Méthodes de protection du système de paiements électroniques en monnaie numérique. Quels sont les principaux moyens de protéger la monnaie électronique ? Moyens de protection des systèmes de paiement électronique
Les systèmes de paiement électronique sont l'un des types de travail les plus populaires avec la monnaie électronique. Chaque année, ils se développent de plus en plus activement, occupant une part assez importante du marché du travail avec la monnaie. Parallèlement à eux, les technologies permettant d'assurer leur sécurité se développent également. Depuis aujourd'hui, aucun système de paiement électronique ne peut exister sans de bonnes technologies et systèmes de sécurité, qui à leur tour assurent une transaction sécurisée des transactions monétaires. En fait, il existe de nombreux systèmes de paiement électronique eux-mêmes, ainsi que des technologies de sécurité. Chacun d'eux a des principes et des technologies de travail différents, ainsi que ses propres avantages et inconvénients. De plus, un certain nombre de questions théoriques et pratiques restent non résolues, ce qui détermine la pertinence du sujet de recherche.
Chaque système de paiement électronique utilise ses propres méthodes, algorithmes de cryptage, protocoles de transfert de données pour effectuer des transactions et des transferts de données sécurisés. Certains systèmes utilisent l'algorithme de cryptage RSA et le protocole de transfert HTTPs, d'autres utilisent l'algorithme DES et le protocole SSL pour transférer des données cryptées. L'idée d'écrire un article est basée sur l'étude et l'analyse d'un certain nombre de systèmes de paiement populaires, à savoir les technologies de sécurité qui y sont utilisées, et sur la recherche de celle qui est la plus avancée.
Au cours de la rédaction de l'article, des études sur les systèmes de paiement ont été réalisées, une analyse de la sécurité des systèmes de paiement existants. Quatre systèmes de paiement (Webmoney, Yandex.Money, PauPa1 et E-Port) ont été analysés selon les mêmes critères. Les systèmes ont été évalués à l'aide d'un système à plusieurs niveaux qui comprend des paramètres imbriqués. Bien sûr, tous ces critères s'appliquent à la sphère la sécurité des informations. Il y a deux critères principaux : le support technique pour la sécurité de l'information des paiements et le support organisationnel et juridique. Chacun de ces deux paramètres a été évalué sur un système à trois points. L'échelle de notation est exactement celle-ci, car le développement actuel des systèmes de paiement électronique dans notre pays est à un niveau tel que la plupart de leurs paramètres ne peuvent être décrits qu'avec les mots «oui ou non». Ainsi, si le système de paiement électronique correspond au maximum à n'importe quel paramètre, il reçoit la note la plus élevée (3), s'il ne répond pas du tout, la note minimale (0). Si le système n'a pas ce critère sous sa forme explicite, mais s'il y a des services ou des capacités associés à celui qui manque, nous attribuons une note intermédiaire - un ou deux.
Lors de l'évaluation des systèmes de paiement électronique, il convient de rappeler que dans des conditions différentes, la valeur du même paramètre n'est pas la même. Par exemple, plusieurs services qui augmentent considérablement le niveau de protection ne peuvent être mis en œuvre que volontairement par l'utilisateur ; de plus, la présence même de ces services dans le système est précieuse. Personne n'a annulé le facteur humain et ne l'annulera jamais, par conséquent, il est pris en compte que le service peut être à la fois mis en œuvre et non réalisé.
Sécurité technique des transactions
Il s'agit du premier des critères - un ensemble de paramètres qui fournit, comme son nom l'indique, le côté technique de la protection des informations. Jusqu'à ce paramètre, activé : les méthodes cryptographiques de cryptage, d'authentification et d'accès à l'aide d'un matériel(dans le cas le plus primitif - en utilisant des clés USB).
Ce n'est un secret pour personne que le principal critère de protection des informations sur le plan technique est bien sûr le cryptage des données, et plus précisément les algorithmes cryptographiques avec lesquels elles sont mises en œuvre. On sait également que plus la longueur de la clé est longue, plus il est difficile de la déchiffrer et, par conséquent, d'accéder à des informations confidentielles. Trois des systèmes testés utilisent l'algorithme RSA bien connu et largement respecté : Webmoney, Yandex.Money, PayPal. E-Port utilise le cryptage SSL version 3.0.En fait, le cryptage est mis en œuvre à l'aide de clés SSL, qui sont uniques, elles sont générées au cours de la session et sont appelées la clé de session. La longueur de la clé SSL dans le système E-Port varie de 40 à 128 bits, ce qui est largement suffisant pour un niveau acceptable de sécurité des transactions.
Le paramètre suivant dans le support technique de la sécurité de l'information des transactions est l'authentification, c'est-à-dire un ensemble de solutions dont un utilisateur a besoin pour accéder à ses propres informations personnelles. Tout est simple ici. Les systèmes Webmoney et Yandex.Money utilisent deux critères d'accès, tandis que PayPal et E-Port n'en utilisent qu'un seul. Dans Webmoney, pour accéder au système et effectuer des paiements, vous devez entrer un mot de passe et une clé spéciale.Yandex.Money fonctionne de la même manière: un mot de passe et un programme de portefeuille spécial sont nécessaires. Dans tous les autres systèmes, l'accès se fait par mot de passe. Cependant, dans le système E-Port, pour travailler avec le protocole SSL, le serveur Web d'un client potentiel (et de tout autre membre du système) doit disposer d'un certificat numérique spécial reçu de l'une des sociétés autorisées. Ce certificat est utilisé pour authentifier le serveur Web du client. Le mécanisme de protection par certificat utilisé par E-Port est certifié par RSA Security. Le troisième et dernier paramètre de ce critère d'étude est l'accès au système à l'aide d'un matériel spécifique, comme les clés USB.
Méthodes de cryptage cryptographique
Webmoney et Yandex.Money utilisent une clé de 1024 bits (chiffre très élevé, il est quasiment impossible de cracker une telle clé par simple énumération), et PayPal utilise une clé deux fois plus courte - 512 bits. deux systèmes, selon ce critère, nous obtenons le point maximum - 3. PayPal, parce qu'il utilise une clé de cryptage plus petite, obtient deux points. Il ne reste plus qu'à évaluer E-Port par ce paramètre.Malgré l'utilisation du protocole SSL et même la longueur de la clé jusqu'à 128 bits, il existe une vulnérabilité potentielle dans E-Port : de nombreuses anciennes versions de navigateurs prennent en charge le cryptage avec des clés. de plus petite longueur, il est donc possible de pirater les données reçues ; en conséquence, pour ceux qui utilisent le navigateur comme client pour Système de paiement, vous devez travailler avec dernière version(bien sûr, ce n'est pas toujours pratique et possible). Cependant, dans la colonne "chiffrement", vous pouvez définir 1,7 points pour l'E-Port : le système méritait cette note en raison de l'utilisation du protocole progressif PGP pour le chiffrement des messages e-mail.
Authentification
Les systèmes Webmoney et Yandex.Money utilisent deux critères d'accès, tandis que PayPal et E-Port n'en utilisent qu'un seul. Dans Webmoney, pour accéder au système et effectuer des paiements, vous devez entrer un mot de passe et une clé spéciale. Yandex.Money fonctionne de la même manière : un mot de passe et un programme de portefeuille spécial sont nécessaires. Dans tous les autres systèmes, l'accès se fait par mot de passe. Cependant, dans le système E-Port pour travailler sur le protocole SSL, le serveur Web d'un client potentiel.
Selon Webmoney et Yandex.Money, ils obtiennent trois points chacun, PayPal - 0 point, E-Port - un.
C'est encore plus facile qu'avec les options précédentes. De tous les systèmes, seul Webmoney PayPal dispose d'une telle option supplémentaire, ces derniers n'offrent pas une telle opportunité. Ainsi, en tenant compte du facteur de pondération, Webmoney et PayPal ont reçu 1,5 point pour ce paramètre, tout le reste - zéro.
Après avoir évalué les deux critères, les résultats peuvent être résumés. Selon la somme des paramètres considérés, Webmoney s'est avéré sûr. En effet, si l'utilisateur utilise tous les services de sécurité qu'il propose, il peut rester quasiment invulnérable face aux fraudeurs. La deuxième place a été prise par le système Yandex.Money, la troisième place a été prise par PayPal (ce système est idéal pour les personnes morales pour une transparence juridique importante des paiements), et la dernière place a été attribuée au système E-Port.
De plus, en résumant l'analyse des systèmes de paiement, on peut dire que le choix d'un système de paiement électronique ne s'effectue pas en fonction d'un paramètre de sécurité, même s'il est l'un des plus importants. Les systèmes de paiement électronique diffèrent également par la disponibilité des services, la facilité d'utilisation - il existe de nombreux autres facteurs.
conclusion
Les paiements électroniques sont une étape naturelle dans le développement des télécommunications. La demande est forte dans les niches où il existe un produit à part entière - un produit numérique, dont les propriétés sont bien "superposées" aux propriétés du paiement en ligne : paiement instantané, livraison instantanée , simplicité et sécurité.
Système de paiement en ligne est un système permettant d'effectuer des règlements entre des organisations financières, commerciales et des internautes lors du processus d'achat / vente de biens et de services via Internet. C'est le système de paiement qui permet de transformer un service de traitement de commandes ou une vitrine électronique en une boutique à part entière avec tous les attributs standards : en sélectionnant un produit ou un service sur le site du vendeur, l'acheteur peut effectuer un paiement sans quitter le ordinateur.
Dans le système de commerce électronique, les paiements sont soumis à un certain nombre de conditions :
1. Respect de la confidentialité. Lorsqu'il effectue des paiements sur Internet, l'acheteur souhaite que ses données (par exemple, le numéro de carte de crédit) ne soient connues que des organisations qui ont légalement le droit de le faire.
2. Maintenir l'intégrité des informations. Les informations d'achat ne peuvent être modifiées par personne.
3. Authentification. Les acheteurs et les vendeurs doivent être sûrs que toutes les parties impliquées dans la transaction sont bien celles qu'ils prétendent être.
4. Moyens de paiement. Possibilité de règlement par tout moyen de paiement à la disposition de l'acheteur.
6. Garanties des risques du vendeur. Lorsqu'il négocie sur Internet, le vendeur s'expose à de nombreux risques liés au refus de la marchandise et à la mauvaise foi de l'acheteur. L'ampleur des risques doit être convenue avec le fournisseur du système de paiement et les autres organisations incluses dans les chaînes commerciales par le biais d'accords spéciaux.
7. Minimisez les frais de transaction. Les frais de traitement des transactions pour la commande et le paiement des marchandises sont naturellement inclus dans leur coût, donc la baisse du prix de transaction augmente la compétitivité. Il est important de noter que la transaction doit être payée dans tous les cas, même si l'acheteur refuse la marchandise.
Toutes ces conditions doivent être mises en œuvre dans le système de paiement Internet, qui, pour l'essentiel, sont des versions électroniques des systèmes de paiement traditionnels.
Ainsi, tous les systèmes de paiement sont divisés en :
Débit (travail avec des chèques électroniques et de l'argent numérique);
Crédit (travail avec des cartes de crédit).
Systèmes de débit
Les systèmes de paiement par débit sont construits de la même manière que leurs prototypes hors ligne : chèque et espèces ordinaires. Deux parties indépendantes sont impliquées dans le schéma : les émetteurs et les utilisateurs. L'émetteur s'entend comme l'entité qui gère le système de paiement. Il émet certaines unités électroniques représentant des paiements (par exemple, de l'argent sur des comptes bancaires). Les utilisateurs du système remplissent deux fonctions principales. Ils effectuent et acceptent des paiements sur Internet au moyen d'objets électroniques émis.
Les chèques électroniques sont analogues aux chèques papier ordinaires. Ce sont les instructions du payeur à sa banque pour transférer de l'argent de son compte vers le compte du bénéficiaire. L'opération a lieu lorsque le bénéficiaire présente un chèque à la banque. Il y a deux différences principales ici. Premièrement, lors de la rédaction d'un chèque papier, le payeur appose sa vraie signature et, dans la version en ligne, une signature électronique. Deuxièmement, les chèques eux-mêmes sont émis par voie électronique.
Les paiements se font en plusieurs étapes :
1. Le payeur émet un chèque électronique, le signe avec une signature électronique et l'envoie au destinataire. Afin d'assurer une plus grande fiabilité et sécurité, le numéro de compte courant peut être encodé avec la clé publique de la banque.
2. Le chèque est présenté pour paiement au système de paiement. De plus, (soit ici, soit dans la banque au service du destinataire), un contrôle a lieu signature électronique.
3. Si son authenticité est confirmée, un produit est livré ou un service est fourni. L'argent est transféré du compte du payeur au compte du destinataire.
La simplicité du schéma de paiement (Fig. 43) est malheureusement compensée par les difficultés de sa mise en œuvre du fait que les schémas de chèques ne se sont pas encore généralisés et qu'il n'existe pas de centres de certification pour la mise en œuvre des signatures électroniques.
Une signature numérique électronique (EDS) utilise un système de cryptage à clé publique. Cela crée une clé privée pour la signature et une clé publique pour la vérification. La clé privée est conservée par l'utilisateur, tandis que la clé publique est accessible à tous. Le moyen le plus pratique de distribuer des clés publiques consiste à utiliser des centres de certification. Il stocke des certificats numériques contenant la clé publique et des informations sur le propriétaire. Cela dispense l'utilisateur de l'obligation de distribuer lui-même sa clé publique. De plus, les autorités de certification fournissent une authentification pour s'assurer que personne ne peut générer des clés au nom d'une autre personne.
La monnaie électronique simule entièrement la monnaie réelle. Dans le même temps, l'organisme émetteur - l'émetteur - émet ses homologues électroniques, appelés différemment dans différents systèmes (par exemple, coupons). De plus, ils sont achetés par les utilisateurs qui les utilisent pour payer leurs achats, puis le vendeur les rachète à l'émetteur. Lors de l'émission, chaque unité monétaire est certifiée par un cachet électronique, qui est vérifié par la structure émettrice avant remboursement.
L'une des caractéristiques de l'argent physique est son anonymat, c'est-à-dire qu'il n'indique pas qui l'a utilisé et quand. Certains systèmes, par analogie, permettent au client de recevoir de l'argent électronique de telle manière que la relation entre lui et l'argent ne peut être déterminée. Cela se fait à l'aide d'un schéma de signature aveugle.
Il convient également de noter que lors de l'utilisation monnaie électronique il n'y a pas besoin d'authentification, puisque le système est basé sur la mise en circulation de l'argent avant qu'il ne soit utilisé.
La figure 44 montre le schéma de paiement utilisant la monnaie électronique.
Le mécanisme de paiement est le suivant :
1. L'acheteur échange à l'avance de l'argent réel contre de l'argent électronique. La garde d'espèces chez le client peut être effectuée de deux manières, qui sont déterminées par le système utilisé :
Sur le disque dur de l'ordinateur ;
sur les cartes à puce.
Différents systèmes offrent différents schémas d'échange. Certains ouvrent des comptes spéciaux sur lesquels sont transférés des fonds du compte de l'acheteur en échange de billets électroniques. Certaines banques peuvent émettre elles-mêmes de l'argent électronique. Dans le même temps, il n'est émis qu'à la demande du client, avec son transfert ultérieur sur l'ordinateur ou la carte de ce client et le retrait de l'équivalent en espèces de son compte. Lors de la mise en œuvre d'une signature aveugle, l'acheteur crée lui-même des billets de banque électroniques, les envoie à la banque, où, dès réception de l'argent réel sur le compte, ils sont certifiés par un sceau et renvoyés au client.
Outre la commodité d'un tel stockage, il présente également des inconvénients. L'endommagement d'un disque ou d'une carte à puce entraîne une perte irrémédiable de monnaie électronique.
2. L'acheteur transfère de l'argent électronique pour l'achat au serveur du vendeur.
3. L'argent est présenté à l'émetteur, qui vérifie leur authenticité.
4. Si les billets électroniques sont authentiques, le compte du vendeur est augmenté du montant de l'achat et les marchandises sont expédiées à l'acheteur ou le service est fourni.
L'une des principales caractéristiques distinctives de la monnaie électronique est la possibilité d'effectuer des micropaiements. Cela est dû au fait que la dénomination des billets peut ne pas correspondre à de vraies pièces (par exemple, 37 kopecks).
Les banques et les organisations non bancaires peuvent émettre de l'argent électronique. Cependant, il n'a pas encore été développé un système convertir différents types de monnaie électronique. Par conséquent, seuls les émetteurs eux-mêmes peuvent racheter la monnaie électronique émise par eux. De plus, l'utilisation de cet argent provenant de structures non financières n'est pas garantie par l'État. Cependant, le faible coût de la transaction fait de l'e-cash un outil attractif pour les paiements sur Internet.
Systèmes de crédit
Les systèmes de crédit Internet sont des analogues des systèmes conventionnels qui fonctionnent avec des cartes de crédit. La différence réside dans la conduite de toutes les transactions via Internet et, par conséquent, dans la nécessité d'une sécurité et d'une authentification supplémentaires.
Sont concernés par le paiement par Internet par carte de crédit :
1. Acheteur. Un client qui dispose d'un ordinateur avec un navigateur Web et un accès à Internet.
2. Banque émettrice. Voici le compte de l'acheteur. La banque émettrice émet les cartes et se porte garante du respect des obligations financières du client.
3. Vendeurs. Les vendeurs sont des serveurs de commerce électronique qui maintiennent des catalogues de biens et de services et acceptent les bons de commande des clients.
4. Acquisition de banques. Les banques au service des commerçants. Chaque vendeur dispose d'une banque unique dans laquelle il tient son compte courant.
5. Système de paiement par Internet. Les composants électroniques qui sont des intermédiaires entre les autres participants.
6. Système de paiement traditionnel. Un ensemble de moyens financiers et technologiques pour le service des cartes de ce type. Parmi les principales tâches résolues par le système de paiement figurent l'utilisation des cartes comme moyen de paiement pour les biens et services, l'utilisation des services bancaires, les règlements mutuels, etc. Les participants au système de paiement sont des personnes physiques et morales unies par des relations pour l'utilisation de cartes de crédit.
7. Centre de traitement du système de paiement. Organisation qui fournit des informations et une interaction technologique entre les participants d'un système de paiement traditionnel.
8. Banque de règlement du système de paiement. Un établissement de crédit qui effectue des règlements mutuels entre les participants au système de paiement pour le compte du centre de traitement.
Le schéma général des paiements dans un tel système est illustré à la figure 45.
1. L'acheteur dans la boutique électronique forme un panier de marchandises et sélectionne le mode de paiement "carte de crédit".
Par l'intermédiaire du magasin, c'est-à-dire que les paramètres de la carte sont entrés directement sur le site Web du magasin, après quoi ils sont transférés au système de paiement Internet (2a) ;
Sur le serveur du système de paiement (2b).
Les avantages de la deuxième voie sont évidents. Dans ce cas, les informations sur les cartes ne restent pas dans le magasin et, par conséquent, le risque de les recevoir par des tiers ou de fraude par le vendeur est réduit. Dans les deux cas, lors du transfert des détails de la carte de crédit, il y a toujours la possibilité qu'ils soient interceptés par des attaquants sur le réseau. Pour éviter cela, les données sont cryptées pendant la transmission.
Bien entendu, le cryptage réduit la possibilité d'intercepter des données sur le réseau, par conséquent, les communications acheteur/vendeur, vendeur/système de paiement Internet, acheteur/système de paiement Internet s'effectuent de préférence à l'aide de protocoles sécurisés. Le plus courant d'entre eux est aujourd'hui le protocole SSL (Secure Sockets Layer), ainsi que la norme de transaction électronique sécurisée SET (Secure Electronic Transaction), destinée à remplacer à terme SSL dans le traitement des transactions liées aux paiements d'achats par carte de crédit sur Internet.
3. Le système de paiement par Internet envoie la demande d'autorisation au système de paiement traditionnel.
4. L'étape suivante dépend si la banque émettrice maintient une base de données en ligne (DB) des comptes. Si la base de données est disponible, le centre de traitement envoie à la banque émettrice une demande d'autorisation carte (voir introduction ou dictionnaire) (4a) puis (4b) reçoit son résultat. Si une telle base n'existe pas, le centre de traitement lui-même stocke des informations sur l'état des comptes des titulaires de carte, des listes d'arrêt et répond aux demandes d'autorisation. Ces informations sont régulièrement mises à jour par les banques émettrices.
Le magasin fournit un service ou expédie un produit (8a);
Le centre de traitement envoie des informations sur la transaction terminée à la banque de règlement (8b). L'argent du compte de l'acheteur dans la banque émettrice est transféré par l'intermédiaire de la banque de règlement sur le compte du magasin dans la banque acquéreuse.
Afin d'effectuer de tels paiements, dans la plupart des cas, un logiciel. Il peut être délivré à l'acheteur (appelé porte-monnaie électronique), au vendeur et à sa banque de service.
Introduction
1. Les systèmes de paiement électronique et leur classification
1.1 Concepts de base
1.2 Classification des systèmes de paiement électronique
1.3 Analyse des principaux systèmes de paiement électronique utilisés en Russie
2. Moyens de protection des systèmes de paiement électronique
2.1 Menaces liées à l'utilisation des systèmes de paiement électronique
2.2 Technologies de sécurité pour les systèmes de paiement électronique
2.3 Analyse des technologies pour la conformité exigences de base aux systèmes de paiement électronique
Conclusion
Liste bibliographique
INTRODUCTION
Un sujet hautement spécialisé des paiements électroniques et de la monnaie électronique qui n'intéressait guère il y a 10 ans est récemment devenu pertinent non seulement pour les hommes d'affaires, mais aussi pour les utilisateurs finaux. Les mots à la mode "e-business", "e-commerce" sont probablement connus par une personne sur deux qui lit au moins occasionnellement la presse informatique ou populaire. La tâche de paiement à distance (transfert d'argent sur de longues distances) est passée de la catégorie des tâches spéciales à celles de tous les jours. Cependant, l'abondance d'informations sur cette question ne contribue en rien à la clarté d'esprit des citoyens. À la fois en raison de la complexité et du sous-développement conceptuel du problème des paiements électroniques, et du fait que de nombreux vulgarisateurs travaillent souvent sur le principe d'un téléphone endommagé, au niveau des ménages, bien sûr, tout est clair pour tout le monde. Mais c'est jusqu'à ce que vienne le tour du développement pratique des paiements électroniques. C'est là que se révèle l'incompréhension de l'opportunité d'utiliser les paiements électroniques dans certains cas.
Pendant ce temps, la tâche d'accepter les paiements électroniques devient de plus en plus importante pour ceux qui vont faire des affaires en utilisant Internet, ainsi que pour ceux qui vont faire des achats sur le Web. Cet article est pour les deux.
Le principal problème lors de l'examen des systèmes de paiement électronique pour un débutant est la diversité de leur conception et de leurs principes de fonctionnement, et le fait que, malgré la similitude extérieure de mise en œuvre, des mécanismes technologiques et financiers assez différents peuvent être cachés dans leurs profondeurs.
Le développement rapide de la popularité de l'Internet mondial a donné une impulsion puissante au développement de nouvelles approches et solutions dans divers domaines de l'économie mondiale. Même des systèmes aussi conservateurs que les systèmes de paiement électronique dans les banques ont succombé aux nouvelles tendances. Cela s'est traduit par l'émergence et le développement de nouveaux systèmes de paiement - les systèmes de paiement électronique via Internet, dont le principal avantage est que les clients peuvent effectuer des paiements (transactions financières) en contournant l'étape épuisante et parfois techniquement difficile du transport physique d'un ordre de paiement à la Banque. Les banques et les établissements bancaires sont également intéressés par la mise en œuvre de ces systèmes, car ils permettent d'augmenter la rapidité du service client et de réduire les frais généraux liés aux paiements.
Les systèmes de paiement électronique font circuler des informations, y compris des informations confidentielles, qui doivent être protégées contre la visualisation, la modification et l'imposition de fausses informations. Le développement de technologies de sécurité appropriées orientées Internet est actuellement un défi majeur. La raison en est que l'architecture, les ressources de base et les technologies Réseaux Internet axé sur l'organisation de l'accès ou de la collecte informations ouvertes. Cependant, récemment, il y a eu des approches et des solutions qui indiquent la possibilité d'utiliser des technologies Internet standard dans la construction de systèmes pour la transmission sécurisée d'informations sur Internet.
Le RGR a pour objectif d'analyser les systèmes de paiement électronique et d'élaborer des recommandations pour l'utilisation de chacun d'eux. Sur la base de l'objectif, les étapes suivantes de la mise en œuvre du RGR sont formulées :
1. Déterminer les principales tâches des systèmes de paiement électronique et les principes de leur fonctionnement, leurs caractéristiques.
2. Analyser les principaux systèmes de paiements électroniques.
3. Analyser les menaces liées à l'utilisation de la monnaie électronique.
4. Analyser les moyens de protection lors de l'utilisation des systèmes de paiement électronique.
1. LES SYSTEMES DE PAIEMENT ELECTRONIQUE ET LEUR CLASSIFICATION
1.1 Concepts de base
Paiements électroniques. Commençons par le fait qu'il est légitime de parler de l'émergence des paiements électroniques en tant que type de paiement sans numéraire dans la seconde moitié du XXe siècle. En d'autres termes, la transmission d'informations sur les paiements par fil existe depuis longtemps, mais a acquis une qualité fondamentalement nouvelle lorsque les ordinateurs sont apparus aux deux extrémités des fils. Les informations étaient transmises par télex, télétype, réseaux informatiques apparus à cette époque. Un saut qualitatif nouveau s'est exprimé dans le fait que la vitesse d'exécution des paiements a considérablement augmenté et qu'il est devenu possible de les traiter automatiquement.
Plus tard, des équivalents électroniques d'autres types de paiements sont également apparus - les paiements en espèces et d'autres moyens de paiement (par exemple, les chèques).
Systèmes de paiement électronique (EPS). Nous appelons un système de paiement électronique tout complexe de matériel spécifique et outils logiciels permettant les paiements électroniques.
Exister différentes manières et les canaux de communication pour l'accès à l'EPS. Aujourd'hui, le plus répandu de ces canaux est Internet. La diffusion d'EPS augmente, dont l'accès est effectué avec l'aide de téléphone mobile(via SMS, WAP et autres protocoles). D'autres méthodes sont moins courantes : par modem, par téléphone avec numérotation par tonalité, par téléphone via un opérateur.
Monnaie électronique. Un terme vague. Si vous examinez attentivement ce qui se cache derrière, il est facile de comprendre que la monnaie électronique est un nom incorrect pour «l'argent électronique», ainsi que pour les systèmes de paiement électroniques en tant que tels.
Ce malentendu terminologique est dû à la liberté de traduire les termes de l'anglais. Étant donné que les paiements électroniques en Russie se sont développés beaucoup plus lentement qu'en Europe et en Amérique, nous avons été obligés d'utiliser des termes fermement enracinés. Bien sûr, des noms d'argent électronique tels que "argent numérique" (e-cash), "monnaie numérique" (monnaie numérique), "argent électronique" (argent numérique)2 ont droit à la vie.
En général, le terme "monnaie électronique" ne signifie rien de spécifique, donc à l'avenir, nous essaierons d'éviter son utilisation.
Monnaie électronique :
Il s'agit d'une technologie apparue dans les années 90 du siècle dernier qui vous permet d'effectuer des paiements électroniques qui ne sont pas directement liés au transfert d'argent d'un compte à un compte auprès d'une banque ou d'un autre organisme financier, c'est-à-dire directement entre personnes - les participants finaux au paiement. Une autre propriété importante de la monnaie électronique est l'anonymat des paiements qu'elle permet. Le centre d'autorisation qui certifie le paiement n'a aucune information sur qui exactement et à qui a transféré l'argent.
La monnaie électronique est l'un des types de paiements électroniques. Une unité de monnaie électronique n'est rien de plus qu'une obligation financière de l'émetteur (banque ou autre institution financière), essentiellement similaire à une lettre de change ordinaire. Les paiements utilisant l'argent électronique apparaissent là où il devient gênant d'utiliser d'autres systèmes de paiement. Un bon exemple est la réticence de l'acheteur à fournir des informations sur sa carte de crédit lors du paiement de marchandises sur Internet.
Après avoir décidé de la terminologie, nous pouvons passer à l'étape suivante de notre conversation - parlons de la classification des EPS. Étant donné que l'EPS sert de médiateur aux calculs électroniques, la division de l'EPS est basée sur différents types de ces calculs.
De plus, la technologie logicielle et/ou matérielle sur laquelle repose le mécanisme EPS joue un rôle très important à cet égard.
1.2 Classification des systèmes de paiement électronique
Les systèmes de paiement électronique peuvent être classés en fonction à la fois des spécificités des paiements électroniques et de la technologie spécifique sous-jacente au SPE.
Classement EPS selon le type de paiements électroniques :
1. Selon la composition des participants au paiement (tableau 1).
Tableau 1
| Type de paiements électroniques | Intervenants de paiement | Analogue dans le système traditionnel des règlements monétaires | Exemple d'EPS |
| Paiements de banque à banque | Institutions financières | pas d'analogues | |
| Paiements B2B | Entités juridiques | Paiements sans numéraire entre organisations | |
| Paiements С2B | Consommateurs finaux de biens et services et personnes morales - vendeurs | Paiements en espèces et autres qu'en espèces des acheteurs aux vendeurs | Pilote de prêt |
| Paiements C2C | Personnes | Règlements directs en espèces entre particuliers, virement postal, télégraphique |
À l'avenir, nous ne considérerons pas les SPE qui sont conçus pour servir les règlements électroniques de type "banque-banque". De tels systèmes sont extrêmement complexes, ils affectent davantage les aspects technologiques du fonctionnement du système bancaire, et ils n'intéressent probablement pas les larges masses de nos lecteurs.
En outre, il convient de noter qu'il existe un autre type de paiements qui, logiquement, ne rentre pas tout à fait dans le tableau 1. Selon les caractéristiques formelles, il relève complètement du domaine C2B, mais ne peut néanmoins pas être fourni au moyen de SPE répandus de ce type. . Les micropaiements se caractérisent par une valeur extrêmement faible (cents ou fractions de centime) des biens. Le plus caractéristique de tous Articles populaires un exemple de système qui met en œuvre des micropaiements est la vente de blagues (pour un centime pièce). Des systèmes tels que Eaccess et Phonepay conviennent aux micropaiements.
2. Par type d'opérations réalisées (tableau 2).
Tableau 2
| Type de paiements électroniques | Où sont-ils utilisés | Exemple d'EPS |
| Opérations de gestion de compte bancaire | Systèmes "banque client" avec accès via modem, Internet, téléphone mobile, etc. | Opérations de gestion des comptes bancaires du Système "client |
| Opérations de transfert d'argent sans ouverture de compte bancaire | systèmes de transfert d'argent réseaux informatiques similaire aux virements postaux et télégraphiques | |
| Opérations avec les comptes bancaires de carte | Cartes plastiques de débit et de crédit | Cyberplat (Cyberpos) |
| Opérations avec chèques électroniques et autres obligations de paiement non monétaires | Systèmes fermés de paiements interentreprises | Cyberplat (Cybercheck) |
| Transactions avec des (quasi) espèces électroniques | Calculs avec physique particuliers, analogues électroniques de jetons et cartes prépayées utilisés comme substituts monétaires pour le paiement de marchandises |
Il est à noter que les systèmes "client-banque" sont connus depuis longtemps. Vous pouvez accéder à votre compte bancaire à l'aide d'un modem. Au cours de la dernière décennie, de nouvelles opportunités sont apparues pour gérer votre compte via Internet, via une interface Web conviviale. Ce service s'appelait "Internet banking" et n'introduisait rien de fondamentalement nouveau dans les systèmes de paiement de type "client-banque". En outre, il existe d'autres options pour accéder à un compte bancaire, par exemple en utilisant un téléphone mobile (WAP-banking, SMS-banking). À cet égard, dans cet article, nous ne nous attarderons pas spécifiquement sur ce type d'EPS, nous noterons seulement qu'actuellement en Russie, environ 100 banques commerciales fournissent des services bancaires par Internet en utilisant plus de 10 EPS différents.
Classement EPS selon la technologie utilisée :
L'une des qualités les plus importantes de l'EPS est la résistance à l'effraction. C'est peut-être la caractéristique la plus discutée de ces systèmes. Comme on peut le voir dans le tableau 3, lors de la résolution du problème de la sécurité du système, la plupart des approches de construction d'un EPS sont basées sur le secret d'une certaine base de données centrale contenant des informations critiques. En même temps, certains d'entre eux ajoutent à cela base secrète niveaux de protection supplémentaires basés sur la durabilité du matériel.
En principe, il existe d'autres technologies sur la base desquelles EPS peut être construit. Par exemple, il n'y a pas si longtemps, il y avait un message dans les médias sur le développement d'un EPS basé sur des disques CDR intégrés dans une carte plastique. Cependant systèmes similaires ne sont pas largement utilisés dans la pratique mondiale, et nous ne nous concentrerons donc pas sur eux.
Tableau 3
| Technologie | Sur quoi repose la stabilité du système ? | Exemple d'EPS |
| Systèmes avec une banque cliente de serveur central, transfert de fonds | Sécurité des clés d'accès | Telebank (Guta-banque), "Banque de services Internet" (Autobank) |
| Carte à puce | Résistance matérielle d'une carte à puce au piratage | Mondex, ACCORD |
| Cartes magnétiques et cartes de crédit virtuelles | Aide, Élite |
|
| cartes à gratter | Secret de la base de données avec numéros et codes des cartes à gratter | Port électronique, Creditpilot, Webmoney, Paycash, Rapira |
| Fichier/portefeuille en tant que programme sur l'ordinateur de l'utilisateur | Force cryptographique du protocole d'échange d'informations | |
| Appel téléphonique payant | Confidentialité de la base de données centrale avec codes PIN et stabilité matérielle du réseau téléphonique intelligent | Accès, Phonepay |
1.3 Analyse des principaux systèmes de paiement électronique utilisés en Russie
Actuellement, de nombreux systèmes de paiement électronique sont utilisés sur Internet russe, bien qu'ils ne soient pas tous largement utilisés. De manière caractéristique, presque tous les systèmes de paiement occidentaux utilisés dans Runet sont liés aux cartes de crédit. Certains d'entre eux, comme PayPal, refusent officiellement de travailler avec des clients russes. Les systèmes suivants sont les plus largement utilisés aujourd'hui :
CyberPlat fait référence à des systèmes de type mixte (selon l'une des classifications ci-dessus). En effet, on peut dire qu'au sein de ce système, trois distincts sont regroupés sous un même toit : le système classique « client-banque », qui permet aux clients de gérer les comptes ouverts dans les banques participant au système (11 banques russes et 1 banque lettone ); le système CyberCheck, qui permet d'effectuer des paiements sécurisés entre entités juridiques connectées au système ; et le système d'acquisition Internet, c'est-à-dire le traitement des paiements acceptés par carte de crédit - CyberPos. Parmi tous les systèmes d'acquisition Internet disponibles sur le marché russe, CyberPlat assure le traitement du plus grand nombre de types de cartes de crédit, à savoir : Visa, Mastercard/Eurocard, American Express7, Diners Club, JCB, Union Card, une connexion imminente au STB- système de carte a été annoncé et ACCORD-card/Bashkard. Officieusement, les employés de l'entreprise ont affirmé qu'ils travaillaient sur la possibilité de s'arrimer à d'autres systèmes de cartes russes. En plus de ce qui précède, CyberPlat assure le traitement des cartes à gratter du système de paiement E-port et annonce la mise en service prochaine d'une passerelle avec le système Paycash.
Actuellement, pour augmenter le niveau de protection contre les paiements par cartes de crédit volées, la société développe une technologie PalPay spécialisée, qui consiste à donner au vendeur la possibilité de vérifier si l'acheteur a réellement accès au compte bancaire associé à la carte de crédit, ou ne connaît que ses détails. Officiellement, la mise en service de cette technologie n'a pas encore été annoncée.
Le système CyberCheck présente un grand intérêt pour organiser le travail avec les entreprises partenaires. Sa principale caractéristique (par rapport à l'acceptation des paiements par cartes de crédit) est l'impossibilité du refus du payeur d'effectuer un paiement après coup. En d'autres termes, recevoir une confirmation de paiement de CyberCheck est tout aussi fiable que recevoir une telle confirmation de la banque où se trouve le compte du vendeur. Toutes ces fonctionnalités font de CyberPlat peut-être le plus avancé et le plus intéressant pour les vendeurs d'EPS sur Internet russe.
Le système Assist en termes de traitement des paiements par carte de crédit est à bien des égards un analogue fonctionnel de CyberPlat. A Moscou, ses intérêts sont représentés par Alfa-Bank. Au total, 5 banques sont connectées au système. Le sous-système d'acquisition Internet vous permet d'accepter les paiements de Visa, Mastercard/Eurocard, STB-card. A partir de septembre, l'acceptation des paiements depuis d'autres systèmes de cartes déclarés sur le serveur du système Assist n'était pas vraiment assurée. Cependant, selon des informations non officielles, dans un proche avenir, il sera possible d'accepter les cartes Diners Club, Cirrus Maestro et les cartes de débit Visa Electron. Fait intéressant, ce type de carte n'est généralement pas accepté par les sociétés acquéreuses, cependant, en raison de leur faible coût, ces cartes sont très courantes. Habituellement, le refus d'accepter les cartes de débit est motivé par des considérations de sécurité. ASSIST pourra peut-être contourner ce problème en utilisant le protocole SET, dont la prise en charge a été annoncée par la société l'autre jour. Contrairement à la méthode traditionnelle de paiement par cartes plastiques sur Internet, qui permet au titulaire de la carte de refuser un paiement effectué à partir de celle-ci (charge-back), le protocole SET garantit l'authenticité de la transaction, réduisant considérablement le risque pour le commerçant.
Le mode de paiement annoncé sur le site Assist utilisant des certificats électroniques achetés auprès d'un fournisseur d'accès Internet est assez intéressant car il ouvre de nouveaux secteurs d'activité pour les fournisseurs, cependant, selon les informations disponibles, en raison de difficultés juridiques, personne ne l'a réellement utilisé jusqu'à récemment . Néanmoins, encore une fois, selon des informations non officielles, cet état de choses va bientôt changer - à l'automne 2001, nous verrons peut-être la première mise en œuvre pratique de cette méthode de calcul.
En plus des systèmes de carte CyberPlat et Assist mentionnés dans les descriptions, il y en a d'autres qui ont reçu une certaine distribution sur le marché. Discover/NOVUS est largement distribué en Amérique du Nord et peut intéresser les magasins d'électronique qui travaillent pour un public occidental. Nous ne connaissons pas de sociétés d'acquisition nationales qui traiteraient les cartes de ce système, cependant, il existe un certain nombre d'offres d'intermédiaires représentant les intérêts des acquéreurs occidentaux. Parmi les systèmes de cartes russes, après STB et Union Card, les plus notables sur le marché sont Zolotaya Korona, Sbercard (Sberbank), Universal Card et ICB-card (Promstroybank), ainsi que la carte ACCORD / Bashcard déjà mentionnée ci-dessus. La "carte ICB" est gérée par quelques petites sociétés acquéreuses, l'acceptation des paiements via Internet à partir des cartes "Golden Crown" et "Sbercard" est censée être fournie directement par les émetteurs et / ou les sociétés qui leur sont associées, et dans le cas de la carte universelle, elle semble n'être fournie par personne.
Paycash et Webmoney sont positionnés par leurs développeurs comme des systèmes de monnaie électronique, mais à y regarder de plus près, seul Paycash peut légitimement revendiquer un tel statut.
Le développement de Paycash a été initié par la Tauride Bank, mais d'autres banques sont actuellement connectées au système, par exemple Guta-Bank.
D'un point de vue technologique, Paycash fournit une imitation presque complète des paiements en espèces. D'un porte-monnaie électronique (programme spécialisé installé par le client sur son ordinateur), l'argent peut être transféré à un autre, tout en garantissant l'anonymat du paiement vis-à-vis de la banque. Le système est devenu assez répandu en Russie et tente actuellement d'entrer sur le marché mondial.
Le goulot d'étranglement de Paycash est la procédure de transfert d'argent vers un porte-monnaie électronique. Jusque récemment Le seul moyen Pour ce faire, il fallait se rendre dans une agence bancaire et transférer de l'argent sur le compte du système. Certes, il y avait des alternatives - pour les utilisateurs du système Guta-bank Telebank, il était possible de transférer de l'argent depuis un compte à Guta-bank sans quitter la maison, mais dans certains cas, apparemment, il est plus facile de les transférer directement sur le compte du vendeur - boutique électronique sans passer par Paycash comme intermédiaire. Il était également possible de transférer de l'argent via Western Union ou par virement postal/télégraphique, mais l'attrait de cette voie était limité par le niveau élevé des commissions. Pour les résidents de Saint-Pétersbourg, il existe une opportunité très exotique - appeler un courrier pour de l'argent à la maison. Génial, mais, hélas, nous ne vivons pas tous dans la capitale du Nord.
La possibilité de transférer de l'argent vers Paycash à partir de cartes de crédit fait toujours défaut. Cela est dû au fait que les entreprises qui prennent en charge le travail des systèmes de cartes offrent à leurs clients la possibilité de ce que l'on appelle la "rétrofacturation" - le refus d'effectuer un paiement "antidaté". Le "rechargement" est un mécanisme qui protège le propriétaire d'une carte de crédit des fraudeurs qui peuvent utiliser ses coordonnées. En cas de refus, la charge de prouver que la marchandise a bien été livrée au véritable titulaire de la carte et que le paiement doit être effectué incombe au commerçant. Mais dans le cas de Paycash, ce type de preuve est fondamentalement impossible - pour des raisons évidentes. La passerelle avec CyberPlat mentionnée ci-dessus, qui est en cours de développement, est également conçue pour résoudre ce problème.
Pour l'instant, pour le broder goulot dans le système, PayCash a pris deux mesures assez judicieuses : émettre des cartes à gratter prépayées et s'assurer que les paiements sont acceptés via le système de transfert Contact, dont les tarifs sont nettement inférieurs aux tarifs postaux (2,2 % contre 8 %).
Le système Webmoney est l'un des "pionniers" du marché du paiement électronique en Russie. Il est actuellement international. Selon certaines informations, Webmoney a des représentants non seulement dans les pays - républiques de l'ex-URSS, mais également dans des pays étrangers. L'opérateur du système est l'organisation non commerciale autonome "VM-center".
Le mode de fonctionnement de Webmoney est très similaire au travail avec de l'argent électronique, seule une analyse minutieuse et captieuse nous permet de nous assurer qu'en fait Webmoney ne fournit pas l'anonymat complet des paiements, c'est-à-dire qu'ils ne sont pas fermés aux propriétaires du système eux-mêmes . Cependant, la pratique de Webmoney a montré que cette propriété est plutôt bénéfique, permettant dans certains cas de faire face à la fraude. De plus, en tant que service payant distinct, "VM-Center" propose la certification d'une personne morale et d'un individu, le privant naturellement de l'anonymat vis-à-vis des autres participants au système. Cette opportunité est nécessaire, avant tout, pour ceux qui souhaitent organiser un magasin électronique honnête et entendent convaincre les acheteurs potentiels de leur fiabilité. Webmoney vous permet d'ouvrir des comptes et de transférer des fonds dans deux devises : roubles et dollars.
Pour accéder au système, le programme "portefeuille électronique" est utilisé. Les fonctionnalités supplémentaires du système sont le transfert de messages courts d'un portefeuille à l'autre, ainsi que les transactions de crédit entre les propriétaires de portefeuilles. Cependant, à notre avis, peu de personnes accepteront de prêter à des anonymes via Internet, ne pouvant encaisser de force un prêt en cas de non remboursement.
Contrairement à Paycash, Webmoney offrait initialement la possibilité à la fois de transférer de l'argent ordinaire vers un portefeuille et d'encaisser le contenu des portefeuilles sans procédures fastidieuses pour remplir les ordres de paiement à la banque, mais d'une manière plutôt étrange d'un point de vue juridique. En général, le soutien juridique de Webmoney dans le cadre de son travail avec les organisations a longtemps suscité de nombreuses critiques.
C'est la raison pour laquelle, alors que les utilisateurs finaux installaient activement des "portefeuilles" pour eux-mêmes, de nombreux magasins en ligne refusaient d'utiliser cet EPS. Certes, à l'heure actuelle, cette situation s'est quelque peu améliorée et la position marketing active des propriétaires de Webmoney conduit au fait que l'image du système s'améliore constamment. Un des fonctionnalités intéressantes Cette stratégie marketing était que presque immédiatement après son entrée sur le marché, tout le monde avait la possibilité de gagner de l'argent dans ce système (certaines personnes se souviennent peut-être du projet Nails et de son développement ultérieur - visiting.ru). Tout comme Paycash, Webmoney émet des cartes à gratter prépayées conçues pour déposer de l'argent dans le système.
Deux systèmes basés sur des cartes à gratter : E-port (Autocard-holding) et CreditPilot (Creditpilot.com) sont comme des frères jumeaux. Les deux supposent que l'acheteur achètera d'abord une carte à gratter avec un code secret quelque part dans un vaste réseau de distribution ou en commandant un coursier à son domicile, après quoi il commencera à payer sur Internet en utilisant ce code avec des magasins qui acceptent les paiements de ces systèmes. E-port offre en outre la possibilité de créer des cartes à gratter "virtuelles" en transférant de l'argent sur le compte de l'entreprise via une banque ou via le système "Webmoney".
Le système Rapida, qui a commencé à fonctionner en septembre 2001, tout comme les deux précédents, propose de déposer de l'argent sur le compte de l'utilisateur via des cartes à gratter ou de payer dans une banque membre du système. De plus, la possibilité de travailler en mode "Client-Banque" et de transférer de l'argent sur les comptes de personnes morales non participantes au système, ainsi que de particuliers sans ouvrir de compte bancaire, a été annoncée. L'accès au système est fourni non seulement via Internet, mais également par téléphone, en utilisant la numérotation à touches. En général, le système semble technologiquement avancé et très intéressant, mais jusqu'à présent, il ne s'est pas écoulé suffisamment de temps depuis sa mise en service pour pouvoir parler des perspectives.
Les EPS, qui permettent le paiement de la même manière qu'il est payé pour les appels longue distance (après coup, sur la base de la facture provenant de la compagnie de téléphone), sont apparus pour la première fois aux États-Unis et étaient destinés à payer l'accès aux ressources pornographiques . Cependant, en raison des actions frauduleuses systématiques de nombreux propriétaires de tels systèmes, ils n'ont pas gagné en popularité auprès des acheteurs et les vendeurs n'en étaient pas particulièrement satisfaits, car ces systèmes s'efforçaient de retarder considérablement les paiements.
Deux implémentations nationales de ce concept - Phonepay et Eaccess - sont au tout début de leur parcours. Les deux systèmes supposent que le client, pour effectuer un paiement, doit appeler un certain numéro longue distance dans le code 8-809 (fourni, apparemment, par la société MTU-inform), après quoi certaines informations clés seront lui être dicté par le robot : dans le cas d'Eaccess, il s'agit d'un code pin permettant d'accéder à une ressource d'information payante, et dans le cas de Phonepay, il s'agit d'une « pièce numérique » universelle composée de 12 chiffres de l'un des cinq dénominations codées en dur dans le système.-l'accès se développe encore progressivement, augmentant le nombre de magasins connectés au système, et Phonepay n'a pas connecté un seul magasin qui n'appartient pas aux développeurs à son système.
À mon avis, de tels systèmes en Russie ont des perspectives assez précises liées à la facilité d'accès pour l'utilisateur final, cependant, leur portée sera limitée à la vente ressources d'information. Un long retard dans la réception des paiements (le système les transférera au magasin au plus tôt lorsque l'acheteur paiera la facture de téléphone) rend le commerce des actifs corporels utilisant ces EPS plutôt non rentable.
Enfin, il convient de mentionner un autre type d'EPS, les systèmes de transferts spécialisés entre particuliers qui concurrencent les transferts postaux et télégraphiques traditionnels. Ce créneau a d'abord été occupé par des systèmes étrangers tels que Western Union et Money Gram. Par rapport aux virements traditionnels, ils permettent des paiements plus rapides et plus sécurisés. Dans le même temps, ils présentent un certain nombre d'inconvénients importants, dont le principal est le coût élevé de leurs services, pouvant atteindre 10% du montant du transfert. Un autre inconvénient est que ces systèmes ne peuvent légalement être utilisés pour accepter systématiquement des paiements pour des marchandises. Cependant, pour ceux qui souhaitent simplement envoyer de l'argent à des parents et amis, il est logique de prêter attention à ces systèmes, ainsi qu'à leurs homologues nationaux (Anelik et Contact). Jusqu'à présent, ni Paycash ni Webmoney ne sont en mesure de rivaliser avec eux, car il n'est pas possible d'obtenir de l'argent en le retirant d'un portefeuille électronique quelque part en Australie ou en Allemagne. EPS Rapida déclare une telle possibilité, mais jusqu'à présent, il n'y a pas de détails sur le site, et la géographie des bureaux du système ne peut être comparée aux systèmes déjà sur le marché.
Les propriétaires de magasins électroniques devraient apparemment penser avant tout à accepter de l'argent provenant de cartes de crédit et de systèmes de paiement électronique - Webmoney et Paycash. En termes de combinaison de caractéristiques de consommation, à notre avis, aucun des systèmes d'acceptation des paiements par carte de crédit sur le marché russe ne peut rivaliser avec CyberPlat. Tous les autres systèmes sont soumis à une utilisation facultative, surtout si vous vous souvenez que le même port E ne doit pas être installé séparément, car ses cartes sont gérées par CyberPlat.
2. MOYENS DE PROTECTION DES SYSTEMES DE PAIEMENT ELECTRONIQUE
2.1 Menaces liées à l'utilisation des systèmes de paiement électronique
Considérer menaces possibles actions destructrices d'un attaquant vis-à-vis de ce système. Pour ce faire, considérez les principaux objets d'attaque par un attaquant. L'objet principal de l'attaque de l'attaquant sont les ressources financières, ou plutôt leurs substituts électroniques (substituts) - les ordres de paiement circulant dans le système de paiement. En relation avec ces outils, un attaquant peut poursuivre les objectifs suivants :
1. Vol de fonds.
2. Introduction de faux fonds (violation de l'équilibre financier du système).
3. Violation des performances du système ( menace technique).
Les objets et objectifs spécifiés de l'attaque sont de nature abstraite et ne permettent pas l'analyse et le développement des mesures nécessaires pour protéger les informations. Le tableau 4 fournit donc une spécification des objets et objectifs des effets destructeurs de l'attaquant.
Tableau 4 Modèle d'actions destructrices possibles d'un attaquant
| Objet d'influence | Le but de l'impact | Mécanismes possibles pour la mise en œuvre de l'impact. |
| Pages HTML sur le serveur web de la banque | Substitution dans le but d'obtenir des informations saisies dans l'ordre de paiement par le client. | Attaque sur le serveur et substitution de pages sur le serveur. Substitution de pages dans le trafic. Attaque sur l'ordinateur du client et substitution de pages sur le client |
| Pages d'informations client sur le serveur | Obtenir des informations sur les paiements du ou des clients | Attaque sur le serveur. Attaque sur le trafic. Attaque sur l'ordinateur du client. |
| Données d'ordre de paiement saisies par le client dans le formulaire | Obtention des informations saisies dans l'ordre de paiement par le client. | Attaque sur l'ordinateur du client (virus, etc.). Attaquez ces instructions lorsqu'elles sont envoyées dans le trafic. Attaque sur le serveur. |
| Informations privées sur le client situées sur l'ordinateur du client et non liées au système de paiement électronique | Obtenir des informations confidentielles sur les clients. Modification des informations clients. Désactivation de l'ordinateur du client. | Tout le complexe attaques connuesà un ordinateur connecté à Internet. Attaques supplémentaires qui apparaissent à la suite de l'utilisation de mécanismes de système de paiement. |
| Informations sur le centre de traitement bancaire. | Divulgation et modification des informations du centre de traitement et réseau local pot. | Attaque sur un réseau local connecté à Internet. |
De ce tableau suivent les exigences de base que tout système de paiement électronique sur Internet doit satisfaire :
Premièrement, le système doit assurer la protection des données d'ordre de paiement contre les changements et modifications non autorisés.
Deuxièmement, le système ne doit pas augmenter la capacité de l'attaquant à organiser des attaques sur l'ordinateur du client.
Troisièmement, le système doit assurer la protection des données situées sur le serveur contre la lecture et la modification non autorisées.
Quatrièmement, le système doit fournir ou prendre en charge un système de protection du réseau local de la banque contre l'exposition du réseau mondial.
Lors du développement de systèmes spécifiques de protection des informations de paiement électronique, ce modèle et les exigences doivent faire l'objet de plus amples détails. Cependant, pour la présentation actuelle, un tel détail n'est pas requis.
2.2 Technologies de sécurité pour les systèmes de paiement électronique
Pendant un certain temps, le développement du WWW a été freiné par le fait que les pages html, qui sont la base du WWW, sont du texte statique, c'est-à-dire avec leur aide, il est difficile d'organiser un échange interactif d'informations entre l'utilisateur et le serveur. Les développeurs ont proposé de nombreuses façons d'étendre les capacités de HTML dans cette direction, dont beaucoup n'ont pas été largement adoptées. L'une des solutions les plus puissantes, qui marquait une nouvelle étape dans le développement d'Internet, était la proposition de Sun d'utiliser des applets Java comme composants interactifs connectés à des pages HTML.
Une applet Java est un programme écrit dans le langage de programmation Java et compilé en bytecodes spéciaux, qui sont les codes d'un ordinateur virtuel - une machine Java - et sont différents des codes des processeurs Intel. Les applets sont hébergées sur un serveur sur le Web et téléchargées sur l'ordinateur de l'utilisateur chaque fois qu'une page HTML contenant un appel à cette applet est consultée.
Pour exécuter les codes d'applet, le navigateur standard comprend une implémentation de machine Java qui interprète les bytecodes en instructions machine de la famille de processeurs Intel (ou autre). Les capacités inhérentes à la technologie des applets Java, d'une part, permettent de développer de puissantes Les interfaces des utilisateurs, organiser l'accès à toutes les ressources du réseau par URL, il est facile d'utiliser les protocoles TCP/IP, FTP, etc., et, d'autre part, rendre impossible l'accès direct aux ressources informatiques. Par exemple, les applets n'ont pas accès à système de fichiers ordinateur et appareils connectés.
Une solution similaire pour étendre les capacités WWW est la technologie Active X de Microsoft. La différence la plus significative entre cette technologie et Java est que les composants (analogues des applets) sont des programmes dans des codes Processeur Intel et que ces composants ont accès à toutes les ressources informatiques, ainsi qu'aux interfaces et services Windows.
Une autre approche moins courante de l'amélioration du WWW est la technologie Plug-in for Netscape Navigator de Netscape. C'est cette technologie qui semble être la base la plus optimale pour construire des systèmes de sécurité de l'information pour les paiements électroniques via Internet. Pour une présentation plus approfondie, examinons comment cette technologie résout le problème de la protection des informations du serveur Web.
Supposons qu'il existe un serveur Web et que l'administrateur ce serveur il est nécessaire de restreindre l'accès à une partie du tableau d'informations du serveur, c'est-à-dire organiser de sorte que certains utilisateurs aient accès à certaines informations, tandis que d'autres non.
Actuellement, un certain nombre d'approches pour résoudre ce problème sont proposées, en particulier, de nombreuses SE, sous le contrôle desquels fonctionnent les serveurs Internet, demandent un mot de passe pour accéder à certains de leurs domaines, c'est-à-dire nécessitent une authentification. Cette approche présente deux inconvénients importants : premièrement, les données sont stockées sur le serveur lui-même sous une forme ouverte, et, deuxièmement, les données sont également transmises sur le réseau sous une forme ouverte. Ainsi, un attaquant a la possibilité d'organiser deux attaques : sur le serveur lui-même (deviner un mot de passe, contourner un mot de passe, etc.) et attaquer le trafic. Les faits de la mise en œuvre de telles attaques sont largement connus de la communauté Internet.
Une autre approche bien connue pour résoudre le problème de la sécurité de l'information est une approche basée sur la technologie SSL (Secure Sockets Layer). Lors de l'utilisation de SSL, un canal de communication sécurisé est établi entre le client et le serveur, par lequel les données sont transmises, c'est-à-dire le problème de la transmission de données en clair sur un réseau peut être considéré comme relativement résolu. Le principal problème de SSL réside dans la construction d'un système de clés et le contrôle de celui-ci. Quant au problème du stockage des données sur le serveur sous une forme ouverte, il reste non résolu.
Un autre inconvénient important des approches décrites ci-dessus est la nécessité de leur prise en charge du côté logiciel à la fois du serveur et du client réseau, ce qui n'est pas toujours possible et pratique. Surtout dans les systèmes axés sur la clientèle de masse et non organisée.
L'approche proposée par l'auteur est basée sur la protection directe des pages html, qui sont le principal support d'information sur Internet. L'essence de la protection réside dans le fait que les fichiers contenant des pages HTML sont stockés sur le serveur sous forme cryptée. Dans le même temps, la clé sur laquelle ils sont chiffrés n'est connue que de la personne qui l'a chiffrée (l'administrateur) et des clients (en général, le problème de la construction d'un système de clés est résolu de la même manière que dans le cas du transparent cryptage des fichiers).
Les clients accèdent à des informations sécurisées grâce à la technologie Plug-in for Netscape de Netscape. Ces modules sont des programmes, plus précisément composants logiciels, qui sont associés à certains types de fichiers dans la norme MIME. MIME est une norme internationale qui définit les formats de fichiers sur Internet. Par exemple, il existe les types de fichiers suivants : text/html, text/plane, image/jpg, image/bmp, etc. De plus, la norme définit le mécanisme de réglage types personnalisés fichiers pouvant être définis et utilisés par des développeurs indépendants.
Ainsi, des plug-ins sont utilisés, qui sont associés à certains types de fichiers MIME. Le lien réside dans le fait que lorsque l'utilisateur accède à des fichiers du type correspondant, le navigateur lance le Plug-in qui lui est associé, et ce module effectue toutes les actions pour visualiser les données du fichier et traiter les actions de l'utilisateur avec ces fichiers.
Les modules Plug-in les plus connus sont des modules qui lisent des clips vidéo au format avi. L'affichage de ces fichiers n'est pas inclus dans les fonctionnalités habituelles des navigateurs, mais en installant le plug-in approprié, vous pouvez facilement afficher ces fichiers dans le navigateur.
De plus, tous les fichiers cryptés conformément à l'ordre standard international établi sont définis comme des fichiers de type MIME. "application/x-shp". Ensuite, selon la technologie et les protocoles de Netscape, un plug-in est développé qui s'associe à ce type de fichier. Ce module fait deux choses : premièrement, il demande un mot de passe et un ID utilisateur, et deuxièmement, il décrypte et affiche le fichier dans la fenêtre du navigateur. Ce module est installé, conformément à l'ordre régulier établi par Netscape, sur les navigateurs de tous les ordinateurs clients.
À ce stade préparatoire des travaux, le système est prêt à fonctionner. Pendant le fonctionnement, les clients accèdent aux pages html cryptées à leur adresse standard (URL). Le navigateur détermine le type de ces pages et lance automatiquement le module que nous avons développé en lui transmettant le contenu du fichier crypté. Le module authentifie le client et, en cas de réussite, décrypte et affiche le contenu de la page.
Lors de l'exécution de toute cette procédure, le client a le sentiment d'un cryptage de page "transparent", car toutes les opérations système décrites ci-dessus lui sont cachées. Dans le même temps, toutes les fonctionnalités standard intégrées dans les pages html, telles que l'utilisation d'images, d'applets Java, de scripts CGI, sont conservées.
Il est facile de voir que cette approche résout de nombreux problèmes de sécurité de l'information, puisque sous forme ouverte, ce n'est que sur les ordinateurs des clients, les données sont transmises sur le réseau sous forme cryptée. Un attaquant, poursuivant l'objectif d'obtenir des informations, ne peut mener une attaque que contre un utilisateur spécifique, et aucun système de protection des informations du serveur ne peut protéger contre cette attaque.
Actuellement, l'auteur a développé deux systèmes de sécurité de l'information basés sur l'approche proposée pour les navigateurs Netscape Navigator (3.x) et Netscape Communicator 4.x. Pendant pré-test il a été constaté que les systèmes développés peuvent fonctionner normalement sous le contrôle de MExplorer, mais pas dans tous les cas.
Il est important de noter que ces versions des systèmes ne chiffrent pas les objets associés à la page HTML : images, applets de script, etc.
Le système 1 offre une protection (chiffrement) des pages html réelles en tant qu'entité unique. Vous créez une page, puis vous la cryptez et la copiez sur le serveur. Lors de l'accès à une page cryptée, celle-ci est automatiquement décryptée et affichée dans une fenêtre spéciale. La prise en charge du système de sécurité par le logiciel serveur n'est pas nécessaire. Tous les travaux de chiffrement et de déchiffrement sont effectués sur le poste de travail du client. Ce système est universel, c'est-à-dire ne dépend pas de la structure et de l'objectif de la page.
Le système 2 offre une approche différente de la protection. Ce système permet d'afficher des informations protégées dans certaines zones de votre page. Les informations se trouvent dans un fichier crypté (pas nécessairement au format html) sur le serveur. Lorsque vous accédez à votre page, le système de protection accède automatiquement à ce fichier, en lit les données et les affiche dans une certaine zone de la page. Cette approche vous permet d'atteindre une efficacité et une beauté esthétique maximales, avec une polyvalence minimale. Ceux. le système s'avère être axé sur un objectif précis.
Cette approche peut également être appliquée dans la construction de systèmes de paiement électronique via Internet. Dans ce cas, lors de l'accès à une certaine page du serveur Web, le module Plug-in est lancé, qui affiche le formulaire d'ordre de paiement à l'utilisateur. Une fois que le client l'a rempli, le module crypte les données de paiement et les envoie au serveur. Parallèlement, il peut demander une signature électronique à l'utilisateur. De plus, les clés de chiffrement et les signatures peuvent être lues sur tout support : disquettes, tablettes électroniques, cartes à puce, etc.
2.3 Analyse des technologies pour la conformité aux exigences de base des systèmes de paiement électronique
Ci-dessus, nous avons décrit trois technologies qui peuvent être utilisées dans la construction de systèmes de paiement sur Internet : il s'agit d'une technologie basée sur des applets Java, des composants Active-X et des plug-ins. Appelons-les technologies J, AX et P, respectivement.
Considérez l'exigence que la capacité de l'attaquant à attaquer un ordinateur n'augmente pas. Pour ce faire, analysons l'un des types d'attaques possibles - la substitution par un attaquant des modules de protection client correspondants. Dans le cas de la technologie J, ce sont des applets, dans le cas de AX, des composants submersibles, dans le cas de P, ce sont des plug-ins. Il est évident qu'un attaquant a la possibilité de remplacer les modules de protection directement sur la machine du client. Les mécanismes de mise en œuvre de cette attaque sortent du cadre de cette analyse, cependant, il convient de noter que la mise en œuvre de cette attaque ne dépend pas de la technologie de protection considérée. Et le niveau de sécurité de chaque technologie est le même, c'est-à-dire ils sont tous également vulnérables à cette attaque.
Le point le plus vulnérable des technologies J et AX, du point de vue de la substitution, est leur téléchargement depuis Internet. C'est à ce moment qu'un attaquant peut effectuer un remplacement. De plus, si un attaquant parvient à remplacer ces modules sur le serveur de la banque, alors il accède à toutes les informations du système de paiement circulant sur Internet.
Dans le cas de la technologie P, il n'y a pas de danger de substitution, puisque le module n'est pas chargé depuis le réseau - il est stocké en permanence sur l'ordinateur du client.
Les conséquences de l'usurpation d'identité sont différentes : dans le cas de la technologie J, l'attaquant ne peut que voler les informations saisies par le client (ce qui constitue une menace sérieuse), et dans le cas d'Active-X et Plug-in, l'attaquant peut obtenir toutes les informations auxquelles le client exécuté sur l'ordinateur a accès.
Actuellement, l'auteur n'est pas au courant des moyens spécifiques d'implémenter des attaques d'usurpation d'applet Java. Apparemment, ces attaques se développent mal, car les opportunités de vol d'informations qui en résultent sont pratiquement absentes. Mais les attaques contre les composants Active-X sont répandues et bien connues.
Considérons l'obligation de protéger les informations circulant dans le système de paiement électronique via Internet. De toute évidence, dans ce cas, la technologie J est inférieure à la fois à P et à AX sur un point très important. Tous les mécanismes de protection des informations sont basés sur le cryptage ou la signature électronique, et tous les algorithmes pertinents sont basés sur des transformations cryptographiques qui nécessitent l'introduction d'éléments clés. Actuellement, la longueur des éléments clés est d'environ 32 à 128 octets, il est donc presque impossible d'obliger l'utilisateur à les saisir à partir du clavier. La question se pose de savoir comment les entrer? Étant donné que les technologies P et AX ont accès aux ressources informatiques, la solution à ce problème est évidente et bien connue - les clés sont lues à partir de fichiers locaux, de disquettes, de tablettes ou de cartes à puce. Mais dans le cas de la technologie J, une telle saisie est impossible, ce qui signifie qu'il faut soit obliger le client à entrer une longue séquence d'informations sans signification, soit, en réduisant la longueur des éléments clés, réduire la force des transformations cryptographiques et , par conséquent, réduisent la fiabilité des mécanismes de protection. De plus, cette diminution est très importante.
Considérons l'exigence selon laquelle le système de paiement électronique doit organiser la protection des données situées sur le serveur contre la lecture et la modification non autorisées. Cette exigence découle du fait que le système implique le dépôt sur le serveur d'informations confidentielles destinées à l'utilisateur. Par exemple, une liste des ordres de paiement envoyés par lui avec une note sur les résultats du traitement.
Dans le cas de la technologie P, les données sont présentées sous forme de pages html, qui sont cryptées et placées sur le serveur. Toutes les actions sont effectuées conformément à l'algorithme décrit ci-dessus (chiffrement des pages html).
Dans le cas des technologies J et AX, ces informations peuvent être placées sous une forme structurée dans un fichier sur le serveur, et les composants ou applets doivent effectuer des opérations de lecture et de visualisation des données. Tout cela conduit en général à une augmentation de la taille totale des applets et composants, et, par conséquent, à une diminution de la vitesse de téléchargement des pages correspondantes.
Du point de vue de cette exigence, la technologie P gagne en raison de sa plus grande fabricabilité, c'est-à-dire moins de frais généraux pour le développement et une plus grande résistance à la substitution des composants lorsqu'ils traversent le réseau.
Quant à la dernière exigence de protection du réseau local bancaire, elle est remplie par la construction compétente d'un système de pare-feu (firewalls) et ne dépend pas des technologies envisagées.
Ainsi, ce qui précède était un préliminaire analyse comparative technologies J, AX et P, d'où il résulte que la technologie J doit être utilisée si le maintien du degré de sécurité de l'ordinateur du client est beaucoup plus important que la force des transformations cryptographiques utilisées dans les systèmes de paiement électronique.
La technologie P semble être la solution technologique la plus optimale sous-jacente aux systèmes de sécurité des informations de paiement, car elle combine la puissance application standard Win32 et protection contre les attaques sur Internet. La mise en œuvre pratique et commerciale des projets utilisant cette technologie est réalisée, par exemple, par la société russe Financial Communications.
Quant à la technologie AX, son utilisation semble peu efficace et instable aux attaques malveillantes.
CONCLUSION
La monnaie électronique devient de plus en plus notre réalité quotidienne, avec laquelle, au moins, il faut compter. Bien sûr, personne au cours des cinquante prochaines années (probablement) n'annulera de l'argent ordinaire. Mais ne pas pouvoir gérer la monnaie électronique et rater les opportunités qu'elle apporte, c'est ériger volontairement autour de soi un « rideau de fer » qui s'est difficilement arraché depuis une quinzaine d'années. De nombreuses grandes entreprises proposent le paiement de leurs services et biens par le biais de paiements électroniques. Pour le consommateur, cela fait gagner beaucoup de temps.
Le logiciel gratuit pour ouvrir votre porte-monnaie électronique et pour tout travail avec de l'argent est adapté au maximum aux ordinateurs de masse et, après un peu de pratique, ne pose aucun problème à l'utilisateur moyen. Notre époque est celle des ordinateurs, d'Internet et du commerce électronique. Les personnes qui ont des connaissances dans ces domaines et les moyens appropriés obtiennent un énorme succès. La monnaie électronique est une monnaie qui se généralise de jour en jour, ouvrant de plus en plus d'opportunités à une personne qui a accès au Réseau.
Le but du calcul et du travail graphique a été rempli et a résolu les tâches suivantes :
1. Les principales tâches des systèmes de paiement électronique et les principes de leur fonctionnement, leurs caractéristiques sont déterminées.
2. Les principaux systèmes de paiements électroniques sont analysés.
3. Analyser les menaces liées à l'utilisation de la monnaie électronique.
4. Analyser les moyens de protection lors de l'utilisation des systèmes de paiement électronique.
LES RÉFÉRENCES
1. Antonov N.G., Pessel M.A. Circulation monétaire, crédit et banques. -M. : Finstatinform, 2005, pp. 179-185.
2. Portefeuille de la Banque - 3. - M. : Somintek, 2005, pp. 288-328.
3. Mikhailov D.M. Paiements et garanties internationales. Moscou : FBK-PRESS, 2008, p. 20-66.
4. Polyakov V.P., Moskovkina L.A. Structure et fonctions des banques centrales. Expérience à l'étranger : Manuel. - M. : INFRA-M, 2006.
5. Gaikovich Yu.V., Pershin A.S. Sécurité des systèmes bancaires électroniques. - M : Europe unie, 2004
6. Demin VS etc. Systèmes bancaires automatisés. - M : Menatep-Inform, 2007
7. Krysin V.A. Sécurité des entreprises. - M : Finances et statistiques, 2006
8. Linkov I.I. et al. Subdivisions d'information dans les structures commerciales : comment survivre et réussir. - M : NIT, 2008
9. Titorenko G.A. et autres Informatisation des opérations bancaires. - M : Finstatinform, 2007
10. Tushnolobov I.B., Urusov D.P., Yartsev V.I. Réseaux distribués. - Saint-Pétersbourg : Peter, 2008
12. Aglitsky I. État et perspectives du support informationnel des banques russes. - Technologies bancaires, 2007 n°1.
Tutorat
Besoin d'aide pour apprendre un sujet ?
Nos experts vous conseilleront ou vous fourniront des services de tutorat sur des sujets qui vous intéressent.
Soumettre une candidature indiquant le sujet dès maintenant pour connaître la possibilité d'obtenir une consultation.
3. Protection des paiements électroniques
La question de la sécurité bancaire est particulièrement aiguë, car les informations bancaires, premièrement, il représente de l'argent réel, et deuxièmement, il affecte les intérêts confidentiels d'un grand nombre de clients des banques.
La taille du marché du e-commerce en 2000
| Volume et caractéristiques du marché | Estimation, USD |
| Le coût total de tous les achats de produits Internet | 4,5-6 milliards |
| Valeur totale de tous les achats par client moyen | 600-800 |
| Coût d'acquisition moyen par transaction Internet | 25-35 |
| Le volume total des transactions-acquisitions sur Internet | 130-200 millions |
| Part des achats de produits en ligne | 60-70% |
| Part des achats de biens livrés | 30-40% |
Schéma général de fonctionnement des systèmes de paiement électronique
Une banque qui a conclu un accord avec le système et obtenu une licence appropriée peut agir à deux titres - en tant qu'émetteur de moyens de paiement de ce système acceptés pour paiement par toutes les autres banques participantes, et en tant que banque acquéreuse au service des entreprises qui acceptent les paiements moyens de paiement de ce système, émis par d'autres émetteurs, et acceptant ces moyens de paiement pour encaissement dans leurs agences.
Le processus de paiement est assez simple. Tout d'abord, le caissier de l'entreprise doit vérifier l'authenticité de la carte selon les signes pertinents.
Lors du paiement, l'entreprise doit transférer les détails de la carte du client sur un chèque spécial à l'aide d'un copieur - imprimeur, saisir sur le chèque le montant pour lequel l'achat a été effectué ou les services ont été fournis et recevoir la signature du client.
Un chèque ainsi libellé s'appelle un bordereau. Afin d'effectuer des transactions en toute sécurité, le système de paiement recommande des limites inférieures pour les montants pour différentes régions et types d'entreprises qui peuvent être utilisés pour les règlements sans autorisation. Si le montant limite est dépassé ou s'il existe un doute sur l'identité du client, l'entreprise est tenue d'effectuer une procédure d'autorisation.
Sans nous attarder sur les aspects techniques de la procédure, nous soulignons que lors de l'autorisation, l'entreprise a effectivement accès à des informations sur l'état du compte du client et a ainsi la possibilité d'établir la propriété de la carte par le client et sa capacité de paiement à hauteur du montant de la transaction. Une copie du bordereau reste dans l'entreprise, la seconde est transférée au client, la troisième est remise à la banque acquéreuse et sert de base au remboursement du montant du paiement à l'entreprise à partir du compte du client.
Ces dernières années, les terminaux de point de vente ont gagné en popularité, lors de l'utilisation desquels il n'est pas nécessaire de remplir des bordereaux. Les détails de la carte sont lus à partir de la bande magnétique du lecteur intégré au terminal de point de vente, le montant de la transaction est saisi à partir du clavier et le terminal, via le modem intégré, demande l'autorisation au système de paiement correspondant. Dans ce cas, on utilise les capacités techniques du centre de traitement dont les services sont fournis au commerçant par la banque. Dans ce cas, l'entreprise rapporte à la banque une copie de la bande de caisse avec un échantillon de la signature du client et des fichiers batch que le terminal génère à la fin de la journée ouvrable.
Ces dernières années, l'attention s'est portée de plus en plus sur systèmes bancaires utilisant des cartes à microprocesseur.
Extérieurement, ces supports d'informations ne diffèrent pas des cartes ordinaires, à l'exception d'une puce mémoire ou d'un microprocesseur soudé à l'intérieur de la carte et des plaques de contact placées sur sa surface.
La différence fondamentale entre ces cartes et toutes les autres est qu'elles portent directement des informations sur l'état du compte du client, puisqu'elles sont elles-mêmes un compte de transit. Il est clair que chaque point d'acceptation de ces cartes doit être équipé d'un terminal de point de vente spécial (avec un lecteur de puce).
Afin de pouvoir utiliser la carte, le client doit la télécharger depuis son compte au terminal bancaire. Toutes les transactions s'effectuent en mode OFF-LINE lors du dialogue carte - terminal ou carte client - carte commerçant.
Un tel système est presque entièrement sécurisé en raison du degré élevé de sécurité de la puce et du système de règlement complet des débits. De plus, bien que la carte elle-même soit nettement plus chère que la carte habituelle, le système en cours de fonctionnement s'avère encore moins cher du fait que la charge sur les télécommunications n'est pas utilisée en mode OFF-LINE.
Paiements électroniques par carte bancaire plastique diverses sortes représentent un mécanisme de règlement suffisamment flexible et universel dans la chaîne "Banque 1 - Client - Entreprise - Banque 2" et les règlements interbancaires de type "Banque 1 - ... - Banque N". Cependant, c'est la polyvalence de ces instruments de paiement qui en fait des cibles particulièrement attrayantes pour la fraude. Le poste des pertes annuelles dues aux abus est un montant impressionnant, bien que relativement faible par rapport au chiffre d'affaires total.
Le système de sécurité et son développement ne peuvent être considérés isolément des méthodes d'opérations illégales avec des cartes plastiques, qui peuvent être divisées en 5 principaux types de délits.
1. Opérations avec des cartes contrefaites.
Ce type de fraude représente la plus grande part des pertes du système de paiement. En raison de la haute sécurité technique et technologique des cartes réelles, les cartes auto-fabriquées sont rarement utilisées récemment et peuvent être identifiées à l'aide des diagnostics les plus simples.
En règle générale, les ébauches de cartes volées sont utilisées pour la falsification, sur lesquelles les coordonnées de la banque et du client sont appliquées. Étant techniquement très équipés, les criminels peuvent même mettre des informations sur la bande magnétique de la carte ou la copier, en un mot, effectuer des contrefaçons à un niveau élevé.
Les auteurs de telles actions sont, en règle générale, des groupes criminels organisés, conspirant parfois avec des employés des banques émettrices qui ont accès aux informations sur les comptes des clients et la procédure de réalisation des transactions. Rendant hommage à la communauté criminelle internationale, il convient de noter que de fausses cartes sont apparues en Russie presque simultanément avec le début du développement de ce secteur du marché bancaire.
2. Opérations avec des cartes volées/perdues.
Il n'est possible d'infliger des dommages importants à une carte volée que si le fraudeur connaît le code PIN du client. Il devient alors possible de retirer une somme importante du compte du client via un réseau de caissiers électroniques - distributeurs automatiques de billets avant que la banque émettrice de la carte volée n'ait le temps de la mettre sur la liste d'arrêt électronique (liste des cartes invalides).
3. Paiement multiple pour services et biens pour des montants n'excédant pas le "plancher" et ne nécessitant pas d'autorisation. Pour effectuer des paiements, le criminel n'a qu'à falsifier la signature du client. Cependant, avec ce schéma, l'objet d'abus le plus attrayant devient inaccessible - espèces. Cette catégorie comprend les délits avec des cartes volées lors de leur transfert par la banque émettrice à ses clients par courrier.
4. Fraude avec les commandes par courrier/téléphone.
Ce type de délit est apparu dans le cadre du développement d'un service de livraison de biens et de services par correspondance ou commande téléphonique d'un client. Connaissant le numéro de carte de crédit de sa victime, le criminel peut l'indiquer sur le bon de commande et, ayant reçu une commande d'adresse de résidence temporaire, disparaître.
5. Retraits multiples du compte.
Ces crimes sont généralement commis par des travailleurs entité légale, acceptant le paiement du client pour des biens et services par carte de crédit, et s'effectue en émettant plusieurs reçus de paiement pour un seul fait de paiement. Sur la base des chèques présentés, plus d'argent est crédité sur le compte de l'entreprise que le coût des biens vendus ou des services rendus. Cependant, après un certain nombre de transactions, le criminel est contraint de fermer ou de quitter l'entreprise.
Pour éviter de telles actions, il est conseillé aux utilisateurs de cartes de prêter plus d'attention aux documents signés lors des transactions (même pour de petits montants).
Les méthodes utilisées par les services de sécurité peuvent être divisées en deux grandes catégories. Le premier niveau, et peut-être le plus important, est lié à la sécurité technique de la carte plastique elle-même. Maintenant, nous pouvons dire avec certitude que du point de vue de la technologie, la carte est mieux protégée que les billets de banque, et il est presque impossible de la fabriquer soi-même sans utiliser des technologies sophistiquées.
Les cartes de tout système de paiement répondent à des normes strictement établies. La carte a un formulaire standard. Le numéro d'identification de la banque dans le système (code BIN) et le numéro de compte du client dans la banque, son nom et prénom, la période de validité de la carte sont gravés et placés dans des positions strictement spécifiées sur la face avant de la carte. Il y a aussi un symbole du système de paiement, réalisé de manière holographique. Les quatre derniers chiffres du numéro de carte sont embossés (en relief) directement sur le symbole holographique, ce qui rend impossible de copier l'hologramme ou de ré-embosser le code sans détruire le symbole.
Au verso de la carte se trouvent une bande magnétique et une zone avec un échantillon de la signature du propriétaire. Sur la bande magnétique dans des positions strictement définies et à l'aide d'algorithmes cryptographiques, les détails du système de paiement lui-même, les marques de sécurité, les symboles empêchant la copie des informations sont enregistrés et les informations imprimées au recto de la carte sont dupliquées. La zone d'échantillonnage de la signature du propriétaire a un revêtement spécial. A la moindre tentative d'effacement ou de transmission de signature, le revêtement est détruit et un substrat de couleur différente apparaît avec les symboles de sécurité du système de paiement.
Le reste de la surface de la carte est entièrement mis à la disposition de la banque émettrice et est arbitrairement établi avec les symboles de la banque, sa publicité et les informations nécessaires aux clients. La carte elle-même est protégée par des signes qui ne sont visibles qu'à la lumière ultraviolette.
Les mesures techniques de protection comprennent également la protection des communications bancaires, des réseaux bancaires contre les intrusions illégales, les pannes et autres influences extérieures entraînant des fuites, voire la destruction d'informations. La protection est réalisée par logiciel et matériel et est certifiée par des organismes agréés du système de paiement.
La deuxième catégorie de mesures de protection comprend des mesures visant à empêcher la fuite d'informations des services bancaires traitant des cartes en plastique. Le principe fondamental est une délimitation claire des devoirs des employés et, conformément à cela, la restriction de l'accès aux informations classifiées dans une quantité ne dépassant pas le minimum nécessaire au travail.
Ces mesures réduisent le risque et la possibilité de collusion entre les criminels et les employés. Des séminaires thématiques de perfectionnement sont organisés avec les collaborateurs. Les systèmes de paiement distribuent régulièrement des bulletins de sécurité dans lesquels ils publient du matériel et des statistiques officiels sur les délits avec des cartes, signalent des signes de criminels et des signes de fausses cartes entrant en circulation illégale. Grâce aux bulletins, le personnel est formé et des événements préventifs et spéciaux sont organisés pour réduire la criminalité.
Une attention particulière est portée à la sélection du personnel des employés du département. Toutes les questions de sécurité sont sous la responsabilité d'un agent de sécurité dédié. Parmi les mesures préventives, la place la plus importante est occupée par le travail avec les clients visant à élever le niveau culturel de la manipulation de «l'argent plastique». Une manipulation soigneuse et soigneuse de la carte réduit considérablement la probabilité d'être victime d'un crime.
Analyse des violations dans le système des règlements et paiements électroniques
Il est bien connu dans les cercles spécialisés que la chute rapide de la Norvège pendant la Seconde Guerre mondiale était due en grande partie au fait que les chiffres de la Royal Navy britannique ont été déchiffrés par des cryptographes allemands qui ont utilisé exactement les mêmes méthodes que l'unité Room 40 de la Royal Navy. contre l'Allemagne lors de la guerre précédente.
Depuis la Seconde Guerre mondiale, un voile de secret est tombé sur l'utilisation gouvernementale de la cryptographie. Ce n'est pas surprenant, et pas seulement à cause de la guerre froide, mais aussi à cause de la réticence des bureaucrates (dans n'importe quelle organisation) à admettre leurs erreurs.
Jetons un coup d'œil à certaines des façons dont les escroqueries aux guichets automatiques ont été réellement commises. L'objectif est d'analyser les idées des designers visant l'invulnérabilité théorique de leur produit et de tirer les leçons de ce qui s'est passé.
Commençons par quelques exemples simples qui montrent plusieurs types d'escroqueries qui peuvent être réalisées sans grandes modifications techniques, ainsi que les procédures bancaires qui ont permis qu'elles se produisent.
Il est bien connu que la bande magnétique sur la carte d'un client ne doit contenir que son numéro de compte, et son numéro d'identification personnel (PIN) est obtenu en cryptant le numéro de compte et en prenant quatre chiffres du résultat. Ainsi, l'ATM doit être capable d'effectuer la procédure de cryptage ou d'effectuer autrement une vérification PIN (par exemple, par requête interactive).
Récemment, la Crown Court de Winchester en Angleterre a condamné deux criminels qui ont utilisé un stratagème simple mais efficace. Ils faisaient la queue aux guichets automatiques, regardaient les codes PIN des clients, récupéraient les cartes rejetées par le guichet automatique et en recopiaient les numéros de compte sur des cartes vierges qui étaient utilisées pour voler les comptes des clients.
Cette astuce a été utilisée (et signalée) il y a quelques années dans une banque de New York. Le coupable était un technicien de guichet automatique licencié qui a réussi à voler 80 000 $ avant que la banque, après avoir rempli la zone de personnel de sécurité, ne le prenne en flagrant délit.
Ces attaques ont réussi car les banques ont imprimé le numéro de compte du client en entier sur la carte bancaire, et en plus, il n'y avait pas de redondance cryptographique sur la bande magnétique. On pourrait penser que la leçon de la New York Bank serait retenue, mais non.
Un autre type d'attaque technique repose sur le fait que dans de nombreux réseaux ATM, les messages ne sont pas cryptés et les procédures d'authentification ne sont pas effectuées lorsqu'une transaction est autorisée. Cela signifie qu'un attaquant peut enregistrer une réponse de la banque au guichet automatique "J'autorise le paiement", puis faire défiler à nouveau l'enregistrement jusqu'à ce que le guichet automatique soit vide. Cette technique, connue sous le nom d'éviscération, n'est pas seulement utilisée par des attaquants extérieurs. Un cas est connu lorsque des opérateurs bancaires ont utilisé un dispositif de contrôle de réseau pour « éviscérer » des guichets automatiques avec des complices.
Les transactions de test sont une autre source de problèmes
Pour un type de guichet automatique, une séquence de touches à quatorze chiffres a été utilisée pour tester la distribution de dix billets. Une banque a imprimé cette séquence dans un manuel d'utilisation des guichets automatiques distants. Trois ans plus tard, la disparition de l'argent a soudainement commencé. Ils se sont poursuivis jusqu'à ce que toutes les banques utilisant ce type de guichets automatiques incluent des correctifs logiciels interdisant la transaction test.
La croissance la plus rapide est illustrée par les fraudes utilisant de faux terminaux pour collecter les comptes clients et les codes PIN. Des attaques de ce type ont été décrites pour la première fois aux États-Unis en 1988. Les fraudeurs ont construit une machine qui accepte n'importe quelle carte et distribue un paquet de cigarettes. Cette invention a été placée dans un magasin, et les codes PIN et les données des cartes magnétiques ont été transmis via un modem. L'astuce s'est propagée dans le monde entier.
Les techniciens volent également l'argent des clients, sachant que leurs plaintes seront probablement ignorées. Dans une banque en Écosse, un ingénieur du service d'assistance a connecté un ordinateur à un guichet automatique et enregistré les numéros de compte client et les codes PIN. Puis il a falsifié les cartes et volé l'argent des comptes. Et encore une fois, les clients se sont plaints des murs blancs. Pour cette pratique, la banque a été publiquement critiquée par l'un des plus hauts responsables juridiques d'Écosse.
Le but de l'utilisation d'un code PIN à quatre chiffres est que si quelqu'un trouve ou vole la carte bancaire d'une autre personne, il y a une chance sur dix mille de deviner le code par accident. Si seulement trois tentatives de code PIN sont autorisées, la probabilité de retirer de l'argent d'une carte volée est inférieure à une sur trois mille. Cependant, certaines banques ont réussi à réduire la variété donnée de quatre chiffres.
Certaines banques ne suivent pas le schéma consistant à obtenir un code PIN en convertissant cryptographiquement le numéro de compte, mais en utilisant un code PIN sélectionné au hasard (ou en permettant aux clients de choisir) puis en le convertissant cryptographiquement pour s'en souvenir. En plus de permettre au client de choisir un NIP facile à deviner, cette approche entraîne certains pièges techniques.
Certaines banques conservent une valeur PIN cryptée dans le dossier. Cela signifie que le programmeur peut obtenir la valeur cryptée de son propre code PIN et rechercher dans la base de données tous les autres comptes avec le même code PIN.
Une grande banque britannique a même enregistré la valeur cryptée du code PIN sur la bande magnétique de la carte. Il a fallu quinze ans à la communauté criminelle pour se rendre compte qu'il était possible de remplacer le numéro de compte sur la bande magnétique de sa propre carte, puis de l'utiliser avec son propre code PIN pour voler un compte.
Pour cette raison, dans le système VISA, il est recommandé aux banques de combiner le numéro de compte du client avec son code PIN avant le cryptage. Cependant, toutes les banques ne le font pas.
Jusqu'à présent, les attaques plus sophistiquées ont été dues à de simples erreurs de mise en œuvre et de procédure d'exploitation. Les chercheurs professionnels en sécurité avaient tendance à considérer ces erreurs comme inintéressantes et se concentraient donc sur des attaques basées sur le développement de failles techniques plus subtiles. Le secteur bancaire présente également un certain nombre de failles de sécurité.
Bien que les attaques contre les systèmes bancaires basées sur les hautes technologies soient rares, elles sont intéressantes d'un point de vue public, puisque les initiatives gouvernementales, telles que les critères d'évaluation des technologies de sécurité de l'information de l'UE (ITSEC), visent à développer un ensemble de produits certifiés pour être exempt d'erreurs techniques connues. Les propositions sous-jacentes à ce programme sont que la mise en œuvre et les procédures technologiques des produits respectifs seront essentiellement sans erreur et qu'une attaque nécessite une formation technique comparable à celle des agences de sécurité gouvernementales. Apparemment, cette approche est plus appropriée pour les systèmes militaires que pour les systèmes civils.
Pour comprendre comment des attaques plus sophistiquées sont menées, il est nécessaire d'examiner plus en détail le système de sécurité bancaire.
Problèmes liés aux modules de sécurité
Tous les produits de sécurité ne sont pas de la même qualité et peu de banques disposent d'experts qualifiés pour distinguer les bons produits des produits médiocres.
En pratique, les produits de chiffrement présentent quelques problèmes, notamment l'ancien module de sécurité IBM 3848 ou les modules actuellement recommandés pour les organismes bancaires.
Si la banque ne dispose pas de modules de sécurité basés sur le matériel, la fonction de cryptage du code PIN sera implémentée dans un logiciel avec des conséquences indésirables correspondantes. Le logiciel du module de sécurité peut avoir des points d'arrêt pour le débogage des produits logiciels par les ingénieurs du fabricant. L'attention a été attirée sur ce fait lorsqu'une décision a été prise dans l'une des banques de l'inclure dans le réseau et que l'ingénieur système du fabricant n'a pas pu assurer le fonctionnement de la passerelle requise. Pour faire le travail, il a utilisé l'une de ces astuces pour extraire les codes PIN du système. L'existence de tels points d'arrêt rend impossible la création de procédures fiables de gestion des modules de sécurité.
Certains fabricants de modules de sécurité facilitent eux-mêmes de telles attaques. Par exemple, une méthode de génération de clés de travail basée sur l'heure de la journée est utilisée et, par conséquent, seuls 20 bits de clé sont réellement utilisés, au lieu des 56 attendus. Ainsi, selon la théorie des probabilités, pour 1000 clés générées, deux correspondront.
Cela permet certains abus subtils dans lesquels l'attaquant manipule les communications de la banque afin que les transactions d'un terminal se substituent aux transactions d'un autre.
Les programmeurs d'une banque ne se sont même pas souciés des problèmes liés à l'introduction de clés client dans les programmes de cryptage. Ils définissent simplement des pointeurs vers des valeurs clés dans une zone de mémoire qui est toujours définie sur zéro au démarrage du système. résultat cette décisionétait que les systèmes réels et de test utilisaient les mêmes zones de stockage de clés. Les techniciens de la banque ont compris qu'ils pouvaient obtenir les codes PIN des clients sur l'équipement de test. Plusieurs d'entre eux ont contacté des criminels locaux afin de sélectionner des codes PIN pour des cartes bancaires volées. Lorsque le responsable de la sécurité de la banque a révélé ce qui se passait, il est mort dans un accident de voiture (et la police locale a "perdu" tous les documents pertinents). La banque n'a pas pris la peine d'envoyer de nouvelles cartes à ses clients.
L'un des principaux objectifs des modules de sécurité est d'empêcher les programmeurs et le personnel ayant accès aux ordinateurs d'obtenir des informations bancaires clés. Cependant, le secret procuré par les composants électroniques des modules de sécurité ne résiste souvent pas aux tentatives de pénétration cryptographique.
Les modules de sécurité ont leurs propres clés principales à usage interne, et ces clés doivent être conservées dans un emplacement spécifique. Une copie de sauvegarde de la clé est souvent conservée sous une forme facilement lisible, telle qu'une mémoire PROM, et la clé peut être lue de temps à autre, par exemple lors du transfert du contrôle d'un ensemble de clés de zone et de terminal à partir d'un module de sécurité. à un autre. Dans de tels cas, la banque est complètement à la merci des experts en train d'effectuer cette opération.
Problèmes liés aux technologies de conception
Discutons brièvement de la technologie de conception des guichets automatiques. Dans les modèles plus anciens, le code des programmes de cryptage était placé au mauvais endroit - dans le dispositif de contrôle, et non dans le module lui-même. Le dispositif de contrôle devait être placé à proximité immédiate du module dans une certaine zone. Mais un grand nombre de guichets automatiques ne sont actuellement pas situés à proximité immédiate du bâtiment de la banque. Dans une université du Royaume-Uni, un guichet automatique était situé sur le campus et envoyait des numéros de compte et des codes PIN non cryptés à ligne téléphonique dans l'unité de contrôle de la succursale, qui était située à plusieurs kilomètres de la ville. Quiconque n'était pas trop paresseux pour utiliser un dispositif d'écoute de ligne téléphonique pouvait contrefaire des cartes par milliers.
Même dans les cas où l'un des meilleurs produits est acheté, il existe un grand nombre de cas dans lesquels une mise en œuvre incorrecte ou des procédures technologiques mal conçues entraînent des problèmes pour la banque. La plupart des modules de sécurité renvoient une plage de codes de retour pour chaque transaction. Certains d'entre eux, tels que "l'erreur de parité de clé", avertissent que le programmeur expérimente le module réel utilisé. Cependant, peu de banques ont pris la peine d'écrire le pilote de périphérique nécessaire pour intercepter ces avertissements et agir en conséquence.
Les banques sont connues pour sous-traiter tout ou partie du système d'approvisionnement des guichets automatiques à des entreprises «fournissant des services connexes» et transférer des codes PIN à ces entreprises.
Il y a également eu des précédents où les codes PIN ont été partagés entre deux ou plusieurs banques. Même si tout le personnel de la banque est considéré comme digne de confiance, les entreprises externes peuvent ne pas maintenir les politiques de sécurité spécifiques aux banques. Le personnel de ces entreprises n'est pas toujours correctement contrôlé, est susceptible d'être sous-payé, curieux et imprudent, ce qui peut conduire à la conception et à l'exécution de fraudes.
Au cœur de bon nombre des erreurs managériales décrites se trouve le manque de développement de la partie psychologique du projet. Les succursales et les centres informatiques d'une banque doivent suivre des procédures standard lorsqu'ils effectuent leur travail quotidien, mais seules les procédures de contrôle dont l'objectif est évident sont susceptibles d'être strictement appliquées. Par exemple, le partage des clés d'un coffre-fort d'agence entre un gérant et un comptable est bien compris : il les protège tous les deux d'être pris en otage par leurs familles. Les clés cryptographiques ne sont pas souvent conditionnées sous une forme conviviale et il est donc peu probable qu'elles soient utilisées correctement. Une réponse partielle pourrait être des dispositifs qui ressemblent en réalité à des clés (à l'image des clés cryptographiques des fusées d'armes nucléaires).
Beaucoup pourrait être écrit sur l'amélioration des procédures opérationnelles, mais si l'objectif est d'empêcher toute clé cryptographique de tomber entre les mains de quelqu'un ayant la capacité technique d'en abuser, alors un objectif précis doit être défini dans les manuels et les cours de formation. Le principe de « la sécurité par l'obscurité » fait souvent plus de mal que de bien.
Répartition des clés
La distribution des clés pose un problème particulier pour les agences bancaires. Comme vous le savez, la théorie exige que chacun des deux banquiers saisisse un élément de clé différent, afin que leur combinaison donne la clé principale du terminal. Le code PIN crypté sur la clé principale du terminal est envoyé au GAB lors de la première transaction après maintenance.
Si le technicien ATM obtient les deux composants de la clé, il peut déchiffrer le code PIN et contrefaire les cartes. En pratique, les directeurs d'agence qui stockent les clés sont presque ravis de les remettre à l'ingénieur, car ils ne veulent pas rester à côté du guichet automatique pendant qu'il est en service. De plus, saisir la touche du terminal revient à utiliser le clavier, ce que les cadres plus âgés considèrent comme indigne.
Il est courant de mal gérer les clés. Il existe un cas connu où les deux microcircuits avec des clés principales ont été remis à un ingénieur du personnel de service. Bien que des procédures de double contrôle existaient en théorie, le personnel de sécurité a remis les puces puisque les dernières clés avaient été utilisées et personne ne savait quoi faire. Un ingénieur ne pouvait pas seulement forger des cartes. Il aurait pu repartir avec les clés et arrêter toutes les opérations des guichets automatiques bancaires.
Non sans intérêt est le fait que les clés sont plus souvent stockées dans des fichiers ouverts que dans des fichiers protégés. Cela s'applique non seulement aux clés des guichets automatiques, mais également aux clés des systèmes de règlement interbancaires, tels que SWIFT, dans lesquels des transactions d'une valeur de plusieurs milliards sont effectuées. Il serait sage d'utiliser les clés d'initialisation, telles que les clés de terminal et les clés de zone, une seule fois, puis de les détruire.
Menaces cryptoanalytiques
Les cryptanalystes sont probablement la moindre des menaces pour les systèmes bancaires, mais ils ne peuvent pas être complètement ignorés. Certaines banques (y compris les grandes et célèbres) utilisent encore des algorithmes cryptographiques locaux datant des années précédant le DES. Dans un réseau de données, les blocs de données étaient simplement « brouillés » en ajoutant une constante. Cette méthode n'a pas été critiquée pendant cinq ans, alors que le réseau était utilisé par plus de 40 banques. De plus, tous les experts en assurance, audit et sécurité de ces banques ont apparemment lu les spécifications du système.
Même si un algorithme "respectable" est utilisé, il peut être implémenté avec des paramètres inappropriés. Par exemple, certaines banques ont implémenté l'algorithme RSA avec une longueur de clé de 100 à 400 bits, alors que la longueur de clé doit être d'au moins 500 bits pour assurer le niveau de sécurité requis.
Vous pouvez également trouver la clé en utilisant la force brute, en essayant toutes les clés de cryptage possibles jusqu'à ce que vous trouviez une clé qui utilise une banque particulière.
Les protocoles utilisés dans les réseaux internationaux pour crypter les clés opérationnelles avec des clés de zone permettent d'attaquer facilement la clé de zone de cette manière. Si la clé de zone a été ouverte une fois, tous les codes PlN envoyés ou reçus par la banque sur le réseau peuvent être déchiffrés. Une étude récente de la Banque canadienne a montré que ce type d'attaque contre DES coûterait environ 30 000 £ par clé de zone. Par conséquent, pour un tel crime, les ressources du crime organisé sont tout à fait suffisantes, et un tel crime pourrait être perpétré par un individu suffisamment riche.
Probablement, les ordinateurs spécialisés nécessaires pour trouver les clés ont été créés dans les services spéciaux de certains pays, y compris ceux des pays qui sont maintenant dans un état de chaos. Il existe donc un certain risque que les détenteurs de ces équipements puissent les utiliser à des fins personnelles.
Tous les systèmes, petits et grands, contiennent des bogues et sont sujets aux erreurs de l'opérateur. Les systèmes bancaires ne font pas exception, et tous ceux qui ont travaillé dans la production industrielle en sont conscients. Les systèmes de règlement des succursales ont tendance à devenir plus grands et plus complexes, avec de nombreux modules interactifs qui évoluent au fil des décennies. Certaines transactions seront inévitablement exécutées de manière incorrecte : le débit peut être dupliqué, ou le compte modifié de manière incorrecte.
Cette situation n'est pas nouvelle pour les contrôleurs financiers des grandes entreprises, qui maintiennent un personnel spécial pour rapprocher les comptes bancaires. Lorsqu'un débit erroné se produit, ces fonctionnaires exigent les documents pertinents pour analyse et, si des documents manquent, reçoivent un remboursement du paiement incorrect de la banque.
Cependant, les clients des guichets automatiques n'ont pas cette possibilité de racheter les paiements contestés. La plupart des banquiers en dehors des États-Unis disent simplement qu'il n'y a pas d'erreurs dans leurs systèmes.
Une telle politique comporte certains risques juridiques et administratifs. Premièrement, cela crée la possibilité d'abus, car la fraude est complotiste. Deuxièmement, cela conduit à des preuves trop complexes pour le client, ce qui a été la raison de la simplification de la procédure devant les tribunaux américains. Troisièmement, c'est le préjudice moral associé à l'incitation indirecte des employés de banque à voler, sur la base de la connaissance qu'ils ont peu de chances d'être pris. Quatrièmement, il s'agit d'un défaut idéologique, car en l'absence d'un enregistrement centralisé des réclamations des clients, il n'y a aucune possibilité d'un contrôle correctement organisé des cas de fraude.
L'impact sur l'activité commerciale associé aux pertes aux guichets automatiques est assez difficile à estimer avec précision. Au Royaume-Uni, le secrétaire économique du Trésor (le ministre responsable de la réglementation bancaire) a déclaré en juin 1992 que de telles erreurs affectent au moins deux des trois millions de transactions quotidiennes. Cependant, sous la pression de litiges récents, ce chiffre a été révisé d'abord à 1 transaction erronée sur 250 000, puis 1 sur 100 000 et enfin 1 sur 34 000.
Étant donné que les clients qui déposent des plaintes sont généralement repoussés par les employés de la banque et que la plupart des gens sont tout simplement incapables de remarquer un retrait ponctuel d'un compte, l'hypothèse la plus réaliste est qu'il y a environ 1 mauvaise transaction pour 10 000. Ainsi, si le client moyen utilise un GAB une fois par semaine pendant 50 ans, on peut s'attendre à ce qu'un client sur quatre rencontre des problèmes lors de l'utilisation d'un GAB au cours de sa vie.
Les concepteurs de systèmes cryptographiques sont désavantagés en raison d'un manque d'informations sur la façon dont les défaillances du système se produisent dans la pratique, plutôt que sur la façon dont elles pourraient se produire en théorie. Cet inconvénient retour conduit à l'utilisation du mauvais modèle de menace. Les concepteurs se concentrent sur ce qui, dans un système, peut entraîner des pannes, au lieu de se concentrer sur ce qui entraînerait normalement des erreurs. De nombreux produits sont si complexes et compliqués qu'ils sont rarement utilisés correctement. La conséquence est le fait que la plupart des erreurs sont liées à la mise en œuvre et à la maintenance du système. Le résultat spécifique a été une vague de fraudes aux guichets automatiques qui a non seulement entraîné des pertes financières, mais également des erreurs judiciaires et une confiance réduite dans le système bancaire.
Un exemple de mise en oeuvre de procédés cryptographiques est le système cryptographique de protection des informations utilisant la signature numérique EXCELLENCE.
Le système cryptographique logiciel EXCELLENCE est conçu pour protéger les informations traitées, stockées et transmises entre les ordinateurs personnels compatibles IBM à l'aide de fonctions de cryptage cryptographique, de signature numérique et d'authentification.
Le système met en œuvre des algorithmes cryptographiques conformes aux normes de l'État : cryptage - GOST 28147-89. La signature numérique est basée sur l'algorithme RSA.
Le système de clé avec authentification forte et certification de clé repose sur des principes largement répandus dans la pratique internationale : le protocole X.509 et le principe de diffusion publique des clés RSA.
Le système contient des fonctions cryptographiques pour le traitement des informations au niveau du fichier :
et des fonctions cryptographiques pour travailler avec des clés :
Chaque abonné du réseau possède sa propre clé secrète et publique. La clé secrète de chaque utilisateur est enregistrée sur sa disquette de clé individuelle ou sur sa carte électronique individuelle. Le secret de la clé de l'abonné assure la protection des informations chiffrées pour lui et l'impossibilité de falsifier sa signature numérique.
Le système prend en charge deux types de supports de clé :
Chaque abonné du réseau dispose d'un fichier-catalogue de clés publiques de tous les abonnés du système, protégé contre les modifications non autorisées, ainsi que leurs noms. Chaque abonné est tenu de garder secrète sa clé secrète.
Fonctionnellement, le système EXCELLENCE est implémenté en tant que module de programme excell_s.exe et fonctionne sous MS DOS 3.30 et supérieur. Les paramètres d'exécution des fonctions sont passés sous la forme ligne de commande DOS. De plus, un shell graphique d'interface est fourni. Le programme reconnaît et prend automatiquement en charge les opérations 32 bits du processeur Intel386/486/Pentium.
À intégrer dans d'autres systèmes logiciels une variante du système EXCELLENCE a été implémentée, contenant les principales fonctions cryptographiques pour travailler avec des données en RAM dans les modes suivants : mémoire - mémoire ; mémoire - fichier ; le fichier est la mémoire.
Prévisions pour le début du XXIe siècle
La part de la direction de la banque, qui prendra des mesures efficaces pour résoudre le problème de la sécurité de l'information, devrait passer à 40-80%. Le principal problème sera le personnel de maintenance (y compris les anciens) (de 40% à 95% des cas), et les principaux types de menaces seront les accès non autorisés (UAS) et les virus (jusqu'à 100% des banques seront soumises à des attaques de virus ).
Les mesures les plus importantes pour assurer la sécurité de l'information seront le plus haut professionnalisme des services de sécurité de l'information. Pour ça les banques devront consacrer jusqu'à 30 % de leurs bénéfices à la sécurité de l'information.
Malgré toutes les mesures énumérées ci-dessus, une solution absolue au problème de la sécurité de l'information est impossible. Dans le même temps, l'efficacité du système de sécurité de l'information de la banque est entièrement déterminée par le montant des fonds investis dans celui-ci et le professionnalisme du service de sécurité de l'information, et la possibilité de violer le système de sécurité de l'information de la banque est entièrement déterminée par le coût de surmonter le système de protection et les qualifications des fraudeurs. (Dans la pratique étrangère, on pense qu'il est logique de "craquer" le système de protection si le coût pour le surmonter ne dépasse pas 25% du coût des informations protégées).
Le chapitre 4 a examiné les caractéristiques de l'approche de la protection des systèmes bancaires électroniques. Une caractéristique spécifique de ces systèmes est une forme particulière d'échange électronique de données - les paiements électroniques, sans laquelle aucune banque moderne ne peut exister.
L'échange de données informatisé (EDI) est un échange d'ordinateur à ordinateur de documents électroniques commerciaux, commerciaux et financiers. Par exemple, commandes, instructions de paiement, offres de contrat, factures, reçus, etc.
OED assure l'interaction opérationnelle des partenaires commerciaux (clients, fournisseurs, revendeurs, etc.) à toutes les étapes de la préparation d'une transaction commerciale, de la conclusion d'un contrat et de la mise en œuvre d'une livraison. Au stade du paiement du contrat et du transfert des fonds, l'EOS peut conduire à l'échange électronique de documents financiers. Cela crée un environnement efficace pour les transactions commerciales et de paiement :
* Il est possible de familiariser les partenaires commerciaux avec les offres de biens et services, de sélectionner le produit / service nécessaire, de clarifier les conditions commerciales (coût et délai de livraison, remises commerciales, obligations de garantie et de service) en temps réel ;
* Commande de biens/services ou demande d'offre de contrat en temps réel ;
* Contrôle opérationnel de la livraison des marchandises, réception des documents d'accompagnement par e-mail (factures, factures, relevés de composants, etc.);
* Confirmation de l'achèvement de la fourniture de biens / services, émission et paiement des factures ;
* Effectuer des opérations bancaires de crédit et de paiement. Les avantages de l'OED incluent:
* Réduire le coût des transactions en raison de la transition vers la technologie sans papier. Les experts estiment le coût du traitement et de la tenue des dossiers papier à 3 à 8 % du coût total des opérations commerciales et de la livraison des marchandises. Le gain de l'utilisation d'EOS est estimé, par exemple, dans l'industrie automobile américaine à plus de 200 $ par voiture fabriquée ;
* Augmenter la vitesse de calcul et de chiffre d'affaires de l'argent;
* Améliorer la commodité des calculs.
Il existe deux stratégies clés pour le développement de l'EEE :
1. OED est utilisé comme un avantage concurrentiel, permettant une interaction plus étroite avec les partenaires. Cette stratégie est adoptée dans les grandes organisations et s'appelle l'approche d'entreprise étendue.
2. L'OED est utilisé dans certains projets industriels spécifiques ou dans des initiatives d'associations d'organisations commerciales et autres pour accroître l'efficacité de leur interaction.
Les banques aux États-Unis et en Europe occidentale ont déjà pris conscience de leur rôle clé dans la diffusion de l'EIE et ont réalisé les avantages significatifs qui découlent d'une interaction plus étroite avec les partenaires commerciaux et personnels. OED aide les banques à fournir des services aux clients, en particulier les petits, ceux qui auparavant ne pouvaient pas se permettre de les utiliser en raison de leur coût élevé.
Le principal obstacle à la large diffusion d'EOS est la variété des représentations des documents lors de leur échange via les canaux de communication. Pour surmonter cet obstacle, diverses organisations ont développé des normes de présentation des documents dans les systèmes EOS pour diverses industries :
QDTI - General Trade Interchange (Europe, commerce international);
MDSND - National Automated Clearing House Association (États-Unis, National Association of Automated Clearing Houses);
TDCC - Comité de coordination des données de transport ;
VICS - Norme de communication interindustrielle volontaire (États-Unis, norme de communication interindustrielle volontaire);
WINS - Normes du réseau d'information d'entrepôt réseau d'information entrepôts).
En octobre 1993, le groupe international UN/ECE a publié la première version de la norme EDIFACT. L'ensemble développé de règles de syntaxe et d'éléments de données commerciales a été formalisé sous la forme de deux normes ISO :
ISO 7372 - Répertoire des éléments de données commerciales (répertoire des éléments de données commerciales);
ISO 9735 - EDIFACT - Règles de syntaxe au niveau de l'application.
Un cas particulier d'EOD concerne les paiements électroniques - l'échange de documents financiers entre clients et banques, entre banques et autres organisations financières et commerciales.
L'essence du concept de paiement électronique réside dans le fait que les messages envoyés sur les lignes de communication, dûment exécutés et transmis, sont à la base de l'exécution d'une ou plusieurs opérations bancaires. En principe, aucun document papier n'est requis pour effectuer ces opérations (bien qu'ils puissent être délivrés). En d'autres termes, le message envoyé sur les lignes de communication porte l'information que l'expéditeur a effectué certaines opérations sur son compte, notamment sur le compte correspondant de la banque réceptrice (qui peut être le centre de compensation), et que le destinataire doit effectuer les opérations spécifiées dans le message. Sur la base d'un tel message, vous pouvez envoyer ou recevoir de l'argent, ouvrir un prêt, payer un achat ou un service et effectuer toute autre opération bancaire. De tels messages sont appelés monnaie électronique et l'exécution d'opérations bancaires sur la base de l'envoi ou de la réception de tels messages est appelée paiements électroniques. Naturellement, l'ensemble du processus de réalisation des paiements électroniques nécessite protection fiable. Sinon, la banque et ses clients seront confrontés à de sérieux problèmes.
Les paiements électroniques sont utilisés pour les règlements interbancaires, commerciaux et personnels.
Les règlements interbancaires et commerciaux sont effectués entre des organisations (personnes morales), ils sont donc parfois appelés entreprises. Les règlements impliquant des clients individuels sont appelés personnels.
La plupart des vols majeurs dans les systèmes bancaires sont directement ou indirectement liés aux systèmes de paiement électronique.
Sur le chemin de la création de systèmes de paiement électronique, notamment mondiaux, couvrant un grand nombre d'institutions financières et leurs clients dans différents pays, les obstacles sont nombreux. Les principaux sont :
1. Absence de normes uniformes pour les opérations et les services, ce qui complique considérablement la création de systèmes bancaires unifiés. Chaque grande banque cherche à créer son propre réseau d'ETO, ce qui augmente le coût de son fonctionnement et de sa maintenance. Les systèmes en double rendent leur utilisation difficile, créant des interférences mutuelles et limitant la capacité des clients.
2. La mobilité croissante de la masse monétaire, qui conduit à une augmentation de la possibilité de spéculation financière, étend le flux de "capital errant". Cet argent est capable de changer la situation sur le marché en peu de temps, en le déstabilisant.
3. Défaillances et défaillances matérielles et logicielles erreurs dans la mise en œuvre des règlements financiers, qui peuvent entraîner de graves complications pour les règlements ultérieurs et une perte de confiance dans la banque de la part des clients, notamment en raison de l'imbrication étroite des liens bancaires (un sorte de "propagation d'erreur"). Dans le même temps, le rôle et la responsabilité des opérateurs et de l'administration du système, qui contrôlent directement le traitement de l'information, augmentent considérablement.
Toute organisation qui souhaite devenir cliente d'un système de paiement électronique, ou organiser son propre système, doit en être consciente.
Pour fonctionner de manière fiable, un système de paiement électronique doit être bien protégé.
Les règlements commerciaux sont conclus entre diverses organisations commerciales. Les banques participent à ces calculs en tant qu'intermédiaires lors du transfert d'argent du compte de l'organisme payeur vers le compte de l'organisme destinataire.
Le règlement des échanges est essentiel au succès global d'un programme de paiement électronique. Le volume des transactions financières des différentes entreprises représente généralement une part importante du volume total des opérations bancaires.
Les types de règlements commerciaux varient considérablement selon les organisations, mais deux types d'informations sont toujours traitées lors de leur mise en œuvre : les messages de paiement et les informations auxiliaires (statistiques, résumés, notifications). Pour les institutions financières, bien sûr, les informations des messages de paiement sont du plus grand intérêt - numéros de compte, montants, solde, etc. Pour les organisations professionnelles, les deux types d'informations sont tout aussi importants - le premier donne un indice sur la situation financière, le second - aide à la prise de décision et à l'élaboration des politiques.
Les règlements commerciaux les plus couramment utilisés sont des deux types suivants :
* Dépôt direct.
La signification de ce type de paiement est que l'organisation demande à la banque d'effectuer automatiquement certains types de paiements pour ses employés ou clients, en utilisant des supports magnétiques pré-préparés ou des messages spéciaux. Les conditions de mise en œuvre de ces calculs sont convenues à l'avance (source de financement, montant, etc.). Ils sont principalement utilisés pour les paiements réguliers (paiements d'assurances diverses, remboursement d'emprunts, salaires, etc.). En termes d'organisation, un dépôt direct est plus pratique que, par exemple, des paiements par chèques.
Depuis 1989, le nombre d'employés utilisant le dépôt direct a doublé pour atteindre 25 % du total. Plus de 7 millions d'Américains reçoivent aujourd'hui un salaire sous forme de dépôt direct. Pour les banques, le dépôt direct offre les avantages suivants :
Réduire le volume de tâches associées au traitement des documents papier et, par conséquent, économiser des sommes importantes ;
Augmentation du nombre de dépôts, puisque 100 % du volume des paiements doivent être effectués en dépôt.
Outre les banques, les propriétaires et les employés en bénéficient également ; augmenter la commodité et réduire les coûts.
* Calculs utilisant EOS.
Les données ici sont des factures, des factures, des relevés de composants, etc.
La mise en œuvre de l'EEE nécessite la mise en œuvre de l'ensemble de services de base suivant :
courrier électronique X.400 ;
Transfert de fichier;
communication point à point ;
Accès aux bases de données en mode en ligne ;
Boites aux lettres;
Transformation des normes de présentation de l'information.
Voici des exemples de systèmes de règlements commerciaux existants utilisant EOS :
La Banque Nationale et la Banque Royale (Canada) communiquent avec leurs clients et partenaires par le biais du réseau d'information IBM ;
Le Bank of Scotland Transcontinental Automated Payment Service (TAPS), fondé en 1986, relie la Bank of Scotland à ses clients et partenaires dans 15 pays par l'intermédiaire de banques correspondantes et de chambres de compensation automatisées.
Les règlements interbancaires électroniques sont principalement de deux types :
* Compensation des règlements à l'aide d'un système informatique puissant d'une banque intermédiaire (banque de compensation) et des comptes correspondants des banques participant aux règlements avec cette banque. Le système est basé sur la compensation des créances et obligations monétaires mutuelles des personnes morales avec le transfert ultérieur du solde. La compensation est également largement utilisée sur les bourses de valeurs et de marchandises, où la compensation des créances mutuelles des participants aux transactions est effectuée par l'intermédiaire d'une chambre de compensation ou d'un système de compensation électronique spécial.
Les règlements de compensation interbancaires sont effectués par l'intermédiaire de chambres de compensation spéciales, de banques commerciales, entre succursales et succursales d'une même banque - par l'intermédiaire du siège social. Dans un certain nombre de pays, les fonctions des chambres de compensation sont exercées par les banques centrales. Les chambres de compensation automatisées (ACP) fournissent des services pour l'échange de fonds entre institutions financières. Les opérations de paiement sont essentiellement des débits ou des crédits. Les membres du système ACP sont les établissements financiers membres de l'association ACP. L'Association est formée afin de développer des règles, des procédures et des normes pour l'exécution des paiements électroniques dans une région géographique. Il convient de noter que l'AKP n'est rien de plus qu'un mécanisme de mouvement de fonds et d'informations d'accompagnement. Par eux-mêmes, ils ne fournissent pas de services de paiement. Des ACP ont été créés pour compléter les systèmes de traitement des documents financiers sur support papier. Le premier ACP est apparu en Californie en 1972, actuellement il y a 48 ACP aux USA. En 1978, la National Automated Clearing House Association (NACHA) a été créée, réunissant les 48 réseaux ACP sur une base coopérative.
Le volume et la nature des opérations sont en constante expansion. Les ACP commencent à effectuer des règlements d'affaires et des opérations d'échange de données électroniques. Après trois ans d'efforts de diverses banques et entreprises, le système CTP (Corporate Trade Payment) a été créé, conçu pour traiter automatiquement les crédits et les débits. Selon les experts, dans un proche avenir, la tendance à élargir les fonctions de l'AKP se poursuivra.
* Les règlements directs, dans lesquels deux banques communiquent directement entre elles via des comptes loro nostro, éventuellement avec la participation d'un tiers dans un rôle d'organisation ou de soutien. Naturellement, le volume des transactions mutuelles devrait être suffisamment important pour justifier les coûts d'organisation d'un tel système de règlement. En règle générale, un tel système combine plusieurs banques, tandis que chaque paire peut communiquer directement entre elles, sans passer par les intermédiaires. Cependant, dans ce cas, il faut un centre de contrôle qui s'occupe de la protection des banques en interaction (distribution des clés, gestion, contrôle du fonctionnement et enregistrement des événements).
Il existe de nombreux systèmes de ce type dans le monde - des plus petits, reliant plusieurs banques ou succursales, aux géants internationaux, reliant des milliers de participants. Le système le plus connu de cette classe est SWIFT.
Récemment, un troisième type de paiement électronique est apparu - le traitement des chèques électroniques (troncature de chèque électronique), dont l'essence est d'arrêter le chemin de l'envoi d'un chèque papier à l'institution financière dans laquelle il a été présenté. Si nécessaire, son pendant électronique « voyage » plus loin sous la forme d'un message spécial. L'acheminement et l'encaissement d'un chèque électronique s'effectuent à l'aide de l'ACP.
En 1990, la NACHA a annoncé la première phase de test d'un programme expérimental national appelé "Electronic Check Truncation". Son objectif est de réduire le coût de traitement de l'énorme quantité de chèques papier.
L'envoi d'argent à l'aide d'un système de paiement électronique comprend les étapes suivantes (selon les conditions spécifiques et le système lui-même, la procédure peut varier) :
1. Un certain compte dans le système de la première banque est réduit du montant requis.
2. Le compte correspondant de la deuxième banque dans la première est augmenté du même montant.
3. Un message est envoyé de la première banque à la seconde contenant des informations sur les actions effectuées (identifiants de compte, montant, date, conditions, etc.) ; dans le même temps, le message transmis doit être suffisamment protégé contre la falsification : crypté, signé numériquement et avec des champs de contrôle, etc.
4. Le montant requis est débité du compte correspondant de la première banque dans la seconde.
5. Un certain compte dans la deuxième banque est augmenté du montant requis.
6. La deuxième banque envoie une notification à la première banque sur les ajustements de compte effectués ; ce message doit également être protégé contre la falsification d'une manière similaire à celle d'un message de paiement.
7. Le protocole d'échange est fixé pour les deux abonnés et, éventuellement, pour un tiers (dans le centre de contrôle du réseau) pour éviter les conflits.
Il peut y avoir des intermédiaires sur la manière de transférer les messages - centres de compensation, banques intermédiaires dans le transfert d'informations, etc. La principale difficulté de tels calculs est la confiance en votre partenaire, c'est-à-dire que chacun des abonnés doit être sûr que son correspondant effectuera toutes les actions nécessaires.
Pour étendre l'utilisation des paiements électroniques, une normalisation de la présentation électronique des documents financiers est en cours. Il a été lancé dans les années 70 dans le cadre de deux organisations :
1) L'ANSI (American National Standard Institute) a publié la norme ANSI X9.2-1080, (Spécification de message d'échange pour l'échange de messages de débit et de carte de crédit entre les instituts financiers). En 1988, une norme similaire a été adoptée par l'ISO et nommée ISO 8583 (Spécifications des messages d'échange de messages émis par carte bancaire - Contenu des transactions financières);
2) SWIFT (Society for Worldwide Interbank Financial Telecommunications) a développé une série de normes pour les messages interbancaires.
Conformément à la norme ISO 8583, un document financier contient un certain nombre d'éléments de données (conditions requises) situés dans certains champs d'un message ou d'un document électronique (une carte de crédit électronique, un message X.400 ou un document en syntaxe EDIFACT) . Chaque élément de données (ED) se voit attribuer son propre numéro unique. L'élément de données peut être obligatoire (c'est-à-dire inclus dans chaque message de ce type) ou facultatif (il peut être absent dans certains messages).
L'échelle de bits détermine la composition du message (les ED qui y sont présents). Si un chiffre de l'échelle de bits est défini sur un, cela signifie que l'ED correspondant est présent dans le message. Grâce à cette méthode de codage des messages, la longueur totale du message est réduite, une flexibilité est obtenue dans la présentation des messages avec de nombreux ED et il est possible d'inclure de nouveaux ED et types de messages dans un document électronique de structure standard.
Il existe plusieurs moyens de paiements électroniques interbancaires. Considérez-en deux : le paiement par chèque (paiement après la prestation) et le paiement par lettre de crédit (paiement de la prestation attendue). D'autres modes, tels que le paiement au moyen d'ordres de paiement ou d'ordres de paiement, ont une organisation similaire.
Le paiement par chèque s'appuie sur un document papier ou autre mentionnant l'identité du payeur. Ce document sert de base au transfert du montant spécifié dans le chèque du compte du propriétaire au compte de l'émetteur. Le paiement par chèque comprend les étapes suivantes :
Réception d'un chèque;
Présentation d'un chèque à la banque;
Demande de virement du compte du porteur du chèque vers le compte de l'émetteur ;
Transfert d'argent;
Avis de paiement.
Les principaux inconvénients de ces paiements sont la nécessité d'un document auxiliaire (chèque), facile à falsifier, ainsi que le temps important passé à effectuer un paiement (jusqu'à plusieurs jours).
Par conséquent, ces dernières années, un type de paiement tel que le paiement par lettre de crédit est devenu plus courant. Il comprend les étapes suivantes :
Notification à la banque par le client de l'octroi d'un prêt ;
Notification à la banque du bénéficiaire de l'octroi d'un prêt et d'un transfert d'argent ;
Notification au bénéficiaire de la réception du prêt.
Ce système vous permet d'effectuer des paiements en très peu de temps. La notification de prêt peut être envoyée par (e-mail) courrier, disquettes, bandes magnétiques.
Chacun des types de paiements ci-dessus a ses avantages et ses inconvénients. Les chèques sont plus pratiques pour payer de petites sommes, ainsi que pour des paiements occasionnels. Dans ces cas, le retard de paiement n'est pas très important et le recours au crédit est inapproprié. Les règlements par lettres de crédit sont généralement utilisés pour les paiements réguliers et pour des montants importants. Dans ces cas, l'absence de délai de dédouanement permet d'économiser beaucoup de temps et d'argent en réduisant la période de rotation. Un inconvénient commun à ces deux méthodes est la nécessité du coût d'organisation d'un système fiable de paiements électroniques.
