Módszerek a digitális pénz elektronikus fizetési rendszerének védelmére. Az elektronikus pénz védelmének fő módjai? Biztonsági intézkedések elektronikus fizetési rendszerekhez
Az elektronikus fizetési rendszerek az elektronikus pénznemekkel való munkavégzés egyik legnépszerűbb típusa. Minden évben egyre aktívabban fejlődnek, és meglehetősen nagy részesedést foglalnak el a valutával való munkavégzés piacán. Velük együtt fejlődnek a biztonságukat biztosító technológiák is. Mert ma egyetlen elektronikus fizetési rendszer sem létezhet jó technológiák és biztonsági rendszerek nélkül, amelyek viszont biztosítják a monetáris tranzakciók biztonságos lebonyolítását. Sok maga az elektronikus fizetési rendszer, valamint biztonsági technológia létezik. Mindegyiknek más-más működési elve és technológiája van, valamint megvannak a maga előnyei és hátrányai. Emellett számos elméleti és gyakorlati kérdés is megoldatlan maradt, ami meghatározza a kutatási téma relevanciáját.
Minden elektronikus fizetési rendszer saját módszereit, titkosítási algoritmusait, adatátviteli protokolljait használja a biztonságos tranzakciók és adatátvitel érdekében. Egyes rendszerek az RSA titkosítási algoritmust és a HTTPs átviteli protokollt használják, míg mások a DES algoritmust és az SSL protokollt használják a titkosított adatok átvitelére. A cikk megírásának gondolata az, hogy tanulmányozzon és elemezzen számos népszerű fizetési rendszert, nevezetesen a bennük használt biztonsági technológiákat, és megtudja, melyik a legfejlettebb.
A cikk megírása során a fizetési rendszerek kutatása és a meglévő fizetési rendszerek biztonságának elemzése zajlott. Négy fizetési rendszert (Webmoney, Yandex.Money, RauPa1 és E-Port) elemeztünk azonos kritériumok alapján. A rendszereket egy többszintű rendszerrel értékelték, amely beágyazott paramétereket tartalmaz. Természetesen ezek a kritériumok a területre vonatkoznak információ biztonság. Két fő kritérium létezik: a fizetések információbiztonságának technikai támogatása, valamint a szervezeti és jogi támogatás. E két paraméter mindegyikét hárompontos rendszerrel értékelték. A minősítési skála pontosan ez, hiszen az elektronikus fizetési rendszerek jelenlegi fejlettsége hazánkban olyan szinten áll, hogy a legtöbb paraméterük csak az igen vagy nem szavakkal írható le. Ennek megfelelően, ha egy elektronikus fizetési rendszer a legjobban megfelel bármely paraméternek, akkor a legmagasabb pontszámot (3), ha egyáltalán nem válaszol, akkor a minimális pontszámot (0) kapja. Ha a rendszer nem tartalmazza ezt a kritériumot kifejezett formában, de ha a hiányzóhoz valamilyen szolgáltatás vagy képesség kapcsolódik, akkor köztes pontszámot adunk - egy vagy kettő.
Az elektronikus fizetési rendszerek értékelésekor emlékezni kell arra, hogy különböző feltételek mellett ugyanazon paraméter értéke nem azonos. Például több, a védelmi szintet jelentősen növelő szolgáltatást a felhasználó csak önként tud megvalósítani, ráadásul ezeknek a szolgáltatásoknak a rendszerben való jelenléte is értékes. Az emberi tényezőt nem törölték és nem is fogják törölni, így figyelembe vették, hogy a szolgáltatás megvalósulhat vagy meg nem valósult.
Technikai támogatás a tranzakciók biztonságához
Ez az első kritérium - olyan paraméterkészlet, amely, amint az a nevéből is kiderül, az információvédelem technikai oldalát biztosítja. E paraméter előtt a következők szerepelnek: a titkosítás kriptográfiai módszerei, a hitelesítés és a hozzáférés speciális használatával hardver(a legprimitívebb esetben - USB-kulcsok használatával).
Nem titok, hogy az információ védelmének fő kritériuma technikai értelemben természetesen az adatok titkosítása, pontosabban a kriptográfiai algoritmusok, amelyekkel ezeket megvalósítják. Az is ismert, hogy minél hosszabb a kulcs, annál nehezebb visszafejteni, és ennek megfelelően hozzáférni a bizalmas információkhoz. A tesztelt rendszerek közül három a jól ismert és széles körben elismert RSA algoritmust használja: Webmoney, Yandex.Money, PayPal. Az E-Port az SSL protokoll 3.0-s verzióján keresztüli titkosítást használja, valójában SSL-kulcsok segítségével valósítják meg, amelyek egyediek, a munkamenet során jönnek létre, és ezeket session kulcsnak nevezik. Az SSL kulcs hossza az E-Port rendszerben 40 és 128 bit között változik, ami teljesen elegendő a tranzakciós biztonság elfogadható szintjéhez.
A tranzakciók információbiztonságának technikai támogatásában a következő paraméter a hitelesítés, azaz a hitelesítés. olyan megoldások összessége, amelyekre a felhasználónak szüksége van a saját személyes adataihoz való hozzáféréshez. Itt minden egyszerű. A Webmoney és a Yandex.Money rendszerek két hozzáférési kritériumot használnak, míg a PayPal és az E-Port csak egyet. A Webmoney-ben a rendszer eléréséhez és a fizetéshez meg kell adnia egy jelszót és egy speciális kulcsot. A Yandex.Money hasonlóan működik: jelszó és speciális pénztárca program szükséges. Minden más rendszerben a hozzáférést jelszó biztosítja. Az E-Port rendszerben azonban ahhoz, hogy az SSL protokoll használatával működjön, a potenciális kliens (és a rendszer bármely más résztvevője) webszerverének rendelkeznie kell egy speciális digitális tanúsítvánnyal, amelyet valamelyik jogosult cégtől kapott. Ez a tanúsítvány az ügyfél webszerverének hitelesítésére szolgál. Az E-Portban használt tanúsítványbiztonsági mechanizmust az RSA Security tanúsítja. A tanulmány harmadik és egyben utolsó kritériuma a rendszerhez való hozzáférés speciális hardverrel, például USB-kulcsokkal.
Kriptográfiai titkosítási módszerek
A Webmoney és a Yandex.Money 1024 bites kulcsot használ (nagyon magas mutató, szinte lehetetlen feltörni egy ilyen kulcsot egyszerű brute force módszerrel), a PayPal pedig fele olyan hosszúságú kulcsot használ, amely 512 bites. , az első két rendszernél ezzel a kritériummal a maximális pontot kapjuk – 3. A PayPal, mivel rövidebb titkosítási kulcsot használ, két pontot kap. Már csak az E-Port értékelése ezzel a paraméterrel. Az SSL protokoll használata, sőt a 128 bites kulcshossz ellenére az E-Portnak van néhány potenciális sebezhetősége: sok régebbi böngészőverzió támogatja a rövidebb kulcsokkal történő titkosítást , így lehetőség van a kapott adatok feltörésére; ennek megfelelően azok számára, akik a böngészőt kliensként használják fizetési rendszer, dolgozni kell vele legújabb verzió(persze ez nem mindig kényelmes és nem lehetséges). A „titkosítás” oszlopban azonban az E-Port 1,7-et kaphat: ezt a minősítést a progresszív PGP protokoll e-mailek titkosítására való használatának köszönheti a rendszer.
Hitelesítés
A Webmoney és a Yandex.Money rendszerek két hozzáférési kritériumot használnak, míg a PayPal és az E-Port csak egyet. A Webmoney-ben a rendszer eléréséhez és a fizetéshez meg kell adnia egy jelszót és egy speciális kulcsot. A Yandex.Money hasonlóan működik: jelszó és speciális pénztárca program szükséges, minden más rendszerben a hozzáférést jelszó biztosítja. Az E-Port rendszerben azonban a potenciális kliens webszervere az SSL protokoll használatával működik.
A Webmoney és a Yandex.Money szerint itt három pontot kapnak, a PayPal - 0 pontot, az E-Port - egyet.
Itt még egyszerűbb, mint az előző paraméterekkel. Az összes rendszer közül csak a Webmoney PayPal rendelkezik ilyen kiegészítő lehetőséggel, utóbbiak nem biztosítanak ilyen lehetőséget. Így a súlyozási együtthatót figyelembe véve a Webmoney és a PayPal 1,5 pontot kapott ezért a paraméterért, az összes többi nullát.
A két kritérium értékelése után összefoglalhatjuk. A figyelembe vett paraméterek összege alapján a Webmoney biztonságosnak bizonyult. Valójában, ha a felhasználó az általa nyújtott összes biztonsági szolgáltatást igénybe veszi, gyakorlatilag sebezhetetlen maradhat a csalók előtt. A második helyen a Yandex.Money rendszer, a harmadikon a PayPal végzett (ez a rendszer ideális jogi személyek számára a fizetések jelentős jogi átláthatósága miatt), az utolsó helyet pedig az E-Port rendszer szerezte meg.
Ezen túlmenően a fizetési rendszerek elemzését összegezve elmondható, hogy az elektronikus fizetési rendszer kiválasztása nem egy biztonsági paraméter szerint történik, még akkor sem, ha az az egyik legfontosabb. Az elektronikus fizetési rendszerek a szolgáltatások elérhetőségében, a könnyű kezelhetőségben is különböznek – sok más tényező is van.
következtetéseket
Az elektronikus fizetés a távközlés fejlődésének természetes állomása, nagy a kereslet azokban a résekben, ahol van egy teljes értékű termék - egy digitális termék, amelynek tulajdonságai jól „felfednek” az online fizetés tulajdonságaival: azonnali fizetés, azonnali szállítás , egyszerűség és márkanélküliség.
Internetes fizetési rendszer egy rendszer pénzügyi, üzleti szervezetek és Internet-felhasználók közötti fizetések lebonyolítására áruk és szolgáltatások internetes vásárlása/eladása során. Ez a fizetési rendszer, amely lehetővé teszi, hogy egy rendelésfeldolgozási szolgáltatást vagy egy elektronikus kirakatot teljes értékű üzletté alakítson, amely rendelkezik az összes szabványos attribútummal: az eladó webhelyén egy terméket vagy szolgáltatást kiválasztva a vevő anélkül tud fizetni, hogy elhagyná a számítógép.
Az e-kereskedelmi rendszerben a kifizetések számos feltételhez kötöttek:
1. A titoktartás megőrzése. Az interneten keresztül történő fizetéskor a vásárló azt szeretné, ha adatait (például hitelkártyaszámát) csak az erre törvényes joggal rendelkező szervezetek ismernék meg.
2. Az információk integritásának megőrzése. A vásárlási adatokat senki nem módosíthatja.
3. Hitelesítés. A vevőknek és az eladóknak biztosnak kell lenniük abban, hogy a tranzakcióban résztvevő valamennyi fél az, akinek mondják magukat.
4. Fizetési eszközök. Lehetőség a vevő rendelkezésére álló bármely fizetési móddal történő fizetésre.
6. Az eladó kockázati garanciái. Az internetes kereskedés során az eladó számos kockázatnak van kitéve a termék visszautasításával és a vevő tisztességtelenségével kapcsolatban. A kockázatok mértékéről külön megállapodások keretében kell megállapodni a fizetési rendszer szolgáltatójával és a kereskedési láncban részt vevő más szervezetekkel.
7. A tranzakciós díjak minimalizálása. Az áruk rendelési és fizetési tranzakciós feldolgozási díja természetesen benne van az árban, így a tranzakciós ár csökkentése növeli a versenyképességet. Fontos megjegyezni, hogy a tranzakciót minden esetben ki kell fizetni, még akkor is, ha a vevő visszautasítja az árut.
Mindezeket a feltételeket meg kell valósítani az internetes fizetési rendszerben, amely lényegében a hagyományos fizetési rendszerek elektronikus változata.
Így az összes fizetési rendszer a következőkre oszlik:
Terhelés (elektronikus csekkel és digitális készpénzzel dolgozva);
Hitel (hitelkártyákkal dolgozva).
Betéti rendszerek
A betéti fizetési sémák az offline prototípusokhoz hasonlóan épülnek fel: csekk és normál pénz. A rendszerben két független fél vesz részt: a kibocsátók és a felhasználók. A kibocsátó a fizetési rendszert kezelő jogalany. Kiad néhány elektronikus egységet, amelyek fizetéseket jelentenek (például bankszámlákon lévő pénzt). A rendszerhasználók két fő funkciót látnak el. Fizetést teljesítenek és fogadnak el az interneten a kibocsátott elektronikus egységek használatával.
Az elektronikus csekk a szokásos papíralapú csekkekhez hasonló. Ezek a fizető utasításai bankjának, hogy utaljanak át pénzt számlájáról a kedvezményezett számlájára. A művelet a csekk címzettjének banki bemutatása után történik. Itt két fő különbség van. Először is, papíralapú csekk írásakor a fizető valódi aláírást, az online változatban pedig elektronikus aláírást helyez el. Másodszor, magukat a csekkeket elektronikusan állítják ki.
A fizetés több szakaszban történik:
1. A kifizető elektronikus csekket állít ki, azt elektronikus aláírással aláírja és továbbítja a címzettnek. A nagyobb megbízhatóság és biztonság érdekében a folyószámlaszám titkosítható a bank nyilvános kulcsával.
2. A csekket bemutatják a fizetési rendszernek történő kifizetés céljából. Ezután (akár itt, akár a címzettet kiszolgáló bankban) egy csekk történik Elektronikus aláírás.
3. Eredetiségének igazolása esetén az árut kiszállítják vagy a szolgáltatást teljesítik. A pénz átutalása a fizető számlájáról a címzett számlájára történik.
A fizetési séma egyszerűségét (43. ábra) sajnos ellensúlyozza a megvalósítás nehézségei, amelyek abból adódnak, hogy a csekkrendszerek még nem terjedtek el, és nincsenek hitelesítő központok az elektronikus aláírás megvalósítására.
Az elektronikus digitális aláírás (EDS) nyilvános kulcsú titkosítási rendszert használ. Ez létrehoz egy privát kulcsot az aláíráshoz és egy nyilvános kulcsot az ellenőrzéshez. A privát kulcsot a felhasználó tárolja, és a nyilvános kulcshoz mindenki hozzáférhet. A nyilvános kulcsok terjesztésének legkényelmesebb módja a hitelesítési hatóságok használata. A nyilvános kulcsot és a tulajdonosra vonatkozó információkat tartalmazó digitális tanúsítványokat ott tárolják. Ez mentesíti a felhasználót azon kötelezettség alól, hogy saját nyilvános kulcsát terjessze. Ezenkívül a tanúsító hatóságok hitelesítést biztosítanak annak biztosítására, hogy senki ne generálhasson kulcsokat egy másik személy nevében.
Az elektronikus pénz teljes mértékben a valódi pénzt szimulálja. Ezzel egyidejűleg a kibocsátó szervezet – a kibocsátó – kibocsátja elektronikus analógjaikat, amelyeket különböző rendszerekben eltérően neveznek (például kuponokat). Ezt követően a felhasználók megvásárolják őket, és a vásárlások kifizetésére használják őket, majd az eladó beváltja a kibocsátótól. Kibocsátáskor minden pénzegységet elektronikus bélyegzővel igazolnak, amelyet a kibocsátó szervezet a visszaváltás előtt ellenőriz.
A fizikai pénz egyik jellemzője az anonimitása, vagyis nem jelzi, hogy ki és mikor használta fel. Egyes rendszerek analógia útján lehetővé teszik a vevő számára, hogy elektronikus készpénzt kapjon úgy, hogy a közte és a pénz közötti kapcsolat nem állapítható meg. Ez vak aláírási séma használatával történik.
Azt is érdemes megjegyezni, hogy használatkor elektronikus pénz Nincs szükség hitelesítésre, hiszen a rendszer alapja a pénz forgalomba hozatala a felhasználás előtt.
A 44. ábra egy elektronikus pénzt használó fizetési sémát mutat be.
A fizetési mechanizmus a következő:
1. A vevő előzetesen valódi pénzt vált elektronikus pénzre. A készpénz tárolása az ügyfélnél kétféleképpen történhet, amelyet az alkalmazott rendszer határoz meg:
A számítógép merevlemezén;
Intelligens kártyákon.
A különböző rendszerek különböző cseresémákat kínálnak. Néhányan speciális számlákat nyitnak, amelyekre a vevő számlájáról átutalják az elektronikus számlákért cserébe. Egyes bankok maguk bocsátanak ki elektronikus készpénzt. Ugyanakkor csak az ügyfél kérésére adják ki, ezt követi az ügyfél számítógépére vagy kártyájára történő átutalása, és a készpénz-egyenértéknek a számlájáról történő levonása. A vak aláírás alkalmazásakor a vevő maga állítja elő az elektronikus számlákat, küldi el a banknak, ahol valódi pénz érkezésekor pecséttel igazolják és visszaküldik az ügyfélnek.
Az ilyen tárolás kényelme mellett hátrányai is vannak. A lemez vagy az intelligens kártya sérülése az elektronikus pénz visszafordíthatatlan elvesztését eredményezi.
2. A vevő elektronikus pénzt utal át a vásárláshoz az eladó szerverére.
3. A pénzt bemutatják a kibocsátónak, aki ellenőrzi annak valódiságát.
4. Ha az elektronikus számlák valódiak, akkor az eladó számláját megnövelik a vásárlás összegével, és az árut kiszállítják a vevőnek vagy a szolgáltatást nyújtják.
Az elektronikus pénz egyik fontos megkülönböztető jellemzője a mikrofizetések képessége. Ennek oka az a tény, hogy a bankjegyek címlete nem feltétlenül felel meg a valódi érméknek (például 37 kopecks).
Mind a bankok, mind a nem banki szervezetek bocsáthatnak ki elektronikus készpénzt. Ezt azonban még nem fejlesztették ki egy rendszer különböző típusú elektronikus pénzek konvertálása. Ezért csak maguk a kibocsátók válthatják be az általuk kibocsátott elektronikus készpénzt. Ráadásul az ilyen, nem pénzügyi struktúrákból származó pénzek felhasználását az állam nem garantálja. Az alacsony tranzakciós költség azonban vonzó eszközzé teszi az elektronikus készpénzt az online fizetésekhez.
Hitelrendszerek
Az internetes hitelrendszerek a hagyományos hitelkártyákkal működő rendszerek analógjai. A különbség az, hogy minden tranzakció az interneten keresztül történik, és ennek eredményeként további biztonsági és hitelesítési intézkedésekre van szükség.
A hitelkártyákkal történő internetes fizetések során a következők vesznek részt:
1. Vevő. Kliens webböngészővel és internet-hozzáféréssel rendelkező számítógéppel.
2. Kibocsátó bank. A vásárló bankszámlája itt található. A kibocsátó bank kártyákat bocsát ki, és kezes az ügyfél pénzügyi kötelezettségeiért.
3. Eladók. Az eladók e-kereskedelmi szerverek, ahol az áruk és szolgáltatások katalógusait vezetik, és elfogadják az ügyfelek vásárlási rendeléseit.
4. Elfogadó bankok. Eladókat kiszolgáló bankok. Minden eladónak egyetlen bankja van, ahol a folyószámláját vezeti.
5. Internetes fizetési rendszer. Elektronikus alkatrészek, amelyek közvetítőként működnek a többi résztvevő között.
6. Hagyományos fizetési rendszer. Pénzügyi és technológiai eszközök készlete az ilyen típusú kártyák kiszolgálásához. A fizetési rendszer által megoldott fő feladatok közé tartozik a kártyahasználat biztosítása áruk és szolgáltatások fizetési eszközeként, banki szolgáltatások igénybevétele, kölcsönös beszámítás stb. A fizetési rendszer résztvevői magánszemélyek és jogi személyek, akiket a hitelkártya-használat egyesít.
7. Fizetési rendszer feldolgozó központja. Olyan szervezet, amely információs és technológiai interakciót biztosít a hagyományos fizetési rendszer résztvevői között.
8. A fizetési rendszer elszámoló bankja. Hitelszervezet, amely a feldolgozási központ nevében kölcsönös elszámolásokat végez a fizetési rendszer résztvevői között.
Az általános fizetési séma egy ilyen rendszerben a 45. ábrán látható.
1. A vásárló az elektronikus áruházban létrehoz egy kosarat, és kiválasztja a „hitelkártya” fizetési módot.
Az üzleten keresztül, vagyis a kártya paraméterei közvetlenül az üzlet webhelyén kerülnek bevitelre, majd átkerülnek az internetes fizetési rendszerbe (2a);
A fizetési rendszer szerverén (2b).
A második módszer előnyei nyilvánvalóak. Ebben az esetben a kártyákkal kapcsolatos információk nem maradnak meg az üzletben, és ennek megfelelően csökken annak kockázata, hogy azokat harmadik fél megkapja, vagy az eladó megtéveszti őket. A hitelkártyaadatok átvitelekor mindkét esetben fennáll annak a lehetősége, hogy a hálózaton támadók elkapják azokat. Ennek elkerülése érdekében az adatok titkosításra kerülnek az átvitel során.
A titkosítás természetesen csökkenti az adatlehallgatás lehetőségét a hálózaton, ezért célszerű a vevő/eladó, eladó/internetes fizetési rendszer, vevő/internetes fizetési rendszer közötti kommunikációt biztonságos protokollok segítségével bonyolítani. Ezek közül manapság a legelterjedtebb az SSL (Secure Sockets Layer) protokoll, valamint a SET (Secure Electronic Transaction) szabvány, amelynek célja az SSL leváltása az internetes hitelkártyás vásárlásokhoz kapcsolódó tranzakciók feldolgozása során.
3. Az internetes fizetési rendszer engedélyezési kérelmet küld a hagyományos fizetési rendszernek.
4. A következő lépés attól függ, hogy a kibocsátó bank vezet-e online számlaadatbázist. Ha van adatbázis, a feldolgozó központ kártyaengedélyezési kérelmet küld a kibocsátó banknak (lásd bevezető vagy szótár) (4a), majd (4b) megkapja annak eredményét. Ha nincs ilyen adatbázis, akkor maga a feldolgozó központ tárol információkat a kártyabirtokosok számláinak állapotáról, stoplistákról és teljesíti az engedélyezési kéréseket. Ezt az információt a kibocsátó bankok rendszeresen frissítik.
Az üzlet szolgáltatást nyújt vagy árut szállít (8a);
A feldolgozó központ információt továbbít a befejezett tranzakcióról a kiegyenlítő banknak (8b). A vevőnek a kibocsátó banknál vezetett számlájáról a pénz az elszámoló bankon keresztül az üzlet elfogadó banknál vezetett számlájára kerül átutalásra.
Az ilyen kifizetésekhez a legtöbb esetben speciális szoftver. Átadható a vevőnek (úgynevezett elektronikus pénztárcának), az eladónak és szolgáltató bankjának.
Bevezetés
1. Elektronikus fizetési rendszerek és osztályozásuk
1.1 Alapfogalmak
1.2 Az elektronikus fizetési rendszerek osztályozása
1.3 Az Oroszországban használt főbb elektronikus fizetési rendszerek elemzése
2. Az elektronikus fizetési rendszerek biztonsági intézkedései
2.1 Az elektronikus fizetési rendszerek használatával kapcsolatos veszélyek
2.2 Technológiák az elektronikus fizetési rendszerek védelmére
2.3 A megfelelőségi technológiák elemzése alapkövetelmények elektronikus fizetési rendszerekre
Következtetés
Bibliográfia
BEVEZETÉS
Az elektronikus fizetés és az elektronikus pénz egy rendkívül speciális témája, amely 10 évvel ezelőtt kevés embert érdekelt, az utóbbi időben nemcsak az üzletemberek, hanem a végfelhasználók számára is aktuálissá vált. Valószínűleg minden második ember, aki akár csak néha olvassa a számítógépet vagy a népszerű sajtót, ismeri a divatos „e-business” és „e-commerce” szavakat. A távoli fizetés (nagy távolságra történő pénzátutalás) feladata a speciális kategóriából átkerült a hétköznapokba. Az e kérdéssel kapcsolatos információk bősége azonban egyáltalán nem járul hozzá a polgárok tudatának tisztázásához. Mind az elektronikus fizetés problémájának bonyolultsága és fogalmi kidolgozatlansága miatt, mind pedig abból adódóan, hogy sok népszerűsítő sokszor a telefon töröttsége elvén dolgozik, hétköznapi szinten természetesen mindenki számára minden világos. De ez addig van, amíg el nem jön az idő az elektronikus fizetés gyakorlati fejlesztésére. Ez az a pont, ahol nem értjük, hogy bizonyos esetekben mennyire helyénvaló az elektronikus fizetés használata.
Mindeközben egyre fontosabbá válik az elektronikus fizetések elfogadásának feladata az internetes kereskedelmet folytatók, illetve az interneten keresztül vásárolni szándékozók számára. Ez a cikk mindkettőnek szól.
A kezdőknek szánt elektronikus fizetési rendszerek mérlegelésekor a fő probléma a tervezési és működési elveik sokszínűsége, valamint az, hogy a megvalósítás külső hasonlósága ellenére egészen eltérő technológiai és pénzügyi mechanizmusok rejtőzhetnek mélységükben.
A globális internet népszerűségének gyors fejlődése erőteljes lendületet adott az új megközelítések és megoldások kidolgozásához a világgazdaság különböző területein. Még az olyan konzervatív rendszerek is, mint a banki elektronikus fizetési rendszerek, engedtek az új trendeknek. Ez megnyilvánult az új fizetési rendszerek – az interneten keresztüli elektronikus fizetési rendszerek – megjelenésében és fejlődésében, amelyek fő előnye, hogy az ügyfelek fizetéseket (pénzügyi tranzakciókat) hajthatnak végre, megkerülve a fizetési megbízás fizikai szállításának fárasztó és néha technikailag nehéz szakaszát. a bankba. A bankok és a bankintézetek is érdekeltek ezeknek a rendszereknek a bevezetésében, mivel ezzel megnövelhetik az ügyfélkiszolgálás sebességét és csökkenthetik a fizetések rezsiköltségét.
Az elektronikus fizetési rendszerek olyan információkat terjesztenek, beleértve a bizalmas információkat is, amelyek védelmet igényelnek a megtekintéssel, módosítással és hamis információk előírásával szemben. A megfelelő internetközpontú biztonsági technológiák fejlesztése jelenleg komoly kihívást jelent. Ennek oka az architektúra, az alapvető erőforrások és a technológiák Internetes hálózatok a hozzáférés vagy a gyűjtés megszervezésére összpontosított nyílt információ. A közelmúltban azonban olyan megközelítések és megoldások jelentek meg, amelyek jelzik a szabványos internetes technológiák alkalmazásának lehetőségét épületrendszerekben az interneten keresztüli biztonságos információtovábbításhoz.
Az RGR célja az elektronikus fizetési rendszerek elemzése és ezek használatára vonatkozó ajánlások kidolgozása. A cél alapján az RGR végrehajtásának következő szakaszai fogalmazódnak meg:
1. Határozza meg az elektronikus fizetési rendszerek fő feladatait és működési elveit, jellemzőit!
2. Elemezze a főbb elektronikus fizetési rendszereket.
3. Elemezze az elektronikus pénz használatához kapcsolódó fenyegetéseket.
4. Elemezze a biztonsági intézkedéseket elektronikus fizetési rendszerek használatakor.
1. ELEKTRONIKUS FIZETÉSI RENDSZEREK ÉS OSZTÁLYOZÁSUK
1.1 Alapfogalmak
Elektronikus fizetések. Kezdjük azzal, hogy a huszadik század második felében jogos az elektronikus fizetés, mint a készpénz nélküli fizetési mód megjelenéséről beszélni. Vagyis az elektronikus fizetéssel kapcsolatos információk továbbítása régóta létezik, de alapvetően új minőséget kapott, amikor a vezetékek mindkét végén megjelentek a számítógépek. Az információ továbbítása telexen, teletípuson és az akkor megjelent számítógépes hálózatokon keresztül történt. Minőségileg új ugrás jelent meg, hogy jelentősen megnőtt a fizetések gyorsasága, és elérhetővé vált azok automatikus feldolgozásának lehetősége.
Ezt követően más típusú fizetések elektronikus megfelelői is megjelentek - készpénzes fizetések és egyéb fizetési módok (például csekk).
Elektronikus fizetési rendszerek (EPS). Elektronikus fizetési rendszernek nevezünk minden meghatározott hardver és szoftver, amely lehetővé teszi az elektronikus fizetést.
Létezik különböző módokonés kommunikációs csatornák az EPS-hez való hozzáféréshez. Ma ezek közül a csatornák közül a legelterjedtebb az internet. Egyre növekszik az EPS elterjedése, amelyhez a hozzáférést a segítségével végzik mobiltelefon(SMS-en, WAP-on és egyéb protokollokon keresztül). Más módszerek kevésbé elterjedtek: modemmel, nyomógombos telefonnal, telefonon egy operátoron keresztül.
Elektronikus pénz. Homályos kifejezés. Ha alaposan átgondolja, mi rejlik mögötte, könnyen megértheti, hogy az elektronikus pénz helytelen elnevezése az „elektronikus készpénznek”, valamint az elektronikus fizetési rendszereknek.
Ez a terminológiai félreértés az angol kifejezések szabad fordításának köszönhető. Mivel Oroszországban az elektronikus fizetések sokkal lassabban fejlődtek, mint Európában és Amerikában, kénytelenek voltunk szilárd feltételeket alkalmazni. Természetesen az elektronikus készpénz olyan elnevezései, mint a „digitális készpénz” (e-készpénz), „digitális pénz”, „elektronikus készpénz” (digitális készpénz)2, élethez való joggal rendelkeznek.
Általánosságban elmondható, hogy az „elektronikus pénz” kifejezés nem jelent semmi konkrétat, ezért a jövőben igyekszünk kerülni a használatát.
Elektronikus készpénz:
Ez egy olyan technológia, amely a múlt század 90-es éveiben jelent meg, és lehetővé teszi az olyan elektronikus fizetéseket, amelyek nem közvetlenül kötődnek a pénz banki vagy más pénzügyi szervezetben történő számláról számlára történő átutalásához, vagyis közvetlenül személyek - a végső résztvevők - között. a fizetésben. Az elektronikus készpénz másik fontos tulajdonsága a fizetések anonimitása, amelyet biztosít. A fizetést igazoló engedélyezési központ nem rendelkezik arról, hogy konkrétan ki és kinek utalta át a pénzt.
Az elektronikus készpénz az elektronikus fizetések egyik fajtája. Az elektronikus készpénz egysége nem más, mint a kibocsátó (bank vagy más pénzintézet) pénzügyi kötelezettsége, lényegében hasonló a szokásos váltóhoz. Az elektronikus készpénzes fizetések ott jelennek meg, ahol kényelmetlenné válik más fizetési rendszerek használata. Jó példa erre a vásárló vonakodása attól, hogy információt adjon meg hitelkártyájáról, amikor az árukért az interneten fizet.
Miután eldöntöttük a terminológiát, továbbléphetünk beszélgetésünk következő szakaszára - beszéljünk az EPS osztályozásáról. Mivel az EPS elektronikus fizetést közvetít, az EPS felosztása ezen fizetések különböző típusaira épül.
Ezen túlmenően az EPS mechanizmus alapjául szolgáló szoftver és/vagy hardver technológia nagyon fontos szerepet játszik ebben a kérdésben.
1.2 Az elektronikus fizetési rendszerek osztályozása
Az elektronikus fizetési rendszereket mind az elektronikus fizetés sajátosságai, mind az elektronikus fizetési rendszer alapjául szolgáló technológia alapján lehet osztályozni.
Az EPS besorolása az elektronikus fizetés típusától függően:
1. A kifizetésben résztvevők összetétele szerint (1. táblázat).
Asztal 1
| Elektronikus fizetés típusa | Fizető felek | Analóg a hagyományos készpénzes elszámolási rendszerben | EPS példa |
| Bankok közötti fizetések | Pénzintézetek | nincsenek analógok | |
| B2B fizetések | Jogalanyok | Készpénz nélküli fizetés szervezetek között | |
| С2B fizetések | Az áruk és szolgáltatások végfelhasználói és jogi személyek – eladók | Készpénzes és nem készpénzes fizetések a vevőktől az eladók felé | Hitelpilóta |
| C2C fizetések | Magánszemélyek | Közvetlen készpénzes fizetés magánszemélyek között, postai és távirati átutalás |
A továbbiakban nem vesszük figyelembe azokat az elektronikus fizetési rendszereket, amelyek a „bank-bank” típusú elektronikus fizetések kiszolgálására szolgálnak. Az ilyen rendszerek rendkívül összetettek, nagyobb mértékben befolyásolják a bankrendszer működésének technológiai vonatkozásait, és nagy valószínűséggel olvasóink széles tömegeit nem érdeklik.
Emellett meg kell jegyezni, hogy van egy másik fizetési típus is, amely logikailag nem igazán fér bele az 1. táblázatba. Formai kritériumok szerint teljes mértékben a C2B területre esik, de ennek ellenére nem biztosítható az ilyen típusú elterjedt EPS-sel. A mikrofizetéseket rendkívül alacsony (centek vagy cent töredékek) áruk ára jellemzi. A legjellemzőbb mind közül népszerű cikkek A mikrofizetést megvalósító rendszerre példa a viccek árusítása (darabonként egy centért). Az olyan rendszerek, mint az Eaccess és a Phonepay, alkalmasak mikrofizetések végrehajtására.
2. Az elvégzett műveletek típusa szerint (2. táblázat).
2. táblázat
| Elektronikus fizetés típusa | Hol használják? | EPS példa |
| Bankszámlavezetési műveletek | "Client bank" rendszerek modemen, interneten, mobiltelefonon stb. | Az Ügyfélrendszer bankszámla-kezelésére vonatkozó műveletek |
| Pénzátutalási műveletek bankszámlanyitás nélkül | Pénzátutalási rendszerek számítógépes hálózatok, hasonlóan a postai és távirati átutalásokhoz | |
| Tranzakciók kártyás bankszámlákkal | Betéti és hitel plasztikkártyák | Cyberplat (Cyberpos) |
| Tranzakciók elektronikus csekkel és egyéb készpénz nélküli fizetési kötelezettségek | A vállalatközi fizetések zárt rendszerei | Cyberplat (Cybercheck) |
| Tranzakciók elektronikus (kvázi) készpénzzel | Fizikai számítások személyek, a tokenek elektronikus analógjai és az áruk fizetéséhez pénzhelyettesítőként használt előre fizetett kártyák |
Meg kell jegyezni, hogy az „ügyfél - bank” típusú rendszerek meglehetősen régóta ismertek. Bankszámlájához modemmel tud hozzáférni. Az elmúlt évtizedben új lehetőségek jelentek meg fiókjának interneten keresztüli kezelésére, egy felhasználóbarát webes felületen keresztül. Ez a szolgáltatás az „Internet banking” nevet kapta, és semmi alapvetően újat nem vezetett be az „ügyfél-bank” típusú fizetési rendszerekbe. Emellett további lehetőségek is vannak a bankszámla elérésére, például mobiltelefon használatával (WAP banking, SMS banking). E tekintetben ebben a cikkben nem foglalkozunk kifejezetten az ilyen típusú EPS-ekkel, csak azt jegyezzük meg, hogy jelenleg Oroszországban mintegy 100 kereskedelmi bank nyújt internetes banki szolgáltatásokat, több mint 10 különböző EPS használatával.
Az EPS osztályozása az alkalmazott technológiától függően:
Az EPS egyik legfontosabb tulajdonsága a betörésekkel szembeni ellenállás. Talán ez a legtöbbet vitatott jellemzője az ilyen rendszereknek. A 3. táblázatból látható, hogy a rendszerbiztonsági probléma megoldása során az elektronikus biztonsági rendszer kiépítésének legtöbb megközelítése egy bizonyos központi adatbázis titkosításán alapul, amely kritikus információkat tartalmaz. Ugyanakkor néhányan hozzátesznek ehhez titkos bázis Ezek a további védelmi szintek a hardver tartósságán alapulnak.
Elvileg vannak más technológiák is, amelyek alapján EPS-t lehet építeni. Nem sokkal ezelőtt például egy plasztikkártyába épített CDR lemezekre épülő EPS kifejlesztéséről jelent meg a médiában. azonban hasonló rendszerek nem használják széles körben a világgyakorlatban, ezért nem fogunk rájuk összpontosítani.
3. táblázat
| Technológia | Mire épül a rendszer stabilitása? | EPS példa |
| Központi szerver kliens bankkal rendelkező rendszerek, pénzátutalással | A hozzáférési kulcsok titkossága | Telebank (Guta-bank), "Internet Szolgáltató Bank" (Avtobank) |
| Intelligens kártyák | Az intelligens kártyák hardveres ellenállása a hackeléssel szemben | Mondex, ACCORD |
| Mágneskártyák és virtuális hitelkártyák | Segíts, Elit |
|
| Kaparós sorsjegy | Az adatbázis titkossága kaparós sorsjegyek számokkal és kódokkal | E-port, Creditpilot, Webmoney, Paycash, Rapira |
| Fájl/pénztárca program formájában a felhasználó számítógépén | Az információcsere protokoll kriptográfiai erőssége | |
| Fizetett telefonhívás | A központi adatbázis titkossága pin kódokkal és az intelligens telefonhálózat hardveres stabilitása | Hozzáférés, Phonepay |
1.3 Az Oroszországban használt főbb elektronikus fizetési rendszerek elemzése
Jelenleg meglehetősen sok elektronikus fizetési rendszert használnak az orosz interneten, bár nem mindegyiket használják széles körben. Jellemző, hogy szinte minden, a RuNeten használt nyugati fizetési rendszer hitelkártyához van kötve. Néhányan közülük, például a PayPal, hivatalosan megtagadják az oroszországi ügyfelekkel való együttműködést. Manapság a legszélesebb körben használt rendszerek a következők:
A CyberPlat vegyes típusú rendszerekre utal (a fenti besorolások bármelyike szempontjából). Valójában elmondhatjuk, hogy ezen a rendszeren belül három különálló gyűjtődik egy fedél alá: a klasszikus „kliens-bank” rendszer, amely lehetővé teszi az ügyfelek számára a rendszerben részt vevő bankoknál (11 orosz és 1 lett) nyitott számlák kezelését. ; CyberCheck rendszer, amely lehetővé teszi a biztonságos fizetést a rendszerhez csatlakozó jogi személyek között; és egy internetes elfogadó rendszer, azaz a hitelkártyáról elfogadott fizetések feldolgozására szolgáló rendszer - CyberPos. Az orosz piacon elérhető összes internetes elfogadó rendszer közül a CyberPlat biztosítja a legtöbb típusú hitelkártya feldolgozását, nevezetesen: Visa, Mastercard/Eurocard, American Express7, Diners Club, JCB, Union Card; bejelentette küszöbön álló csatlakozását az STB-kártya rendszer és az ACCORD kártya/Bashcard. Nem hivatalosan a cég alkalmazottai azt állították, hogy vizsgálják más orosz kártyarendszerekkel való interfész lehetőségét. A fentieken túlmenően a CyberPlat cég az E-port fizetési rendszer kaparós sorsjegyeinek feldolgozását biztosítja, és bejelentette a Paycash rendszerrel működő átjáró közelgő üzembe helyezését.
Jelenleg az ellopott hitelkártyás fizetések elleni védelem fokozása érdekében a cég speciális PalPay technológiát fejleszt, amelynek segítségével az eladó ellenőrizheti, hogy a vevő valóban hozzáfér-e a hitelkártyához tartozó bankszámlához, vagy csak annak adatait ismeri. Ennek a technológiának az üzembe helyezését hivatalosan még nem jelentették be.
A CyberCheck rendszer nagy érdeklődésre tart számot a vállalati partnerekkel való munka megszervezésében. Legfőbb jellemzője (a hitelkártyás fizetés elfogadásához képest) az, hogy a fizető fél nem tudja utólag megtagadni a fizetést. Más szóval, a fizetési visszaigazolás fogadása a CyberChecktől ugyanolyan megbízható, mint attól a banktól, ahol a kereskedő számlája található. Mindezek a jellemzők a CyberPlatot talán a legfejlettebb és legérdekesebb EPS-eladókká teszik az orosz interneten.
Az Assist rendszer a hitelkártyás fizetések feldolgozását illetően sok tekintetben a CyberPlat funkcionális analógja. Moszkvában érdekeit az Alfa Bank képviseli. Összesen 5 bank csatlakozik a rendszerhez. Az internetes elfogadó alrendszer lehetővé teszi Visa, Mastercard/Eurocard, STB-kártya fizetések elfogadását. Szeptembertől az Assist rendszer szerverén bejelentett egyéb kártyarendszerekből ténylegesen nem fogadtak be fizetéseket. Nem hivatalos információk szerint azonban a közeljövőben lehetőség lesz Diners Club kártyák, Cirrus Maestro és Visa Electron betéti kártyák elfogadására. Érdekes módon az ilyen típusú kártyákat az elfogadó cégek általában nem fogadják el, de alacsony költsége miatt ezek a kártyák nagyon elterjedtek. A betéti kártyák elfogadásának megtagadását általában biztonsági megfontolások motiválják. Talán az ASSIST képes lesz megkerülni ezt a problémát a SET protokoll használatával, amelynek támogatását a napokban jelentette be a cég. Ellentétben a hagyományos internetes plasztikkártyás fizetési móddal, amely lehetővé teszi a kártyatulajdonos számára, hogy megtagadja az abból végrehajtott fizetést (charge-back), a SET protokoll garantálja a tranzakció hitelességét, jelentősen csökkentve ezzel az eladó kockázatát.
Az Assist honlapján meghirdetett internetszolgáltatótól vásárolt elektronikus tanúsítványokkal történő elszámolási mód meglehetősen érdekes, hiszen új üzletágakat nyit meg a szolgáltatók előtt, azonban a rendelkezésre álló információk szerint jogi nehézségek miatt egészen a közelmúltig nem. valójában bárki is használta. Ez a helyzet azonban ismét nem hivatalos információk szerint hamarosan megváltozik - már 2001 őszén láthatjuk ennek a számítási módnak az első gyakorlati megvalósítását.
A leírásokban említett CyberPlat és Assist kártyarendszereken kívül vannak olyanok is, amelyek némi népszerűségre tettek szert a piacon. A Discover/NOVUS széles körben elterjedt Észak-Amerikában, és érdekes lehet azoknak az elektronikus boltoknak, amelyek a nyugati közönséget szolgálják ki. Nem tudunk olyan hazai akvizíciós társaságról, amely ennek a rendszernek a kártyáit feldolgozná, de számos javaslat érkezett a nyugati elfogadók érdekeit képviselő közvetítőktől. Az orosz kártyarendszerek közül az STB és Union Card után a piacon a legszembetűnőbbek a Zolotaya Korona, a Sbercard (Sberbank), az Universal Card és az ICB-card (Promstroybank), valamint a már említett ACCORD kártya/Bashcard . Az "ICB-kártyát" néhány kisebb elfogadó cég dolgozza fel, a Zolotaya Korona és Sbercard kártyákról állítólag közvetlenül a kibocsátók és/vagy kapcsolódó cégek az interneten keresztüli fizetések elfogadását, az Univerzális Kártya esetében pedig igen. úgy tűnik, hogy senki sem biztosítja.
A Paycash-t és a Webmoney-t fejlesztőik elektronikus készpénz-rendszerként pozícionálják, de közelebbről megvizsgálva csak a Paycash tarthat igényt erre a státuszra.
A Paycash fejlesztését a Tavrichesky Bank kezdeményezte, de jelenleg más bankok is kapcsolódnak a rendszerhez, például a Guta Bank.
Technológiai szempontból a Paycash a készpénzes fizetés szinte teljes utánzatát biztosítja. Az egyik elektronikus pénztárcából (az ügyfél által a számítógépére telepített speciális program) pénzt lehet átutalni egy másikba, miközben biztosítják a fizetés anonimitását a bankkal szemben. A rendszer meglehetősen elterjedt Oroszországban, és jelenleg kísérleteket tesz a világpiacra való belépésre.
A Paycash szűk keresztmetszete a pénz elektronikus pénztárcába történő átutalásának eljárása. Egészen a közelmúltig az egyetlen módja ehhez el kellett menni egy bankfiókba és át kell utalni a pénzt a rendszerszámlára. Igaz, voltak alternatívák - a Guta Bank Telebank rendszer felhasználóinak lehetősége volt otthonról távozás nélkül átutalni a Guta Bank számlájáról, de bizonyos esetekben nyilvánvalóan egyszerűbb volt közvetlenül az eladó számlájára utalni - elektronikus áruház a Paycash közvetítő használata nélkül. Western Unionon vagy postai/banki utalással is lehetett pénzt utalni, de ennek az útvonalnak a vonzerejét korlátozta a magas díjak. Szentpétervár lakosai számára nagyon egzotikus lehetőség kínálkozik - pénzért futárt hívni otthonába. Csodálatos, de sajnos nem mindannyian élünk az északi fővárosban.
Továbbra sem lehet hitelkártyáról pénzt utalni a Paycash-re. Ennek oka, hogy a kártyarendszerek működtetését támogató cégek ügyfeleik számára biztosítják az úgynevezett „visszaterhelés” – a „visszamenőleges” fizetés megtagadásának – lehetőségét. A „visszaterhelés” egy olyan mechanizmus, amely megvédi a hitelkártya tulajdonosát a csalóktól, akik felhasználhatják annak adatait. Ilyen visszautasítás esetén az eladót terheli annak bizonyítása, hogy az árut ténylegesen a valódi kártyabirtokoshoz szállították, és a fizetést meg kell tenni. De a Paycash esetében ez a fajta bizonyítás alapvetően lehetetlen – egészen nyilvánvaló okokból. Ezt a problémát hivatott megoldani a fent említett, fejlesztés alatt álló CyberPlat-os átjáró is.
Addig is, hogy ezt kicsomagolja palacknyak a rendszerben a PayCash két meglehetősen ésszerű lépést tett – előre fizetett kaparós sorsjegyeket bocsátott ki, és a Contact átutalási rendszerén keresztül biztosította a fizetési elfogadást, amelynek díjai lényegesen alacsonyabbak a postai díjaknál (2,2% versus 8%).
A Webmoney rendszer az egyik „úttörő” az oroszországi elektronikus fizetési piacon. Jelenleg nemzetközi jellegű. Egyes információk szerint a Webmoneynak nemcsak a volt Szovjetunió köztársaságaiban vannak képviselői, hanem külföldi országokban is. A rendszerirányító a „VM Center” autonóm non-profit szervezet.
A Webmoney működési módja nagyon hasonlít az elektronikus készpénzzel való munkavégzéshez, csak egy gondos és aprólékos elemzés teszi lehetővé, hogy megbizonyosodjon arról, hogy a Webmoney valójában nem biztosítja a fizetések teljes anonimitását, vagyis nem rejti el azokat a tulajdonosok előtt. maguk a rendszer. A Webmoney gyakorlata azonban azt mutatta, hogy ez a tulajdonság meglehetősen előnyös, és bizonyos esetekben lehetővé teszi a csalás elleni küzdelmet. Sőt, külön fizetős szolgáltatásként a VM Center jogi személyek és magánszemélyek tanúsítását is kínálja, ami természetesen megfosztja őt a névtelenségtől a rendszer többi résztvevőjével szemben. Erre a lehetőségre elsősorban azoknak van szüksége, akik becsületes elektronikus boltot szeretnének szervezni, és a potenciális vásárlókat meg akarják győzni megbízhatóságukról. A Webmoney lehetővé teszi számlák megnyitását és pénzátutalásokat két pénznemben: rubelben és dollárban.
A rendszer eléréséhez az „elektronikus pénztárca” programot kell használni. A rendszer további funkciói a rövid üzenetek pénztárcából pénztárcába átvitele, valamint a pénztárcatulajdonosok közötti hiteltranzakciók. Véleményünk szerint azonban kevesen vállalják, hogy az interneten keresztül kölcsönadjanak névtelen személyeknek anélkül, hogy vissza nemfizetés esetén ne tudnák erőszakkal behajtani a kölcsönt.
A Paycash-től eltérően a Webmoney kezdetben lehetővé tette a normál készpénz átutalását a pénztárcába és a pénztárcák tartalmának kiváltását a fizetési megbízások banki kitöltésének fárasztó eljárása nélkül, de jogi szempontból meglehetősen furcsa módon. . Általánosságban elmondható, hogy a Webmoney jogi támogatása a szervezetekkel folytatott munkájában régóta sok panaszt okozott.
Ez volt az oka annak, hogy miközben a végfelhasználók aktívan telepítették maguknak a „pénztárcákat”, sok elektronikai áruház megtagadta ennek az EPS-nek a használatát. Igaz, jelenleg ez a helyzet valamelyest javult, és a Webmoney tulajdonosok aktív marketing pozíciója oda vezet, hogy a rendszer imázsa folyamatosan javul. Az egyik érdekes tulajdonságok Ez a marketingstratégia az volt, hogy szinte azonnal a piacra lépés után mindenki lehetőséget kapott arra, hogy pénzt keressen ebben a rendszerben (egyesek emlékezhetnek a „Nails” projektre és annak későbbi fejlesztésére - visiting.ru). Akárcsak a Paycash, a Webmoney is előre fizetett kaparós sorsjegyeket bocsát ki, amelyek célja a pénz befizetése a rendszerbe.
Két kaparós sorsjegyen alapuló rendszer: az E-port (Avtokard-holding) és a KreditPilot (Kreditpilot.com) olyan, mint az ikertestvérek. Mindkettő feltételezi, hogy a vevő először egy titkos kóddal ellátott kaparós sorsjegyet vásárol valahol egy széles terjesztési hálózaton, vagy futárral rendeli meg otthon, majd elkezd online fizetni ezzel a kóddal azokban az üzletekben, amelyek elfogadják az ezekből a rendszerekből történő fizetést. Az E-port emellett lehetőséget kínál „virtuális” kaparós sorsjegyek létrehozására oly módon, hogy pénzt utalunk a cég számlájára bankon vagy a „Webmoney” rendszeren keresztül.
A 2001 szeptemberében működő Rapida rendszer az előző kettőhöz hasonlóan lehetőséget nyújt a felhasználó számlájára kaparós sorsjegyekkel vagy a rendszerben részt vevő banknál történő fizetéssel. Ezenkívül lehetőség van az „Ügyfél-Bank” módban történő munkavégzésre, valamint a rendszerben részt nem vevő jogi személyek számláira, valamint magánszemélyek bankszámlanyitása nélkül történő átutalására. A rendszerhez való hozzáférés nem csak az interneten keresztül történik, hanem telefonon is, tone tárcsázással. Általában véve a rendszer technológiailag fejlettnek és nagyon érdekesnek tűnik, de egyelőre nem telt el annyi idő az üzembe helyezés óta, hogy beszélni lehessen a kilátásokról.
Az EPS-ek, amelyek a távolsági hívásokhoz hasonlóan fizetést tesznek lehetővé (utóbb a telefontársaság számlája alapján), először az Egyesült Államokban jelentek meg, és a pornográf forrásokhoz való hozzáférést hivatott fizetni. Az ilyen rendszerek sok tulajdonosának szisztematikus csaló tevékenysége miatt azonban nem nyertek népszerűséget a vásárlók körében, és az eladók sem voltak különösebben elégedettek velük, mivel ezek a rendszerek jelentősen késleltették a fizetést.
Egy hasonló koncepció két hazai megvalósítása - a Phonepay és az Eaccess - útjuk legelején jár. Mindkét rendszer feltételezi, hogy a fizetéshez az ügyfélnek fel kell hívnia egy bizonyos távolsági számot a 8-809-es kóddal (amelyet nyilván az MTU-inform cég ad meg), ami után néhány kulcsfontosságú információ megjelenik. Az Eaccess esetében ez egy fizetős információforrás eléréséhez használt pin kód, a Phonepay esetében pedig egy univerzális „digitális érme”, amely az öt egyikének 12 számjegyéből áll. a rendszerbe kemény kódolású megnevezések A rendszerek honlapjait nézve megállapítható, hogy az e-access még mindig fokozatosan fejlődik, növeli a rendszerhez csatlakozó üzletek számát, de a Phonepay egyetlen olyan üzletet sem kapcsolt be, amelyhez nem tartozik a fejlesztőknek a rendszeréhez.
Véleményem szerint Oroszországban az ilyen rendszereknek nagyon határozott kilátásai vannak a végfelhasználó általi könnyű hozzáférést illetően, azonban alkalmazásuk az értékesítésre korlátozódik. információs források. A fizetések beérkezésének hosszú késése (a rendszer legkorábban az üzletbe utalja azokat, amikor a vevő kifizeti a telefonszámlát) meglehetősen veszteséges tevékenységgé teszi az anyagi eszközökkel való kereskedést ezen EPS használatával.
Végül meg kell említeni az elektronikus átutalási rendszerek egy másik típusát is: az egyének közötti speciális átutalási rendszereket, amelyek versenyeznek a hagyományos postai és távirati átutalásokkal. Ezt a rést először olyan külföldi rendszerek foglalták el, mint a Western Union és a Money Gram. A hagyományos átutalásokhoz képest nagyobb sebességet és megbízhatóságot biztosítanak a fizetéshez. Ugyanakkor számos jelentős hátrányuk van, amelyek közül a legfontosabb szolgáltatásaik magas költsége, amely eléri az átutalás összegének 10%-át. További probléma, hogy ezeket a rendszereket nem lehet legálisan felhasználni az árukért történő fizetés szisztematikus elfogadására. Azonban azok számára, akik egyszerűen csak pénzt szeretnének küldeni a családnak és a barátoknak, érdemes figyelmüket ezekre a rendszerekre, valamint hazai analógok(Anelik és Kapcsolat). Egyelőre sem a Paycash, sem a Webmoney nem tudja felvenni a versenyt velük, hiszen Ausztráliában vagy Németországban nem lehet készpénzt kapni elektronikus pénztárcából kihúzva. A Rapida EPS igényt tart erre a lehetőségre, de egyelőre nincsenek részletek a honlapon, és a rendszer irodáinak földrajzi elhelyezkedése sem hasonlítható össze a piacon már elérhető rendszerekkel.
Az elektronikus üzletek tulajdonosainak nyilvánvalóan mindenekelőtt a hitelkártyákról és az elektronikus készpénzes rendszerekről - Webmoney és Paycash - történő pénz elfogadásán kell gondolkodniuk. A fogyasztói jellemzők összessége alapján véleményünk szerint az orosz piacon elérhető hitelkártyás fizetések elfogadására szolgáló rendszerek egyike sem versenyezhet a CyberPlattal. Minden más rendszer opcionálisan használható, különösen, ha eszébe jut, hogy ugyanazt az E-portot nem kell külön telepíteni, mivel a kártyáit a CyberPlat szervizeli.
2. ELEKTRONIKUS FIZETÉSI RENDSZEREK VÉDELME
2.1 Az elektronikus fizetési rendszerek használatával kapcsolatos veszélyek
Mérlegeljük lehetséges fenyegetéseket a támadó pusztító tevékenysége ezzel a rendszerrel kapcsolatban. Ehhez nézzük meg a támadók támadásainak fő célpontjait. A támadók fő célpontja a pénzügyi eszközök, vagy inkább azok elektronikus helyettesítői (helyettesítői) - a fizetési rendszerben keringő fizetési megbízások. Ezekkel az eszközökkel kapcsolatban a támadó a következő célokat követheti:
1. Pénzügyi eszközök ellopása.
2. Hamis pénzügyi eszközök bevezetése (a rendszer pénzügyi egyensúlyának megsértése).
3. Rendszerhiba ( technikai fenyegetés).
A támadás meghatározott objektumai és célpontjai absztrakt jellegűek, és nem teszik lehetővé az információ védelméhez szükséges intézkedések elemzését és kidolgozását, ezért a 4. táblázat a támadó pusztító hatásainak tárgyait és célpontjait tartalmazza.
4. táblázat A támadó lehetséges pusztító akcióinak modellje
| Befolyás tárgya | A befolyásolás célja | A hatás megvalósításának lehetséges mechanizmusai. |
| HTML oldalak a bank webszerverén | Helyettesítés az ügyfél által a fizetési megbízásba bevitt információk megszerzése céljából. | A szerver elleni támadás és az oldalak helyettesítése a szerveren. Oldalak helyettesítése a forgalomban. Támadás az ügyfél számítógépe ellen és az ügyfél oldalainak helyettesítése |
| Ügyfélinformációs oldalak a szerveren | Információszerzés az ügyfél(ek) fizetéséről | Támadás a szerveren. Közlekedési támadás. Támadás az ügyfél számítógépe ellen. |
| Fizetési megbízás adatai, amelyeket az ügyfél az űrlapon megadott | Az ügyfél által a fizetési megbízásba bevitt adatok átvétele. | Támadás az ügyfél számítógépe ellen (vírusok stb.). Támadás ezekkel az utasításokkal szemben, amikor a forgalmat továbbítják. Támadás a szerveren. |
| Az ügyfél számítógépén található, az elektronikus fizetési rendszerhez nem kapcsolódó privát ügyféladatok | Bizalmas ügyféladatok megszerzése. Ügyféladatok módosítása. Az ügyfél számítógépének letiltása. | Az egész komplexum ismert támadások az internethez csatlakoztatott számítógéphez. További támadások, amelyek a fizetési rendszer mechanizmusainak használatából erednek. |
| Információ a bank feldolgozó központjától. | A feldolgozóközpont információinak nyilvánosságra hozatala és módosítása és helyi hálózat befőttes üveg. | Támadás az internethez csatlakozó helyi hálózaton. |
Ez a táblázat bemutatja azokat az alapvető követelményeket, amelyeknek minden internetes elektronikus fizetési rendszernek meg kell felelnie:
Először is, a rendszernek biztosítania kell a fizetési megbízás adatainak védelmét a jogosulatlan változtatásokkal és módosításokkal szemben.
Másodszor, a rendszer nem növelheti a támadó azon képességét, hogy támadásokat szervezzen az ügyfél számítógépe ellen.
Harmadszor, a rendszernek meg kell védenie a szerveren található adatokat a jogosulatlan olvasástól és módosítástól.
Negyedszer, a rendszernek biztosítania kell vagy támogatnia kell egy olyan rendszert, amely megvédi a bank helyi hálózatát a globális hálózat befolyásától.
A speciális elektronikus fizetési információvédelmi rendszerek fejlesztése során a ezt a modelltés a követelményeket további részletezésnek kell alávetni. Ilyen részletezés azonban nem szükséges az aktuális bemutatóhoz.
2.2 Technológiák az elektronikus fizetési rendszerek védelmére
A WWW fejlődését egy ideig hátráltatta, hogy a WWW alapját képező html oldalak statikus szövegek, azaz. segítségükkel nehéz megszervezni az interaktív információcserét a felhasználó és a szerver között. A fejlesztők számos módot javasoltak a HTML képességeinek ebbe az irányba való kiterjesztésére, amelyek közül sokat soha nem alkalmaztak széles körben. Az egyik legerősebb megoldás, amely az internet fejlődésében új szakaszt jelentett, a Sun javaslata volt, hogy Java kisalkalmazásokat használjanak interaktív komponensként a HTML oldalakhoz.
A Java kisalkalmazás olyan program, amely Java programozási nyelven íródott, és speciális bájtkódokba van összeállítva, amelyek valamilyen virtuális számítógép - egy Java gép - kódjai, és különböznek az Intel család processzorainak kódjaitól. A kisalkalmazásokat egy internetes szerver tárolja, és minden alkalommal letöltődik a felhasználó számítógépére, amikor olyan HTML-oldalt ér el, amely az adott kisalkalmazás hívását tartalmazza.
A kisalkalmazáskód végrehajtásához egy szabványos böngésző tartalmaz egy Java-motort, amely a bájtkódokat gépi utasításokká értelmezi egy Intel processzorcsaládon (vagy egy másik processzorcsaládon). A Java kisalkalmazástechnológiában rejlő képességek egyrészt lehetővé teszik az erőteljes fejlesztést felhasználói felületek, megszervezik a hozzáférést bármely hálózati erőforráshoz URL-en keresztül, könnyen használhatják a TCP/IP, FTP stb. protokollokat, másrészt azonban lehetetlenné teszik a számítógépes erőforrások közvetlen elérését. Például a kisalkalmazások nem férnek hozzá fájlrendszer számítógép és a csatlakoztatott eszközök.
Hasonló megoldás a WWW képességeinek bővítésére a Microsoft technológiája – az Active X. A technológia és a Java közötti legjelentősebb különbség az, hogy az összetevők (kisalkalmazások analógjai) kódban lévő programok. Intel processzorés az a tény, hogy ezek az összetevők hozzáférnek az összes számítógépes erőforráshoz, valamint a Windows interfészekhez és szolgáltatásokhoz.
Egy másik kevésbé elterjedt megközelítés a WWW képességeinek bővítésére a Netscape Plug-in for Netscape Navigator technológiája. Ez a technológia tűnik a legoptimálisabb alapnak az internetes elektronikus fizetések információbiztonsági rendszereinek kiépítéséhez. További megbeszélésekhez nézzük meg, hogyan oldja meg ez a technológia a webszerver-információk védelmének problémáját.
Tegyük fel, hogy van valamilyen webszerver és a rendszergazda ennek a szervernek korlátozni kell a hozzáférést a szerver információs tömbjének valamely részéhez, pl. úgy kell megszervezni, hogy egyes felhasználók hozzáférjenek bizonyos információkhoz, mások viszont nem.
Jelenleg számos megközelítést javasolnak a probléma megoldására, különösen sok OS, amely alatt az internetes szerverek működnek, jelszó szükséges egyes területeik eléréséhez, pl. hitelesítést igényelnek. Ennek a megközelítésnek két jelentős hátránya van: egyrészt az adatok magán a szerveren tárolódnak tiszta szövegben, másrészt az adatok a hálózaton keresztül is szöveges formában kerülnek továbbításra. Így egy támadónak lehetősége van két támadást szervezni: magát a szervert (jelszó kitalálása, jelszó megkerülése stb.) és a forgalom elleni támadást. Az ilyen támadások tényei széles körben ismertek az internetes közösség számára.
Az információbiztonság problémájának másik jól ismert megoldása az SSL (Secure Sockets Layer) technológián alapuló megközelítés. Az SSL használatakor biztonságos kommunikációs csatorna jön létre a kliens és a szerver között, amelyen keresztül adatátvitel történik, pl. Az adatok hálózaton keresztüli tiszta szöveges továbbításának problémája viszonylag megoldottnak tekinthető. Az SSL-lel kapcsolatos fő probléma a kulcsrendszer felépítése és annak ellenőrzése. Ami az adatok tiszta formában történő tárolásának problémáját illeti, az továbbra is megoldatlan.
A fent ismertetett megközelítések másik fontos hátránya, hogy mind a szerver, mind a hálózati kliens szoftver támogatására van szükség, ami nem mindig lehetséges vagy kényelmes. Különösen tömeges és szervezetlen ügyfeleket célzó rendszerekben.
A szerző által javasolt megközelítés maguknak a html oldalaknak a védelmén alapul, amelyek az internet fő információhordozói. A védelem lényege, hogy a HTML oldalakat tartalmazó fájlok titkosított formában kerülnek tárolásra a szerveren. Ebben az esetben a kulcsot, amellyel titkosítják, csak a titkosító személy (az adminisztrátor) és az ügyfelek ismerik (általában a kulcsrendszer felépítésének problémája ugyanúgy megoldódik, mint az átlátszó fájl esetében Titkosítás).
Az ügyfelek biztonságos információkhoz férhetnek hozzá a Netscape Plug-in for Netscape technológiájával. Ezek a modulok pontosabban programok szoftver komponensek, amelyek a MIME szabványban bizonyos fájltípusokhoz vannak társítva. A MIME egy nemzetközi szabvány, amely meghatározza a fájlformátumokat az interneten. Például a következő fájltípusok léteznek: text/html, text/plane, image/jpg, image/bmp stb. Ezenkívül a szabvány meghatározza a beállítási mechanizmust egyedi típusok független fejlesztők által definiálható és használható fájlok.
Tehát olyan beépülő modulokat használnak, amelyek meghatározott MIME-fájltípusokhoz vannak társítva. A kapcsolat az, hogy amikor a felhasználó hozzáfér a megfelelő típusú fájlokhoz, a böngésző elindítja a hozzá tartozó beépülő modult, és ez a modul elvégzi az összes műveletet, hogy megjelenítse a fájl adatait, és feldolgozza a felhasználó műveleteit ezekkel a fájlokkal.
A legismertebb beépülő modulok közé tartoznak azok a modulok, amelyek avi formátumban játszanak le videókat. Ezen fájlok megtekintése nem tartozik a böngészők szabványos lehetőségei közé, de a megfelelő Plug-in telepítésével könnyedén megtekintheti ezeket a fájlokat a böngészőben.
Továbbá az összes titkosított fájl MIME típusú fájlként van meghatározva a megállapított nemzetközi szabványnak megfelelően. "alkalmazás/x-shp". Ezután Netscape technológia és protokollok segítségével egy beépülő modult fejlesztenek ki, amely a fájltípushoz társítható. Ez a modul két funkciót lát el: egyrészt jelszót és felhasználói azonosítót kér, másrészt elvégzi a titkosítás visszafejtését és a fájl böngészőablakba való kiadását. Ez a modul a Netscape által meghatározott szabványos sorrendnek megfelelően kerül telepítésre az összes kliens számítógép böngészőjére.
Ezen a ponton a munka előkészítő szakasza befejeződött, és a rendszer üzemkész. Működés közben az ügyfelek szabványos címük (URL) használatával férnek hozzá a titkosított HTML-oldalakhoz. A böngésző meghatározza ezeknek az oldalaknak a típusát, és automatikusan elindítja az általunk kifejlesztett modult, átadva neki a titkosított fájl tartalmát. A modul hitelesíti a klienst, és sikeres befejezés esetén dekódolja és megjeleníti az oldal tartalmát.
A teljes eljárás végrehajtásakor az ügyfél az oldalak „átlátszó” titkosításának érzését kapja, mivel a rendszer fent leírt összes munkája rejtve van a szeme elől. Ugyanakkor a html oldalakban rejlő összes szabványos funkció megmarad, mint például a képek, Java kisalkalmazások, CGI szkriptek használata.
Könnyen belátható, hogy ez a megközelítés számos információbiztonsági problémát megold, mert nyílt formában csak a kliensek számítógépein található, az adatok továbbítása a hálózaton keresztül titkosított formában történik. Az információszerzés célját követõ támadó csak egy meghatározott felhasználó ellen tud támadást végrehajtani, és ez ellen egyetlen szerver információbiztonsági rendszer sem tud védekezni.
Jelenleg a szerző két információbiztonsági rendszert fejlesztett ki a javasolt megközelítés alapján a Netscape Navigator (3.x) böngészőhöz és a Netscape Communicator 4.x-hez. Alatt előteszt Megállapítást nyert, hogy a kifejlesztett rendszerek a MExplorer irányítása alatt normálisan működnek, de nem minden esetben.
Fontos megjegyezni, hogy a rendszerek ezen verziói nem titkosítják a HTML-oldalhoz társított objektumokat: képeket, szkriptkisalkalmazásokat stb.
Az 1. rendszer egyetlen objektumként kínálja a tényleges html-oldalak védelmét (titkosítását). Létrehoz egy oldalt, majd titkosítja és átmásolja a szerverre. Egy titkosított oldal elérésekor az automatikusan visszafejtésre kerül, és egy speciális ablakban jelenik meg. A biztonsági rendszer támogatása nem szükséges a szerverszoftvertől. Minden titkosítási és visszafejtési munka a kliens munkaállomásán történik. Ez a rendszer univerzális, azaz. nem függ az oldal szerkezetétől és céljától.
A 2. rendszer más megközelítést kínál a védelemhez. Ez a rendszer biztosítja, hogy az oldal bizonyos részein védett információk jelenjenek meg. Az információ titkosított fájlban (nem feltétlenül html formátumban) található a szerveren. Amikor felkeresi az oldalt, a biztonsági rendszer automatikusan hozzáfér ehhez a fájlhoz, beolvassa az adatokat, és megjeleníti az oldal egy bizonyos területén. Ez a megközelítés lehetővé teszi a maximális hatékonyság és esztétikai szépség elérését minimális sokoldalúsággal. Azok. kiderül, hogy a rendszer egy meghatározott célra orientált.
Ez a megközelítés az elektronikus fizetési rendszerek internetes építésekor is alkalmazható. Ebben az esetben a webszerver egy bizonyos oldalának elérésekor elindul a Plug-in modul, amely megjeleníti a fizetési megbízási űrlapot a felhasználó számára. A kliens kitöltése után a modul titkosítja a fizetési adatokat és elküldi a szervernek. Ugyanakkor kérhet elektronikus aláírást a felhasználótól. Ezenkívül a titkosítási és aláírási kulcsok bármilyen adathordozóról leolvashatók: hajlékonylemezről, elektronikus táblagépről, intelligens kártyáról stb.
2.3 Az elektronikus fizetési rendszerek alapvető követelményeinek való megfelelést szolgáló technológiák elemzése
Fentebb három technológiát ismertettünk, amelyek segítségével fizetési rendszereket építhetünk az interneten keresztül: ez egy Java kisalkalmazásokon, Active-X komponenseken és beépülő modulokon alapuló technológia. Nevezzük őket J, AX és P technológiáknak.
Fontolja meg azt a követelményt, hogy a támadó számítógépet támadó képességét nem szabad növelni. Ehhez elemezzük a támadások egyik lehetséges típusát - a megfelelő ügyfélvédelmi modulok támadó általi helyettesítését. J technológia esetén kisalkalmazások, AX esetében merülő komponensek, P esetében plug-in modulok. Nyilvánvaló, hogy a támadónak lehetősége van közvetlenül az ügyfél számítógépén cserélni a védelmi modulokat. A támadás végrehajtásának mechanizmusai túlmutatnak ezen elemzés keretein, azonban meg kell jegyezni, hogy a támadás végrehajtása nem függ a szóban forgó védelmi technológiától. Az egyes technológiák biztonsági szintje pedig azonos, pl. mind egyformán instabilok ehhez a támadáshoz.
A J és AX technológiák legsérülékenyebb pontja a helyettesítés szempontjából az internetről való letöltésük. Ebben a pillanatban a támadó végrehajthat cserét. Sőt, ha a támadónak sikerül kicserélnie ezeket a modulokat a bank szerverén, akkor hozzáférhet az interneten keringő összes fizetési rendszer információhoz.
A P technológia esetében nem áll fenn a helyettesítés veszélye, mivel a modult nem töltik le a hálózatról - állandóan a kliens számítógépén tárolják.
A helyettesítés következményei eltérőek: J-technológia esetén a támadó csak a kliens által bevitt információkat lophatja el (ami komoly veszélyt jelent), Active-X és Plug-in esetén pedig a támadó minden olyan információt megszerezni, amelyhez a számítógépen futó ügyfél hozzáfér.
Jelenleg a szerző nem ismer konkrét módszereket a Java kisalkalmazások hamisítási támadásainak megvalósítására. Nyilvánvalóan ezek a támadások rosszul fejlődnek, mivel gyakorlatilag hiányoznak az információlopási lehetőségek. De az Active-X összetevők elleni támadások széles körben elterjedtek és jól ismertek.
Tekintsük az elektronikus fizetési rendszerben az interneten keresztül keringő információk védelmének követelményét. Nyilvánvaló, hogy ebben az esetben a J technológia egy nagyon lényeges kérdésben alulmúlja a P-t és az AX-et is. Minden információbiztonsági mechanizmus titkosításon vagy elektronikus aláíráson alapul, és minden megfelelő algoritmus olyan kriptográfiai átalakításokon alapul, amelyek kulcselemek bevezetését igénylik. Jelenleg a kulcselemek hossza 32-128 bájt nagyságrendű, így szinte lehetetlen megkövetelni a felhasználótól a billentyűzetről történő bevitelt. Felmerül a kérdés: hogyan lehet bejutni hozzájuk? Mivel a P és AX technológiák hozzáférnek a számítógépes erőforrásokhoz, a probléma megoldása kézenfekvő és jól ismert – a kulcsok beolvasása helyi fájlokból, hajlékonylemezekről, táblagépekről vagy intelligens kártyákról történik. A J technológia esetében azonban az ilyen bevitel lehetetlen, ami azt jelenti, hogy vagy meg kell követelnie az ügyféltől, hogy adjon meg értelmetlen információk hosszú sorozatát, vagy a kulcselemek hosszának csökkentésével csökkenteni kell a kriptográfiai transzformációk erősségét, és ezáltal csökkenteni. a biztonsági mechanizmusok megbízhatósága. Ráadásul ez a csökkenés nagyon jelentős.
Tekintsük azt a követelményt, hogy az elektronikus fizetési rendszernek meg kell szerveznie a szerveren található adatok védelmét az illetéktelen beolvasástól és módosítástól. Ez a követelmény abból a tényből fakad, hogy a rendszer magában foglalja a felhasználónak szánt bizalmas információk elhelyezését a szerveren. Például a neki küldött fizetési megbízások listája a feldolgozás eredményéről szóló megjegyzéssel.
A P technológia esetében ezek az információk HTML oldalak formájában jelennek meg, amelyek titkosítva kerülnek a szerverre. Minden művelet a fent leírt algoritmus szerint történik (HTML oldalak titkosítása).
A J és AX technológiák esetében ezek az információk valamilyen strukturált formában elhelyezhetők egy fájlban a szerveren, és a komponenseknek vagy kisalkalmazásoknak kell végrehajtaniuk az adatok beolvasásának és megjelenítésének műveleteit. Mindez általában a kisalkalmazások és komponensek teljes méretének növekedéséhez, következésképpen a megfelelő oldalak betöltési sebességének csökkenéséhez vezet.
E követelmény szempontjából a P technológia nyer a nagyobb gyárthatósága miatt, i.e. alacsonyabb fejlesztési többletköltség és nagyobb ellenállás az alkatrészek cseréjével szemben, amikor áthaladnak a hálózaton.
Ami a banki helyi hálózat védelmére vonatkozó utolsó követelményt illeti, az egy tűzfalrendszer (tűzfalak) megfelelő felépítésével teljesül, és nem függ a kérdéses technológiáktól.
Így a fentiek előzetesen történtek összehasonlító elemzés J, AX és P technológiát, amiből az következik, hogy a J technológiát akkor kell alkalmazni, ha az ügyfél számítógépe biztonsági fokának fenntartása lényegesen fontosabb, mint az elektronikus fizetési rendszerekben alkalmazott kriptográfiai transzformációk erőssége.
A Technology P tűnik a legoptimálisabb technológiai megoldásnak a fizetési információs biztonsági rendszerek mögött, mivel egyesíti a teljesítményt szabványos alkalmazás Win32 és védelem az internetes támadások ellen. Az ezt a technológiát használó projektek gyakorlati és kereskedelmi megvalósítását például az orosz pénzügyi kommunikációs cég végzi.
Ami az AX technológiát illeti, úgy tűnik, hogy használata nem hatékony és instabil a behatolók támadásaival szemben.
KÖVETKEZTETÉS
Az elektronikus pénz egyre nyilvánvalóbban kezd mindennapi valóságunkká válni, amit legalábbis figyelembe kell venni. Persze a hétköznapi pénzt senki sem fogja eltörölni a következő ötven évben (valószínűleg). Az elektronikus pénz kezelésének hiánya és az azzal járó lehetőségek kihagyása azonban azt jelenti, hogy önként „vasfüggönyt” kell felhúzni maga köré, amit az elmúlt tizenöt évben oly nehezen mozgattak meg. Sok nagy cég kínál szolgáltatásaiért és áruiért elektronikus fizetéssel történő fizetést. Ezzel sok időt takarít meg a fogyasztó.
Az ingyenes szoftver az elektronikus pénztárca kinyitásához és minden pénzes munkához maximálisan a tömegszámítógépekhez igazodik, és egy kis gyakorlás után nem okoz gondot az átlagfelhasználónak. A mi korunk a számítógépek, az internet és az e-kereskedelem ideje. Azok az emberek, akik ismerik ezeket a területeket és rendelkeznek a megfelelő eszközökkel, óriási sikereket érnek el. Az elektronikus pénz napról napra egyre szélesebb körben elterjedt pénz, amely egyre több lehetőséget nyit meg egy internet-hozzáféréssel rendelkező személy számára.
A számítási és grafikai munka célja az alábbi feladatok elvégzése és megoldása volt:
1. Meghatározza az elektronikus fizetési rendszerek fő feladatait és működési elveit, jellemzőit.
2. A főbb elektronikus fizetési rendszerek elemzése.
3. Az elektronikus pénz használatához kapcsolódó veszélyek elemzése.
4. Elemezzük az elektronikus fizetési rendszerek használata során alkalmazott védelmi eszközöket.
BIBLIOGRÁFIAI LISTÁJA
1. Antonov N.G., Pessel M.A. Pénzforgalom, hitel és bankok. -M.: Finstatinform, 2005, 179-185.
2. Bankállomány - 3. -M.: Somintek, 2005, 288-328.o.
3. Mihajlov D.M. Nemzetközi fizetések és garanciák. M.: FBK-PRESS, 2008, 20-66.
4. Polyakov V.P., Moskovkina L.A. A jegybankok felépítése és funkciói. Külföldi tapasztalat: Tankönyv. - M.: INFRA-M, 2006.
5. Gaikovich Yu.V., Pershin A.S. Elektronikus banki rendszerek biztonsága. - M: Egyesült Európa, 2004
6. Demin V.S. és mások Automatizált banki rendszerek. - M: Menatep-Inform, 2007
7. Krysin V.A. Üzleti biztonság. - M: Pénzügy és Statisztika, 2006
8. Linkov I.I. és mások Információs megosztások a kereskedelmi struktúrákban: hogyan lehet túlélni és sikeres lenni. - M: NIT, 2008
9. Titorenko G.A. és mások A banki tevékenységek számítógépesítése. - M: Finstatinform, 2007
10. Tushnolobov I.B., Urusov D.P., Yartsev V.I. Elosztott hálózatok. - Szentpétervár: Péter, 2008
12. Aglitsky I. Az orosz bankok információs támogatásának helyzete és kilátásai. - Banki technológiák, 2007 1. sz.
Korrepetálás
Segítségre van szüksége egy téma tanulmányozásához?
Szakértőink tanácsot adnak vagy oktatói szolgáltatásokat nyújtanak az Önt érdeklő témákban.
Nyújtsa be jelentkezését a téma megjelölésével, hogy tájékozódjon a konzultáció lehetőségéről.
3. Elektronikus fizetések védelme
A bankbiztonság problémája különösen akut a banki információk óta, egyrészt valódi pénzt képvisel, másrészt pedig számos banki ügyfél bizalmas érdekeit érinti.
Az e-kereskedelmi piac mérete 2000-ben
| A piac mérete és jellemzői | Becslés, dollár |
| Az összes internetes termékvásárlás teljes költsége | 4,5-6 milliárd |
| Az összes vásárlás összköltsége átlagos vásárlónként | 600-800 |
| Átlagos vásárlás költsége internetes tranzakciónként | 25-35 |
| Internetes vásárlási tranzakciók teljes mennyisége | 130-200 millió |
| Az online termékvásárlások aránya | 60-70% |
| A leszállított áruk vásárlásainak aránya | 30-40% |
Az elektronikus fizetési rendszerek működésének általános sémája
A rendszerrel szerződést kötött és a megfelelő engedélyt kapott bank két minőségben járhat el - e rendszer fizetési eszközeinek kibocsátójaként, amelyet az összes többi résztvevő bank elfogad fizetésre, valamint elfogadó bankként, amely olyan vállalkozásokat szolgál ki, e rendszer más kibocsátók által kibocsátott fizetési eszközeit fogadja el fizetésre, és fogadja el ezeket a fizetőeszközöket bankfiókjaiban történő készpénzfelvételre.
A fizetés elfogadásának folyamata meglehetősen egyszerű. Mindenekelőtt a vállalkozás pénztárosának kell ellenőriznie a kártya valódiságát a megfelelő jellemzőkkel.
Fizetéskor a cégnek másológép - imprinter segítségével speciális csekkbe kell utalnia az ügyfél kártyaadatait, a csekkbe be kell írnia a vásárlás vagy szolgáltatásnyújtás összegét, és be kell szereznie az ügyfél aláírását.
Az így kiállított csekket szelvénynek nevezzük. A tranzakciók biztonságos lebonyolítása érdekében a fizetési rendszer alacsonyabb összeghatárokat javasol a különböző régiók és üzlettípusok számára, amelyek esetében engedély nélkül lehet fizetni. A limit túllépése vagy az ügyfél személyazonosságának kétsége esetén a cég köteles engedélyezési eljárást lefolytatni.
Anélkül, hogy kitérnénk az eljárás technikai vonatkozásaira, felhívjuk a figyelmet arra, hogy az engedélyezés során a cég ténylegesen hozzájut az ügyfél számlájának állapotára vonatkozó információkhoz, és így lehetőséget kap a kártya ügyfél tulajdonjogának és fizetési képességének megállapítására. a tranzakció összegében. A bizonylat egy példánya a cégnél marad, a második az ügyfélnek kerül átadásra, a harmadik pedig az elfogadó bankhoz kerül, és ez szolgál alapul a fizetési összeg visszafizetéséhez az ügyfél számlájáról.
Az elmúlt években nagy népszerűségnek örvendenek a POS terminálok, amelyek használatával nem kell cédulákat kitölteni. A kártyaadatok a POS terminálba épített olvasón lévő mágnescsíkról olvashatók le, a tranzakció összegét a billentyűzetről írják be, és a terminál a beépített modemen keresztül kéri a jogosultságot a megfelelő fizetési rendszerhez. Ebben az esetben a feldolgozó központ technikai lehetőségeit veszik igénybe, amelynek szolgáltatásait a bank biztosítja a kereskedőnek. Ebben az esetben a cég az ügyfél aláírási mintájával és kötegelt fájlokkal ellátott pénztárgép szalag másolatával jelenti a banknak, amelyet a terminál a munkanap végén generál.
Az utóbbi években egyre több figyelem irányult rá mikroprocesszoros kártyákat használó banki rendszerek.
Kívülről ezek az adathordozók semmiben sem különböznek a hagyományos kártyáktól, kivéve a kártya belsejébe forrasztott memóriachipet vagy mikroprocesszort, valamint a felületén megjelenő érintkezőlemez szirmait.
Az alapvető különbség ezen kártyák és a fentiek között az, hogy közvetlenül tartalmaznak információkat az ügyfél számlaállapotáról, mivel maguk is tranzitszámlák. Nyilvánvaló, hogy az ilyen kártyák minden átvételi pontját fel kell szerelni egy speciális POS terminállal (chip olvasóval).
A kártya használatához az ügyfélnek fel kell töltenie azt számlájáról a banki terminálon. Minden tranzakció OFF-LINE módban történik a párbeszédkártya - terminál vagy ügyfélkártya - kereskedőkártya alatt.
Egy ilyen rendszer szinte teljesen biztonságos a chip magas fokú biztonsága és a teljes betéti fizetési séma miatt. Ráadásul, bár maga a kártya lényegesen drágább, mint egy hagyományos, a rendszer működés közben még olcsóbbnak bizonyul, mivel az OFF-LINE mód nem használja ki a távközlési terhelést.
Elektronikus fizetés műanyag bankkártyával különféle típusok meglehetősen rugalmas és univerzális elszámolási mechanizmust képviselnek a „Bank 1 – Ügyfél – Vállalkozás – Bank 2” láncban és a „Bank 1 – ... – Bank N” típusú bankközi elszámolásokban. Azonban ezeknek a fizetési eszközöknek a sokoldalúsága teszi őket különösen vonzó célponttá a csalás számára. A visszaélésekből eredő veszteségek éves költsége jelentős összeget tesz ki, bár a teljes forgalomhoz képest viszonylag csekély.
A biztonsági rendszer és annak fejlesztése nem tekinthető elszigetelten a plasztikkártyás illegális tranzakciók módszereitől, amelyek a következőkre oszthatók: A bűncselekmények 5 fő típusa.
1. Műveletek hamisított kártyákkal.
Ez a fajta csalás teszi ki a fizetési rendszerek veszteségének legnagyobb részét. A valódi kártyák magas műszaki és technológiai biztonsága miatt a házi készítésű kártyákat a közelmúltban ritkán használják, és egyszerű diagnosztikával azonosíthatók.
A hamisításhoz rendszerint ellopott kártyalapokat használnak, amelyeken a banki és ügyféladatokat feltüntetik. Technikailag magas felszereltségnek köszönhetően a bűnözők akár információt is tudnak írni a kártya mágnescsíkjára, vagy lemásolhatják, egyszóval magas szinten hajthatnak végre hamisítást.
Az ilyen cselekmények elkövetői főszabály szerint szervezett bűnözői csoportok, amelyek esetenként összejátszanak a kibocsátó bankok alkalmazottaival, akik hozzáférnek az ügyfélszámlákkal és a tranzakciós eljárásokkal kapcsolatos információkhoz. A nemzetközi bűnözői közösség előtt tisztelegve meg kell jegyezni, hogy a hamisított kártyák Oroszországban szinte egyidejűleg jelentek meg a bankpiac ezen szektorának fejlődésének kezdetével.
2. Tranzakciók ellopott/elveszett kártyákkal.
Ellopott kártyával csak akkor lehet nagyobb kárt okozni, ha a csaló ismeri az ügyfél PIN kódját. Ezután lehetővé válik az ügyfél számlájáról nagy összeg felvétele az elektronikus bankjegykiadók - ATM-ek hálózatán keresztül, mielőtt az ellopott kártyát kibocsátó banknak lenne ideje felvenni az elektronikus stoplistára (az érvénytelen kártyák listája).
3. Többszörös fizetés szolgáltatásokért és árukért a „küszöbértéket” meg nem haladó és engedélyt nem igénylő összegekre. A fizetéshez a bűnözőnek csak az ügyfél aláírását kell hamisítania. Ezzel a sémával azonban a visszaélés legvonzóbb tárgya elérhetetlenné válik - készpénz. Ebbe a kategóriába tartoznak azok a bűncselekmények, amelyek során ellopták a kártyákat, miközben azokat a kibocsátó bank postai úton juttatta el ügyfeleinek.
4. Postai/telefonos megrendelésekkel kapcsolatos csalás.
Ez a bűncselekménytípus az ügyfél postai vagy telefonos megrendelés útján történő áru- és szolgáltatásszállítási szolgáltatásának fejlesztése kapcsán jelent meg. Az áldozat hitelkártyaszámának ismeretében a bűnöző feltüntetheti azt a megrendelőlapon, és miután az ideiglenes lakóhelyén megkapta a parancsot, elmenekülhet.
5. Többszörös kifizetés a számláról.
Ezeket a bűncselekményeket általában alkalmazottak követik el jogalany, amely az ügyfelektől árukért és szolgáltatásokért hitelkártyás fizetést fogad el, és egy fizetési tényre vonatkozóan több fizetési csekk kiállításával történik. A benyújtott csekkek alapján több pénz kerül jóváírásra a cég számláján, mint az eladott áruk vagy nyújtott szolgáltatások költsége. Számos tranzakció lebonyolítása után azonban a bűnöző kénytelen bezárni vagy elhagyni a vállalkozást.
Az ilyen akciók elkerülése érdekében a kártyahasználóknak azt tanácsoljuk, hogy ügyeljenek (akár kis összegű tranzakciók esetén is) jobban odafigyeljenek az aláírt dokumentumokra.
A biztonsági osztályok által alkalmazott módszerek két fő kategóriába sorolhatók. Az első és talán a legfontosabb szint magának a plasztikkártya technikai biztonságához kapcsolódik. Most már bátran kijelenthetjük, hogy technológiai szempontból a kártya jobban védett, mint a bankjegyek, és szinte lehetetlen saját kezűleg elkészíteni kifinomult technológiák alkalmazása nélkül.
Bármely fizetési rendszer kártyái megfelelnek a szigorúan meghatározott szabványoknak. A térkép szabványos formával rendelkezik. A kártya előlapján a rendszerben található bank azonosítószáma (BIN kód) és az ügyfél bankszámlaszáma, vezeték- és keresztneve, a kártya lejárati dátuma dombornyomással és szigorúan meghatározott helyeken elhelyezve. Van egy holografikus módon készült fizetési rendszer szimbólum is. A kártyaszám utolsó négy számjegye közvetlenül a holografikus szimbólumra van domborítva (dombornyomott), így lehetetlen a hologram másolása vagy a kód újradomborítása a szimbólum megsemmisítése nélkül.
A kártya hátoldalán található egy mágnescsík és egy terület a tulajdonos aláírási mintájával. Magának a fizetési rendszernek a részleteit, biztonsági jeleket, információmásolást megakadályozó szimbólumokat a mágnescsíkon szigorúan meghatározott helyeken, kriptográfiai algoritmusok segítségével rögzítik, a kártya előlapjára nyomtatott információkat pedig sokszorosítják. A tulajdonos aláírási mintaterülete speciális bevonattal van ellátva. A legkisebb törlési vagy aláírás-továbbítási kísérletre a bevonat megsemmisül, és egy eltérő színű hordozó jelenik meg a fizetési rendszer biztonsági szimbólumaival.
A kártya fennmaradó felülete teljes egészében a kibocsátó bank rendelkezésére áll, és tetszőlegesen díszítik a bank szimbólumaival, hirdetéseivel és az ügyfelek számára szükséges információkkal. Magát a kártyát olyan karakterek védik, amelyek csak ultraibolya fényben láthatók.
A technikai védelmi intézkedések közé tartozik a banki kommunikáció, a banki hálózatok védelme is az illegális behatolásokkal, üzemzavarokkal és egyéb külső behatásokkal szemben, amelyek információ kiszivárgásához vagy akár megsemmisüléséhez vezetnek. A védelmet szoftver és hardver végzi, és a fizetési rendszer felhatalmazott szervezetei tanúsítják.
A védelmi intézkedések második kategóriája olyan intézkedéseket tartalmaz, amelyek megakadályozzák az információszivárgást a banki részlegekből a műanyag kártyákkal való munkavégzéshez. A fő elv a munkavállalók hatósági felelősségének világos körülhatárolása, és ennek megfelelően a minősített információkhoz való hozzáférésnek a munkavégzéshez szükséges minimumot meg nem haladó mértékben történő korlátozása.
Ezek az intézkedések csökkentik annak kockázatát és lehetőségét, hogy a bűnözők összejátszanak az alkalmazottakkal. Tematikus szemináriumokat tartanak az alkalmazottak készségeinek fejlesztése érdekében. A fizetési rendszerek rendszeresen terjesztenek biztonsági közleményeket, amelyekben hivatalos anyagokat, statisztikákat tesznek közzé a kártyás bűncselekményekről, jeleznek bűnözőkre utaló jeleket, illetve illegális forgalomba kerülő hamis kártyákra utaló jeleket. Közlemények révén a személyzet képzése, valamint a bűnözés visszaszorítását célzó megelőző és speciális tevékenységek megszervezése történik.
Különös figyelmet fordítanak az osztály dolgozóinak személyi kiválasztására. Minden biztonsági ügy egy kijelölt biztonsági tiszt feladata. A prevenciós intézkedések között a legfontosabb helyet az ügyfelekkel végzett munka foglalja el, amelyek célja a „műanyagpénz” kezelésének kulturális színvonalának emelése. A kártya körültekintő és körültekintő kezelése jelentősen csökkenti annak valószínűségét, hogy bűncselekmény áldozatává váljon.
Az elektronikus elszámolási és fizetési rendszer szabálysértéseinek elemzése
A szakemberek körében köztudott, hogy Norvégia gyors bukása a második világháborúban nagyrészt annak tudható be, hogy a brit Királyi Haditengerészet kódjait német kriptográfusok törték fel, akik pontosan ugyanazokat a módszereket alkalmazták, mint amilyeneket a Királyi Haditengerészet 40-es szobájának szakemberei alkalmaztak Németország ellen az előző években. háború.
A második világháború óta a titok fátyla fellebbent a kriptográfia kormányzati használatáról. Ez nem meglepő, és nem csak a hidegháborúnak köszönhető, hanem annak is, hogy a bürokraták (bármely szervezetben) vonakodtak beismerni hibáikat.
Nézzünk meg néhány módszert az ATM-csalás tényleges elkövetésére. A cél a tervezők termékük elméleti sérthetetlenségére vonatkozó elképzeléseinek elemzése és tanulságok levonása a történtekből.
Kezdjük néhány egyszerű példával, amelyek bemutatják a sokféle, különösebb technikai trükközés nélkül végrehajtható csalást, valamint az ezek előfordulását lehetővé tevő banki eljárásokat.
Köztudott, hogy az ügyfél kártyáján lévő mágnescsíknak csak a számlaszámát kell tartalmaznia, a személyi azonosító számát (PIN) pedig a számlaszám titkosításával és az eredményből négy számjegyből történő kivonással kapjuk meg. Így az ATM-nek képesnek kell lennie titkosítás végrehajtására vagy más módon PIN-ellenőrzés végrehajtására (pl. interaktív lekérdezés).
Az angliai winchesteri koronabíróság nemrégiben elítélt két bűnözőt, akik egyszerű, de hatékony sémát alkalmaztak. Sorba álltak az ATM-eknél, nézték az ügyfelek PIN-kódját, felvették az ATM által elutasított kártyákat, és azokról számlaszámokat másoltak az üres kártyákra, amivel az ügyfelek számláit rabolták ki.
Ezt a trükköt néhány évvel ezelőtt használták (és jelentették) egy New York-i banknál. Az elkövető egy elbocsátott ATM-technikus volt, és 80 ezer dollárt sikerült ellopnia, mire a környéken biztonsági jelenléttel rendelkező bank tetten érte.
Ezek a támadások azért voltak sikeresek, mert a bankok az ügyfél teljes számlaszámát rányomták a bankkártyára, ráadásul a mágnescsíkon nem volt kriptográfiai redundancia. Azt hinné az ember, hogy a New York Bank leckét levonják, de nem.
A technikai támadások másik típusa azon a tényen alapul, hogy sok ATM-hálózat nem titkosítja az üzeneteket, és nem hajt végre hitelesítési eljárást egy tranzakció engedélyezése során. Ez azt jelenti, hogy a támadó rögzítheti a bank válaszát az ATM-nek „Engedélyezem a fizetést”, majd újra lejátszhatja a felvételt, amíg az ATM ki nem ürül. Ezt a „zsigerelésnek” nevezett technikát nem csak külső támadók alkalmazzák. Ismert olyan eset, amikor a banki üzemeltetők egy hálózatvezérlő eszközzel „belezték ki” az ATM-eket a tettestársakkal együtt.
A teszttranzakciók egy másik problémaforrás
Az egyik ATM-típusnál egy tizennégy számjegyből álló billentyűsorozatot használtak a tíz bankjegy kiadásának tesztelésére. Egy bizonyos bank kinyomtatta ezt a sorrendet a távoli ATM-ek használatára vonatkozó kézikönyvébe. Három évvel később a pénz hirtelen eltűnt. Addig folytatták, amíg az ilyen típusú ATM-eket használó összes bank engedélyezte a szoftverjavításokat, hogy megakadályozza a teszttranzakciót.
A leggyorsabban terjedő csalások azok, amelyek hamis terminálok használatával gyűjtenek ügyfélszámlákat és PIN-kódokat. E faj támadásait először 1988-ban írták le az Egyesült Államokban. A csalók olyan gépet építettek, amely bármilyen kártyát elfogad, és egy doboz cigarettát is kiad. Ezt a találmányt egy üzletben helyezték el, és a PIN kódokat és a mágneskártyák adatait modemen keresztül továbbították. A trükk az egész világon elterjedt.
A technikusok pénzt is lopnak az ügyfelektől, tudván, hogy panaszaikat valószínűleg figyelmen kívül hagyják. Az egyik skóciai bankban a helpdesk mérnöke egy számítógépet csatlakoztatott egy ATM-hez, és rögzítette az ügyfelek számlaszámát és PIN-kódját. Ezután hamisította a kártyákat, és pénzt lopott el a számlákról. Az ügyfelek ismét az üres falakra panaszkodtak. Skócia egyik legfelsőbb jogi tisztviselője nyilvánosan bírálta a bankot e gyakorlat miatt.
A négyjegyű PIN-kód használatának célja, hogy ha valaki megtalálja vagy ellopja egy másik személy bankkártyáját, akkor egy a tízezerhez az esélye, hogy véletlenül kitalálja a kódot. Ha csak három kísérletet engedélyeznek a PIN-kód megadására, akkor az ellopott kártyáról kevesebb, mint egy a háromezerhez. Néhány banknak azonban sikerült csökkentenie a négy számjegy adta diverzitást.
Egyes bankok nem azt a mintát követik, hogy a PIN-kódot a számlaszám kriptográfiai átalakításával kapják meg, hanem véletlenszerűen kiválasztott PIN-kódot használnak (vagy hagyják az ügyfeleknek a választást), majd kriptotranszformálják, hogy megjegyezzék azt. Amellett, hogy lehetővé teszi az ügyfél számára, hogy könnyen kitalálható PIN-kódot válasszon, ez a megközelítés néhány technikai buktatót is bevezet.
Egyes bankok titkosított PIN-kódot tartanak nyilván. Ez azt jelenti, hogy a programozó megszerezheti saját PIN kódjának titkosított értékét, és megkeresheti az adatbázisban az összes többi fiókot ugyanazzal a PIN-kóddal.
Az egyik nagy brit bank még egy titkosított PIN kódot is írt a kártya mágnescsíkjára. A bűnözői közösségnek tizenöt évbe telt, mire rájött, hogy a saját kártyájuk mágnescsíkján lévő számlaszámot lecserélhetik, majd a saját PIN-kódjukkal felhasználva lophatnak egy fiókot.
Emiatt a VISA rendszer azt javasolja a bankoknak, hogy a titkosítás előtt vegyék össze az ügyfél számlaszámát a PIN kódjával. Ezt azonban nem minden bank teszi meg.
A kifinomultabb támadásokat eddig egyszerű megvalósítási és működési eljárási hibákkal hozták összefüggésbe. A professzionális biztonsági kutatók hajlamosak voltak érdektelennek tekinteni az ilyen baklövést, ezért a finomabb technikai hibákon alapuló támadásokra összpontosítottak. A banki szolgáltatásoknak számos biztonsági hiányossága is van.
Bár a bankrendszerek elleni csúcstechnológiás támadások ritkák, a nyilvánosság szempontjából érdekesek, mivel az olyan kormányzati kezdeményezések, mint az EU Information Security Technology Evaluation Criteria (ITSEC) célja, hogy olyan termékeket fejlesszenek ki, amelyek tanúsítottak az ismert műszaki adatokkal szemben. hibákat. A program alapjául szolgáló javaslatok az, hogy az érintett termékek megvalósítási és feldolgozási eljárásai lényegében hibamentesek legyenek, és a támadáshoz a kormánybiztonsági szervek munkatársaihoz hasonló műszaki képzésre van szükség. Úgy tűnik, ez a megközelítés alkalmasabb katonai rendszerekre, mint polgári rendszerekre.
Ahhoz, hogy megértsük, hogyan hajtanak végre kifinomultabb támadásokat, részletesebben meg kell vizsgálni a banki biztonságot.
Biztonsági modulokkal kapcsolatos problémák
Nem minden biztonsági termék egyforma minőségű, és kevés bank rendelkezik olyan képzett szakértőkkel, amelyek megkülönböztetik a jó termékeket a közepesektől.
A gyakorlatban a titkosítási termékekkel, különösen a régi IBM 3848 biztonsági modullal vagy a jelenleg banki szervezetek számára ajánlott modulokkal vannak problémák.
Ha a bank nem rendelkezik hardveresen megvalósított biztonsági modulokkal, a PIN kód titkosítási funkció szoftverben valósul meg, ennek megfelelő nemkívánatos következményekkel. A biztonsági modul szoftverei töréspontokkal rendelkezhetnek a szoftvertermékek hibakereséséhez a gyártó mérnökei által. Erre akkor hívták fel a figyelmet, amikor az egyik bank úgy döntött, hogy bekapcsolja a hálózatba, és a gyártó rendszermérnöke nem tudta biztosítani a szükséges átjáró működését. A munka elvégzéséhez az egyik ilyen trükköt alkalmazta PIN-kódok kivonására a rendszerből. Az ilyen töréspontok megléte lehetetlenné teszi megbízható eljárások létrehozását a biztonsági modulok kezelésére.
Egyes biztonsági modulgyártók maguk is elősegítik az ilyen támadásokat. Például egy módszert használnak a munkakulcsok napszakon alapuló generálására, és ennek eredményeként a várt 56 helyett csak 20 kulcsbitet használnak. Így a valószínűségszámítás szerint minden 1000 generált kulcsra kettő egyezik.
Ez lehetővé tesz bizonyos visszaéléseket, amelyek során a támadó úgy manipulálja a banki kommunikációt, hogy az egyik terminálról érkező tranzakciókat egy másik terminálról érkező tranzakciók váltsák fel.
Az egyik bank programozói nem is foglalkoztak a klienskulcsok titkosító programokba való beírásával járó gondokkal. Egyszerűen a kulcsértékekre mutató mutatókat helyeztek el egy memóriaterületen, amely a rendszer indításakor mindig nullára áll vissza. Az eredmény ezt a döntést kiderült, hogy az igazi és tesztrendszerek ugyanazokat a kulcstároló területeket használta. A bank technikusai rájöttek, hogy a vizsgálóberendezéseken beszerezhetik az ügyfelek PIN kódjait. Többen megkeresték a helyi bűnözőket, hogy PIN kódokat válasszanak ki az ellopott bankkártyákhoz. Amikor a bank biztonsági vezetője felfedte, mi történik, autóbalesetben meghalt (és a helyi rendőrség "elveszített" minden lényeges anyagot). A bank nem foglalkozott azzal, hogy új kártyákat küldjön ki ügyfeleinek.
A biztonsági modulok egyik fő célja annak megakadályozása, hogy a programozók és a számítógépekhez hozzáférő munkatársak kulcsfontosságú banki információkhoz jussanak. A biztonsági modulok elektronikus alkatrészei által biztosított titkosság azonban gyakran nem állja ki a kriptográfiai behatolási kísérleteket.
A biztonsági moduloknak saját főkulcsuk van belső használatra, és ezeket a kulcsokat egy adott helyen kell karbantartani. A kulcs biztonsági másolatát gyakran könnyen olvasható formában tárolják, például PROM-ban, és a kulcs időről időre kiolvasható, például amikor egy zóna- és terminálkulcs-készlet vezérlése átkerül az egyik biztonsági modulból a másikba. egy másik. Ilyen esetekben a bank teljes mértékben ki van szolgáltatva a szakértőknek a művelet végrehajtása során.
A tervezési technológiákkal kapcsolatos problémák
Beszéljük meg röviden az ATM tervezési technológiát. A régebbi modellekben a titkosító program kódja rossz helyen volt - a vezérlőeszközben, és nem magában a modulban. A vezérlőkészüléket a modul közvetlen közelében kellett volna elhelyezni egy bizonyos területen. De jelenleg sok ATM nem található a bank épületének közvetlen közelében. Az egyik brit egyetemen egy ATM volt az egyetemen, és titkosítatlan számlaszámokat és PIN kódokat küldött a Telefon vonal a kirendeltség irányító egységéhez, amely több mérföldre volt a várostól. Bárki, aki vette a fáradságot, hogy telefonlehallgató készüléket használjon, ezerrel hamisíthatta a kártyákat.
Még abban az esetben is, ha az egyik legjobb terméket vásárolják meg, nagyon sok lehetőség adódik, amikor a helytelen megvalósítás vagy a rosszul átgondolt technológiai eljárások gondokhoz vezetnek a bank számára. A legtöbb biztonsági modul egy sor visszatérési kódot ad vissza minden tranzakcióhoz. Némelyikük, mint például a „kulcsparitási hiba”, figyelmeztetést ad arra, hogy a programozó egy ténylegesen használt modullal kísérletezik. Azonban kevés bank foglalkozott azzal, hogy megírja a figyelmeztetések lehallgatásához szükséges eszközillesztőt, és ennek megfelelően cselekedjen.
Vannak esetek, amikor a bankok az ATM-rendszer egészére vagy egy részére alvállalkozói szerződést kötöttek olyan cégekkel, amelyek „kapcsolódó szolgáltatásokat nyújtanak”, és PIN kódokat adtak át ezeknek a cégeknek.
Olyan esetek is előfordultak, amikor a PIN-kódokat két vagy több bank megosztotta. Még ha minden banki személyzetet megbízhatónak tartanak is, a külső cégek nem tarthatnak fenn bankspecifikus biztonsági politikákat. Ezeknek a cégeknek a személyzetét nem mindig ellenőrzik megfelelően, valószínűleg alulfizetettek, kíváncsiak és meggondolatlanok, ami csalás kitalálásához és végrehajtásához vezethet.
A leírt vezetési hibák közül sok a projekt pszichológiai részének fejletlenségén alapul. A bankfiókoknak és a számítástechnikai központoknak a szokásos eljárásokat kell követniük napi munkájuk elvégzése során, de valószínűleg csak azokat az ellenőrzési eljárásokat követik szigorúan, amelyek célja egyértelmű. Például jól érthető, hogy az üzletvezető és a könyvelő megosztja a fióki széf kulcsait: mindkettőjüket megvédi attól, hogy családjukat túszul ejtik. A kriptográfiai kulcsokat gyakran nem csomagolják felhasználóbarát formában, ezért nem valószínű, hogy megfelelően használják őket. Részleges válasz lehet az olyan eszközök, amelyek valójában kulcsokra hasonlítanak (amelyek az atomfegyver-biztosítékok kriptográfiai kulcsai alapján készültek).
Sokat lehetne írni a működési eljárások javításáról, de ha az a cél, hogy ne kerüljön kriptográfiai kulcs valakinek a kezébe, aki technikailag képes visszaélni vele, akkor a kézikönyvekben és a képzésekben kifejezett célnak kell lennie. A „biztonság az ismeretlenség által” elve gyakran többet árt, mint használ.
Kulcselosztás
A kulcsok kiosztása különös problémát jelent a bankfiókok számára. Mint tudják, az elmélet megköveteli, hogy a két bankár mindegyike adja meg a saját kulcselemét, így kombinációjuk adja a terminál mesterkulcsát. A terminál főkulcsán titkosított PIN kód a karbantartást követő első tranzakció során kerül elküldésre az ATM-nek.
Ha az ATM-technikus megkapja mindkét kulcselemet, vissza tudja fejteni a PIN kódot és a hamisított kártyákat. A gyakorlatban a kulcsokat birtokló fiókvezetők szinte örömmel adják át a mérnöknek, mert nem akarnak az ATM mellett állni szervizelés közben. Ezenkívül a terminálkulcs beírása billentyűzet használatát jelenti, amit az idősebb vezetők méltóságukon alulinak tekintenek.
Általános gyakorlat a kulcsok helytelen kezelése. Ismert eset, amikor a karbantartó személyzet mérnöke mindkét mikroáramkört megkapta főkulccsal. Bár elméletben kettős ellenőrzési eljárás létezett, a biztonsági tisztviselők átadták a chipeket, mert az utolsó kulcsokat használták, és senki sem tudta, mit tegyen. Egy mérnök többet tud, mint kártyákat hamisítani. Elmehetett volna a kulcsokkal, és leállíthatott volna minden banki ATM-műveletet.
Nem érdektelen, hogy a kulcsokat gyakrabban tárolják nyitott fájlokban, mint védettekben. Ez nemcsak az ATM-kulcsokra vonatkozik, hanem a bankok közötti elszámolási rendszerek kulcsaira is, mint például a SWIFT, amelyek milliárdos tranzakciókat kezelnek. Bölcs dolog lenne az inicializálási kulcsokat, például a terminálkulcsokat és a zónakulcsokat csak egyszer használni, majd megsemmisíteni őket.
Kriptanalitikus fenyegetések
Valószínűleg a kriptaelemzők jelentik a legkevesebb veszélyt a bankrendszerekre, de nem lehet őket teljesen leszámítani. Egyes bankok (beleértve a nagyokat és a jól ismerteket is) még mindig saját fejlesztésű kriptográfiai algoritmusokat használnak, amelyeket a DES előtti években készítettek. Az egyik adathálózatban az adatblokkokat egyszerűen „kódolt” konstans hozzáadásával. Ezt a módszert öt évig nem kritizálták, annak ellenére, hogy a hálózatot több mint 40 bank használta. Ráadásul ezeknek a bankoknak az összes biztosítási, audit- és biztonsági szakértője láthatóan elolvasta a rendszerleírásokat.
Még ha „tiszteletre méltó” algoritmust használunk is, előfordulhat, hogy nem megfelelő paraméterekkel valósítható meg. Például egyes bankok az RSA algoritmust 100 és 400 bit közötti kulcshosszúsággal valósították meg, holott a kulcsnak legalább 500 bitesnek kell lennie a szükséges biztonsági szint biztosítása érdekében.
A kulcsot nyers erővel is megtalálhatja, és minden lehetséges titkosítási kulcsot kipróbálhat, amíg meg nem talál egy kulcsot, amelyet egy adott bank használ.
A nemzetközi hálózatokban a munkakulcsok zónakulcsokkal történő titkosítására használt protokollok megkönnyítik a zónakulcs ilyen módon történő megtámadását. A zónakulcs egyszeri megnyitása esetén a bank által a hálózaton keresztül küldött vagy fogadott összes PlN kód visszafejthető. A Canadian Bank szakértőinek nemrégiben készült tanulmánya szerint egy ilyen jellegű támadás a DES ellen körülbelül 30 000 fontba kerülne zónakulcsonként. Következésképpen a szervezett bûnözés erõforrásai bõven elegendõek egy ilyen bûnözéshez, és ilyen bûncselekményt egy kellõen gazdag egyén is elkövethet.
Valószínűleg egyes országok hírszerző szolgálataiban hozták létre a kulcsok megtalálásához szükséges speciális számítógépeket, köztük olyan országokat is, amelyek jelenleg káoszban vannak. Következésképpen fennáll annak a veszélye, hogy a berendezés őrzői személyes haszonszerzésre használhatják azt.
Minden rendszer, legyen az kicsi és nagy, szoftverhibákat tartalmaz, és ki van téve az emberi hibáknak. Ez alól a bankrendszerek sem kivételek, és aki ipari termelésben dolgozott, az észreveszi ezt. A fióktelepi elszámolási rendszerek általában nagyobbak és összetettebbekké válnak, és sok, egymásra épülő modullal évtizedek alatt fejlődtek ki. Egyes tranzakciók elkerülhetetlenül helytelenül hajtódnak végre: előfordulhat, hogy a terhelések megkettőződnek, vagy egy számla hibásan módosulhat.
Ez a helyzet nem újdonság a nagyvállalatok pénzügyi ellenőrei számára, akik speciális személyzetet tartanak fenn a bankszámlák egyeztetésére. Ha hibás terhelés jelenik meg, ezek az alkalmazottak áttekintésre kérik a vonatkozó dokumentumokat, és ha hiányzik, a hibás befizetést visszakapják a banktól.
Az ATM-ügyfeleknek azonban nincs lehetőségük a vitatott fizetések visszafizetésére. Az Egyesült Államokon kívüli bankárok többsége egyszerűen azt mondja, hogy nincs hiba a rendszerében.
Az ilyen politika bizonyos jogi és adminisztratív kockázatokhoz vezet. Először is megteremti a visszaélés lehetőségét, mivel a csalás rejtett. Másodszor, ez az ügyfél számára túl bonyolult bizonyítékokhoz vezet, ami az amerikai bíróságok eljárásának egyszerűsítését indokolta. Harmadszor, azzal a morális kockázattal jár, hogy a banki alkalmazottakat közvetve lopásra ösztönzik, annak tudatában, hogy nem valószínű, hogy elkapják őket. Negyedszer, ez ideológiai hiba, mivel az ügyféligények központosított rögzítésének hiánya miatt nincs lehetőség a csalási esetek megfelelően szervezett ellenőrzésére.
Az ATM-veszteségekkel kapcsolatos üzleti tevékenységre gyakorolt hatást nehéz pontosan megbecsülni. Az Egyesült Királyságban a Pénzügyminisztérium gazdasági minisztere (a banki szabályozásért felelős miniszter) 1992 júniusában kijelentette, hogy az ilyen hibák a napi hárommillió tranzakcióból legalább kettőt érintenek. A közelmúltbeli pereskedési nyomás hatására azonban ezt a számot először 250 000 hibás tranzakcióból 1-re, majd 100 000-ből 1-re, végül 34 000-ből 1-re módosították.
Mivel a panaszt benyújtó ügyfeleket általában visszautasítják a banki alkalmazottak, és a legtöbb ember egyszerűen képtelen észrevenni a számlájáról történő egyszeri kifizetést, a legjobb feltételezés az, hogy körülbelül 10 000 helytelen tranzakcióból 1 fordul elő. Így ha az átlagos ügyfél egy Az ATM hetente egyszer 50 éven keresztül, várhatóan minden negyedik ügyfélnek problémája lesz élete során az ATM használatával.
A kriptográfiai rendszertervezők hátrányos helyzetben vannak, mivel nem rendelkeznek információval arról, hogyan fordulnak elő rendszerhibák a gyakorlatban, nem pedig elméletben. Ez a hátrány Visszacsatolás helytelen fenyegetési modell használatához vezet. A tervezők arra összpontosítanak erőfeszítéseiket, hogy a rendszerben mi vezethet kudarchoz, nem pedig arra, ami általában hibákat okoz. Sok termék annyira bonyolult és trükkös, hogy ritkán használják őket megfelelően. Ennek az a következménye, hogy a legtöbb hiba a rendszer megvalósításához és karbantartásához kapcsolódik. A konkrét eredmény az ATM-csalások özöne, amely nemcsak pénzügyi veszteségekhez, hanem igazságszolgáltatási tévedésekhez és a bankrendszerbe vetett bizalom csökkenéséhez is vezetett.
A kriptográfiai módszerek megvalósításának egyik példája az EXCELLENCE digitális aláírást használó kriptográfiai információvédelmi rendszer.
Az EXCELLENCE szoftveres kriptográfiai rendszer célja, hogy megvédje az IBM-kompatibilis személyi számítógépek között feldolgozott, tárolt és továbbított információkat kriptográfiai titkosítás, digitális aláírás és hitelesítési funkciók segítségével.
A rendszer olyan kriptográfiai algoritmusokat valósít meg, amelyek megfelelnek az állami szabványoknak: titkosítás - GOST 28147-89. A digitális aláírás az RSA algoritmuson alapul.
A szigorú hitelesítéssel és kulcstanúsítással rendelkező kulcsrendszer a nemzetközi gyakorlatban széles körben alkalmazott X.509 protokollra és a nyílt RSA kulcselosztás elvére épül.
A rendszer titkosítási funkciókat tartalmaz az információk fájlszintű feldolgozásához:
és kriptográfiai funkciók a kulcsokkal való munkához:
Minden hálózati előfizetőnek saját privát és nyilvános kulcsa van. Minden felhasználó titkos kulcsa a saját kulcsfontosságú hajlékonylemezén vagy elektronikus kártyáján van rögzítve. Az előfizető kulcsának titkossága biztosítja a számára titkosított információk védelmét és a digitális aláírása hamisításának lehetetlenségét.
A rendszer kétféle kulcsfontosságú információhordozót támogat:
Minden hálózati előfizető rendelkezik egy fájlkönyvtárral, amely tartalmazza az összes rendszer-előfizető nyilvános kulcsát, amely védve van a jogosulatlan módosításoktól, a nevükkel együtt. Minden előfizető köteles titkos kulcsát titokban tartani.
Funkcionálisan az EXCELLENCE rendszer egy excell_s.exe szoftvermodul formájában valósul meg, és az MS DOS 3.30 és újabb operációs rendszeren fut. A függvények végrehajtásához szükséges paraméterek az űrlapon kerülnek átadásra parancs sor DOS. Ezenkívül grafikus felületet is biztosítunk. A program automatikusan felismeri és támogatja a 32 bites műveleteket az Intel386/486/Pentium processzoron.
Másokba való beágyazáshoz szoftverrendszerek az EXCELLENCE rendszer egy változata valósult meg, amely alapvető kriptográfiai funkciókat tartalmaz a RAM-ban lévő adatokkal való munkavégzéshez a következő módokban: memória - memória; memória - fájl; fájl - memória.
Előrejelzés a 21. század elejére
40-80%-ra kell növelni az információbiztonsági probléma megoldására hatékony intézkedéseket hozó banki menedzsment arányát. A fő problémát a kiszolgáló személyzet (beleértve a korábbi) személyzetet (az esetek 40%-ról 95%-ára) jelenti majd, a fenyegetések fő típusai pedig az illetéktelen hozzáférés (UNA) és a vírusok (a bankok akár 100%-a lesz kitéve vírustámadásoknak). ).
Az információbiztonság biztosításának legfontosabb intézkedése az információbiztonsági szolgáltatások legmagasabb szintű professzionalizmusa lesz. Ezért a bankoknak a nyereségük akár 30%-át is információbiztonságra kell fordítaniuk.
A fent felsorolt intézkedések ellenére az információbiztonság problémájának abszolút megoldása lehetetlen. Ugyanakkor a bank információbiztonsági rendszerének hatékonyságát teljes mértékben a befektetett források nagysága és az információbiztonsági szolgálat szakszerűsége határozza meg, a bank információbiztonsági rendszerének megsértésének lehetőségét pedig teljes mértékben a banki információbiztonsági rendszer költsége határozza meg. a biztonsági rendszer és a csalók képzettségének leküzdése. (A külföldi gyakorlatban úgy tartják, hogy akkor van értelme a biztonsági rendszer „feltörésének”, ha a leküzdésének költsége nem haladja meg a védendő információ értékének 25%-át).
A 4. fejezet az elektronikus banki rendszerek védelmét szolgáló megközelítés jellemzőit vizsgálta. E rendszerek sajátossága az elektronikus adatcsere speciális formája - az elektronikus fizetés, amely nélkül egyetlen modern bank sem létezhet.
Az elektronikus adatcsere (EDE) üzleti, kereskedelmi és pénzügyi elektronikus dokumentumok számítógépek közötti cseréje. Például megrendelések, fizetési utasítások, szerződési javaslatok, számlák, nyugták stb.
Az EOD biztosítja a gyors interakciót a kereskedelmi partnerek (ügyfelek, beszállítók, viszonteladók stb.) között a kereskedelmi tranzakció előkészítésének, a szerződéskötésnek és a szállítás végrehajtásának minden szakaszában. A szerződéses fizetés és az átutalás szakaszában az EDI a pénzügyi dokumentumok elektronikus cseréjét eredményezheti. Ez hatékony környezetet teremt a kereskedelmi és fizetési tranzakciókhoz:
* Lehetőség van a kereskedelmi partnerek áru- és szolgáltatásajánlatainak megismerésére, a kívánt termék/szolgáltatás kiválasztására, a kereskedelmi feltételek (költség és szállítási idő, kereskedelmi engedmények, jótállási és szolgáltatási kötelezettségek) tisztázása valós időben;
* Áruk/szolgáltatások megrendelése vagy szerződésjavaslat kérése valós időben;
* Áruszállítás operatív ellenőrzése, kísérő dokumentumok (számlák, számlák, alkatrészlisták stb.) e-mailben történő átvétele;
* Az áruk/szolgáltatások teljesítésének igazolása, számlák kiállítása és kifizetése;
* Banki hitel- és fizetési tranzakciók lebonyolítása. Az OED előnyei a következők:
* A műveletek költségeinek csökkentése a papírmentes technológiára való átállással. A szakértők a papíralapú dokumentáció feldolgozásának és karbantartásának költségét a kereskedelmi tranzakciók és az áruszállítás összköltségének 3-8%-ára becsülik. Az EED használatából származó előnyt például az Egyesült Államok autóiparában gyártott autónként több mint 200 dollárra becsülik;
* Az elszámolás és a pénzforgalom sebességének növelése;
* Növeli a számítások kényelmét.
Két kulcsfontosságú stratégia létezik az EED fejlesztésére:
1. Az EOD-t versenyelőnyként használják, ami lehetővé teszi a partnerekkel való szorosabb interakciót. Ezt a stratégiát nagy szervezetek fogadták el, és kiterjesztett vállalati megközelítésnek nevezik.
2. Az EDI-t egyes konkrét ipari projektekben vagy kereskedelmi és egyéb szervezetek szövetségeinek kezdeményezéseiben használják, hogy növeljék interakciójuk hatékonyságát.
Az egyesült államokbeli és nyugat-európai bankok már felismerték kulcsszerepüket az EDI elterjedésében, valamint az üzleti és személyes partnerekkel való szorosabb együttműködésből adódó jelentős előnyöket. Az OED segíti a bankokat abban, hogy szolgáltatásokat nyújtsanak olyan ügyfeleknek, különösen a kis ügyfeleknek, akik korábban magas költségük miatt nem engedhették meg maguknak, hogy igénybe vegyék.
Az EDI széles körű elterjedésének fő akadálya a kommunikációs csatornákon történő csere során a dokumentumok sokfélesége. Ennek az akadálynak a leküzdésére különböző szervezetek szabványokat dolgoztak ki a dokumentumok EED-rendszerekben történő benyújtására a különböző iparágak számára:
QDTI - General Trade Interchange (Európa, nemzetközi kereskedelem);
MDSND - National Automated Clearing House Association (USA, National Association of Automated Clearing Houses);
TDCC – Közlekedési Adatok Koordinációs Bizottsága;
VICS – Voluntary Interindustry Communication Standard (USA, Voluntary Interindustry Communication Standard);
WINS – Raktárinformációs hálózati szabványok információs hálózatáruraktárak).
1993 októberében az ENSZ/EGB nemzetközi csoport közzétette az EDIFACT szabvány első változatát. A kidolgozott szintaktikai szabályokat és kereskedelmi adatelemeket két ISO szabvány formájában formalizálták:
ISO 7372 – Kereskedelmi adatelemek jegyzéke;
ISO 9735 – EDIFACT – Alkalmazásszintű szintaktikai szabályok.
Az EOD speciális esete az elektronikus fizetés – a pénzügyi dokumentumok cseréje ügyfelek és bankok között, bankok és más pénzügyi és kereskedelmi szervezetek között.
Az elektronikus fizetés fogalmának lényege, hogy a kommunikációs vonalakon küldött, megfelelően végrehajtott és továbbított üzenetek egy vagy több banki művelet elvégzésének alapját képezik. E műveletek elvégzéséhez elvileg nincs szükség papíralapú dokumentumokra (bár kiadhatják). Más szavakkal, a kommunikációs vonalakon küldött üzenet olyan információt tartalmaz, hogy a feladó bizonyos műveleteket hajtott végre a számláján, különösen a fogadó bank levelező számláján (amely elszámolóközpont is lehet), és hogy a címzettnek el kell végeznie a az üzenetben megadott műveleteket. Egy ilyen üzenet alapján pénzt küldhet vagy fogadhat, kölcsönt nyithat, vásárlást vagy szolgáltatást fizethet, és bármilyen más műveletet végezhet. banki tranzakció. Az ilyen üzeneteket elektronikus pénznek, az ilyen üzenetek küldésén vagy fogadásán alapuló banki műveletek végrehajtását pedig elektronikus fizetésnek nevezzük. Természetesen az elektronikus fizetés teljes folyamata megköveteli megbízható védelem. Ellenkező esetben a bank és ügyfelei komoly gondokkal néznek szembe.
Az elektronikus fizetéseket bankközi, kereskedelmi és személyes fizetésekhez használják.
A bankközi és kereskedelmi elszámolások szervezetek (jogi személyek) között jönnek létre, ezért ezeket néha társasági néven is nevezik. Az egyéni ügyfeleket érintő elszámolásokat személyesnek nevezzük.
A legtöbb banki rendszerben elkövetett lopás közvetlenül vagy közvetve az elektronikus fizetési rendszerekhez kapcsolódik.
Számos akadály áll az elektronikus fizetési rendszerek, különösen a globálisak létrehozása előtt, amelyek számos pénzügyi intézményre és ügyfeleikre vonatkoznak különböző országokban. A főbbek a következők:
1. Az egységes működési és szolgáltatási szabványok hiánya, ami jelentősen megnehezíti az egységes bankrendszerek létrehozását. Minden nagybank arra törekszik, hogy saját EOD hálózatot hozzon létre, ami növeli a működési és karbantartási költségeket. A duplikált rendszerek megnehezítik a használatukat, kölcsönös interferenciát okozva és korlátozzák az ügyfelek képességeit.
2. A pénzkínálat megnövekedett mobilitása, amely a pénzügyi spekuláció lehetőségének növekedéséhez vezet, kiterjeszti a „vándortőke” áramlását. Ez a pénz rövid időn belül megváltoztathatja és destabilizálhatja a piaci helyzetet.
3. A pénzügyi elszámolások során technikai eszköz- és szoftverhibák, amelyek a további elszámolások súlyos bonyodalmait, az ügyfelek részéről a bankba vetett bizalom elvesztését okozhatják, különösen a banki kapcsolatok szoros összefonódása miatt (egyfajta a „hiba terjedése”). Ugyanakkor jelentősen megnő az információfeldolgozást közvetlenül irányító rendszerirányítók és adminisztráció szerepe és felelőssége.
Minden szervezetnek, amely bármely elektronikus fizetési rendszer ügyfele akar lenni, vagy saját rendszert szeretne létrehozni, tisztában kell lennie ezzel.
A megbízható működéshez az elektronikus fizetési rendszert jól védeni kell.
A kereskedelmi elszámolások különböző kereskedelmi szervezetek között jönnek létre. A bankok ezekben az elszámolásokban közvetítőként vesznek részt, amikor pénzt utalnak át a kifizető szervezet számlájáról a fogadó szervezet számlájára.
A kereskedői elszámolás rendkívül fontos egy elektronikus fizetési program általános sikeréhez. A különböző cégek pénzügyi tranzakcióinak volumene általában a banki tranzakciók összvolumenének jelentős részét teszi ki.
A kereskedelmi elszámolások típusai nagyon eltérőek az egyes szervezeteknél, de ezek végrehajtása során mindig kétféle információ kerül feldolgozásra: fizetési üzenetek és segédletek (statisztika, jelentések, értesítések). A pénzügyi szervezetek számára a legnagyobb érdeklődés természetesen a fizetési üzenetekből származó információk - számlaszámok, összegek, egyenleg stb. A kereskedelmi szervezetek számára mindkét információtípus egyformán fontos – az első a pénzügyi helyzethez ad támpontot, a második a döntéshozatalban és a politika kialakításában segít.
A kereskedési elszámolások leggyakoribb típusai a következők:
* Közvetlen befizetés.
Ennek az elszámolási típusnak az a jelentése, hogy a szervezet utasítja a bankot, hogy bizonyos típusú kifizetéseket automatikusan, előre elkészített mágneses adathordozóval vagy speciális üzenetekkel teljesítsen alkalmazottai vagy ügyfelei felé. Az ilyen kifizetések feltételeiről előzetesen egyeztetnek (finanszírozási forrás, összeg stb.). Főleg rendszeres fizetésre (különféle biztosítások kifizetésére, hiteltörlesztésre, fizetésekre stb.) használják. Intézményi szempontból a közvetlen befizetés kényelmesebb, mint például a csekkel történő fizetés.
1989 óta a közvetlen betétet igénybe vevő alkalmazottak száma megduplázódott, és elérte a 25%-ot. Napjainkban több mint 7 millió amerikai kapja fizetését közvetlen befizetésen keresztül. A bankok számára a közvetlen befizetés a következő előnyöket kínálja:
A papíralapú dokumentumok feldolgozásával járó feladatok mennyiségének csökkentése és ennek eredményeként jelentős összegek megtakarítása;
A befizetések számának növekedése, mivel a befizetések mennyiségének 100%-át kell letétbe helyezni.
A bankok mellett a tulajdonosok és a dolgozók is részesülnek; nő a kényelem és csökkennek a költségek.
* Számítások az OED használatával.
Az itt szereplő adatok számlák, számlák, alkatrészlapok stb.
Az EDI megvalósításához az alábbi alapszolgáltatásokra van szükség:
E-mail az X.400 szabvány szerint;
Fájl átvitel;
Pont-pont kommunikáció;
On-line hozzáférés adatbázisokhoz;
Postafiók;
Információprezentációs szabványok átalakítása.
Példák a jelenleg létező EDI-t használó kereskedelmi elszámolási rendszerekre:
A National Bank és a Royal Bank (Kanada) az IBM információs hálózaton keresztül kapcsolódik ügyfeleihez és partnereihez;
Az 1986-ban alapított Bank of Scotland Transcontinental Automated Payment Service (TAPS) összeköti a Bank of Scotlandot 15 ország ügyfeleivel és partnereivel levelező bankokon és automatizált elszámolóházakon keresztül.
Az elektronikus bankközi elszámolások alapvetően két típusból állnak:
* Elszámolások elszámolása a közvetítő bank (elszámoló bank) hatékony számítógépes rendszerével és az ebben a bankban elszámolásokban részt vevő bankok levelező számláival. A rendszer alapja a jogi személyek kölcsönös pénzbeli követeléseinek és kötelezettségeinek beszámítása az egyenleg utólagos átutalásával. Az elszámolást széles körben alkalmazzák a tőzsdéken és az árutőzsdéken is, ahol az ügyletben résztvevők kölcsönös követeléseinek kiegyenlítése elszámolóházon vagy speciális elektronikus elszámoló rendszeren keresztül történik.
A bankközi elszámolási elszámolások speciális elszámolóházakon, kereskedelmi bankokon keresztül, egy bank fiókjai és fiókjai között - a központi irodán keresztül - történnek. Az elszámolóházak funkcióit számos országban a központi bankok látják el. Az automatizált elszámolóházak (ACH-k) a pénzintézetek közötti pénzeszközök cseréjéhez nyújtanak szolgáltatásokat. A fizetési tranzakciók főként terhelésekre vagy jóváírásokra korlátozódnak. Az AKP-rendszer tagjai olyan pénzintézetek, amelyek az AKP Szövetség tagjai. Az egyesület azzal a céllal jött létre, hogy szabályokat, eljárásokat és szabványokat dolgozzon ki az elektronikus fizetések egy földrajzi régión belüli megvalósítására. Meg kell jegyezni, hogy az ACP nem más, mint a pénzeszközök mozgatásának és a kísérő információknak a mechanizmusa. Nem saját maguk végeznek fizetési szolgáltatásokat. Az AKCS-ket a papíralapú pénzügyi dokumentum-feldolgozó rendszerek kiegészítésére hozták létre. Az első automata sebességváltó 1972-ben jelent meg Kaliforniában, jelenleg 48 automata sebességváltó üzemel az Egyesült Államokban. 1978-ban megalakult a National Automated Clearing House Association (NACHA), amely szövetkezeti alapon egyesíti mind a 48 ACH hálózatot.
A műveletek volumene és jellege folyamatosan bővül. Az AKCS-k megkezdik az üzleti elszámolásokat és az elektronikus adatcsere-tranzakciókat. Különböző bankok és cégek három évnyi erőfeszítése után létrejött a CTP (Corporate Trade Payment) rendszer a jóváírások és terhelések automatikus feldolgozására. Szakértők szerint a közeljövőben is folytatódik az automata sebességváltó funkciók bővítésének tendenciája.
* Közvetlen elszámolások, amelyek során két bank közvetlenül kommunikál egymással loro nostro számlák segítségével, esetleg harmadik fél részvételével, aki szervezeti vagy támogató szerepet tölt be. Természetesen a kölcsönös tranzakciók volumenének elég nagynak kell lennie ahhoz, hogy indokolja egy ilyen elszámolási rendszer megszervezésének költségeit. Általában egy ilyen rendszer több bankot egyesít, és mindegyik pár közvetlenül kommunikálhat egymással, megkerülve a közvetítőket. Ebben az esetben azonban szükség van egy irányító központra, amely az interakcióban lévő bankok védelmével foglalkozik (kulcsosztás, kezelés, működés ellenőrzése és események regisztrálása).
Elég sok ilyen rendszer létezik a világon – a több bankot vagy fiókot összekötő kicsitől a több ezer résztvevőt összekötő óriás nemzetköziig. Az osztály leghíresebb rendszere a SWIFT.
A közelmúltban megjelent az elektronikus fizetések harmadik típusa - az elektronikus csekkcsonkítás, amelynek lényege, hogy megállítsák a papír alapú csekk küldésének útját a pénzintézetbe, ahol azt bemutatták. Szükség esetén elektronikus analógja speciális üzenet formájában tovább „utazik”. Az elektronikus csekk továbbítása és visszafizetése az ACH segítségével történik.
1990-ben a NACHA bejelentette az "Electronic Check Truncation" nemzeti kísérleti program tesztelésének első szakaszát. Célja, hogy csökkentse a hatalmas mennyiségű papíralapú csekk feldolgozásának költségeit.
Az elektronikus fizetési rendszer használatával történő pénzküldés a következő lépéseket tartalmazza (a konkrét feltételektől és magától a rendszertől függően a megbízás változhat):
1. Egy bizonyos számla az első bank rendszerében csökken a szükséges összeggel.
2. A második bank levelező számlája az elsőben ugyanennyivel nő.
3. Az első banktól üzenetet küld a második banknak, amely információkat tartalmaz az elvégzett műveletekről (számlaazonosítók, összeg, dátum, feltételek stb.); ebben az esetben az elküldött üzenetet megfelelően védeni kell a hamisítás ellen: titkosítani, digitális aláírással és vezérlő mezőkkel ellátni stb.
4. A szükséges összeg az első bank levelező számlájáról a másodikban kerül terhelésre.
5. Egy bizonyos számla a második bankban megemelkedik a szükséges összeggel.
6. A második bank értesítést küld az elsőnek a számlamódosításokról; ezt az üzenetet is védeni kell a manipuláció ellen, hasonlóan a fizetési üzenet védelméhez.
7. A csereprotokoll rögzítésre kerül mind az előfizetők, mind adott esetben egy harmadik fél számára (a hálózati vezérlőközpontban), hogy elkerüljük a konfliktusokat.
Az üzenettovábbítás során lehetnek közvetítők - elszámolóközpontok, közvetítő bankok az információátadásban stb. Az ilyen számítások fő nehézsége a partnerükbe vetett bizalom, vagyis minden előfizetőnek biztosnak kell lennie abban, hogy levelezője elvégzi az összes szükséges műveletet.
Az elektronikus fizetés használatának bővítése érdekében a pénzügyi bizonylatok elektronikus bemutatásának szabványosítása zajlik. A 70-es években indult két szervezeten belül:
1) Az ANSI (Amerikai Nemzeti Szabványügyi Intézet) közzétette az ANSI X9.2-1080-at (Interchange Message Specification for Debit and Credit Card Message Exchange among Financial Institute). 1988-ban az ISO hasonló szabványt fogadott el, ISO 8583 néven (Bank Card Originated Messages Interchange Message Specifications – Content for Financial Transactions);
2) A SWIFT (Society for Worldwide Interbank Financial Telecommunications) egy sor szabványt dolgozott ki a bankközi üzenetekre.
Az ISO 8583 szabványnak megfelelően egy pénzügyi bizonylat számos adatelemet (részletet) tartalmaz, amelyek egy üzenet vagy elektronikus dokumentum (elektronikus hitelkártya, X.400 formátumú üzenet vagy EDIFACT szintaxisú dokumentum) bizonyos mezőiben találhatók. Minden adatelemhez (ED) saját egyedi szám tartozik. Egy adatelem lehet kötelező (vagyis minden ilyen típusú üzenetben szerepel) vagy opcionális (egyes üzenetekben hiányozhat).
A bitskála határozza meg az üzenet összetételét (a benne lévő ED-ket). Ha a bitskála egy bizonyos számjegye 1-re van állítva, ez azt jelenti, hogy a megfelelő ED jelen van az üzenetben. Az üzenetek kódolásának ezen módszerének köszönhetően az üzenet teljes hossza lecsökken, rugalmasság érhető el a sok ED-vel rendelkező üzenetek megjelenítésében, valamint lehetőség nyílik új ED-ek és üzenettípusok szabványos szerkezetű elektronikus dokumentumba foglalására.
Számos módja van az elektronikus bankközi fizetésnek. Tekintsünk ezek közül kettőt: a csekken történő fizetést (szolgáltatás utáni fizetés) és az akkreditíves fizetést (az elvárt szolgáltatás kifizetése). Más módszerek, például fizetési felszólításon keresztüli fizetés vagy fizetési megbízás is hasonló szervezettel rendelkeznek.
A csekken történő fizetés a fizető személyazonosító okmányát tartalmazó papír vagy egyéb dokumentum alapján történik. Ez a bizonylat az alapja a csekken meghatározott összegnek a tulajdonos számlájáról a bemutatóra szóló számlára történő átutalásának. A csekken történő fizetés a következő lépéseket tartalmazza:
csekk átvétele;
Csekk benyújtása a banknak;
A csekktulajdonos számlájáról a kiadó számlájára történő átutalási kérelem;
Pénz átutalás;
Fizetési értesítés.
Az ilyen fizetések fő hátrányai a könnyen hamisítható segédokmány (csekk) szükségessége, valamint a fizetés teljesítéséhez szükséges jelentős idő (akár több nap).
Ezért az utóbbi időben elterjedt ez a fizetési mód, mint akkreditív fizetés. A következő lépéseket tartalmazza:
A bank értesítése az ügyfél részéről a hitelnyújtásról;
A címzett bankjának értesítése kölcsönnyújtásról és pénzátutalásról;
A kedvezményezett értesítése a kölcsön átvételéről.
Ez a rendszer lehetővé teszi, hogy nagyon rövid időn belül kifizetéseket hajtson végre. Kölcsönbejelentés küldhető (elektronikus) levélben, floppy lemezen, mágnesszalagon.
A fent tárgyalt fizetési módok mindegyikének megvannak a maga előnyei és hátrányai. A csekk a legkényelmesebb kis összegek, valamint szabálytalan kifizetések esetén. Ezekben az esetekben a fizetési késedelem nem túl jelentős, a hitel felhasználása pedig nem megfelelő. Az akkreditívvel történő fizetéseket általában rendszeres fizetésekre és jelentős összegekre használják. Ezekben az esetekben az elszámolási késedelem hiánya sok időt és pénzt takarít meg a pénzforgalmi időszak csökkentésével. A két módszer közös hátránya, hogy pénzt kell költeni egy megbízható elektronikus fizetési rendszer megszervezésére.
