiden monimuotoisuus sekä se, että toteutuksen ulkoisesta samankaltaisuudesta huolimatta niiden syvyyksiin voi piiloutua varsin erilaisia ​​teknisiä ja taloudellisia mekanismeja.

Globaalin Internetin suosion nopea kehitys on antanut voimakkaan sysäyksen uusien lähestymistapojen ja ratkaisujen kehittämiseen maailmantalouden eri osa-alueilla. Jopa sellaiset konservatiiviset järjestelmät kuin pankkien sähköiset maksujärjestelmät antautuivat uusille trendeille. Tämä näkyi uusien maksujärjestelmien syntymisenä ja kehityksenä - sähköisten maksujärjestelmien Internetin kautta, joiden tärkein etu on, että asiakkaat voivat suorittaa maksuja (rahoitustapahtumia) ohittaen maksumääräyksen fyysisen kuljetuksen uuvuttavan ja joskus teknisesti vaikean vaiheen. pankkiin. Myös pankit ja pankit ovat kiinnostuneita näiden järjestelmien käyttöönotosta, sillä niiden avulla voidaan nopeuttaa asiakaspalvelua ja alentaa maksujen suorittamisen yleiskustannuksia.

Sähköiset maksujärjestelmät kierrättävät tietoa, mukaan lukien luottamukselliset tiedot, jotka edellyttävät suojaa näkemiseltä, muuttamiselta ja väärien tietojen pakottamiselta. Asianmukaisten Internet-suuntautuneiden tietoturvatekniikoiden kehittäminen on tällä hetkellä suuri haaste. Syynä tähän on arkkitehtuuri, ydinresurssit ja teknologiat Internet-verkot keskittynyt pääsyn tai keräämisen järjestämiseen avointa tietoa. Viime aikoina on kuitenkin löydetty lähestymistapoja ja ratkaisuja, jotka osoittavat mahdollisuuden käyttää tavanomaisia ​​Internet-tekniikoita rakennusjärjestelmissä tietojen turvalliseen siirtämiseen Internetin kautta.

RGR:n tarkoituksena on analysoida sähköisiä maksujärjestelmiä ja kehittää suosituksia niiden kunkin käyttöön. Tavoitteen perusteella muotoillaan seuraavat RGR:n toteutuksen vaiheet:

1. Selvitä sähköisten maksujärjestelmien päätehtävät ja niiden toimintaperiaatteet, ominaisuudet.

2. Analysoi tärkeimmät sähköisten maksujen järjestelmät.

3. Analysoi sähköisen rahan käyttöön liittyvät uhat.

4. Analysoi suojakeinot käytettäessä sähköisiä maksujärjestelmiä.


1. SÄHKÖISET MAKSUJÄRJESTELMÄT JA NIIDEN LUOKITUS

1.1 Peruskäsitteet


Sähköiset maksut. Aloitetaan siitä, että on perusteltua puhua sähköisten maksujen syntymisestä käteisvapaana maksuna 1900-luvun jälkipuoliskolla. Toisin sanoen tiedonvälitys maksuista tilisiirrolla on ollut olemassa jo pitkään, mutta sai täysin uuden laadun, kun johtojen molempiin päihin ilmestyi tietokoneita. Tiedot välitettiin käyttämällä teleksiä, teletyyppiä, tietokoneverkkoja, jotka ilmestyivät tuolloin. Laadullisesti uusi harppaus ilmeni siinä, että maksujen suorittamisen nopeus nousi merkittävästi ja niiden automaattinen käsittely tuli mahdolliseksi.

Myöhemmin ilmestyi myös muuntyyppisten maksujen sähköiset vastineet - käteismaksut ja muut maksutavat (esimerkiksi sekit).

Sähköiset maksujärjestelmät (EPS). Kutsumme sähköiseksi maksujärjestelmäksi mitä tahansa tietyn laitteiston ja ohjelmistotyökalut mahdollistaa sähköisen maksun.

Olla olemassa eri tavoilla ja viestintäkanavat pääsyä varten EPS:ään. Nykyään yleisin näistä kanavista on Internet. EPS:n leviäminen lisääntyy, johon pääsy toteutetaan avulla kännykkä(SMS-, WAP- ja muiden protokollien kautta). Muut menetelmät ovat harvinaisempia: modeemilla, puhelimitse äänitaajuusvalinnan avulla, puhelimitse operaattorin kautta.

Sähköinen raha. Epämääräinen termi. Kun tarkkaan harkitsee, mitä sen takana piilee, on helppo ymmärtää, että sähköinen raha on väärä nimi "elektroniselle käteiselle", kuten myös sähköisille maksujärjestelmille sellaisenaan.

Tämä terminologian väärinkäsitys johtuu vapaudesta kääntää termejä englannista. Koska sähköinen maksaminen Venäjällä kehittyi paljon hitaammin kuin Euroopassa ja Amerikassa, jouduimme käyttämään lujasti juurtuneita termejä. Tietysti sellaisilla sähköisen käteisen nimillä kuin "digitaalinen käteinen" (e-käteinen), "digitaalinen raha" (digitaalinen raha), "elektroninen käteinen" (digitaalinen käteinen)2 on oikeus elämään.

Yleisesti ottaen termi "sähköinen raha" ei tarkoita mitään erityistä, joten pyrimme jatkossa välttämään sen käyttöä.

Sähköinen käteinen:

Tämä on viime vuosisadan 90-luvulla ilmestynyt tekniikka, jonka avulla voit suorittaa sähköisiä maksuja, jotka eivät ole suoraan sidoksissa rahan siirtoon tililtä pankin tai muun rahoituslaitoksen tilille, toisin sanoen suoraan henkilöiden välillä. - maksun lopulliset osallistujat. Toinen tärkeä elektronisen käteisen ominaisuus on sen tarjoamien maksujen anonyymius. Maksun varmentavalla valtuutuskeskuksella ei ole tietoa siitä, kuka tarkalleen ja kenelle on siirtänyt rahat.

Sähköinen käteinen on yksi sähköisten maksujen tyypeistä. Sähköisen käteisen yksikkö ei ole muuta kuin liikkeeseenlaskijan (pankin tai muun rahoituslaitoksen) taloudellinen velvoite, joka on olennaisesti samanlainen kuin tavallinen vekseli. Sähköisellä käteisellä suoritettavat maksut näkyvät siellä, missä muiden maksujärjestelmien käyttö on hankalaa. Hyvä esimerkki on ostajan haluttomuus antaa tietoja luottokorttistaan ​​maksaessaan tavaroita Internetissä.

Kun terminologia on päätetty, voimme siirtyä keskustelumme seuraavaan vaiheeseen - puhutaan EPS:n luokittelusta. Koska EPS välittää sähköisiä laskelmia, EPS:n jako perustuu erityyppisiin näiden laskelmiin.

Lisäksi ohjelmisto- ja/tai laitteistoteknologialla, johon EPS-mekanismi perustuu, on tässä erittäin tärkeä rooli.


1.2 Sähköisten maksujärjestelmien luokittelu

Sähköiset maksujärjestelmät voidaan luokitella sekä sähköisen maksamisen erityispiirteiden että EPS:n taustalla olevan teknologian perusteella.

EPS-luokitus sähköisten maksujen tyypistä riippuen:

1. Maksun osallistujien kokoonpanon mukaan (taulukko 1).


pöytä 1

Sähköisten maksujen tyyppi

Maksutapahtumat

Analoginen perinteisessä rahansiirtojärjestelmässä

EPS esimerkki

Pankkien väliset maksut

Rahoituslaitokset

ei analogeja

B2B-maksut

Oikeushenkilöt

Rahattomat maksut organisaatioiden välillä

С2B maksut

Tavaroiden ja palveluiden loppukuluttajat ja oikeushenkilöt - myyjät

Käteiset ja muut maksut ostajilta myyjille

Lainapilotti

C2C-maksut

Yksilöt

Suorat käteismaksut yksityishenkilöiden välillä, posti, sähkesiirto

Jatkossa emme ota huomioon niitä EPS:itä, jotka on suunniteltu palvelemaan "pankki-pankki" -tyyppisiä sähköisiä maksuja. Tällaiset järjestelmät ovat äärimmäisen monimutkaisia, ne vaikuttavat enemmän pankkijärjestelmän toiminnan teknologisiin näkökohtiin, eivätkä ne todennäköisesti kiinnosta laajaa lukijajoukkoa.

Lisäksi on huomioitava, että on toinenkin maksutyyppi, joka ei loogisesti oikein mahdu taulukkoon 1. Muodollisten piirteiden mukaan se kuuluu täysin C2B-alueelle, mutta sitä ei kuitenkaan voida tarjota tämän tyyppisen laajalle levinneen EPS:n avulla. . Mikromaksuille on ominaista tavaroiden erittäin pieni arvo (senttejä tai sentin murto-osia). Kaikista tyypillisin suosittuja artikkeleita esimerkki mikromaksuja toteuttavasta järjestelmästä on vitsien myynti (sentti per kappale). Järjestelmät, kuten Eaccess ja Phonepay, soveltuvat mikromaksuihin.

2. Tehtyjen toimintojen tyypin mukaan (taulukko 2).


taulukko 2

Sähköisten maksujen tyyppi

Missä niitä käytetään

EPS esimerkki

Pankkitilin hallintatoimenpiteet

"Asiakaspankki" -järjestelmät, joihin pääsee modeemin, Internetin, matkapuhelimen jne. kautta.

Järjestelmän asiakkaan pankkitilin hallintatoimenpiteet

Rahansiirtotoiminnot ilman pankkitilin avaamista

rahansiirtojärjestelmät Tietokoneverkot samanlainen kuin posti- ja lennätyssiirrot

Toiminnot korttipankkitileillä

Debit ja luotto muovikortit

Cyberplat (Cyberpos)

Toiminnot sähköisillä shekeillä ja muilla ei-rahallisilla maksuvelvoitteilla

Suljetut yritysten väliset maksujärjestelmät

Cyberplat (Cybercheck)

Liiketoimet sähköisellä (quasi) käteisellä

Laskelmat fysikaalisella yksityishenkilöt, rahakkeiden elektroniset analogit ja prepaid-kortit, joita käytetään rahan korvikkeena tavaroiden maksamiseen

On huomattava, että "asiakas-pankki" -järjestelmät ovat olleet tunnettuja jo pitkään. Voit käyttää pankkitiliäsi modeemin avulla. Viimeisen vuosikymmenen aikana on ilmaantunut uusia mahdollisuuksia hallita tiliäsi Internetin avulla käyttäjäystävällisen verkkokäyttöliittymän kautta. Tätä palvelua kutsuttiin nimellä "Internet-pankki", eikä se tuonut mitään perustavanlaatuista uutta "asiakas-pankki" -tyyppisiin maksujärjestelmiin. Lisäksi on muita vaihtoehtoja pankkitilille pääsyyn, esimerkiksi matkapuhelimella (WAP-pankki, SMS-pankki). Tältä osin emme tässä artikkelissa tarkastele erityisesti tämäntyyppistä EPS:ää, vaan huomautamme vain, että nyt Venäjällä noin 100 liikepankkia tarjoaa Internet-pankkipalveluita käyttämällä yli 10 erilaista EPS:ää.

EPS-luokitus käytetyn tekniikan mukaan:

Yksi EPS:n tärkeimmistä ominaisuuksista on murronkestävyys. Ehkä tämä on tällaisten järjestelmien eniten keskusteltu ominaisuus. Kuten taulukosta 3 voidaan nähdä, järjestelmän turvallisuusongelmaa ratkaistaessa useimmat lähestymistavat EPS:n rakentamiseen perustuvat tietyn kriittistä tietoa sisältävän keskustietokannan salaisuuteen. Samalla jotkut heistä lisäävät tätä salainen tukikohta lisäsuojaustasot laitteiston kestävyyden perusteella.

Periaatteessa on olemassa muita teknologioita, joiden pohjalta EPS voidaan rakentaa. Esimerkiksi ei niin kauan sitten mediassa oli viesti muovikorttiin upotettuihin CDR-levyihin perustuvan EPS:n kehittämisestä. kuitenkin vastaavia järjestelmiä niitä ei käytetä laajasti maailmankäytännössä, joten emme keskity niihin.


Taulukko 3

Tekniikka

Mihin järjestelmän vakaus perustuu?

EPS esimerkki

Järjestelmät, joissa on keskuspalvelin asiakaspankki, varojen siirto

Pääsyavainten suojaus

Telepankki (Guta-pankki),

"Internet Service Bank" (Autobank)

Älykortit

Älykortin laitteistokestävyys hakkerointia vastaan

Mondex, ACCORD

Magneettikortit ja virtuaaliset luottokortit

Apua, Elite

raaputusarpoja

Tietokannan salassapito raaputusarpojen numeroilla ja koodeilla

E-portti, Creditpilot, Webmoney, Paycash, Rapira

Tiedosto/lompakko ohjelmana käyttäjän tietokoneella

Tiedonvaihtoprotokollan kryptografinen vahvuus

Maksullinen puhelu

Keskustietokannan salaisuus PIN-koodeilla ja älypuhelinverkon laitteiston vakaus

Pääsy, puhelinmaksu

1.3 Analyysi tärkeimmistä Venäjällä käytettävistä sähköisistä maksujärjestelmistä

Tällä hetkellä Venäjän Internetissä käytetään melko paljon sähköisiä maksujärjestelmiä, vaikkakaan kaikki eivät ole laajasti käytössä. Tyypillistä on, että lähes kaikki Runetissa käytetyt länsimaiset maksujärjestelmät on sidottu luottokortteihin. Jotkut heistä, kuten PayPal, kieltäytyvät virallisesti yhteistyöstä venäläisten asiakkaiden kanssa. Seuraavat järjestelmät ovat nykyään yleisimmin käytössä:

CyberPlat viittaa sekatyyppisiin järjestelmiin (millä tahansa edellä mainituista luokitteluista). Itse asiassa voidaan sanoa, että tässä järjestelmässä kolme erillistä kerätään saman katon alle: klassinen "asiakas-pankki" -järjestelmä, jonka avulla asiakkaat voivat hallita järjestelmään osallistuvissa pankeissa (11 venäläistä ja 1 latvialaista) avattuja tilejä. ); CyberCheck-järjestelmä, joka mahdollistaa turvallisten maksujen suorittamisen järjestelmään kytkettyjen oikeushenkilöiden välillä; ja Internet acquiring -järjestelmä, eli luottokorteilla hyväksyttyjen maksujen käsittely - CyberPos. Kaikista Venäjän markkinoilla saatavilla olevista Internet-hankintajärjestelmistä CyberPlat tarjoaa useimpien luottokorttityyppien käsittelyn, nimittäin: Visa, Mastercard/Eurocard, American Express7, Diners Club, JCB, Union Card, välitön yhteys STB- korttijärjestelmä on julkistettu ja ACCORD-kortti/Bashkard. Epävirallisesti yrityksen työntekijät väittivät tutkivansa mahdollisuutta telakoida muiden venäläisten korttijärjestelmien kanssa. Yllämainittujen lisäksi CyberPlat käsittelee E-porttimaksujärjestelmän raaputusarpoja ja ilmoitti yhdyskäytävän tulevasta käyttöönotosta Paycash-järjestelmän kanssa.

Tällä hetkellä yritys kehittää suojan tasoa varastetuilta luottokorteilta suoritettavia maksuja vastaan, ja se kehittää erikoistunutta PalPay-teknologiaa, joka koostuu siitä, että myyjälle annetaan mahdollisuus tarkistaa, onko ostajalla todella pääsy pankkitiliin, joka liittyy luottokorttia tai tietää vain sen tiedot. Virallisesti tämän tekniikan käyttöönottoa ei ole vielä ilmoitettu.

CyberCheck-järjestelmä on erittäin kiinnostava yrityskumppaneiden kanssa tehtävän työn organisoinnissa. Sen pääominaisuus (luottokorttimaksujen hyväksymiseen verrattuna) on se, että maksaja ei voi jälkikäteen kieltäytyä suorittamasta maksua. Toisin sanoen maksuvahvistuksen saaminen CyberCheckiltä on yhtä luotettavaa kuin vahvistuksen saaminen pankista, jossa myyjän tili sijaitsee. Kaikki nämä ominaisuudet tekevät CyberPlatista ehkä edistyneimmän ja mielenkiintoisimman EPS-myyjille Venäjän Internetissä.

Assist-järjestelmä luottokorttimaksujen käsittelyssä on monessa suhteessa toiminnallinen analogi CyberPlatille. Moskovassa hänen etujaan edustaa Alfa-Bank. Yhteensä 5 pankkia on kytketty järjestelmään. Internet acquiring -alijärjestelmä mahdollistaa maksujen vastaanottamisen Visa-, Mastercard/Eurocard- ja STB-korteilta. Syyskuusta lähtien Assist-järjestelmän palvelimelle ilmoitettujen muiden korttijärjestelmien maksujen vastaanottaminen ei ollut varsinaista. Epävirallisten tietojen mukaan lähitulevaisuudessa on kuitenkin mahdollista hyväksyä Diners Club -kortteja, Cirrus Maestro- ja Visa Electron -debit-kortteja. Mielenkiintoista on, että vastaanottavat yritykset eivät yleensä hyväksy tämäntyyppisiä kortteja, mutta halvuutensa vuoksi nämä kortit ovat hyvin yleisiä. Yleensä pankkikorttien hyväksymisestä kieltäytyminen johtuu turvallisuussyistä. Ehkä ASSIST pystyy kiertämään tämän ongelman käyttämällä SET-protokollaa, jonka tuesta yritys ilmoitti juuri toissapäivänä. Toisin kuin perinteinen tapa maksaa muovikorteilla Internetissä, jonka avulla kortinhaltija voi kieltäytyä sillä suoritetusta maksusta (takaisinveloitus), SET-protokolla takaa tapahtuman aitouden, mikä vähentää merkittävästi kauppiaan riskiä.

Assist-verkkosivustolla ilmoitettu maksutapa Internet-palveluntarjoajalta ostetuilla sähköisillä varmenteilla on varsin mielenkiintoinen, koska se avaa palveluntarjoajille uusia liiketoiminta-alueita, mutta saatavilla olevien tietojen mukaan oikeudellisten vaikeuksien vuoksi sitä ei ole varsinaisesti käyttänyt viime aikoihin asti. . Siitä huolimatta, jälleen epävirallisten tietojen mukaan, tämä tilanne muuttuu pian - syksyllä 2001 saatamme nähdä tämän laskentatavan ensimmäisen käytännön toteutuksen.

Kuvauksissa mainittujen CyberPlat- ja Assist-korttijärjestelmien lisäksi on muitakin, jotka ovat saaneet jonkin verran jakelua markkinoilla. Discover/NOVUS on laajalti jaettu Pohjois-Amerikassa ja saattaa kiinnostaa niitä sähköisiä liikkeitä, jotka toimivat länsimaiselle yleisölle. Emme tiedä kotimaisia ​​vastaanottoyrityksiä, jotka käsittelisivät tämän järjestelmän kortteja, mutta länsimaisten vastaanottajien etuja edustavilta välittäjiltä on useita tarjouksia. Venäläisistä korttijärjestelmistä STB:n ja Union Cardin jälkeen markkinoiden huomattavimpia ovat Zolotaya Korona, Sbercard (Sberbank), Universal Card ja ICB-kortti (Promstroybank) sekä jo edellä mainittu ACCORD-kortti / Bashcard . "ICB-korttia" hoitaa pari pientä vastaanottavaa yritystä, maksujen hyväksyminen Internetin kautta "Golden Crown"- ja "Sbercard"-korteilta oletetaan olevan suoraan liikkeeseenlaskijoiden ja/tai niihin liittyvien yritysten toimesta. Universal Cardin tapauksessa sitä ei näytä tarjoavan kukaan.

Kehittäjät asettavat Paycashin ja Webmoneyn sähköisiksi kassajärjestelmiksi, mutta lähemmin tarkasteltuna vain Paycash voi oikeutetusti vaatia tällaisen aseman.

Paycashin kehittämisen aloitti Tauride Pankki, mutta järjestelmään on tällä hetkellä liitetty muita pankkeja, esimerkiksi Guta-Bank.

Teknologisesta näkökulmasta Paycash tarjoaa lähes täydellisen jäljitelmän käteismaksuista. Yhdestä sähköisestä lompakosta (asiakkaan tietokoneelleen asentama erikoisohjelma) rahaa voidaan siirtää toiseen, samalla kun varmistetaan maksun anonyymius suhteessa pankkiin. Järjestelmä on levinnyt Venäjällä varsin laajalle ja yrittää parhaillaan päästä maailmanmarkkinoille.

Paycashin pullonkaula on rahan siirtäminen sähköiseen lompakkoon. Viime aikoihin asti ainoa tapa Voit tehdä tämän menemällä pankin konttoriin ja siirtämällä rahaa järjestelmän tilille. Totta, vaihtoehtoja oli - Guta-bank Telebank -järjestelmän käyttäjille oli mahdollista siirtää rahaa Guta-pankin tililtä poistumatta kotoa, mutta joissain tapauksissa ne on ilmeisesti helpompi siirtää suoraan tilille myyjän verkkokauppa ilman Paycashia välittäjänä. Rahansiirto oli myös mahdollista Western Unionin tai postin/sähköpostin kautta, mutta tämän reitin houkuttelevuutta rajoitti korkea provisio. Pietarin asukkaille on erittäin eksoottinen mahdollisuus - soittaa kuriirille rahaa kotona. Hienoa, mutta valitettavasti emme kaikki asu pohjoisessa pääkaupungissa.

Mahdollisuus siirtää rahaa Paycashiin luottokorteilta puuttuu edelleen. Tämä johtuu siitä, että korttijärjestelmien toimintaa tukevat yritykset tarjoavat asiakkailleen mahdollisuuden niin sanottuun "takaisinperintään" - kieltäytymiseen "takaisinmaksun" suorittamisesta. "Charge back" on mekanismi, joka suojaa luottokortin omistajaa huijareilta, jotka voivat käyttää sen tietoja. Tällaisen kieltäytymisen tapauksessa todistustaakka, että tavara on todella toimitettu todelliselle kortinhaltijalle ja että maksu on suoritettava, on myyjällä. Mutta Paycashin tapauksessa tällainen todiste on periaatteessa mahdotonta - ilmeisistä syistä. Yllä mainittu yhdyskäytävä CyberPlatin kanssa, joka on kehitteillä, on myös suunniteltu ratkaisemaan tämä ongelma.

Toistaiseksi sen kirjontaan pullonkaula PayCash on ottanut järjestelmässä kaksi varsin järkevää siirtoa - laskenut ennakkoon maksettuja raaputusarpoja ja varmistanut maksujen hyväksymisen Contact-siirtojärjestelmän kautta, jonka hinnat ovat huomattavasti postimaksuja alhaisemmat (2,2 % vs. 8 %).

Webmoney-järjestelmä on yksi "pioneereista" sähköisten maksujen markkinoilla Venäjällä. Se on tällä hetkellä kansainvälinen. Joidenkin raporttien mukaan Webmoneylla on edustajia paitsi maissa - entisen Neuvostoliiton tasavalloissa, myös ulkomailla. Järjestelmäoperaattori on itsenäinen ei-kaupallinen organisaatio "VM-keskus".

Webmoneyn toimintatapa on hyvin samanlainen kuin elektronisen käteisen kanssa työskentely, vain huolellisen ja vankan analyysin avulla voimme varmistaa, että Webmoney ei itse asiassa tarjoa maksujen täydellistä nimettömyyttä, eli niitä ei suljeta järjestelmän omistajilta itseltään. . Webmoneyn käytäntö on kuitenkin osoittanut, että tämä ominaisuus on varsin hyödyllinen, mikä mahdollistaa joissain tapauksissa petoksen käsittelemisen. Lisäksi erillisenä maksullisena palveluna "VM-Center" tarjoaa oikeushenkilön ja yksityishenkilön sertifioinnin, mikä luonnollisesti riistää häneltä nimettömyyden suhteessa muihin järjestelmän osallistujiin. Tämä mahdollisuus on välttämätön ennen kaikkea niille, jotka haluavat järjestää rehellisen sähköisen kaupan ja aikovat vakuuttaa mahdolliset ostajat luotettavuudestaan. Webmoneyn avulla voit avata tilejä ja siirtää varoja kahdessa valuutassa: ruplissa ja dollareissa.

Järjestelmään pääsemiseksi käytetään "elektronista lompakkoa" -ohjelmaa. Järjestelmän lisäominaisuuksia ovat lyhytviestien siirto lompakosta lompakkoon sekä luottotapahtumat lompakon omistajien välillä. Kuitenkin mielestämme harvat suostuvat lainaamaan nimettömille henkilöille Internetin kautta, koska he eivät voi periä lainaa väkisin takaisinmaksun epäonnistuessa.

Toisin kuin Paycash, Webmoney tarjosi alun perin mahdollisuuden sekä siirtää tavallista käteistä lompakkoon että lunastaa lompakon sisältöä ilman ikäviä toimenpiteitä maksumääräysten täyttämiseksi pankissa, mutta oikeudelliselta kannalta melko oudolla tavalla. Yleisesti ottaen Webmoneyn oikeudellinen tuki sen työskentelyssä organisaatioiden kanssa jo pitkään aiheutti paljon kritiikkiä.

Tämä oli syy siihen, että vaikka loppukäyttäjät asensivat aktiivisesti "lompakkoja" itselleen, monet verkkokaupat kieltäytyivät käyttämästä tätä EPS:ää. Totta, tällä hetkellä tilanne on jonkin verran parantunut, ja Webmoney-omistajien aktiivinen markkinointiasema johtaa siihen, että järjestelmän imago paranee jatkuvasti. Yksi mielenkiintoisia ominaisuuksia Tämä markkinointistrategia oli, että melkein heti sen markkinoille tulon jälkeen kaikille annettiin mahdollisuus ansaita rahaa tässä järjestelmässä (jotkut ihmiset saattavat muistaa Nails-projektin ja sen myöhemmän kehityksen - visiting.ru). Aivan kuten Paycash, Webmoney myöntää ennakkoon maksettuja raaputusarpoja, jotka on suunniteltu tallettamaan rahaa järjestelmään.

Kaksi raaputusarpaan perustuvaa järjestelmää: E-port (Autocard-holding) ja CreditPilot (Creditpilot.com) ovat kuin kaksoisveljekset. Molemmat olettavat, että ostaja ostaa ensin salaisen koodin sisältävän raaputusarvan jostain laajasta jakeluverkostosta tai tilaamalla kuriirin kotiinsa, minkä jälkeen hän alkaa maksaa Internetissä tällä koodilla maksuja hyväksyvien liikkeiden kanssa. näistä järjestelmistä. E-port tarjoaa lisäksi mahdollisuuden luoda "virtuaalisia" raaputusarpoja siirtämällä rahaa yrityksen tilille pankin tai "Webmoney"-järjestelmän kautta.

Syyskuussa 2001 toimintansa aloittanut Rapida-järjestelmä tarjoaa kahden edellisen tapaan rahan tallettamisen käyttäjän tilille raaputusarpojen kautta tai maksamisen järjestelmän jäsenpankissa. Lisäksi ilmoitettiin mahdollisuudesta työskennellä "Asiakas-Pankki" -tilassa ja siirtää rahaa sellaisten oikeushenkilöiden tileille, jotka eivät osallistu järjestelmään, sekä yksityishenkilöiden tileille avaamatta pankkitiliä. Pääsy järjestelmään ei ole vain Internetin kautta, vaan myös puhelimitse käyttämällä äänivalintaa. Yleisesti ottaen järjestelmä näyttää teknisesti edistyneeltä ja erittäin mielenkiintoiselta, mutta toistaiseksi sen käyttöönotosta ei ole kulunut tarpeeksi aikaa voidakseen puhua näkymistä.

EPS:t, jotka mahdollistavat maksun samalla tavalla kuin kaukopuhelut (jälkeenpäin puhelinyhtiön laskun perusteella), ilmestyivät ensimmäisen kerran Yhdysvalloissa ja niiden tarkoituksena oli maksaa pääsystä pornoresursseihin. . Monien tällaisten järjestelmien omistajien systemaattisten vilpillisten toimien vuoksi ne eivät kuitenkaan saavuttaneet suosiota ostajien keskuudessa, eivätkä myyjät olleet niihin erityisen tyytyväisiä, koska nämä järjestelmät pyrkivät viivästyttämään maksuja merkittävästi.

Tämän konseptin kaksi kotimaista toteutusta - Phonepay ja Eaccess - ovat matkansa alussa. Molemmissa järjestelmissä oletetaan, että asiakkaan on maksun suorittamiseksi soitettava tiettyyn kaukonumeroon 8-809-koodissa (jonka on ilmeisesti toimittanut MTU-inform-yhtiö), jonka jälkeen osa keskeisistä tiedoista tulee. robotti sanelee hänelle. Eaccessin tapauksessa tämä on pin-koodi, jota käytetään maksullisen tietoresurssin käyttämiseen, ja Phonepayn tapauksessa se on universaali "digitaalinen kolikko", joka koostuu 12 numerosta yhdestä viisi nimellisarvoa koodattuina järjestelmään -pääsy on vielä vähitellen kehittymässä, mikä lisää järjestelmään liitettyjen myymälöiden määrää, eikä Phonepay ole yhdistänyt järjestelmään yhtään kehittäjille kuulumatonta kauppaa.

Mielestäni tällaisilla järjestelmillä Venäjällä on melko selvät näkymät loppukäyttäjän helppokäyttöisyyteen liittyen, mutta niiden soveltamisala rajoittuu myyntiin. tietolähteitä. Maksujen saamisen pitkä viive (järjestelmä siirtää ne kauppaan aikaisintaan kun ostaja maksaa puhelinlaskun) tekee aineellisten hyödykkeiden kaupankäynnistä näiden EPS:ien avulla melko kannattamatonta.

Lopuksi on mainittava toinen EPS-tyyppi – yksilöiden väliset erikoistuneet siirtojärjestelmät, jotka kilpailevat perinteisten posti- ja lennätinsiirtojen kanssa. Tämän markkinaraon valloittivat ensin sellaiset ulkomaiset järjestelmät, kuten Western Union ja Money Gram. Perinteisiin tilisiirtoihin verrattuna ne tarjoavat nopeampia ja turvallisempia maksuja. Samaan aikaan heillä on useita merkittäviä haittoja, joista suurin on heidän palveluidensa korkeat kustannukset, jotka ovat jopa 10 % siirtosummasta. Toinen harmi on, että näitä järjestelmiä ei voida laillisesti käyttää tavaroiden maksujen systemaattiseen hyväksymiseen. Kuitenkin niille, jotka haluavat vain lähettää rahaa sukulaisille ja ystäville, on järkevää kiinnittää huomiota näihin järjestelmiin sekä kotimaisiin kollegoihinsa (Anelik ja Contact). Toistaiseksi Paycash tai Webmoney eivät pysty kilpailemaan niiden kanssa, koska käteistä ei ole mahdollista saada vetämällä sitä elektronisesta lompakosta jostain Australiasta tai Saksasta. EPS Rapida ilmoittaa tällaisesta mahdollisuudesta, mutta toistaiseksi sivuilla ei ole yksityiskohtia, eikä järjestelmän toimipisteiden maantieteellistä sijaintia voida verrata jo markkinoilla oleviin järjestelmiin.

Sähköisten kauppojen omistajien pitäisi ilmeisesti ensin ajatella rahan hyväksymistä luottokorteista ja sähköisistä kassajärjestelmistä - Webmoney ja Paycash. Mielestämme yksikään Venäjän markkinoiden luottokorttimaksujen hyväksymisjärjestelmä ei voi kilpailla CyberPlatin kanssa kuluttajaominaisuuksien yhdistelmän suhteen. Kaikki muut järjestelmät ovat valinnaisia, varsinkin jos muistat, että samaa E-porttia ei tarvitse asentaa erikseen, koska sen kortteja huoltaa CyberPlat.


2. SÄHKÖISTEN MAKSUJÄRJESTELMIEN SUOJAUSKEINOT

2.1 Sähköisten maksujärjestelmien käyttöön liittyvät uhat

Harkitse mahdollisia uhkia hyökkääjän tuhoisia toimia tähän järjestelmään liittyen. Tätä varten harkitse hyökkääjän pääasiallisia hyökkäyskohteita. Hyökkääjän hyökkäyksen pääkohde ovat taloudelliset resurssit, tai pikemminkin niiden elektroniset korvikkeet (korvikkeet) - maksujärjestelmässä kiertävät maksumääräykset. Näihin työkaluihin liittyen hyökkääjä voi saavuttaa seuraavat tavoitteet:

1. Varojen varastaminen.

2. Väärennettyjen varojen käyttöönotto (järjestelmän taloudellisen tasapainon rikkominen).

3. Järjestelmän suorituskyvyn rikkominen ( tekninen uhka).

Määritetyt hyökkäyksen kohteet ja tavoitteet ovat luonteeltaan abstrakteja eivätkä mahdollista tarvittavien tietojen suojaamistoimenpiteiden analysointia ja kehittämistä, joten taulukossa 4 on eritelty hyökkääjän tuhoavien vaikutusten kohteista ja tavoitteista.


Taulukko 4 Malli hyökkääjän mahdollisista tuhoisista toimista

Vaikutuksen kohde

Vaikutuksen tarkoitus

Mahdolliset mekanismit vaikutuksen toteuttamiseksi.

HTML-sivut pankin verkkopalvelimella

Korvaaminen asiakkaan maksutoimeksiannon antamien tietojen saamiseksi.

Hyökkäys palvelimeen ja sivujen korvaaminen palvelimella.

Sivujen korvaaminen liikenteessä.

Hyökkäys asiakkaan tietokoneeseen ja sivujen korvaaminen asiakkaalla

Asiakastietosivut palvelimella

Tietojen saaminen asiakkaan maksuista

Hyökkäys palvelimeen.

Hyökkäys liikennettä vastaan.

Hyökkäys asiakkaan tietokoneeseen.

Asiakkaan lomakkeelle syöttämät maksumääräyksen tiedot

Asiakkaan maksutoimeksiantoon syöttämien tietojen saaminen.

Hyökkäys asiakkaan tietokoneeseen (virukset jne.).

Hyökkää näihin ohjeisiin, kun ne lähetetään liikenteen läpi.

Hyökkäys palvelimeen.

Yksityiset asiakastiedot, jotka sijaitsevat asiakkaan tietokoneella ja eivät liity sähköiseen maksujärjestelmään

Asiakkaan luottamuksellisten tietojen hankkiminen.

Asiakastietojen muuttaminen.

Asiakkaan tietokoneen poistaminen käytöstä.

Koko kompleksi tunnetuista hyökkäyksistä Internetiin yhdistettyyn tietokoneeseen.

Lisähyökkäykset, jotka ilmenevät maksujärjestelmän mekanismien käytön seurauksena.

Pankin käsittelykeskuksen tiedot.

Käsittelykeskuksen ja tietojen luovuttaminen ja muuttaminen paikallinen verkko purkki.

Hyökkäys Internetiin yhdistettyyn paikallisverkkoon.

Seuraa tästä taulukosta perusvaatimukset, jotka kaikkien Internetin kautta suoritettavien sähköisten maksujärjestelmien on täytettävä:

Ensinnäkin järjestelmän on varmistettava maksumääräystietojen suojaus luvattomilta muutoksilta ja muutoksilta.

Toiseksi järjestelmän ei pitäisi lisätä hyökkääjän kykyä järjestää hyökkäyksiä asiakkaan tietokonetta vastaan.

Kolmanneksi järjestelmän on varmistettava palvelimella olevien tietojen suojaus luvattomalta lukemiselta ja muuttamiselta.

Neljänneksi järjestelmän on tarjottava tai tuettava järjestelmä, joka suojaa pankin paikallisverkkoa maailmanlaajuisen verkon altistumiselta.

Kun kehitetään erityisiä järjestelmiä sähköisten maksutietojen suojaamiseksi, tämä malli ja vaatimuksia on tarkasteltava tarkemmin. Nykyisessä esityksessä tällaisia ​​yksityiskohtia ei kuitenkaan vaadita.


2.2 Sähköisten maksujärjestelmien turvatekniikat

WWW:n kehitystä jarrutti jonkin aikaa se, että WWW:n perustana olevat html-sivut ovat staattista tekstiä, ts. heidän avullaan on vaikea järjestää interaktiivista tiedonvaihtoa käyttäjän ja palvelimen välillä. Kehittäjät ovat ehdottaneet monia tapoja laajentaa HTML:n ominaisuuksia tähän suuntaan, joista monia ei ole otettu laajalti käyttöön. Yksi tehokkaimmista ratkaisuista, joka oli uusi vaihe Internetin kehityksessä, oli Sunin ehdotus Java-sovelmien käyttämisestä interaktiivisina HTML-sivuihin liitettävinä komponentteina.

Java-sovelma on Java-ohjelmointikielellä kirjoitettu ohjelma, joka on koottu erityisiksi tavukoodeiksi, jotka ovat jonkin virtuaalisen tietokoneen - Java-koneen - koodeja ja jotka eroavat Intel-prosessorien koodeista. Sovelmia isännöidään Web-palvelimella ja ne ladataan käyttäjän tietokoneelle aina, kun avataan HTML-sivu, joka sisältää kutsun kyseiseen sovelmaan.

Sovelmien koodien suorittamista varten vakioselain sisältää Java-konetoteutuksen, joka tulkitsee tavukoodit Intelin (tai muun) prosessoriperheen konekäskyiksi. Java-sovelmien tekniikalle ominaiset ominaisuudet mahdollistavat toisaalta tehokkaan kehittämisen käyttöliittymät, järjestää pääsyn kaikkiin verkkoresursseihin URL-osoitteen perusteella, on helppo käyttää TCP / IP-, FTP- jne. protokollia ja toisaalta tehdä mahdottomaksi pääsyn suoraan tietokoneresursseihin. Esimerkiksi sovelmilla ei ole pääsyä tiedostojärjestelmä tietokone ja siihen liitetyt laitteet.

Samanlainen ratkaisu WWW-ominaisuuksien laajentamiseen on Microsoftin Active X -teknologia, jonka merkittävin ero Javaan on, että komponentit (sovelmien analogit) ovat ohjelmia koodeissa. Intel prosessori ja että näillä komponenteilla on pääsy kaikkiin tietokoneen resursseihin sekä Windows-liitäntöihin ja palveluihin.

Toinen vähemmän yleinen tapa WWW:n parantamiseen on Netscapen Netscape Navigator -teknologian Plug-in. Juuri tämä tekniikka näyttää olevan optimaalinen perusta tietoturvajärjestelmien rakentamiseen Internetin kautta tapahtuvaa sähköistä maksua varten. Tarkempaa esitystä varten pohditaan, kuinka tämä tekniikka ratkaisee Web-palvelimen tietojen suojaamisen ongelman.

Oletetaan, että on olemassa jokin verkkopalvelin ja järjestelmänvalvoja tämä palvelin on tarpeen rajoittaa pääsy johonkin palvelimen tietotaulukon osaan, ts. järjestää niin, että joillakin käyttäjillä on pääsy joihinkin tietoihin, kun taas toisilla ei.

Tällä hetkellä ehdotetaan useita lähestymistapoja tämän ongelman ratkaisemiseksi, erityisesti monia OS, jonka hallinnassa Internet-palvelimet toimivat, pyytävät salasanaa pääsyyn joillekin alueilleen, esim. vaativat todennusta. Tällä lähestymistavalla on kaksi merkittävää haittapuolta: ensinnäkin tiedot tallennetaan itse palvelimelle avoimessa muodossa ja toiseksi tiedot välitetään myös verkon yli avoimessa muodossa. Siten hyökkääjällä on mahdollisuus järjestää kaksi hyökkäystä: itse palvelinta vastaan ​​(salasanan arvaaminen, salasanan ohittaminen jne.) ja hyökkäävä liikenne. Tosiasiat tällaisten hyökkäysten toteuttamisesta ovat laajalti Internet-yhteisön tiedossa.

Toinen tunnettu tapa ratkaista tietoturvaongelma on SSL (Secure Sockets Layer) -tekniikkaan perustuva lähestymistapa. SSL:ää käytettäessä asiakkaan ja palvelimen välille muodostetaan suojattu viestintäkanava, jonka kautta dataa siirretään, ts. ongelmaa tiedon siirtämisestä selkeänä tekstinä verkon yli voidaan pitää suhteellisen ratkaistuna. SSL:n suurin ongelma on avainjärjestelmän rakentaminen ja sen hallinta. Mitä tulee ongelmaan tietojen tallentamisesta palvelimelle avoimessa muodossa, se on edelleen ratkaisematta.

Toinen yllä kuvattujen lähestymistapojen tärkeä haittapuoli on niiden tuen tarve sekä palvelimen että verkkoasiakkaan ohjelmistopuolelta, mikä ei aina ole mahdollista ja kätevää. Varsinkin massa- ja järjestäytymättömään asiakkaaseen keskittyneissä järjestelmissä.

Tekijän ehdottama lähestymistapa perustuu html-sivujen suojaamiseen suoraan, sillä ne ovat Internetin tärkein tiedonvälittäjä. Suojauksen ydin on siinä, että HTML-sivuja sisältävät tiedostot tallennetaan palvelimelle salatussa muodossa. Samaan aikaan avain, jolla ne on salattu, on vain sen salaajan (järjestelmänvalvojan) ja asiakkaiden tiedossa (yleensä avainjärjestelmän rakentamisongelma ratkaistaan ​​samalla tavalla kuin läpinäkyvän järjestelmän tapauksessa). tiedostojen salaus).

Asiakkaat pääsevät suojattuun tietoon Netscapen Netscapen Plug-inin kautta. Nämä moduulit ovat ohjelmia, tarkemmin sanottuna ohjelmistokomponentit, jotka liittyvät tiettyihin tiedostotyyppeihin MIME-standardissa. MIME on kansainvälinen standardi, joka määrittää Internetin tiedostomuodot. Esimerkiksi on olemassa seuraavat tiedostotyypit: text/html, text/plane, image/jpg, image/bmp jne. Lisäksi standardi määrittelee asetusmekanismin mukautettuja tyyppejä tiedostot, jotka riippumattomat kehittäjät voivat määrittää ja käyttää.

Joten käytetään laajennuksia, jotka liittyvät tiettyihin MIME-tiedostotyyppeihin. Yhteys piilee siinä, että kun käyttäjä pääsee käsiksi vastaavan tyyppisiin tiedostoihin, selain käynnistää siihen liittyvän Plug-inin ja tämä moduuli suorittaa kaikki toimenpiteet tiedostotietojen visualisoimiseksi ja käyttäjän toimien käsittelemiseksi näillä tiedostoilla.

Tunnetuimmat Plug-in-moduulit ovat moduuleja, jotka toistavat videoleikkeitä avi-muodossa. Näiden tiedostojen katselu ei sisälly selainten tavanomaisiin toimintoihin, mutta asentamalla sopivan laajennuksen voit helposti tarkastella näitä tiedostoja selaimessa.

Lisäksi kaikki vahvistetun kansainvälisen standardijärjestyksen mukaiset salatut tiedostot määritellään MIME-tyyppisiksi tiedostoiksi. "sovellus/x-shp". Sitten Netscape-tekniikan ja protokollien mukaisesti kehitetään Plug-in, joka liittyy tähän tiedostotyyppiin. Tämä moduuli tekee kaksi asiaa: ensinnäkin se pyytää salasanaa ja käyttäjätunnusta ja toiseksi se purkaa salauksen ja näyttää tiedoston selainikkunassa. Tämä moduuli asennetaan Netscapen säännöllisen määräyksen mukaisesti kaikkien asiakastietokoneiden selaimiin.

Tässä valmisteluvaiheessa järjestelmä on käyttövalmis. Toiminnan aikana asiakkaat käyttävät salattuja html-sivuja vakioosoitteestaan ​​(URL). Selain määrittää näiden sivujen tyypin ja käynnistää automaattisesti kehittämämme moduulin välittäen sille salatun tiedoston sisällön. Moduuli todentaa asiakkaan ja onnistuneen valmistumisen jälkeen purkaa ja näyttää sivun sisällön.

Suorittaessaan koko toimenpidettä asiakas saa tunteen "läpinäkyvästä" sivun salauksesta, koska kaikki yllä kuvattu järjestelmän toiminta on piilotettu hänen silmistään. Samalla säilytetään kaikki html-sivuille upotetut vakioominaisuudet, kuten kuvien käyttö, Java-sovelmat, CGI-skriptit.

On helppo nähdä, että tämä lähestymistapa ratkaisee monia tietoturvaongelmia, koska avoimessa muodossa se on vain asiakkaiden tietokoneilla, tiedot välitetään verkon yli salatussa muodossa. Hyökkääjä, joka pyrkii hankkimaan tietoja, voi suorittaa hyökkäyksen vain tiettyä käyttäjää vastaan, eikä yksikään palvelimen tietojen suojausjärjestelmä voi suojautua tältä hyökkäykseltä.

Tällä hetkellä kirjoittaja on kehittänyt kaksi tietoturvajärjestelmää, jotka perustuvat ehdotettuun lähestymistapaan Netscape Navigator (3.x) ja Netscape Communicator 4.x -selaimille. Aikana esitestaus todettiin, että kehitetyt järjestelmät voivat toimia normaalisti MExplorerin ohjauksessa, mutta eivät kaikissa tapauksissa.

On tärkeää huomata, että nämä järjestelmien versiot eivät salaa HTML-sivuun liittyviä objekteja: kuvia, komentosarjasovelmia jne.

System 1 tarjoaa suojauksen (salauksen) todellisille html-sivuille yhtenä kokonaisuutena. Luot sivun, salaat sen ja kopioit sen palvelimelle. Kun käytät salattua sivua, sen salaus puretaan automaattisesti ja näytetään erityisessä ikkunassa. Palvelinohjelmiston turvajärjestelmän tukea ei tarvita. Kaikki salaukseen ja salauksen purkamiseen liittyvät työt suoritetaan asiakkaan työasemalla. Tämä järjestelmä on universaali, ts. ei riipu sivun rakenteesta ja tarkoituksesta.

System 2 tarjoaa erilaisen lähestymistavan turvallisuuteen. Tämä järjestelmä näyttää suojatut tiedot jollakin sivusi alueella. Tiedot ovat salatussa tiedostossa (ei välttämättä html-muodossa) palvelimella. Kun siirryt sivullesi, suojausjärjestelmä käyttää automaattisesti tätä tiedostoa, lukee siitä tiedot ja näyttää ne tietyllä sivun alueella. Tämän lähestymistavan avulla voit saavuttaa maksimaalisen tehokkuuden ja esteettisen kauneuden minimaalisella monipuolisuudella. Nuo. järjestelmä osoittautuu keskittyneen tiettyyn tarkoitukseen.

Tätä lähestymistapaa voidaan soveltaa myös sähköisten maksujärjestelmien rakentamiseen Internetin kautta. Tässä tapauksessa Web-palvelimen tietylle sivulle siirtyessä käynnistetään Plug-in-moduuli, joka näyttää käyttäjälle maksumääräyslomakkeen. Kun asiakas on täyttänyt sen, moduuli salaa maksutiedot ja lähettää ne palvelimelle. Samalla hän voi pyytää käyttäjältä sähköistä allekirjoitusta. Lisäksi salausavaimia ja allekirjoituksia voidaan lukea miltä tahansa välineeltä: levykkeiltä, ​​sähköisiltä tableteilta, älykorteilta jne.

2.3 Teknologioiden analysointi sähköisten maksujärjestelmien perusvaatimusten täyttämiseksi


Edellä on kuvattu kolme tekniikkaa, joita voidaan käyttää maksujärjestelmien rakentamiseen Internetin kautta: tämä on Java-sovelmiin, Active-X-komponentteihin ja laajennuksiin perustuva tekniikka. Kutsutaan niitä teknologioiksi J, AX ja P.

Harkitse vaatimusta, jonka mukaan hyökkääjän kyky hyökätä tietokoneeseen ei kasva. Tätä varten analysoidaan yksi mahdollisista hyökkäystyypeistä - vastaavien asiakassuojausmoduulien korvaaminen hyökkääjällä. Tekniikassa J nämä ovat sovelmia, AX:n tapauksessa upotettavat komponentit, P:n tapauksessa ne ovat laajennuksia. On selvää, että hyökkääjä pystyy korvaamaan suojausmoduulit suoraan asiakkaan tietokoneeseen. Tämän hyökkäyksen toteuttamismekanismit eivät kuulu tämän analyysin piiriin, mutta on kuitenkin huomattava, että tämän hyökkäyksen toteutus ei riipu tarkasteltavasta suojaustekniikasta. Ja jokaisen tekniikan turvallisuustaso on sama, ts. he ovat kaikki yhtä haavoittuvia tälle hyökkäykselle.

Haavoittuvin kohta J- ja AX-teknologioissa korvaamisen kannalta on niiden lataaminen Internetistä. Juuri tässä vaiheessa hyökkääjä voi tehdä vaihdon. Lisäksi, jos hyökkääjä onnistuu vaihtamaan nämä moduulit pankin palvelimelle, hän saa pääsyn kaikkiin Internetissä kiertäviin maksujärjestelmän tietoihin.

Tekniikan P tapauksessa korvausvaaraa ei ole, koska moduulia ei ladata verkosta - se on pysyvästi tallennettu asiakkaan tietokoneelle.

Huijauksen seuraukset ovat erilaisia: J-teknologian tapauksessa hyökkääjä voi varastaa vain asiakkaan syöttämät tiedot (mikä on vakava uhka), ja Active-X:n ja Plug-inin tapauksessa hyökkääjä voi saada kaikki tiedot, joihin tietokoneessa toimivalla asiakasohjelmalla on pääsy.

Tällä hetkellä kirjoittaja ei ole tietoinen erityisistä tavoista toteuttaa Java-sovelmien huijaushyökkäyksiä. Ilmeisesti nämä hyökkäykset kehittyvät huonosti, koska niistä aiheutuvat mahdollisuudet tietojen varastamiseen ovat käytännössä poissa. Hyökkäykset Active-X-komponentteihin ovat kuitenkin laajalle levinneitä ja hyvin tunnettuja.

Harkitse vaatimusta suojata sähköisessä maksujärjestelmässä Internetin kautta kiertävää tietoa. Ilmeisesti tässä tapauksessa tekniikka J on huonompi kuin P ja AX yhdessä erittäin merkittävässä asiassa. Kaikki tiedon suojausmekanismit perustuvat salaukseen tai sähköiseen allekirjoitukseen, ja kaikki asiaankuuluvat algoritmit perustuvat salausmuunnoksiin, jotka edellyttävät avainelementtien käyttöönottoa. Tällä hetkellä avainelementtien pituus on noin 32-128 tavua, joten on lähes mahdotonta vaatia käyttäjää syöttämään niitä näppäimistöltä. Herää kysymys, kuinka ne syötetään? Koska P- ja AX-tekniikoilla on pääsy tietokoneresursseihin, ratkaisu tähän ongelmaan on ilmeinen ja tunnettu - avaimet luetaan paikallisista tiedostoista, levykkeistä, tableteista tai älykorteista. Mutta tekniikan J tapauksessa tällainen syöttö on mahdotonta, mikä tarkoittaa, että joudut joko vaatimaan asiakasta syöttämään pitkän sarjan merkityksettömiä tietoja tai vähentämällä avainelementtien pituutta vähentämällä salausmuunnosten voimakkuutta ja heikentää näin ollen suojamekanismien luotettavuutta. Lisäksi tämä lasku on erittäin merkittävä.

Harkitse vaatimusta, että sähköisen maksujärjestelmän on järjestettävä palvelimella olevien tietojen suojaus luvattomalta lukemiselta ja muuttamiselta. Tämä vaatimus johtuu siitä, että järjestelmä sisältää käyttäjälle tarkoitettujen luottamuksellisten tietojen sijoittamisen palvelimelle. Esimerkiksi luettelo hänen lähettämistä maksumääräyksistä, joissa on huomautus käsittelyn tuloksista.

Tekniikan P tapauksessa tiedot esitetään html-sivuina, jotka salataan ja sijoitetaan palvelimelle. Kaikki toiminnot suoritetaan yllä kuvatun algoritmin mukaisesti (html-sivujen salaus).

J- ja AX-tekniikoiden tapauksessa nämä tiedot voidaan sijoittaa jossain jäsennellyssä muodossa palvelimella olevaan tiedostoon, ja komponenttien tai sovelmien on suoritettava tietojen luku- ja visualisointitoiminnot. Kaikki tämä yleensä johtaa sovelmien ja komponenttien kokonaiskoon kasvuun ja siten vastaavien sivujen latausnopeuden laskuun.

Tämän vaatimuksen näkökulmasta teknologia P voittaa paremman valmistettavuutensa ansiosta, ts. vähemmän yleiskustannuksia kehitystyössä ja suurempi vastustuskyky komponenttien vaihtamiselle, kun ne kulkevat verkon läpi.

Mitä tulee viimeiseen pankkialueen paikallisverkon suojaamista koskevaan vaatimukseen, se täytetään palomuurijärjestelmän (palomuurit) pätevän rakentamisen avulla, eikä se ole riippuvainen tarkasteltavasta tekniikasta.

Edellä oleva oli siis alustava vertaileva analyysi teknologiat J, AX ja P, joista seuraa, että teknologiaa J tulisi käyttää, jos asiakkaan tietokoneen turvallisuustason ylläpitäminen on paljon tärkeämpää kuin sähköisissä maksujärjestelmissä käytettävien kryptografisten muunnosten vahvuus.

P-teknologia näyttää olevan optimaalinen teknologinen ratkaisu maksutietoturvajärjestelmien taustalla, sillä siinä yhdistyvät tehot vakiosovellus Win32 ja suoja hyökkäyksiltä Internetin kautta. Tätä teknologiaa käyttävien projektien käytännön ja kaupallisen toteutuksen toteuttaa esimerkiksi Venäjän talousviestintäyhtiö.

Mitä tulee AX-teknologiaan, sen käyttö näyttää olevan tehotonta ja epävakaa haitallisille hyökkäyksille.

PÄÄTELMÄ

Elektronisesta rahasta on tulossa yhä enemmän jokapäiväistä todellisuuttamme, joka on ainakin otettava huomioon. Tietenkään kukaan ei seuraavien viidenkymmenen vuoden aikana (luultavasti) peruuta tavallista rahaa. Mutta elektronisen rahan hallinnan epäonnistuminen ja sen tuomien mahdollisuuksien käyttämättä jättäminen tarkoittaa vapaaehtoista "rautaesiripun" pystyttämistä itsensä ympärille, joka on vetäytynyt niin vaikeasti viimeisten viidentoista vuoden aikana. Monet suuret yritykset maksavat palveluistaan ​​ja tavaroistaan ​​sähköisten maksujen kautta. Kuluttajalle tämä säästää paljon aikaa.

Ilmaiset ohjelmistot sähköisen lompakon avaamiseen ja kaikkeen rahalla tapahtuvaan työhön on sovitettu maksimaalisesti massatietokoneisiin, eikä se pienen harjoittelun jälkeen aiheuta ongelmia tavalliselle käyttäjälle. Aikamme on tietokoneiden, Internetin ja sähköisen kaupankäynnin aikaa. Ihmiset, joilla on tietoa näillä aloilla ja sopivat keinot saavuttavat valtavaa menestystä. Sähköinen raha on rahaa, joka leviää päivä päivältä enemmän ja avaa yhä enemmän mahdollisuuksia henkilölle, jolla on pääsy verkkoon.

Laskenta- ja graafisen työn tarkoitus on täyttynyt ja ratkaissut seuraavat tehtävät:

1. Määritetään sähköisten maksujärjestelmien päätehtävät ja toimintaperiaatteet, niiden ominaisuudet.

2. Analysoidaan tärkeimmät sähköisen maksamisen järjestelmät.

3. Analysoi sähköisen rahan käyttöön liittyviä uhkia.

4. Analysoitu suojakeinoja käytettäessä sähköisiä maksujärjestelmiä.

VIITTEET

1. Antonov N.G., Pessel M.A. Rahankierto, luotto ja pankit. -M.: Finstatinform, 2005, s. 179-185.

2. Pankkisalkku - 3. - M .: Somintek, 2005, s. 288-328.

3. Mihailov D.M. Kansainväliset maksut ja takuut. Moskova: FBK-PRESS, 2008, s. 20-66.

4. Polyakov V.P., Moskovkina L.A. Keskuspankkien rakenne ja tehtävät. Ulkomainen kokemus: Oppikirja. - M.: INFRA-M, 2006.

5. Gaikovich Yu.V., Pershin A.S. Sähköisten pankkijärjestelmien turvallisuus. - M: Yhdistynyt Eurooppa, 2004

6. Demin V.S. jne. Automaattiset pankkijärjestelmät. - M: Menatep-Inform, 2007

7. Krysin V.A. Liiketoiminnan turvallisuus. - M: Talous ja tilastot, 2006

8. Linkov I.I. et al. Tietojen alajaot kaupallisissa rakenteissa: kuinka selviytyä ja menestyä. - M: NIT, 2008

9. Titorenko G.A. ja muut pankkitoiminnan tietokoneistaminen. - M: Finstatinform, 2007

10. Tushnolobov I.B., Urusov D.P., Yartsev V.I. Hajautetut verkot. - Pietari: Pietari, 2008

12. Aglitski I. Venäläisten pankkien tietotuen tila ja näkymät. - Pankkiteknologiat, 2007 nro 1.


Tutorointi

Tarvitsetko apua aiheen oppimisessa?

Asiantuntijamme neuvovat tai tarjoavat tutorointipalveluita sinua kiinnostavista aiheista.
Lähetä hakemus ilmoittamalla aiheen juuri nyt saadaksesi selville mahdollisuudesta saada konsultaatio.

3. Sähköisten maksujen suojaaminen

Pankkitietona on erityisen akuutti kysymys pankkien turvallisuudesta, Ensinnäkin se edustaa oikeaa rahaa, ja toiseksi se vaikuttaa useiden pankkiasiakkaiden luottamuksellisiin etuihin.

Sähköisen kaupankäynnin markkinoiden koko vuonna 2000

Markkinoiden volyymi ja ominaisuudet Arvio, USD
Kaikkien Internet-tuotteiden ostojen kokonaiskustannukset 4,5-6 miljardia
Kaikkien ostosten kokonaisarvo keskimääräistä asiakasta kohti 600-800
Keskimääräinen hankintahinta per Internet-tapahtuma 25-35
Internetin kautta tehtyjen liiketoimien-hankintojen kokonaismäärä 130-200 miljoonaa
Osuus tuotteiden ostoista verkossa 60-70%
Osuus toimitettujen tavaroiden ostoista 30-40%

Sähköisten maksujärjestelmien yleinen toimintakaavio

Pankki, joka on tehnyt sopimuksen järjestelmän kanssa ja saanut asianmukaisen toimiluvan, voi toimia kahdessa ominaisuudessa - tämän järjestelmän kaikkien muiden osallistuvien pankkien maksuun hyväksymien maksuvälineiden myöntäjänä ja maksua vastaanottavana palveluyrityksenä. tämän järjestelmän maksuvälineitä, jotka muut liikkeeseenlaskijat ovat myöntäneet ja jotka hyväksyvät nämä maksutavat lunastamiseen konttoreissaan.
Maksuprosessi on melko yksinkertainen. Ensinnäkin yrityksen kassan on tarkistettava kortin aitous asiaankuuluvien merkkien mukaan.
Maksaessaan yrityksen on siirrettävä asiakkaan kortin tiedot erityissekkiin kopiokoneella - painajalla, syötettävä sekkiin summa, jolla osto on tehty tai tarjottu palveluja, ja saatava asiakkaan allekirjoitus.
Tällä tavalla laadittua shekkiä kutsutaan kuittiksi. Turvallisen asioinnin vuoksi maksujärjestelmä suosittelee alempia rajoja summille eri alueille ja yritystyypeille, joita voidaan käyttää luvatta. Jos raja ylittyy tai jos asiakkaan henkilöllisyydestä on epäselvyyttä, yritys on velvollinen suorittamaan valtuutusprosessin.
Käsittelemättä menettelyn teknisiä näkökohtia, huomautamme, että valtuutuksen aikana yritys todella saa tiedon asiakkaan tilin tilasta ja saa siten mahdollisuuden todeta asiakkaan kortin omistajuus ja sen maksukyky. tapahtuman summan verran. Yksi kopio kuitista jää yritykseen, toinen siirretään asiakkaalle, kolmas toimitetaan vastaanottavaan pankkiin ja toimii perustana maksusumman palautukselle yritykselle asiakkaan tililtä.
Viime vuosina suuren suosion ovat nousseet POS-päätteet, joita käytettäessä ei tarvitse täyttää kuitteja. Kortin tiedot luetaan POS-päätteeseen sisäänrakennetun lukijan magneettinauhalta, tapahtuman summa syötetään näppäimistöltä ja pääte hakee sisäänrakennetun modeemin kautta valtuutusta vastaavalta maksujärjestelmältä. Tällöin käytetään käsittelykeskuksen teknisiä kapasiteettia, jonka palvelut pankki tarjoaa kauppiaalle. Tällöin yritys raportoi pankille kopiolla kassanauhasta, jossa on näyte asiakkaan allekirjoituksesta ja erätiedostot, jotka pääte luo arkipäivän lopussa.
Viime vuosina siihen on kiinnitetty enemmän huomiota mikroprosessorikortteja käyttävät pankkijärjestelmät. Ulkoisesti nämä tiedonvälittäjät eivät eroa tavallisista korteista lukuun ottamatta kortin sisään juotettua muistisirua tai mikroprosessoria ja sen pinnalle asetettuja kontaktilevyjä.
Perimmäinen ero näiden korttien ja kaikkien edellä mainittujen välillä on, että ne sisältävät suoraan tietoa asiakkaan tilin tilasta, koska ne ovat itse kauttakulkutili. On selvää, että jokainen tällaisten korttien vastaanottopiste on varustettava erityisellä POS-päätteellä (sirunlukijalla).
Voidakseen käyttää korttia asiakkaan tulee ladata se tililtään pankkipäätteessä. Kaikki tapahtumat tehdään OFF-LINE-tilassa dialogikortti - pääte tai asiakaskortti - kauppiaskortti aikana.
Tällainen järjestelmä on lähes täysin turvallinen korkean siruturvallisuuden ja täyden veloituksen selvitysjärjestelmän ansiosta. Lisäksi, vaikka itse kortti on huomattavasti kalliimpi kuin tavallinen, käytössä oleva järjestelmä osoittautuu vielä halvemmaksi, koska tietoliikenteen kuormitusta ei käytetä OFF-LINE-tilassa.
Sähköiset maksut muovisilla pankkikorteilla monenlaisia edustavat riittävän joustavaa ja yleistä selvitysmekanismia ketjussa "Pankki 1 - Asiakas - Yritys - Pankki 2" ja "Pankki 1 - ... - Pankki N" -tyyppisissä pankkien välisissä maksuissa. Kuitenkin näiden maksuvälineiden monipuolisuus tekee niistä erityisen houkuttelevia petoskohteita. Väärinkäytösten vuotuinen tappioerä on vaikuttava summa, vaikkakin suhteellisen pieni kokonaisliikevaihtoon verrattuna.

Turvajärjestelmää ja sen kehitystä ei voi tarkastella erillään muovikorteilla tapahtuvan laittoman toiminnan menetelmistä, jotka voidaan jakaa 5 pääasiallista rikostyyppiä.

1. Toiminnot väärennetyillä korteilla.
Tämäntyyppiset petokset muodostavat suurimman osan maksujärjestelmän tappioista. Oikeiden korttien korkeasta teknisestä ja teknologisesta turvallisuudesta johtuen itse tehtyjä kortteja käytetään viime aikoina harvoin ja ne voidaan tunnistaa yksinkertaisimmalla diagnostiikalla.
Väärentämiseen käytetään pääsääntöisesti varastettuja korttiaihioita, joihin kirjataan pankin ja asiakkaan tiedot. Koska rikolliset ovat teknisesti hyvin varusteltuja, he voivat jopa laittaa tietoja kortin magneettiraidalle tai kopioida sitä, sanalla sanoen tehdä väärennöksiä korkealla tasolla.
Tällaisten toimien syyllistyneet ovat pääsääntöisesti järjestäytyneet rikollisryhmät, jotka tekevät joskus salaliittoa liikkeeseenlaskijoiden pankkien työntekijöiden kanssa, joilla on pääsy tietoihin asiakkaiden tileistä ja liiketoimien suorittamismenettelystä. Kunnioituksena kansainväliselle rikollisyhteisölle, on huomattava, että väärennetyt kortit ilmestyivät Venäjälle lähes samanaikaisesti tämän pankkimarkkinoiden sektorin kehityksen alkamisen kanssa.

2. Toiminnot varastetuilla/kadonneilla korteilla.
Varastetulle kortille on mahdollista tehdä suuria vahinkoja vain, jos huijari tietää asiakkaan PIN-koodin. Sitten on mahdollista nostaa suuri summa asiakkaan tililtä sähköisten kassojen - pankkiautomaattien verkoston kautta, ennen kuin varastetun kortin myöntäneellä pankilla on aikaa laittaa se sähköiselle pysäytyslistalle (kelpaamattomien korttien luettelo).

3. Useat maksut palveluista ja tavaroista määrille, jotka eivät ylitä "alarajaa" ja jotka eivät vaadi lupaa. Maksujen suorittamiseksi rikollisen tarvitsee vain väärentää asiakkaan allekirjoitus. Tämän järjestelmän avulla houkuttelevin väärinkäytön kohde muuttuu kuitenkin saavuttamattomaksi - Käteinen raha. Tähän luokkaan kuuluvat rikokset, joissa kortteja varastetaan, kun kortin myöntänyt pankki on siirtänyt niitä asiakkailleen postitse.

4. Petos posti-/puhelintilauksilla.
Tämäntyyppinen rikos ilmeni palvelun kehittämisen yhteydessä tavaroiden ja palvelujen toimittamiseksi asiakkaan postitse tai puhelintilauksella. Tietäen uhrinsa luottokorttinumeron rikollinen voi ilmoittaa sen tilauslomakkeeseen ja saatuaan tilapäisen asuinosoitteen tilauksen kadota.

5. Useita nostoja tililtä.
Nämä rikokset ovat yleensä työntekijöiden tekemiä laillinen taho, joka ottaa vastaan ​​maksun asiakkaalta tavaroista ja palveluista luottokortilla, ja se suoritetaan antamalla useita maksukuitit yhdestä maksutapahtumasta. Esitettyjen shekkien perusteella yrityksen tilille hyvitetään enemmän rahaa kuin myydyn tavaran tai suoritetun palvelun hankintahinta. Useiden liiketoimien jälkeen rikollinen kuitenkin joutuu lopettamaan yrityksen tai jättämään sen.

Tällaisten toimenpiteiden välttämiseksi kortinkäyttäjiä kehotetaan kiinnittämään enemmän huomiota allekirjoitettuihin asiakirjoihin asioidessaan (myös pienissä summissa).

Turvaosastojen käyttämät menetelmät voidaan jakaa kahteen pääluokkaan. Ensimmäinen ja ehkä tärkein taso liittyy itse muovikortin tekniseen turvallisuuteen. Nyt voimme todeta luottavaisin mielin, että teknologian näkökulmasta kortti on paremmin suojattu kuin setelit, ja sen valmistaminen itse ilman kehittyneitä teknologioita on lähes mahdotonta.
Minkä tahansa maksujärjestelmän kortit täyttävät tiukat standardit. Kortissa on vakiolomake. Pankin tunnistenumero järjestelmässä (BIN-koodi) ja asiakkaan tilinumero pankissa, hänen etu- ja sukunimi, kortin voimassaoloaika on kohokuvioitu ja sijoitettu tarkasti määriteltyihin kohtiin kortin etupuolelle. Siellä on myös holografisella tavalla tehty maksujärjestelmän symboli. Kortin numeron neljä viimeistä numeroa on kohokuvioitu (kohokuvioitu) suoraan holografiseen symboliin, mikä tekee mahdottomaksi kopioida hologrammia tai kohottaa koodia uudelleen tuhoamatta symbolia.
Kortin kääntöpuolella on magneettiraita ja alue, jossa on näyte omistajan allekirjoituksesta. Magneettinauhalle tiukasti määriteltyihin paikkoihin ja salausalgoritmeja käyttäen tallennetaan itse maksujärjestelmän tiedot, turvamerkit, tietojen kopioimisen estävät symbolit ja monistetaan kortin etupuolelle painetut tiedot. Omistajan allekirjoitusnäytealueella on erikoispinnoite. Pienimmässäkin poistoyrityksessä tai allekirjoituksen edelleenlähetyksessä pinnoite tuhoutuu ja näkyviin tulee erivärinen alusta maksujärjestelmän turvasymboleilla.
Loput kortin pinta-alasta on kokonaan kortin myöntäneen pankin käytettävissä ja on mielivaltaisesti piirretty pankin tunnuksilla, sen mainoksilla ja asiakkaille tarpeellisilla tiedoilla. Itse kortti on suojattu merkeillä, jotka näkyvät vain ultraviolettivalossa.
Teknisiin suojatoimenpiteisiin kuuluu myös pankkien viestinnän, pankkiverkkojen suojaaminen laittomalta tunkeutumiselta, häiriöiltä ja muilta tiedon vuotamiseen tai jopa tuhoutumiseen johtavilta ulkoisilta vaikutuksilta. Suojaus suoritetaan ohjelmistolla ja laitteistolla, ja sen ovat sertifioineet maksujärjestelmän valtuutetut organisaatiot.
Toinen suojatoimenpiteiden luokka sisältää toimenpiteet, joilla estetään tietojen vuotaminen muovikortteja käsitteleviltä pankkien osastoilta. Pääperiaatteena on työntekijöiden tehtävien selkeä rajaaminen ja sen mukaisesti turvaluokiteltuihin tietoihin pääsyn rajoittaminen työssä tarvittavan vähimmäismäärän verran.
Nämä toimenpiteet vähentävät rikollisten ja työntekijöiden välisen yhteistyön riskiä ja mahdollisuutta. Työntekijöiden kanssa järjestetään jatkokoulutuksen teemaseminaareja. Maksujärjestelmät jakavat säännöllisesti tietoturvatiedotteita, joissa julkaistaan ​​virallista aineistoa ja tilastoja kortilla tehdyistä rikoksista, raportoidaan rikollisten merkkejä ja merkkejä väärennetyistä korteista. Tiedotteiden kautta koulutetaan henkilökuntaa ja järjestetään ennaltaehkäiseviä ja erityisiä tapahtumia rikollisuuden vähentämiseksi.
Osaston työntekijöiden henkilöstövalintaan kiinnitetään erityistä huomiota. Kaikki turvallisuusasiat ovat omistautuneen turvapäällikön vastuulla. Ennaltaehkäisevistä toimenpiteistä tärkeintä on työ asiakkaiden kanssa, joiden tavoitteena on nostaa "muovirahan" käsittelyn kulttuurista tasoa. Kortin huolellinen ja huolellinen käsittely vähentää merkittävästi todennäköisyyttä joutua rikoksen uhriksi.

Sähköisten tilitys- ja maksujärjestelmien rikkomusten analysointi

Asiantuntijapiireissä tiedetään hyvin, että Norjan nopea kaatuminen toisessa maailmansodassa johtui suurelta osin siitä, että Britannian kuninkaallisen laivaston salakirjoitukset murskasivat saksalaiset kryptografit, jotka käyttivät täsmälleen samoja menetelmiä kuin kuninkaallisen laivaston Room 40 -yksikkö. Saksaa vastaan ​​edellisessä sodassa.
Toisesta maailmansodasta lähtien salailun verho on laskeutunut hallituksen salakirjoituksen päälle. Tämä ei ole yllättävää, eikä vain kylmän sodan vuoksi, vaan myös siksi, että byrokraatit (missä tahansa organisaatiossa) haluttomiksi myöntää virheitään.
Katsotaanpa joitain tapoja, joilla pankkiautomaattihuijauksia todellisuudessa tehtiin. Tavoitteena on analysoida suunnittelijoiden ideoita tuotteen teoreettiseen haavoittumattomuuteen ja ottaa opiksi tapahtuneesta.
Aloitetaan muutamalla yksinkertaisella esimerkillä, jotka osoittavat useita huijaustyyppejä, jotka voidaan suorittaa ilman suuria teknisiä säätöjä, sekä pankkimenettelyjä, jotka mahdollistivat niiden tapahtumisen.
Tiedetään, että asiakkaan kortin magneettijuovassa tulee olla vain hänen tilinumeronsa, ja hänen henkilökohtainen tunnuslukunsa (PIN) saadaan salaamalla tilinumero ja ottamalla tuloksesta neljä numeroa. Pankkiautomaatin on siis kyettävä suorittamaan salaustoimenpiteet tai muuten suorittamaan PIN-tarkistus (esim. interaktiivisella kyselyllä).
Äskettäin Englannin Winchesterin kruunuoikeus tuomitsi kaksi rikollista, jotka käyttivät yksinkertaista mutta tehokasta järjestelmää. He seisoivat jonoissa pankkiautomaattien luona, katsoivat asiakkaiden PIN-koodeja, poimivat pankkiautomaatin hylkäämiä kortteja ja kopioivat niistä tilinumeroita tyhjille korteille, joita käytettiin asiakkaiden tilien ryöstössä.
Tätä temppua käytettiin (ja siitä ilmoitettiin) muutama vuosi sitten New Yorkin pankissa. Syyllinen oli irtisanottu pankkiautomaattiteknikko, joka onnistui varastamaan 80 000 dollaria, ennen kuin pankki sai hänet kiinni teoista täytettyään alueen turvahenkilöstöllä.
Hyökkäykset onnistuivat, koska pankit tulostivat asiakkaan tilinumeron kokonaisuudessaan pankkikortille ja lisäksi magneettijuovassa ei ollut kryptografista redundanssia. Luulisi, että New York Bankin opetus otettaisiin opiksi, mutta ei.
Toinen tekninen hyökkäystyyppi perustuu siihen, että monissa pankkiautomaattiverkoissa viestejä ei salata eikä todennustoimenpiteitä suoriteta, kun tapahtuma on valtuutettu. Tämä tarkoittaa, että hyökkääjä voi tallentaa pankin vastauksen pankkiautomaatille "sallin maksun" ja vierittää tietuetta uudelleen, kunnes pankkiautomaatti on tyhjä. Tätä tekniikkaa, jota kutsutaan sisäelinten poistamiseksi, eivät käytä vain ulkopuoliset hyökkääjät. Tiedossa on tapaus, jossa pankkioperaattorit käyttivät verkon ohjauslaitetta pankkiautomaattien "suolaukseen" rikoskumppanien kanssa.

Testitapahtumat ovat toinen ongelmien lähde

Yhdelle pankkiautomaattityypille testattiin kymmenen setelin annostelua neljäntoista numeron mittaisella näppäinsarjalla. Pankki kirjoitti tämän sarjan etäpankkiautomaattien käyttöoppaaseen. Kolme vuotta myöhemmin rahan katoaminen alkoi yhtäkkiä. Niitä jatkettiin, kunnes kaikki tämäntyyppisiä pankkiautomaatteja käyttävät pankit toimittivat ohjelmistokorjauksia, jotka estivät testitapahtuman.
Nopeinta kasvua ovat petokset, joissa käytetään vääriä päätteitä asiakastilien ja PIN-koodien keräämiseen. Tämän tyyppiset hyökkäykset kuvattiin ensimmäisen kerran Yhdysvalloissa vuonna 1988. Huijarit ovat rakentaneet koneen, joka hyväksyy minkä tahansa kortin ja jakaa tupakka-askin. Tämä keksintö sijoitettiin myymälään, ja magneettikorttien PIN-koodit ja tiedot välitettiin modeemin kautta. Temppu on levinnyt ympäri maailmaa.
Teknikot varastavat myös rahaa asiakkailta tietäen, että heidän valituksensa todennäköisesti jätetään huomiotta. Skotlannissa eräässä pankissa neuvontapalveluinsinööri liitti tietokoneen pankkiautomaattiin ja tallensi asiakastilinumerot ja PIN-koodit. Sitten hän väärensi kortit ja varasti rahaa tileiltä. Ja taas asiakkaat valittivat tyhjille seinille. Tästä käytännöstä yksi Skotlannin korkeimmista lakimiehistä kritisoi pankkia julkisesti.
Nelinumeroisen PIN-koodin käytön tarkoituksena on, että jos joku löytää tai varastaa toisen pankkikortin, on yksi kymmenestä tuhannesta mahdollisuus arvata koodi vahingossa. Jos sallitaan vain kolme PIN-yritystä, mahdollisuus nostaa rahaa varastetulta kortilta on alle yksi kolmesta tuhannesta. Jotkut pankit ovat kuitenkin onnistuneet vähentämään nelinumeroista vaihtelua.
Jotkut pankit eivät noudata tapaa saada PIN-koodi muuttamalla tilinumeroa kryptografisesti, vaan käyttämällä satunnaisesti valittua PIN-koodia (tai antamalla asiakkaiden valita) ja muuttamalla sen sitten kryptografisesti muistaakseen. Sen lisäksi, että asiakas voi valita helposti arvattavan PIN-koodin, tämä lähestymistapa johtaa joihinkin teknisiin sudenkuoppiin.
Jotkut pankit säilyttävät salatun PIN-koodin. Tämä tarkoittaa, että ohjelmoija voi saada oman PIN-koodinsa salatun arvon ja etsiä tietokannasta kaikkia muita tilejä samalla PIN-koodilla.
Eräs suuri brittipankki jopa tallensi PIN-koodin salatun arvon kortin magneettijuomaan. Kesti viisitoista vuotta ennen kuin rikollisyhteisö ymmärsi, että oman kortin magneettiraidassa oleva tilinumero on mahdollista korvata ja sitten käyttää sitä omalla PIN-koodilla varastamiseen joltakin tililtä.
Tästä syystä VISA-järjestelmässä on suositeltavaa, että pankit yhdistävät asiakkaan tilinumeron PIN-koodiin ennen salausta. Kaikki pankit eivät kuitenkaan tee tätä.
Kehittyneemmät hyökkäykset ovat tähän mennessä johtuneet yksinkertaisista toteutus- ja toimintamenettelyvirheistä. Ammattimaiset tietoturvatutkijat pitivät tällaisia ​​virheitä epäkiinnostavina ja keskittyivät siksi hyökkäyksiin, jotka perustuivat hienovaraisempien teknisten vikojen kehittämiseen. Pankkitoiminnassa on myös useita tietoturva-aukkoja.
Vaikka korkeaan teknologiaan perustuvia pankkijärjestelmiä vastaan ​​tehdyt hyökkäykset ovat harvinaisia, ne ovat mielenkiintoisia julkisesti katsottuna, sillä hallituksen aloitteilla, kuten EU:n tietoturvateknologian arviointikriteereillä (ITSEC), pyritään kehittämään sarja tuotteita, jotka on sertifioitu olla vapaa tunnetuista teknisistä virheistä. Tämän ohjelman taustalla olevat ehdotukset ovat, että kyseisten tuotteiden toteutus ja tekniset menettelyt ovat olennaisesti virheettömiä ja että hyökkäys edellyttää valtion turvallisuusvirastojen kanssa verrattavaa teknistä koulutusta. Ilmeisesti tämä lähestymistapa soveltuu paremmin sotilasjärjestelmiin kuin siviilijärjestelmiin.
Jotta ymmärtäisit, kuinka kehittyneempiä hyökkäyksiä suoritetaan, on tarpeen tarkastella pankkien turvajärjestelmää yksityiskohtaisemmin.

Suojausmoduuleihin liittyvät ongelmat

Kaikki tietoturvatuotteet eivät ole yhtä korkealaatuisia, ja harvalla pankilla on päteviä asiantuntijoita erottamaan hyvät tuotteet keskinkertaisista.
Käytännössä salaustuotteissa, erityisesti vanhassa IBM 3848 -suojausmoduulissa tai nykyisin pankkiorganisaatioille suositelluissa moduuleissa, on ongelmia.
Jos pankilla ei ole laitteistopohjaisia ​​turvamoduuleja, PIN-koodin salaustoiminto toteutetaan ohjelmistossa vastaavilla ei-toivotuilla seurauksilla. Suojausmoduuliohjelmistoissa voi olla keskeytyskohtia valmistajan insinöörien suorittamaa ohjelmistotuotteiden virheenkorjausta varten. Tähän kiinnitettiin huomiota, kun yhdessä pankista tehtiin päätös liittää se verkkoon eikä valmistajan järjestelmäsuunnittelija pystynyt varmistamaan vaaditun yhdyskäytävän toimintaa. Saadakseen työn valmiiksi hän käytti yhtä näistä temppuista PIN-koodien poimimiseen järjestelmästä. Tällaisten keskeytyskohtien olemassaolo tekee mahdottomaksi luoda luotettavia menettelyjä suojausmoduulien hallintaan.
Jotkut suojausmoduulien valmistajat helpottavat tällaisia ​​hyökkäyksiä itse. Esimerkiksi käytetään menetelmää työskentelyavaimien generoimiseksi kellonaikaan perustuen, ja sen seurauksena todellisuudessa käytetään vain 20 avainbittiä odotetun 56 bitin sijaan. Näin ollen todennäköisyysteorian mukaan jokaista 1000 luotua avainta kohti kaksi sopii yhteen.
Tämä mahdollistaa hienovaraisen väärinkäytön, jossa hyökkääjä manipuloi pankin viestintää siten, että yhden päätteen tapahtumat korvataan toisen päätelaitteen tapahtumilla.
Yhden pankin ohjelmoijat eivät edes vaivautuneet ongelmiin, jotka liittyvät asiakasavainten käyttöönotossa salausohjelmiin. Ne yksinkertaisesti asettavat osoittimia avainarvoihin muistialueella, joka asetetaan aina nollaan järjestelmän käynnistyksen yhteydessä. tulos tämä päätös oli, että todelliset ja testijärjestelmät käyttivät samoja avainten säilytysalueita. Pankin teknikot keksivät, että he voisivat saada asiakkaan PIN-koodit testauslaitteistoon. Useat heistä ottivat yhteyttä paikallisiin rikollisiin valitakseen PIN-koodit varastetuille pankkikorteille. Kun pankin turvallisuuspäällikkö paljasti, mitä oli tapahtumassa, hän kuoli auto-onnettomuudessa (ja paikallinen poliisi "menetti" kaikki asiaankuuluvat materiaalit). Pankki ei vaivautunut lähettämään uusia kortteja asiakkailleen.
Yksi turvamoduulien päätarkoituksista on estää ohjelmoijia ja tietokoneita käyttäviä henkilöitä saamasta keskeisiä pankkitietoja. Turvamoduulien elektronisten komponenttien tarjoama salassapito ei kuitenkaan usein kestä kryptografisia tunkeutumisyrityksiä.
Suojausmoduuleilla on omat pääavaimensa sisäiseen käyttöön, ja näitä avaimia on säilytettävä tietyssä paikassa. Avaimen varmuuskopio säilytetään usein helposti luettavassa muodossa, kuten PROM-muistissa, ja avain voidaan lukea ajoittain, esimerkiksi siirrettäessä hallintaa vyöhyke- ja pääteavainjoukolle yhdestä suojausmoduulista. toiselle. Tällaisissa tapauksissa pankki on täysin asiantuntijoiden armoilla tämän toimenpiteen suorittamisessa.

Suunnittelutekniikoihin liittyvät ongelmat

Keskustellaan lyhyesti pankkiautomaattien suunnittelutekniikasta. Vanhemmissa malleissa salausohjelmien koodi sijoitettiin väärään paikkaan - ohjauslaitteeseen, ei itse moduuliin. Ohjauslaite oli tarkoitus sijoittaa moduulin välittömään läheisyyteen tietylle alueelle. Mutta suuri määrä pankkiautomaatteja ei tällä hetkellä sijaitse pankkirakennuksen välittömässä läheisyydessä. Eräässä yliopistossa Isossa-Britanniassa pankkiautomaatti sijaitsi kampuksella ja lähetti salaamattomia tilinumeroita ja PIN-koodeja puhelinlinja haarakonttorin ohjausyksikköön, joka sijaitsi useiden kilometrien päässä kaupungista. Jokainen, joka ei ollut liian laiska käyttämään puhelinlinjan salakuuntelulaitetta, saattoi väärentää kortteja tuhansia.
Jopa tapauksissa, joissa ostetaan yksi parhaista tuotteista, on suuri määrä tapauksia, joissa virheellinen toteutus tai huonosti suunniteltu teknologinen menettely aiheuttaa ongelmia pankille. Useimmat suojausmoduulit palauttavat joukon palautuskoodeja jokaiselle tapahtumalle. Jotkut niistä, kuten "avaimen pariteettivirhe", antavat varoituksen, että ohjelmoija kokeilee todellista käytettävää moduulia. Harvat pankit ovat kuitenkin vaivautuneet kirjoittamaan laiteajuria, joka tarvitaan näiden varoitusten havaitsemiseksi ja toimimaan niiden mukaisesti.
Pankkien on tiedetty alihankintana pankkiautomaattien toimitusjärjestelmän kokonaan tai osittain yrityksille, jotka "tarjoavat niihin liittyviä palveluja", ja siirtäneet PIN-koodit näille yrityksille.
On myös ollut ennakkotapauksia, joissa PIN-koodit on jaettu kahden tai useamman pankin välillä. Vaikka koko pankin henkilöstö katsottaisiin luotettaviksi, ulkopuoliset yritykset eivät välttämättä noudata pankkeja koskevia turvallisuuskäytäntöjä. Näiden yritysten henkilökuntaa ei aina valvota kunnolla, he ovat todennäköisesti alipalkattuja, uteliaita ja piittaamattomia, mikä voi johtaa petosten suunnitteluun ja toteuttamiseen.
Monien kuvattujen johtamisvirheiden ytimessä on hankkeen psykologisen osan kehittämisen puute. Pankin sivukonttoreiden ja tietokonekeskusten on noudatettava vakiomenettelyjä työpäivän aikana, mutta vain sellaiset valvontatoimenpiteet, joiden tarkoitus on ilmeinen, tullaan todennäköisesti noudattamaan tiukasti. Esimerkiksi sivukonttorin kassakaapin avainten jakaminen esimiehen ja kirjanpitäjän välillä ymmärretään hyvin: se suojelee heitä molempia perheiden panttivangista. Kryptografisia avaimia ei usein pakata käyttäjäystävälliseen muotoon, joten niitä ei todennäköisesti käytetä oikein. Osittainen vastaus voisi olla laitteet, jotka todella muistuttavat avaimia (kuvassa ydinaseiden sulakkeiden salausavaimet).
Toimintatapojen parantamisesta voitaisiin kirjoittaa paljon, mutta jos tavoitteena on estää salausavaimen joutuminen sellaisen ihmisen käsiin, jolla on tekninen kyky käyttää sitä väärin, niin käsikirjoissa ja koulutuskursseissa tulee asettaa tarkka tavoite. Periaate "turvallisuus epäselvyyden kautta" tekee usein enemmän haittaa kuin hyötyä.

Avainten jakelu

Avainten jakelu muodostaa erityisen ongelman pankkikonttoreille. Kuten tiedät, teoria edellyttää, että kumpikin kahdesta pankkiiristä syöttää eri avainkomponentin, jotta niiden yhdistelmä antaa päätteen pääavaimen. Päätteen pääavaimeen salattu PIN-koodi lähetetään pankkiautomaatille ensimmäisen huollon jälkeisen tapahtuman yhteydessä.
Jos pankkiautomaattiteknikko saa molemmat avaimen osat, hän voi purkaa PIN-koodin salauksen ja väärentää kortit. Käytännössä avaimia säilyttävät konttoripäälliköt luovuttavat ne lähes mielellään insinöörille, koska he eivät halua seistä pankkiautomaatin vieressä sen huollon aikana. Lisäksi pääteavaimen syöttäminen tarkoittaa näppäimistön käyttöä, jota vanhemmat johtajat pitävät arvokkuutensa alapuolella.
Avaimien huono hallinta on yleinen käytäntö. On tunnettu tapaus, jolloin molemmat mikropiirit pääavaimeineen luovutettiin huoltohenkilöstön insinöörille. Vaikka teoriassa oli olemassa kaksinkertainen valvontamenettely, turvahenkilöstö luovutti sirut viimeisten avainten käytön jälkeen, eikä kukaan tiennyt mitä tehdä. Insinööri ei voinut vain väärentää kortteja. Hän olisi voinut kävellä pois avainten kanssa ja lopettaa kaikki pankkiautomaattitoiminnot.
Mielenkiintoista ei ole se, että avaimet tallennetaan useammin avoimiin tiedostoihin kuin suojattuihin tiedostoihin. Tämä ei koske vain pankkiautomaattien avaimia, vaan myös pankkien välisten selvitysjärjestelmien, kuten SWIFTin, avaimia, joissa tehdään miljardien arvoisia tapahtumia. Alustusavaimia, kuten pääteavaimia ja vyöhykeavaimia, olisi viisasta käyttää vain kerran ja tuhota ne sitten.

Kryptoanalyyttiset uhat

Kryptanalyytikot ovat luultavasti pienin uhka pankkijärjestelmille, mutta niitä ei voida täysin jättää huomiotta. Jotkut pankit (mukaan lukien suuret ja kuuluisat) käyttävät edelleen kotitekoisia salausalgoritmeja DES:ää edeltäviltä vuosilta. Yhdessä tietoverkossa tietolohkot yksinkertaisesti "sekoitettiin" lisäämällä vakio. Tätä menetelmää ei kritisoitu viiteen vuoteen, vaikka verkkoa käytti yli 40 pankkia. Lisäksi kaikki näiden pankkien vakuutus-, auditointi- ja turvallisuusasiantuntijat ilmeisesti lukevat järjestelmän tekniset tiedot.
Vaikka "kunnioitettavaa" algoritmia käytettäisiin, se voidaan toteuttaa sopimattomilla parametreilla. Esimerkiksi jotkut pankit ovat ottaneet käyttöön RSA-algoritmin avaimen pituudella 100-400 bittiä, vaikka avaimen pituuden on oltava vähintään 500 bittiä, jotta tarvittava turvallisuustaso saadaan aikaan.
Voit löytää avaimen myös käyttämällä raakaa voimaa ja kokeilemalla kaikkia mahdollisia salausavaimia, kunnes löydät avaimen, joka käyttää tiettyä pankkia.
Kansainvälisissä verkoissa käytettävät protokollat ​​toimintaavainten salaamiseen vyöhykeavaimilla helpottavat vyöhykeavaimen hyökkäämistä tällä tavalla. Jos vyöhykeavain on avattu kerran, kaikki pankin verkon kautta lähettämät tai vastaanottamat PlN-koodit voidaan purkaa. Tuore Canadian Bankin tutkimus osoitti, että tällainen hyökkäys DES:ää vastaan ​​maksaisi noin 30 000 puntaa vyöhykeavainta kohti. Näin ollen tällaiseen rikokseen järjestäytyneen rikollisuuden resurssit ovat aivan riittävät, ja riittävän varakas henkilö voisi tehdä tällaisen rikoksen.
Todennäköisesti avainten löytämiseen tarvittavat erikoistietokoneet on luotu joidenkin maiden erikoispalveluissa, mukaan lukien nyt kaaoksen tilassa olevien maiden. Siksi on olemassa tietty riski, että tämän laitteen haltijat voivat käyttää sitä henkilökohtaisen hyödyn saamiseksi.

Kaikki järjestelmät, pienet ja suuret, sisältävät virheitä ja ovat alttiita käyttäjän virheille. Pankkijärjestelmät eivät ole poikkeus, ja jokainen teollisessa tuotannossa työskennellyt tietävät tämän. Sivukonttoreiden selvitysjärjestelmät ovat yleensä suurempia ja monimutkaisempia, ja monet vuorovaikutuksessa olevat moduulit kehittyvät vuosikymmenten aikana. Jotkut tapahtumat suoritetaan väistämättä väärin: veloitus voi olla päällekkäinen tai tili vaihtuu väärin.
Tämä tilanne ei ole uusi suurten yritysten varainhoidon valvojille, joilla on erityishenkilöstöä pankkitilien täsmäyttämiseen. Virheellisen veloituksen sattuessa nämä virkamiehet vaativat tarvittavat asiakirjat analysoitavaksi, ja jos asiakirjat puuttuvat, he saavat pankilta hyvityksen virheellisestä maksusta.
Pankkiautomaattien asiakkailla ei kuitenkaan ole tätä mahdollisuutta lunastaa kiistanalaisia ​​maksuja. Useimmat Yhdysvaltain ulkopuoliset pankkiirit sanovat yksinkertaisesti, ettei heidän järjestelmissään ole virheitä.
Tällainen politiikka sisältää tiettyjä oikeudellisia ja hallinnollisia riskejä. Ensinnäkin se luo mahdollisuuden väärinkäyttöön, koska petos on salaliitto. Toiseksi se johtaa liian monimutkaisiin todisteisiin asiakkaalle, mikä oli syynä menettelyn yksinkertaistamiseen Yhdysvaltojen tuomioistuimissa. Kolmanneksi se on moraalinen vahinko, joka liittyy pankin työntekijöiden epäsuoraan rohkaisemiseen varastamaan, koska he eivät todennäköisesti jää kiinni. Neljänneksi tämä on ideologinen puute, koska asiakkaiden reklamaatioiden keskitetyn rekisterin puuttuessa ei ole mahdollista valvoa petostapauksia kunnolla.
Pankkiautomaattien tappioiden vaikutusta liiketoimintaan on melko vaikea arvioida tarkasti. Yhdistyneessä kuningaskunnassa valtiovarainministeriön talousministeri (pankkialan sääntelystä vastaava ministeri) totesi kesäkuussa 1992, että tällaiset virheet vaikuttavat vähintään kahteen kolmesta miljoonasta päivittäisestä tapahtumasta. Viimeaikaisten oikeudenkäyntien painostuksesta tätä lukua kuitenkin tarkistettiin ensin yhdeksi virheelliseksi tapahtumaksi 250 000:sta, sitten yhdeksi 100 000:sta ja lopulta yhdeksi 34 000:sta.
Koska pankin työntekijät yleensä torjuvat valituksen tehneet asiakkaat ja useimmat ihmiset eivät yksinkertaisesti huomaa kertaluonteista nostoa tililtä, ​​realistisin oletus on, että virheellisiä tapahtumia on noin 1 per 10 000. Jos siis keskivertoasiakas käyttää Pankkiautomaatin kerran viikossa 50 vuoden ajan, voimme odottaa, että joka neljäs asiakas kohtaa ongelmia pankkiautomaatin käytössä elämänsä aikana.

Salausjärjestelmien suunnittelijat ovat epäedullisessa asemassa, koska heillä ei ole tietoa siitä, kuinka järjestelmävikoja tapahtuu käytännössä, eikä siitä, miten ne teoriassa voisivat tapahtua. Tämä haitta palautetta johtaa väärän uhkamallin käyttöön. Suunnittelijat keskittyvät siihen, mikä järjestelmässä voi johtaa rikkoutumiseen, sen sijaan, että keskittyisivät siihen, mikä normaalisti johtaisi virheisiin. Monet tuotteet ovat niin monimutkaisia ​​ja monimutkaisia, että niitä käytetään harvoin oikein. Seurauksena on se, että suurin osa virheistä liittyy järjestelmän käyttöönottoon ja ylläpitoon. Erityinen seuraus oli pankkiautomaattipetosten sarja, joka ei vain johtanut taloudellisiin tappioihin, vaan myös oikeusvirheisiin ja heikensi luottamusta pankkijärjestelmään.
Eräs esimerkki salausmenetelmien toteutuksesta on EXCELLENCE-digitaalista allekirjoitusta käyttävä kryptografisen tiedon suojausjärjestelmä.
EXCELLENCE-ohjelmiston salausjärjestelmä on suunniteltu suojaamaan käsiteltyä, tallennettua ja siirrettyä tietoa IBM-yhteensopivien henkilökohtaisten tietokoneiden välillä käyttämällä kryptografista salausta, digitaalista allekirjoitusta ja todennustoimintoja.
Järjestelmä toteuttaa salausalgoritmeja, jotka täyttävät valtion standardit: salaus - GOST 28147-89. Digitaalinen allekirjoitus perustuu RSA-algoritmiin.
Vahvalla autentikaatiolla ja avainsertifioinnilla varustettu avainjärjestelmä perustuu kansainvälisessä käytännössä laajasti käytettyyn X.509-protokollaan ja RSA-avainten julkisen jakelun periaatteeseen.
Järjestelmä sisältää salaustoiminnot tietojen käsittelemiseksi tiedostotasolla:

ja salaustoiminnot avainten kanssa työskentelemiseen:

Jokaisella verkon tilaajalla on oma salainen ja julkinen avaimensa. Jokaisen käyttäjän salainen avain tallennetaan hänen henkilökohtaiselle avainlevykkeelleen tai yksittäiselle elektroniselle kortille. Tilaajan avaimen salassapito varmistaa hänelle salatun tiedon suojan ja digitaalisen allekirjoituksen väärentämisen mahdottomuuden.

Järjestelmä tukee kahta avainmediatyyppiä:

Jokaisella verkon tilaajalla on tiedostokatalogi kaikkien järjestelmän tilaajien julkisista avaimista, jotka on suojattu luvattomalta muutoksilta sekä heidän nimensä. Jokainen tilaaja on velvollinen pitämään salaisen avaimensa salassa.
Toiminnallisesti EXCELLENCE-järjestelmä on toteutettu ohjelmamoduulina excell_s.exe ja se toimii MS DOS 3.30:n ja sitä uudempien versioiden alla. Funktioiden suoritusparametrit välitetään muodossa komentorivi DOS. Lisäksi mukana toimitetaan käyttöliittymän graafinen kuori. Ohjelma tunnistaa automaattisesti ja tukee Intel386/486/Pentium-prosessorin 32-bittisiä toimintoja.
Muihin upottamiseen ohjelmistojärjestelmät EXCELLENCE-järjestelmän muunnos on toteutettu, joka sisältää tärkeimmät salaustoiminnot tietojen käsittelyä varten RAM-muistissa seuraavissa tiloissa: muisti - muisti; muisti - tiedosto; tiedosto on muisti.

Ennuste XXI vuosisadan alun

Pankkijohdon osuuden, joka ryhtyy tehokkaisiin toimenpiteisiin tietoturvaongelman ratkaisemiseksi, pitäisi nousta 40-80 prosenttiin. Suurin ongelma tulee olemaan huoltohenkilöstö (mukaan lukien entiset) (40 % - 95 % tapauksista), ja pääasialliset uhat ovat luvaton käyttö (UAS) ja virukset (jopa 100 % pankeista joutuu virushyökkäyksiin ).
Tärkeimmät toimenpiteet tietoturvan varmistamisessa ovat tietoturvapalvelujen korkein ammattitaidolla. Tätä varten pankkien on käytettävä jopa 30 prosenttia voitostaan ​​tietoturvaan.
Kaikista yllä luetelluista toimenpiteistä huolimatta ehdoton ratkaisu tietoturvaongelmaan on mahdotonta. Samalla pankin tietoturvajärjestelmän tehokkuuden määrää täysin siihen sijoitettujen varojen määrä ja tietoturvapalvelun ammattitaito, ja mahdollisuus rikkoa pankin tietoturvajärjestelmää määräytyy täysin pankin tietoturvajärjestelmän kustannusten perusteella. suojajärjestelmän ja petosten pätevyyden voittamiseksi. (Ulkomaisessa käytännössä uskotaan, että suojajärjestelmä on järkevää "murtaa", jos sen voittamisen kustannukset eivät ylitä 25 % suojatun tiedon hinnasta).

Luvussa 4 käsiteltiin sähköisten pankkijärjestelmien suojaamista koskevan lähestymistavan piirteitä. Näiden järjestelmien erityispiirre on sähköisen tiedonvaihdon erityinen muoto - sähköiset maksut, joita ilman nykyaikaista pankkia ei voi olla.

Electronic Data Interchange (EDI) on yritysten, kaupallisten ja taloudellisten sähköisten asiakirjojen tietokoneiden välinen vaihto. Esimerkiksi tilaukset, maksuohjeet, sopimustarjoukset, laskut, kuitit jne.

OED tarjoaa kauppakumppaneiden (asiakkaat, toimittajat, jälleenmyyjät jne.) operatiivista vuorovaikutusta kaupan valmistelun, sopimuksen tekemisen ja toimituksen toteuttamisen kaikissa vaiheissa. Sopimuksen maksu- ja varojen siirtovaiheessa EOS voi johtaa rahoitusasiakirjojen sähköiseen vaihtoon. Tämä luo tehokkaan ympäristön kauppa- ja maksutapahtumille:

* On mahdollista tutustua kauppakumppaneihin tavaroiden ja palveluiden tarjouksiin, valita tarvittava tuote/palvelu, selventää kaupallisia ehtoja (kustannukset ja toimitusaika, kaupan alennukset, takuu- ja palveluvelvoitteet) reaaliajassa;

* Tavaroiden/palvelujen tilaaminen tai sopimustarjouksen pyytäminen reaaliajassa;

* Tavaroiden toimituksen operatiivinen valvonta, saateasiakirjojen vastaanotto sähköpostitse (laskut, laskut, komponenttiluettelot jne.);

* Vahvistus tavaroiden/palvelujen toimituksen valmistumisesta, laskujen laatimisesta ja maksamisesta;

* Pankkiluotto- ja maksutapahtumien suorittaminen. OED:n etuja ovat:

* Transaktioiden kustannusten vähentäminen siirtymisen vuoksi paperittomaan teknologiaan. Asiantuntijat arvioivat paperikirjan käsittelyn ja ylläpidon kustannuksiksi 3–8 % kaupallisen toiminnan ja tavarantoimituksen kokonaiskustannuksista. Esimerkiksi USA:n autoteollisuudessa EOS:n käytöstä saatavan hyödyn arvioidaan olevan yli 200 dollaria valmistettua autoa kohden;

* Laskennan ja rahan kiertonopeuden lisääminen;

* Laskelmien mukavuuden parantaminen.

ETA:n kehittämisessä on kaksi keskeistä strategiaa:

1. OED:tä käytetään kilpailuetuna, mikä mahdollistaa tiiviimmän vuorovaikutuksen kumppaneiden kanssa. Tämä strategia on otettu käyttöön suurissa organisaatioissa, ja sitä kutsutaan "Extended Enterprise Approachiksi" (Extended Enterprise).

2. OED:tä käytetään joissakin erityisissä teollisissa hankkeissa tai kaupallisten ja muiden organisaatioiden yhdistysten aloitteissa niiden vuorovaikutuksen tehostamiseksi.

Pankit Yhdysvalloissa ja Länsi-Euroopassa ovat jo ymmärtäneet keskeisen roolinsa YVA:n leviämisessä ja ymmärtäneet merkittävät edut, joita tiiviimpi vuorovaikutus liike- ja henkilökohtaisten kumppaneiden kanssa tuo. OED auttaa pankkeja tarjoamaan palveluita asiakkaille, erityisesti pienille, niille, joilla ei aiemmin ollut varaa käyttää niitä niiden korkeiden kustannusten vuoksi.

Suurin este EOS:n laajalle levittämiselle on asiakirjojen monimuotoisuus, kun niitä vaihdetaan viestintäkanavien kautta. Tämän esteen voittamiseksi useat organisaatiot ovat kehittäneet standardeja asiakirjojen esittämiseksi EOS-järjestelmissä eri toimialoille:

QDTI - General Trade Interchange (Eurooppa, kansainvälinen kauppa);

MDSND - National Automated Clearing House Association (USA, National Association of Automated Clearing Houses);

TDCC - Transportation Data Coordinating Committee;

VICS - Vapaaehtoinen toimialojen välinen viestintästandardi (USA, vapaaehtoinen toimialojen välinen viestintästandardi);

WINS – varastotietoverkon standardit tietoverkko varastot).

Lokakuussa 1993 kansainvälinen UN/ECE-ryhmä julkaisi EDIFACT-standardin ensimmäisen version. Kehitetty syntaksisääntöjen ja kaupallisten tietoelementtien sarja muotoiltiin kahdeksi ISO-standardiksi:

ISO 7372 - Kaupan tietoelementtien hakemisto (Kaupallisten tietoelementtien hakemisto);

ISO 9735 - EDIFACT - Sovellustason syntaksisäännöt.

EOD:n erikoistapaus on sähköiset maksut - rahoitusasiakirjojen vaihto asiakkaiden ja pankkien välillä, pankkien ja muiden rahoitus- ja kaupallisten organisaatioiden välillä.

Sähköisten maksujen käsitteen ydin on siinä, että viestintälinjojen kautta lähetetyt, asianmukaisesti suoritetut ja välitetyt viestit muodostavat perustan yhden tai useamman pankkitoiminnan suorittamiselle. Periaatteessa näiden toimintojen suorittamiseen ei vaadita paperisia asiakirjoja (vaikka ne voidaan myöntää). Toisin sanoen viestintälinjoja pitkin lähetetty viesti sisältää tiedon siitä, että lähettäjä on suorittanut tilillään, erityisesti vastaanottavan pankin (joka voi olla selvityskeskus) kirjeenvaihtajatilillä, ja että vastaanottajan on suoritettava viestissä määritellyt toiminnot. Tällaisen viestin perusteella voit lähettää tai vastaanottaa rahaa, avata lainaa, maksaa ostosta tai palvelusta ja suorittaa mitä tahansa muuta pankkitoiminta. Tällaisia ​​viestejä kutsutaan sähköiseksi rahaksi ja pankkitoimintojen suorittamista tällaisten viestien lähettämisen tai vastaanottamisen perusteella sähköisiksi maksuiksi. Luonnollisesti koko sähköisen maksamisen prosessi vaatii luotettava suoja. Muuten pankki ja sen asiakkaat kohtaavat vakavia ongelmia.

Sähköisiä maksuja käytetään pankkien välisiin, kauppaan ja henkilökohtaisiin maksuihin.

Pankkien väliset ja kaupalliset selvitykset tehdään organisaatioiden (oikeushenkilöiden) välillä, joten niitä kutsutaan joskus yhtiöiksi. Yksittäisiä asiakkaita koskevia selvitystoimia kutsutaan henkilökohtaisiksi.

Suurin osa pankkijärjestelmien suurista varkauksista liittyy suoraan tai välillisesti sähköisiin maksujärjestelmiin.

Matkalla sähköisten, erityisesti globaalien maksujärjestelmien luomiseen, jotka kattavat suuren joukon rahoituslaitoksia ja niiden asiakkaita eri maissa, on monia esteitä. Tärkeimmät ovat:

1. Toimintaa ja palveluja koskevien yhtenäisten standardien puute, mikä vaikeuttaa merkittävästi yhtenäisten pankkijärjestelmien luomista. Jokainen suuri pankki pyrkii luomaan oman ETO-verkostonsa, mikä nostaa sen toiminta- ja ylläpitokustannuksia. Kaksoisjärjestelmät vaikeuttavat niiden käyttöä, aiheuttavat keskinäisiä häiriöitä ja rajoittavat asiakkaiden mahdollisuuksia.

2. Rahamassan liikkuvuuden lisääntyminen, joka johtaa taloudellisen keinottelun mahdollisuuden lisääntymiseen, laajentaa "vaeltavan pääoman" virtaa. Tämä raha pystyy muuttamaan markkinoiden tilanteen lyhyessä ajassa ja horjuttamaan sitä.

3. Laitteiston ja ohjelmiston epäonnistumiset ja epäonnistumiset rahoitusselvitysten toteuttamisessa, jotka voivat johtaa vakaviin hankaluuksiin myöhempien selvitysten tekemisessä ja asiakkaiden luottamuksen menettämiseen pankkia kohtaan, erityisesti pankkisiteen tiiviin niveltymisen vuoksi (a eräänlainen "virheen leviäminen"). Samalla tiedon käsittelyä suoraan ohjaavien järjestelmän toimijoiden ja hallinnon rooli ja vastuu kasvaa merkittävästi.

Jokaisen organisaation, joka haluaa tulla minkä tahansa sähköisen maksujärjestelmän asiakkaaksi tai perustaa oman järjestelmän, on oltava tietoinen tästä.

Toimiakseen luotettavasti sähköisen maksujärjestelmän on oltava hyvin suojattu.

Kauppaselvitykset tehdään eri kauppaorganisaatioiden välillä. Pankit osallistuvat näihin laskelmiin välittäjinä siirtäessään rahaa maksavan organisaation tililtä vastaanottavan organisaation tilille.

Kaupan selvitys on ratkaisevan tärkeää sähköisen maksuohjelman yleisen menestyksen kannalta. Eri yritysten rahoitustapahtumien volyymit muodostavat yleensä merkittävän osan pankkitoiminnan kokonaisvolyymistä.

Kaupan selvitystyypit vaihtelevat suuresti organisaatioittain, mutta niiden toteutuksen aikana käsitellään aina kahdenlaisia ​​tietoja: maksusanomia ja aputietoja (tilastot, yhteenvedot, ilmoitukset). Rahoituslaitoksille tietysti eniten kiinnostavat maksusanomien tiedot - tilinumerot, summat, saldo jne. Ammattijärjestöille molemmat tiedot ovat yhtä tärkeitä - ensimmäinen antaa vihjeen taloudellisesta tilanteesta, toinen - auttaa päätöksenteossa ja politiikan kehittämisessä.

Yleisimmin käytetyt kauppasovitukset ovat seuraavia kahta tyyppiä:

* Suora talletus.

Tämän maksutavan tarkoitus on, että organisaatio ohjeistaa pankkia suorittamaan tietyntyyppisiä maksuja työntekijöilleen tai asiakkailleen automaattisesti käyttämällä valmiita magneettisia tietovälineitä tai erikoisviestejä. Tällaisten laskelmien toteuttamisen ehdot sovitaan etukäteen (rahoituslähde, määrä jne.). Niitä käytetään pääasiassa säännöllisiin maksuihin (erilaisten vakuutusten maksut, lainojen takaisinmaksu, palkat jne.). Organisaation kannalta suora talletus on kätevämpi kuin esimerkiksi sekillä maksaminen.

Vuodesta 1989 lähtien suoratalletusta käyttävien työntekijöiden määrä on kaksinkertaistunut 25 prosenttiin kokonaismäärästä. Yli 7 miljoonaa amerikkalaista saa nykyään palkkaa suorana talletuksena. Pankeille suora talletus tarjoaa seuraavat edut:

Paperiasiakirjojen käsittelyyn liittyvien tehtävien määrän vähentäminen ja sen seurauksena merkittävien summien säästö;

Talletusten määrän kasvu, koska 100 % maksujen määrästä on suoritettava talletuksella.

Pankkien lisäksi myös omistajat ja työntekijät hyötyvät; lisää mukavuutta ja alentaa kustannuksia.

* Laskelmat EOS:llä.

Tässä olevat tiedot ovat laskuja, laskuja, komponenttilausuntoja jne.

ETA:n toteuttaminen edellyttää seuraavien peruspalveluiden toteuttamista:

X.400 sähköposti;

Tiedostonsiirto;

Point-to-point-viestintä;

Pääsy tietokantoihin online-tilassa;

Postilaatikko;

Tiedonesitysstandardien muuttaminen.

Esimerkkejä nykyisistä EOS:ää käyttävistä kaupan selvitysjärjestelmistä ovat:

National Bank ja Royal Bank (Kanada) ovat yhteydessä asiakkaisiinsa ja kumppaneisiinsa IBM-tietoverkon kautta;

Vuonna 1986 perustettu Bank of Scotland Transcontinental Automated Payment Service (TAPS) yhdistää Bank of Scotlandin asiakkaat ja yhteistyökumppanit 15 maassa kirjeenvaihtajapankkien ja automaattisten selvityskeskusten kautta.

Sähköisiä pankkien välisiä maksuja on pääasiassa kahdenlaisia:

* Selvitysten selvitys käyttämällä välityspankin (selvityspankki) tehokasta tietokonejärjestelmää ja tämän pankin kanssa suoritettaviin maksuihin osallistuvien pankkien kirjeenvaihtajatilejä. Järjestelmä perustuu oikeushenkilöiden keskinäisten rahasaamisten ja velvoitteiden kuittaamiseen ja sitä seuraavaan saldon siirtoon. Selvitystä käytetään laajalti myös osake- ja hyödykepörsseissä, joissa transaktioihin osallistuneiden keskinäisten saatavien kuittaus tapahtuu selvityskeskuksen tai erityisen sähköisen selvitysjärjestelmän kautta.

Pankkien väliset selvitysmaksut suoritetaan erityisten selvityskeskusten, liikepankkien kautta, yhden pankin konttoreiden ja sivukonttoreiden välillä - pääkonttorin kautta. Useissa maissa selvitysyhteisöjen tehtäviä hoitavat keskuspankit. Automatisoidut selvityskeskukset (ACP) tarjoavat palveluja varojen vaihtoon rahoituslaitosten välillä. Maksutapahtumat ovat periaatteessa joko veloituksia tai hyvityksiä. AKT-järjestelmän jäsenet ovat rahoituslaitoksia, jotka ovat AKT-järjestön jäseniä. Yhdistys on perustettu kehittämään sääntöjä, menettelytapoja ja standardeja sähköisten maksujen suorittamiselle maantieteellisellä alueella. On huomattava, että AKP ei ole muuta kuin mekanismi varojen ja niihin liittyvien tietojen siirtämiseksi. He eivät itse suorita maksupalveluja. AKT:t on luotu täydentämään paperipohjaisten rahoitusasiakirjojen käsittelyjärjestelmiä. Ensimmäinen ACP ilmestyi Kaliforniassa vuonna 1972, tällä hetkellä Yhdysvalloissa on 48 AKT-maata. Vuonna 1978 perustettiin National Automated Clearing House Association (NACHA), joka yhdisti kaikki 48 AKT-verkkoa yhteistyön pohjalta.

Toiminnan volyymi ja luonne laajenevat jatkuvasti. AKT-maat alkavat suorittaa liiketoimia ja sähköisiä tiedonvaihtotoimia. Eri pankkien ja yritysten kolmen vuoden ponnistelujen jälkeen luotiin CTP (Corporate Trade Payment) -järjestelmä, joka on suunniteltu käsittelemään automaattisesti luottoja ja veloituksia. Asiantuntijoiden mukaan AKP:n toimintojen laajentaminen jatkuu lähitulevaisuudessa.

* Suorat selvitykset, joissa kaksi pankkia kommunikoivat suoraan toistensa kanssa loro nostro -tilien kautta, mahdollisesti kolmannen osapuolen osallistuessa organisaatio- tai tukirooliin. Luonnollisesti keskinäisten transaktioiden määrän tulee olla riittävän suuri perustelemaan tällaisen selvitysjärjestelmän järjestämisestä aiheutuvat kustannukset. Tyypillisesti tällainen järjestelmä yhdistää useita pankkeja, kun taas kukin pari voi kommunikoida suoraan toistensa kanssa ohittaen välittäjät. Tässä tapauksessa tarvitaan kuitenkin ohjauskeskus, joka käsittelee vuorovaikutuksessa olevien pankkien suojaa (avainten jakelu, hallinta, toiminnan valvonta ja tapahtumien rekisteröinti).

Tällaisia ​​järjestelmiä on maailmassa melko paljon - pienistä, jotka yhdistävät useita pankkeja tai sivukonttoreita, suuriin kansainvälisiin järjestelmiin, jotka yhdistävät tuhansia osallistujia. Tämän luokan tunnetuin järjestelmä on SWIFT.

Äskettäin on ilmestynyt kolmas sähköisen maksun tyyppi - sähköisten shekkien käsittely (sähköisen shekin katkaisu), jonka ydin on lopettaa paperisekin lähettäminen rahoituslaitokselle, jossa se esitettiin. Tarvittaessa sen sähköinen vastine "matkustaa" pidemmälle erikoisviestin muodossa. Sähköisen sekin välittäminen ja lunastus tapahtuu ACP:n avulla.

Vuonna 1990 NACHA ilmoitti ensimmäisestä vaiheesta kansallisen kokeellisen ohjelman, nimeltä "Electronic Check Truncation" testaus. Sen tavoitteena on alentaa valtavan paperisekkimäärän käsittelykustannuksia.

Rahan lähettäminen sähköisellä maksujärjestelmällä sisältää seuraavat vaiheet (menettely voi vaihdella erityisolosuhteista ja järjestelmästä riippuen):

1. Tiettyä tiliä ensimmäisen pankin järjestelmässä vähennetään vaaditulla määrällä.

2. Ensimmäisen pankin toisen pankin kirjeenvaihtajatiliä korotetaan samalla määrällä.

3. Ensimmäisestä pankista toiseen lähetetään sanoma, joka sisältää tiedot suoritetuista toimista (tilin tunnisteet, summa, päivämäärä, ehdot jne.); samalla edelleen lähetettävä viesti on suojattava riittävästi väärentämiseltä: salattu, digitaalisesti allekirjoitettu ja ohjauskentillä jne.

4. Vaadittu summa veloitetaan ensimmäisen pankin kirjeenvaihtajatililtä toisessa.

5. Tiettyä tiliä toisessa pankissa korotetaan vaaditulla määrällä.

6. Toinen pankki lähettää ensimmäiselle pankille ilmoituksen tehdyistä tilimuutoksista; tämä viesti on myös suojattava väärentämiseltä samalla tavalla kuin maksusanoma.

7. Vaihtoprotokolla on kiinteä sekä tilaajille että mahdollisesti kolmannelle osapuolelle (verkon ohjauskeskuksessa) ristiriitojen estämiseksi.

Viestien siirrossa voi olla välittäjiä - selvityskeskuksia, välittäjäpankkeja tiedonsiirrossa jne. Tällaisten laskelmien suurin vaikeus on luottamus kumppaniisi, eli jokaisen tilaajan on oltava varma, että hänen kirjeenvaihtajansa suorittaa kaikki tarvittavat toimet.

Sähköisten maksujen käytön laajentamiseksi tehdään rahoitusasiakirjojen sähköisen esittämisen standardointia. Se aloitettiin 70-luvulla osana kahta organisaatiota:

1) ANSI (American National Standard Institute) julkaisi ANSI X9.2-1080, (Interchange Message Specification for Debit and Credit Card Message Exchange among Financial Institute). Vuonna 1988 ISO otti käyttöön samanlaisen standardin ja nimettiin ISO 8583:ksi (Bank Card Originated Messages Interchange Message Specifications - Content for Financial Transactions);

2) SWIFT (Society for Worldwide Interbank Financial Telecommunications) on kehittänyt joukon standardeja pankkien välisille viesteille.

ISO 8583 -standardin mukaisesti talousasiakirja sisältää joukon tietoelementtejä (rekvisiittejä), jotka sijaitsevat tietyissä viestin tai sähköisen asiakirjan kentissä (sähköinen luottokortti, X.400-sanoma tai EDIFACT-syntaksinen asiakirja) . Jokaiselle tietoelementille (ED) on määritetty oma yksilöllinen numeronsa. Tietoelementti voi olla joko pakollinen (eli jokaisessa tämän tyyppisessä viestissä) tai valinnainen (se voi puuttua joissakin viesteissä).

Bittimittakaava määrittää viestin koostumuksen (sanomassa olevat ED:t). Jos jokin bittiasteikon numero on asetettu ykköseksi, tämä tarkoittaa, että viestissä on vastaava ED. Tämän viestien koodausmenetelmän ansiosta viestin kokonaispituus lyhenee, saavutetaan joustavuutta useiden ED:iden sisältävien viestien esittämisessä ja on mahdollista sisällyttää uusia ED:itä ja sanomatyyppejä vakiorakenteen omaavaan sähköiseen dokumenttiin.

Sähköisiä pankkien välisiä maksuja on useita. Harkitse kahta niistä: maksu shekillä (maksu palvelun jälkeen) ja maksu remburssilla (maksu odotetusta palvelusta). Muilla tavoilla, kuten maksutoimeksiannolla tai maksumääräyksellä, on samanlainen organisaatio.

Sekkimaksu perustuu paperiin tai muuhun maksajan henkilöllisyyden sisältävään asiakirjaan. Tämä asiakirja on perustana shekissä mainitun summan siirtämiselle omistajan tililtä lähettäjän tilille. Sekillä maksaminen sisältää seuraavat vaiheet:

Sekin vastaanotto;

Sekin esittäminen pankille;

Pyyntö siirtää sekin haltijan tililtä liikkeeseenlaskijan tilille;

Rahansiirto;

Maksuilmoitus.

Tällaisten maksujen suurimmat haitat ovat apuasiakirjan (sekin) tarve, joka on helppo väärentää, sekä huomattava maksun suorittamiseen käytetty aika (jopa useita päiviä).

Siksi viime vuosina sellainen maksutapa kuin remburssilla maksaminen on yleistynyt. Se sisältää seuraavat vaiheet:

Asiakkaan ilmoitus pankille lainan myöntämisestä;

Ilmoitus saajan pankille lainan myöntämisestä ja rahansiirrosta;

Saajan ilmoitus lainan vastaanottamisesta.

Tämän järjestelmän avulla voit suorittaa maksuja erittäin lyhyessä ajassa. Lainailmoituksen voi lähettää (sähköpostitse), levykkeillä, magneettinauhoilla.

Jokaisella edellä mainituista maksutyypeistä on etunsa ja haittansa. Sekit sopivat parhaiten pienten summien maksamiseen sekä satunnaisiin maksuihin. Näissä tapauksissa maksun viivästyminen ei ole kovin merkittävää ja luoton käyttö on epätarkoituksenmukaista. Remburssiselvitystä käytetään yleensä säännöllisiin maksuihin ja merkittäviin summiin. Näissä tapauksissa selvitysviiveen puuttuminen säästää paljon aikaa ja rahaa lyhentämällä kiertoaikaa. Näiden kahden menetelmän yhteinen haittapuoli on luotettavan sähköisen maksujärjestelmän järjestämisen kustannusten tarve.



Suosittu luokassa:
Avaa vasen valikko ansi. Matkustaa Ranskassa. Annecy-järven ympärillä St. Petra
Avaa vasen valikko ansi. Matkustaa Ranskassa. Annecy-järven ympärillä...
lukea
Kuinka asettaa tietokoneen sammutusajastin
Kuinka asettaa tietokoneen sammutusajastin
lukea
Esimerkkejä tekstifunktioista Excelissä Mikä tahansa tekstiarvo Excelissä
Esimerkkejä tekstifunktioista Excelissä Mikä tahansa tekstiarvo Excelissä
lukea
Tiedostot kopioivat hitaasti
Tiedostot kopioivat hitaasti
lukea

Viimeisimmät artikkelit
Viestimuisti täynnä: ei mahdollista...
lukea
Akustinen energia AE1 MkIII: referenssi...
lukea
Kuinka asentaa CryptoPro - kuinka asentaa...
lukea
Laiteohjelmisto Alcatel van touch pixielle
lukea
Animoidut työpöydän taustat
lukea
SIRI: mikä se on ja miten sitä käytetään
lukea
Äänikortti generaattorina
lukea
Mitä tehdä, jos "objektikenttää ei löydy"
lukea
Yläosa