Цифрлық ақшаның электрондық төлем жүйесін қорғау әдістері. Электрондық ақшаны қорғаудың негізгі жолдары? Электрондық төлем жүйелерінің қауіпсіздік шаралары
Электрондық төлем жүйелері электрондық валютамен жұмыс істеудің ең танымал түрлерінің бірі болып табылады. Олар жыл сайын белсенді түрде дамып келеді, валютамен жұмыс істеу нарығының айтарлықтай үлкен үлесін алады. Олармен бірге олардың қауіпсіздігін қамтамасыз ететін технологиялар да дамып келеді. Өйткені бүгінгі күні бірде-бір электронды төлем жүйесі жақсы технологияларсыз және өз кезегінде ақшалай операциялардың қауіпсіз транзакцияларын қамтамасыз ететін қауіпсіздік жүйелерінсіз өмір сүре алмайды. Электронды төлем жүйелерінің өзі де, қауіпсіздік технологиялары да көп. Олардың әрқайсысында әртүрлі жұмыс принциптері мен технологиялары, сондай-ақ өз артықшылықтары мен кемшіліктері бар. Сонымен қатар, бірқатар теориялық және практикалық мәселелер шешімін таппай отыр, бұл зерттеу тақырыбының өзектілігін анықтайды.
Әрбір электрондық төлем жүйесі қауіпсіз транзакциялар мен деректерді тасымалдауды жүзеге асыру үшін өз әдістерін, шифрлау алгоритмдерін және деректерді беру протоколдарын пайдаланады. Кейбір жүйелер RSA шифрлау алгоритмін және HTTPs тасымалдау протоколын пайдаланады, ал басқалары шифрланған деректерді тасымалдау үшін DES алгоритмін және SSL протоколын пайдаланады. Бұл мақаланы жазу идеясы - бірқатар танымал төлем жүйелерін, атап айтқанда оларда қолданылатын қауіпсіздік технологияларын зерттеу және талдау және қайсысы ең озық екенін анықтау.
Мақаланы жазу барысында төлем жүйелеріне зерттеулер жүргізілді және қолданыстағы төлем жүйелерінің қауіпсіздігіне талдау жасалды. Сол критерийлер бойынша төрт төлем жүйесі (Webmoney, Yandex.Money, RauPa1 және E-Port) талданды. Жүйелер кірістірілген параметрлерді қамтитын көп деңгейлі жүйе арқылы бағаланды. Әрине, бұл критерийлердің барлығы аймаққа қатысты ақпараттық қауіпсіздік. Екі негізгі критерий бар: төлемдердің ақпараттық қауіпсіздігін техникалық қамтамасыз ету және ұйымдық-құқықтық қамтамасыз ету. Осы екі параметрдің әрқайсысы үш балдық жүйе арқылы бағаланды. Рейтинг шкаласы дәл осындай, өйткені біздің елімізде электронды төлем жүйелерінің қазіргі дамуы олардың көптеген параметрлерін тек «иә немесе жоқ» деген сөздермен сипаттауға болатын деңгейде. Сәйкесінше, егер электрондық төлем жүйесі кез келген параметрге жақсы сәйкес келсе, ол ең жоғары ұпайды (3) алады, егер ол мүлдем жауап бермесе, ең төменгі ұпайды (0) алады. Егер жүйеде бұл критерий анық түрде болмаса, бірақ жетіспейтінімен байланысты қандай да бір қызметтер немесе мүмкіндіктер болса, біз аралық балл береміз - бір немесе екі.
Электрондық төлем жүйелерін бағалау кезінде әртүрлі жағдайларда бір параметрдің мәні бірдей болмайтынын есте ұстаған жөн. Мысалы, қорғау деңгейін айтарлықтай арттыратын бірнеше қызметтерді пайдаланушы өз еркімен ғана жүзеге асыра алады, сонымен қатар жүйеде осы қызметтердің болуының өзі құнды. Адам факторы жойылған жоқ және ешқашан жойылмайды, сондықтан қызметтің іске асырылуы немесе жүзеге асырылмауы мүмкін екендігі ескеріледі.
Транзакция қауіпсіздігін техникалық қолдау
Бұл критерийлердің біріншісі – өз атынан анық көрінетіндей ақпаратты қорғаудың техникалық жағын қамтамасыз ететін параметрлер жиынтығы. Бұл параметрге дейін мыналар кіреді: шифрлаудың, аутентификацияның және арнайы көмегімен қол жеткізудің криптографиялық әдістері аппараттық құрал(ең қарапайым жағдайда - USB пернелерін пайдалану).
Жасыратыны жоқ, техникалық тұрғыдан ақпаратты қорғаудың негізгі критерийі, әрине, деректерді шифрлау, нақтырақ айтқанда, олар жүзеге асырылатын криптографиялық алгоритмдер болып табылады. Сондай-ақ, кілт неғұрлым ұзақ болса, оның шифрын ашу және сәйкесінше құпия ақпаратқа қол жеткізу қиынырақ болатыны белгілі. Сынақталған жүйелердің үшеуі белгілі және кеңінен танымал RSA алгоритмін пайдаланады: Webmoney, Yandex.Money, PayPal. E-Port шифрлауды SSL протоколының 3.0 нұсқасы арқылы пайдаланады.Шын мәнінде шифрлау SSL кілттері арқылы жүзеге асырылады, олар бірегей, олар сеанс кезінде жасалады және сеанс кілті деп аталады. E-Port жүйесіндегі SSL кілтінің ұзындығы 40-тан 128 битке дейін өзгереді, бұл транзакция қауіпсіздігінің қолайлы деңгейі үшін жеткілікті.
Транзакциялардың ақпараттық қауіпсіздігін техникалық қолдаудың келесі параметрі аутентификация болып табылады, т.б. пайдаланушы өзінің жеке ақпаратына қол жеткізу үшін қажет шешімдер жиынтығы. Мұнда бәрі қарапайым. Webmoney және Yandex.Money жүйелері қол жеткізу үшін екі критерийді пайдаланады, ал PayPal және E-Port тек біреуін пайдаланады. Webmoney жүйесінде жүйеге кіру және төлемдерді жүзеге асыру үшін құпия сөзді және арнайы кілтті енгізу қажет.Яндекс.Ақша бірдей жұмыс істейді: пароль және арнайы әмиян бағдарламасы қажет. Барлық басқа жүйелерде кіру пароль арқылы қамтамасыз етіледі. Дегенмен, E-Port жүйесінде SSL хаттамасын пайдалана отырып жұмыс істеу үшін әлеуетті клиенттің (және жүйенің кез келген басқа қатысушысының) веб-серверінде уәкілетті компаниялардың бірінен алынған арнайы цифрлық сертификат болуы керек. Бұл сертификат клиенттің веб-серверінің аутентификациясы үшін пайдаланылады. E-Port қызметінде қолданылатын сертификат қауіпсіздік механизмі RSA Security арқылы сертификатталған. Осы зерттеудегі үшінші және соңғы критерий - USB кілттері сияқты арнайы жабдықты пайдаланып жүйеге қол жеткізу.
Криптографиялық шифрлау әдістері
Webmoney және Yandex.Money 1024 бит ұзындығы бар кілтті пайдаланады (өте жоғары көрсеткіш, қарапайым дөрекі күш әдісі арқылы мұндай кілтті бұзу дерлік мүмкін емес), ал PayPal кілттің жартысы - 512 битке сәйкес пайдаланады. , алғашқы екі жүйе үшін осы критерийді пайдалана отырып, біз максималды ұпай аламыз – 3. PayPal, ол қысқа шифрлау кілтін пайдаланатындықтан, екі ұпай алады. E-Port-ты осы параметр бойынша бағалау ғана қалады.Оның SSL протоколын пайдаланғанына және тіпті 128 битке дейінгі кілт ұзындығына қарамастан, E-Port кейбір ықтимал осалдықтарға ие: браузерлердің көптеген ескі нұсқалары қысқарақ кілттермен шифрлауды қолдайды. , сондықтан алынған деректерді бұзу мүмкіндігі бар; сәйкес, браузерді клиент ретінде пайдаланатындар үшін төлем жүйесі, онымен жұмыс істеу керек соңғы нұсқасы(әрине, бұл әрқашан қолайлы немесе мүмкін емес). Дегенмен, «шифрлау» бағанында E-Port 1,7 балл берілуі мүмкін: жүйе бұл рейтингті электрондық пошта хабарламаларын шифрлау үшін прогрессивті PGP протоколын пайдаланудың арқасында алды.
Аутентификация
Webmoney және Yandex.Money жүйелері қол жеткізу үшін екі критерийді пайдаланады, ал PayPal және E-Port тек біреуін пайдаланады. Webmoney жүйесінде жүйеге кіру және төлемдерді жүзеге асыру үшін пароль мен арнайы кілтті енгізу керек. Yandex.Money осылай жұмыс істейді: пароль және арнайы әмиян бағдарламасы қажет.Барлық басқа жүйелерде кіру пароль арқылы қамтамасыз етіледі. Дегенмен, E-Port жүйесінде SSL хаттамасы арқылы жұмыс істеу үшін әлеуетті клиенттің веб-сервері пайдаланылады.
Webmoney және Yandex.Money мәліметтері бойынша олар мұнда үш ұпай алады, PayPal - 0 ұпай, E-Port - бір.
Бұл жерде алдыңғы параметрлерге қарағанда оңайырақ. Барлық жүйелердің ішінде тек Webmoney PayPal-да мұндай қосымша опция бар, соңғысы мұндай мүмкіндікті бермейді. Осылайша, салмақ коэффициентін ескере отырып, Webmoney және PayPal осы параметр үшін 1,5 ұпай алды, қалғандарының барлығы нөлге ие болды.
Екі критерийді бағалағаннан кейін біз қорытындылай аламыз. Қарастырылған параметрлердің сомасына сүйене отырып, Webmoney қауіпсіз болып шықты. Шынында да, егер пайдаланушы өзі ұсынатын барлық қауіпсіздік қызметтерін пайдаланса, ол алаяқтарға іс жүзінде қол сұғылмайтын болып қала алады. Екінші орынды Yandex.Money жүйесі, үшінші орынды PayPal (бұл жүйе төлемдердің айтарлықтай құқықтық ашықтығы үшін заңды тұлғалар үшін өте қолайлы), ал соңғы орын E-Port жүйесіне бұйырды.
Сонымен қатар, төлем жүйелерін талдауды қорытындылай келе, электрондық төлем жүйесін таңдау ең маңыздыларының бірі болса да, бір қауіпсіздік параметрі бойынша жүзеге асырылмайды деп айта аламыз. Электрондық төлем жүйелері қызметтердің қолжетімділігімен, пайдаланудың қарапайымдылығымен де ерекшеленеді – басқа да көптеген факторлар бар.
қорытындылар
Электрондық төлемдер – телекоммуникация дамуының табиғи кезеңі.Сұраныс толыққанды өнім – цифрлық өнім бар тауашаларда жоғары, оның қасиеттері онлайн төлемнің қасиеттерімен жақсы «қабатталған»: жедел төлем, жедел жеткізу. , қарапайымдылығы мен брендсіздігі.
Интернет төлем жүйесіИнтернет арқылы тауарлар мен қызметтерді сатып алу/сату процесінде қаржы, бизнес ұйымдары мен Интернет пайдаланушылары арасындағы төлемдерді жүзеге асыру жүйесі болып табылады. Бұл төлем жүйесі тапсырыстарды өңдеу қызметін немесе электронды дүкен сөресін барлық стандартты атрибуттары бар толыққанды дүкенге айналдыруға мүмкіндік береді: сатушының веб-сайтында өнімді немесе қызметті таңдай отырып, сатып алушы дүкеннен шықпай-ақ төлем жасай алады. компьютер.
Электрондық коммерция жүйесінде төлемдер бірқатар шарттарды сақтай отырып жүзеге асырылады:
1. Құпиялылықты сақтау. Интернет арқылы төлем жасау кезінде сатып алушы өз деректерінің (мысалы, несие картасының нөмірі) тек заңды құқығы бар ұйымдарға белгілі болғанын қалайды.
2. Ақпараттың тұтастығын сақтау. Сатып алу туралы ақпаратты ешкім өзгерте алмайды.
3. Аутентификация. Сатып алушылар мен сатушылар мәмілеге қатысатын барлық тараптардың өздері айтқан адам екеніне сенімді болуы керек.
4. Төлем құралдары. Сатып алушыға қолжетімді кез келген төлем құралын пайдалана отырып төлеу мүмкіндігі.
6. Сатушының тәуекелдік кепілдіктері. Интернетте сауда жасау кезінде сатушы өнімнен бас тартуға және сатып алушының адалдығына байланысты көптеген тәуекелдерге ұшырайды. Тәуекелдердің шамасы төлем жүйесінің провайдерімен және сауда тізбегіне кіретін басқа ұйымдармен арнайы келісімдер арқылы келісілуі керек.
7. Транзакциялық комиссияларды азайту. Тауарларға тапсырыс беру және төлеу үшін транзакцияны өңдеу комиссиялары табиғи түрде олардың бағасына кіреді, сондықтан транзакция бағасын төмендету бәсекеге қабілеттілікті арттырады. Сатып алушы тауардан бас тартса да, мәміле кез келген жағдайда төленуі керек екенін ескеру маңызды.
Бұл шарттардың барлығы өз мәні бойынша дәстүрлі төлем жүйелерінің электронды нұсқалары болып табылатын Интернет-төлем жүйесінде жүзеге асырылуы керек.
Осылайша, барлық төлем жүйелері бөлінеді:
Дебет (электрондық чектермен және цифрлық қолма-қол ақшамен жұмыс істеу);
Несие (несие карталарымен жұмыс істеу).
Дебеттік жүйелер
Дебеттік төлемдер схемалары олардың офлайн прототиптеріне ұқсас құрастырылған: чек және тұрақты ақша. Схема екі тәуелсіз тарапты қамтиды: эмитенттер мен пайдаланушылар. Эмитент төлем жүйесін басқаратын субъект ретінде түсініледі. Ол төлемдерді білдіретін кейбір электрондық бірліктерді шығарады (мысалы, банктік шоттардағы ақша). Жүйені пайдаланушылар екі негізгі функцияны орындайды. Олар шығарылған электрондық бірліктерді пайдалана отырып, Интернетте төлемдерді жасайды және қабылдайды.
Электрондық чектер кәдімгі қағаз чектеріне ұқсас. Бұл төлеушінің өз шотынан алушының шотына ақша аудару туралы өз банкіне берген нұсқаулары. Операция чекті алушы банкте көрсеткен кезде жүзеге асырылады. Мұнда екі негізгі айырмашылық бар. Біріншіден, қағаз чекті жазу кезінде төлеуші өзінің нақты қолын, ал онлайн нұсқасында – электронды қолтаңбасын қояды. Екіншіден, чектердің өзі электронды түрде беріледі.
Төлемдер бірнеше кезеңмен жүзеге асырылады:
1. Төлеуші электрондық чек береді, оған электрондық қолтаңбамен қол қояды және алушыға жібереді. Сенімділік пен қауіпсіздікті қамтамасыз ету үшін тексеру шотының нөмірін банктің ашық кілтімен шифрлауға болады.
2. Чек төлем жүйесіне төлеуге ұсынылады. Әрі қарай (осы жерде немесе алушыға қызмет көрсететін банкте) тексеру жүргізіледі электрондық қолтаңба.
3. Егер оның түпнұсқалығы расталса, тауар жеткізіледі немесе қызмет көрсетіледі. Ақша төлеушінің шотынан алушының шотына аударылады.
Төлем схемасының қарапайымдылығы (43-сурет), өкінішке орай, тексеру схемаларының әлі кең таралмағандығына және электрондық қолтаңбаны енгізу үшін сертификаттау орталықтарының жоқтығына байланысты оны жүзеге асыру қиындықтарымен өтеледі.
Электрондық цифрлық қолтаңба (ЭСҚ) ашық кілтті шифрлау жүйесін пайдаланады. Бұл қол қою үшін жеке кілтті және тексеру үшін ашық кілтті жасайды. Жеке кілт пайдаланушыда сақталады, ал ашық кілтке барлығы қол жеткізе алады. Ашық кілттерді таратудың ең қолайлы жолы – сертификаттау органдарын пайдалану. Онда ашық кілт пен иесі туралы ақпарат бар цифрлық сертификаттар сақталады. Бұл пайдаланушыны ашық кілтін өзі тарату міндетінен босатады. Бұған қоса, сертификаттау органдары ешкімнің басқа тұлға атынан кілт жасай алмайтындығына көз жеткізу үшін аутентификацияны қамтамасыз етеді.
Электрондық ақша нақты ақшаны толығымен имитациялайды. Бұл ретте эмитент ұйым – эмитент – олардың әртүрлі жүйелерде (мысалы, купондар) әртүрлі аталатын электрондық аналогтарын шығарады. Содан кейін оларды пайдаланушылар сатып алады, олар оларды сатып алуды төлеу үшін пайдаланады, содан кейін сатушы оларды эмитенттен өтейді. Шығарылған кезде әрбір ақша бірлігі өтеу алдында эмитенттік құрылыммен тексерілетін электрондық мөрмен куәландырылады.
Физикалық ақшаның ерекшеліктерінің бірі оның анонимділігі, яғни оны кім және қашан пайдаланғаны көрсетілмейді. Кейбір жүйелер, ұқсастық бойынша, сатып алушыға оның ақшамен байланысын анықтау мүмкін болмайтындай электрондық ақшаны алуға мүмкіндік береді. Бұл соқыр қолтаңба схемасы арқылы жасалады.
Сондай-ақ пайдалану кезінде атап өткен жөн электрондық ақшаАутентификацияның қажеті жоқ, өйткені жүйе ақшаны пайдаланбас бұрын айналысқа шығаруға негізделген.
44-суретте электрондық ақшаны қолдану арқылы төлем схемасы көрсетілген.
Төлем механизмі келесідей:
1. Сатып алушы нақты ақшаны электронды ақшаға алдын ала айырбастайды. Клиентте қолма-қол ақшаны сақтау екі жолмен жүзеге асырылуы мүмкін, ол қолданылатын жүйемен анықталады:
Компьютердің қатты дискісінде;
Смарт карталарда.
Әртүрлі жүйелер әртүрлі алмасу схемаларын ұсынады. Кейбіреулер арнайы шоттар ашады, оларға сатып алушының шотынан ақша электронды вексельдерге ауыстырылады. Кейбір банктер электронды қолма-қол ақшаны өздері шығара алады. Бұл ретте ол клиенттің өтініші бойынша ғана беріледі, содан кейін оны осы клиенттің компьютеріне немесе картасына аудару және оның шотынан ақша эквивалентін алу жүзеге асырылады. Соқыр қолтаңбаны енгізу кезінде сатып алушының өзі электронды вексельдерді жасайды, оларды банкке жібереді, онда шотқа нақты ақша түскен кезде олар мөрмен куәландырылады және клиентке қайтарылады.
Мұндай сақтаудың ыңғайлылығымен қатар оның кемшіліктері де бар. Дискіге немесе смарт-картаға зақым келтіру электрондық ақшаның қайтымсыз жоғалуына әкеледі.
2. Сатып алушы сатып алу үшін электрондық ақшаны сатушының серверіне аударады.
3. Ақша эмитентке ұсынылады, ол оның түпнұсқалығын тексереді.
4. Электрондық шоттар шынайы болса, сатушының шоты сатып алу сомасына ұлғайып, тауар сатып алушыға жөнелтіледі немесе қызмет көрсетіледі.
Электрондық ақшаның маңызды ерекшелік белгілерінің бірі микротөлемдерді жүзеге асыру мүмкіндігі болып табылады. Бұл банкноттардың номиналы нақты монеталарға (мысалы, 37 тиын) сәйкес келмеуі мүмкін екеніне байланысты.
Банктер де, банктік емес ұйымдар да электронды қолма-қол ақша бере алады. Алайда ол әлі дамымаған бір жүйеэлектрондық ақшаның әртүрлі түрлерін айырбастау. Сондықтан эмитенттердің өздері шығарған электронды қолма-қол ақшаны өтей алады. Сонымен қатар, қаржылық емес құрылымдардың мұндай ақшасын пайдалануға мемлекет кепілдік бермейді. Дегенмен, транзакция құнының төмендігі электронды қолма-қол ақшаны онлайн төлемдер үшін тартымды құрал етеді.
Несие жүйелері
Интернет-несие жүйелері несие карталарымен жұмыс істейтін кәдімгі жүйелердің аналогтары болып табылады. Айырмашылығы мынада, барлық транзакциялар интернет арқылы жүзеге асырылады, нәтижесінде қосымша қауіпсіздік және аутентификация шаралары қажет.
Несие карталарын пайдалана отырып, Интернет арқылы төлемдерді жүзеге асыруға мыналар қатысады:
1. Сатып алушы. Веб-шолғышы және Интернетке кіру мүмкіндігі бар компьютері бар клиент.
2. Эмитент-банк. Сатып алушының банктік шоты осында орналасқан. Эмитент банк карточкаларды шығарады және клиенттің қаржылық міндеттемелерінің кепілі болып табылады.
3. Сатушылар. Сатушылар тауарлар мен қызметтердің каталогтары жүргізілетін және тұтынушылардың сатып алу тапсырыстары қабылданатын E-Commerce серверлері ретінде түсініледі.
4. Эквайринг банктер. Сатушыларға қызмет көрсететін банктер. Әрбір сатушының ағымдағы шотын жүргізетін жалғыз банкі бар.
5. Интернет төлем жүйесі. Басқа қатысушылар арасында делдал ретінде әрекет ететін электрондық компоненттер.
6. Дәстүрлі төлем жүйесі. Осы үлгідегі карточкаларға қызмет көрсетуге арналған қаржылық және технологиялық құралдардың жиынтығы. Төлем жүйесі шешетін негізгі міндеттердің қатарында карталарды тауарлар мен қызметтерге төлем құралы ретінде пайдалануды қамтамасыз ету, банктік қызметтерді пайдалану, өзара есеп айырысуларды жүргізу және т.б. Төлем жүйесінің қатысушылары несие карталарын пайдалану арқылы біріккен жеке және заңды тұлғалар болып табылады.
7. Төлем жүйесінің процессингтік орталығы. Дәстүрлі төлем жүйесіне қатысушылар арасындағы ақпараттық және технологиялық өзара әрекеттесуді қамтамасыз ететін ұйым.
8. Төлем жүйесінің есеп айырысу банкі. Процессинг орталығының тапсырмасы бойынша төлем жүйесіне қатысушылар арасында өзара есеп айырысуларды жүзеге асыратын несие ұйымы.
Мұндай жүйедегі жалпы төлем схемасы 45-суретте көрсетілген.
1. Электрондық дүкенде сатып алушы тауарлар себетін жасайды және төлем әдісін таңдайды «несие картасы».
Дүкен арқылы, яғни карта параметрлері тікелей дүкеннің веб-сайтына енгізіледі, содан кейін олар Интернет төлем жүйесіне ауыстырылады (2а);
Төлем жүйесінің серверінде (2b).
Екінші жолдың артықшылығы айқын. Бұл жағдайда карталар туралы ақпарат дүкенде қалмайды, тиісінше, үшінші тұлғалардың оларды алу немесе сатушыға алданып қалу қаупі азаяды. Екі жағдайда да несие картасының мәліметтерін тасымалдау кезінде оларды желідегі шабуылдаушылар ұстап алу мүмкіндігі әлі де бар. Бұған жол бермеу үшін деректер жіберу кезінде шифрланады.
Шифрлау, әрине, желіде деректерді ұстап алу мүмкіндігін азайтады, сондықтан сатып алушы/сатушы, сатушы/интернет төлем жүйесі, сатып алушы/интернет төлем жүйесі арасында қауіпсіз хаттамалар арқылы байланыстарды жүзеге асырған жөн. Олардың ең көп тарағандары бүгінде SSL (Secure Sockets Layer) протоколы, сондай-ақ SET (Secure Electronic Transaction) стандарты болып табылады, ол Интернетте несие картасын сатып алу үшін төлемдерге қатысты транзакцияларды өңдеу кезінде SSL ауыстыруға арналған.
3. Интернет төлем жүйесі авторизация сұрауын дәстүрлі төлем жүйесіне жібереді.
4. Келесі қадам эмитент-банктің шоттардың онлайн деректер базасын жүргізетініне байланысты. Мәліметтер базасы болған жағдайда процессингтік орталық эмитент-банкке карточканы авторизациялауға сұраныс жібереді (кіріспені немесе сөздікті қараңыз) (4а), содан кейін (4б) оның нәтижесін алады. Егер мұндай деректер базасы болмаса, процессингтік орталықтың өзі карточка ұстаушылардың шоттарының жай-күйі туралы ақпаратты сақтайды, тоқтату тізімдерін жасайды және авторизациялау сұрауларын орындайды. Бұл ақпаратты эмитент-банктер үнемі жаңартып отырады.
Дүкен қызмет көрсетеді немесе тауарларды жөнелтеді (8а);
Процессингтік орталық аяқталған операция туралы ақпаратты есеп айырысу банкіне береді (8б). Сатып алушының банк-эмитенттегі шотындағы ақша есеп айырысу банкі арқылы дүкеннің эквайер-банктегі шотына аударылады.
Мұндай төлемдерді жасау үшін көп жағдайда сізге арнайы қажет бағдарламалық қамтамасыз ету. Оны сатып алушыға (электрондық әмиян деп аталады), сатушыға және оның қызмет көрсететін банкіне беруге болады.
Кіріспе
1. Электрондық төлем жүйелері және олардың классификациясы
1.1 Негізгі ұғымдар
1.2 Электрондық төлем жүйелерінің классификациясы
1.3 Ресейде қолданылатын негізгі электрондық төлем жүйелерін талдау
2. Электрондық төлем жүйелерінің қауіпсіздік шаралары
2.1 Электрондық төлем жүйелерін қолданумен байланысты қауіптер
2.2 Электрондық төлем жүйелерін қорғау технологиялары
2.3 Сәйкестікке технологияларды талдау негізгі талаптарэлектрондық төлем жүйелеріне
Қорытынды
Библиография
КІРІСПЕ
10 жыл бұрын аз ғана адамдарды қызықтырмайтын электронды төлемдер мен электронды ақшаның жоғары мамандандырылған тақырыбы соңғы уақытта тек бизнесмендер үшін ғана емес, сонымен қатар соңғы пайдаланушылар үшін де өзекті болды. Компьютерді немесе танымал баспасөзді кейде оқитын әрбір екінші адам «электрондық бизнес» және «электрондық коммерция» деген сәнді сөздерді біледі. Қашықтықтан төлем жасау міндеті (ақшаны алыс қашықтыққа аудару) арнайы санаттан күнделікті өмірге көшті. Алайда, бұл мәселе бойынша ақпараттың көптігі азаматтардың санасында нақтылыққа ешқандай ықпал етпейді. Электрондық төлемдер мәселесінің күрделілігі мен тұжырымдамалық дамуының жоқтығына байланысты да, көптеген танымал етушілер жиі бұзылған телефон принципімен жұмыс істейтіндіктен, күнделікті деңгейде бәрі, әрине, бәріне түсінікті. Бірақ бұл электронды төлемдерді практикалық дамыту уақыты келгенше. Бұл жерде белгілі бір жағдайларда электронды төлемдерді пайдалану қаншалықты орынды екенін түсінбеушілік бар.
Сонымен қатар, электронды төлемдерді қабылдау міндеті Интернетті пайдалана отырып, саудамен айналысатындар үшін де, Интернет арқылы сатып алуды жоспарлаушылар үшін де маңызды болып отыр. Бұл мақала екеуіне де арналған.
Жаңадан бастағандар үшін электронды төлем жүйелерін қарастырудағы негізгі мәселе олардың дизайны мен жұмыс істеу принциптерінің әртүрлілігі және іске асырудың сыртқы ұқсастығына қарамастан, олардың тереңдігінде мүлдем басқа технологиялық және қаржылық механизмдерді жасыруға болатындығы болып табылады.
Ғаламдық Интернеттің танымалдылығының қарқынды дамуы әлемдік экономиканың әртүрлі салаларында жаңа тәсілдер мен шешімдерді әзірлеуге қуатты серпін әкелді. Тіпті банктердегі электронды төлем жүйелері сияқты консервативті жүйелер де жаңа тенденцияларға бой алдырды. Бұл жаңа төлем жүйелерінің - Интернет арқылы электрондық төлем жүйелерінің пайда болуы мен дамуында көрініс тапты, оның басты артықшылығы клиенттер төлем тапсырмасын физикалық тасымалдаудың қиын және кейде техникалық қиын кезеңін айналып өтіп, төлемдерді (қаржылық операцияларды) жүзеге асыра алады. банкке. Банктер мен банктік мекемелер де бұл жүйелерді енгізуге мүдделі, өйткені олар клиенттерге қызмет көрсету жылдамдығын арттырып, төлемдерді жүзеге асыруға арналған үстеме шығындарды азайта алады.
Электрондық төлем жүйелері ақпаратты, оның ішінде жалған ақпаратты көруден, өзгертуден және енгізуден қорғауды талап ететін құпия ақпаратты айналымға шығарады. Сәйкес Интернетке бағытталған қауіпсіздік технологияларын әзірлеу қазіргі уақытта басты мәселе болып табылады. Мұның себебі сәулет, негізгі ресурстар мен технологиялар Интернет желілеріқол жеткізуді немесе жинауды ұйымдастыруға бағытталған ашық ақпарат. Дегенмен, жақында Интернет арқылы ақпаратты қауіпсіз тасымалдау жүйесін құруда стандартты Интернет технологияларын пайдалану мүмкіндігін көрсететін тәсілдер мен шешімдер пайда болды.
RGR мақсаты электрондық төлем жүйелерін талдау және олардың әрқайсысын пайдалану бойынша ұсыныстар әзірлеу болып табылады. Мақсатқа сүйене отырып, RGR орындаудың келесі кезеңдері тұжырымдалады:
1. Электрондық төлем жүйелерінің негізгі міндеттерін және олардың жұмыс істеу принциптерін, ерекшеліктерін анықтаңыз.
2. Негізгі электрондық төлем жүйелеріне талдау жасаңыз.
3. Электрондық ақшаны пайдаланумен байланысты қауіптерді талдаңыз.
4. Электрондық төлем жүйелерін пайдалану кезіндегі қауіпсіздік шараларын талдау.
1. ЭЛЕКТРОНДЫ ТӨЛЕМ ЖҮЙЕЛЕРІ ЖӘНЕ ОЛАРДЫҢ Жіктелуі
1.1 Негізгі ұғымдар
Электрондық төлемдер. Жиырмасыншы ғасырдың екінші жартысында қолма-қол ақшасыз есеп айырысулардың бір түрі ретінде электронды төлемдердің пайда болуы туралы айтудың заңдылығынан бастайық. Басқаша айтқанда, төлемдер туралы ақпаратты сым арқылы беру бұрыннан бар, бірақ сымдардың екі жағында компьютерлер пайда болған кезде түбегейлі жаңа сапаға ие болды. Ақпарат сол кезде пайда болған телекс, телетайп, компьютерлік желілер арқылы берілді. Сапалы жаңа секіріс төлемдер жылдамдығының айтарлықтай артып, оларды автоматты түрде өңдеу мүмкіндігінің пайда болуымен көрінді.
Кейіннен төлемнің басқа түрлерінің электрондық баламалары да пайда болды - қолма-қол ақша төлемдері және басқа төлем құралдары (мысалы, чектер).
Электрондық төлем жүйелері (EPS). Электрондық төлем жүйесін біз нақты аппараттық құралдардың және кез келген кешен деп атаймыз бағдарламалық қамтамасыз ету, электронды төлемдерге мүмкіндік береді.
Бар әртүрлі жолдаржәне EPS қол жеткізу үшін байланыс арналары. Бүгінгі таңда бұл арналардың ең көп тарағаны – Интернет. EPS таралуы артып келеді, оған қол жеткізу арқылы жүзеге асырылады ұялы телефон(SMS, WAP және басқа хаттамалар арқылы). Басқа әдістер сирек кездеседі: модем арқылы, сенсорлық телефон арқылы, оператор арқылы телефон арқылы.
Электрондық ақша. Бұлыңғыр термин. Егер сіз оның астарында не жатқанын мұқият қарастырсаңыз, электронды ақшаның «электрондық қолма-қол ақшаның», сондай-ақ электрондық төлем жүйелерінің қате атауы екенін түсіну оңай.
Терминологиядағы бұл түсінбеушілік терминдерді ағылшын тілінен аудару еркіндігіне байланысты. Ресейде электронды төлемдер Еуропа мен Америкаға қарағанда әлдеқайда баяу дамығандықтан, біз бекітілген шарттарды қолдануға мәжбүр болдық. Әрине, электронды қолма-қол ақшаның «цифрлық қолма-қол ақша» (e-cash), «цифрлық ақша», «электрондық қолма-қол ақша» (цифрлық қолма-қол ақша)2 сияқты атаулары өмір сүруге құқылы.
Жалпы, «электрондық ақша» термині нақты ештеңені білдірмейді, сондықтан болашақта біз оны пайдаланудан аулақ болуға тырысамыз.
Электрондық қолма-қол ақша:
Бұл өткен ғасырдың 90-жылдарында пайда болған, банктегі немесе басқа қаржы ұйымындағы шоттан шотқа ақша аударумен тікелей байланысты емес электронды төлемдерді жүзеге асыруға мүмкіндік беретін технология, яғни түпкілікті қатысушылар – тұлғалар арасында тікелей. төлемде. Электрондық қолма-қол ақшаның тағы бір маңызды қасиеті – ол қамтамасыз ететін төлемдердің анонимділігі. Төлемді куәландыратын авторизация орталығында ақшаны кім және кімге арнайы аударғаны туралы ақпарат жоқ.
Электрондық қолма-қол ақша – электронды төлем түрлерінің бірі. Электрондық қолма-қол ақшаның бірлігі – бұл эмитенттің (банктің немесе басқа қаржы институтының) қаржылық міндеттемесі, мәні бойынша кәдімгі вексельге ұқсас. Электрондық қолма-қол ақшаны пайдаланатын төлемдер басқа төлем жүйелерін пайдалану ыңғайсыз болған жағдайда пайда болады. Сатып алушының интернетте тауарға төлем жасау кезінде өзінің несие картасы туралы ақпарат беруден бас тартуы айқын мысал болып табылады.
Терминология туралы шешім қабылдап, әңгімеміздің келесі кезеңіне көшуге болады - EPS классификациясы туралы сөйлесейік. EPS электронды төлемдерге делдал болғандықтан, EPS бөлу осы төлемдердің әртүрлі түрлеріне негізделген.
Сонымен қатар, бұл мәселеде EPS механизмі негізделген бағдарламалық және/немесе аппараттық технология өте маңызды рөл атқарады.
1.2 Электрондық төлем жүйелерінің классификациясы
Электрондық төлем жүйелерін электрондық төлемдердің ерекшеліктеріне қарай да, электронды төлем жүйесінің негізінде жатқан нақты технология негізінде де жіктеуге болады.
Электрондық төлемдер түріне байланысты EPS классификациясы:
1. Төлемге қатысушылардың құрамы бойынша (1-кесте).
1-кесте
| Электрондық төлемдердің түрі | Төлем тараптары | Дәстүрлі қолма-қол есеп айырысу жүйесіндегі аналог | EPS мысалы |
| Банктен банкке төлемдер | Қаржы институттары | аналогтары жоқ | |
| B2B төлемдері | Заңды тұлға | Ұйымдар арасындағы қолма-қол ақшасыз төлемдер | |
| С2В төлемдері | Тауарлар мен қызметтерді түпкілікті тұтынушылар және заңды тұлғалар – сатушылар | Сатып алушылардан сатушыларға қолма-қол және қолма-қол ақшасыз төлемдер | Несиелік пилот |
| C2C төлемдері | Жеке тұлғалар | Жеке тұлғалар арасындағы тікелей ақшалай төлемдер, пошталық және телеграфтық аударымдар |
Біз «банктен банкке» түріндегі электрондық төлемдерге қызмет көрсетуге арналған электрондық төлем жүйелерін бұдан әрі қарастырмаймыз. Мұндай жүйелер өте күрделі, олар банк жүйесінің жұмыс істеуінің технологиялық аспектілеріне көбірек әсер етеді және біздің оқырмандарымыздың кең тобын қызықтырмауы мүмкін.
Сонымен қатар, 1-кестеге қисынды түрде сәйкес келмейтін төлемнің тағы бір түрі бар екенін атап өткен жөн. Формальды критерийлер бойынша ол толығымен C2B аймағына жатады, бірақ соған қарамастан бұл түрдегі кең таралған EPS көмегімен қамтамасыз етілмейді. Микротөлемдер тауарлардың өте аз (цент немесе центтің бөліктері) құнымен сипатталады. Барлығына ең тән танымал мақалаларМикротөлемдерді жүзеге асыратын жүйенің мысалы ретінде әзілдерді сату болып табылады (бір бөлік үшін цент үшін). Eaccess және Phonepay сияқты жүйелер микротөлем жасау үшін қолайлы.
2. Орындалатын операциялардың түрлері бойынша (2-кесте).
кесте 2
| Электрондық төлемдердің түрі | Олар қайда қолданылады? | EPS мысалы |
| Банктік шотты басқару операциялары | Модем, интернет, ұялы телефон және т.б. арқылы кіру мүмкіндігі бар «клиент банкі» жүйелері. | Клиент жүйесінің банктік шотын басқару бойынша операциялар |
| Банктік шот ашпай ақша аудару операциялары | Ақша аудару жүйелері компьютерлік желілер, пошталық және телеграфтық аударымдарға ұқсас | |
| Карточкалық банктік шоттармен операциялар | Дебеттік және несиелік пластикалық карталар | Cyberplat (Cyberpos) |
| Электрондық чектермен операциялар және басқа да қолма-қол ақшасыз төлем міндеттемелері | Корпоративтік төлемдердің жабық жүйелері | Cyberplat (Cybercheck) |
| Электрондық (квази) қолма-қол ақшамен операциялар | Физикалық есептеулер тұлғалар, тауарларды төлеу үшін ақша суррогаттары ретінде пайдаланылатын жетондардың және алдын ала төленген карталардың электрондық аналогтары |
Айта кету керек, «клиент – банк» типті жүйелер бұрыннан белгілі. Модем арқылы банктік шотыңызға кіруге болады. Соңғы онжылдықта пайдаланушыға ыңғайлы веб-интерфейс арқылы Интернетті пайдаланып тіркелгіңізді басқарудың жаңа мүмкіндіктері пайда болды. Бұл қызмет «Интернет-банкинг» деп аталды және «клиент-банк» түріндегі төлем жүйелеріне түбегейлі жаңа ештеңе енгізбеді. Бұдан басқа, банктік шотқа қол жеткізудің басқа нұсқалары бар, мысалы, ұялы телефонды пайдалану (WAP банкинг, SMS банкинг). Осыған байланысты, бұл мақалада біз EPS-тің бұл түріне арнайы тоқталмаймыз, тек қазіргі уақытта Ресейде 100-ге жуық коммерциялық банктер 10-нан астам әртүрлі EPS пайдалана отырып, Интернет-банкинг қызметін ұсынатынын ғана айтамыз.
Қолданылатын технологияға байланысты EPS классификациясы:
EPS-тің ең маңызды қасиеттерінің бірі - оның ұрлыққа төзімділігі. Бұл, мүмкін, мұндай жүйелердің ең көп талқыланатын сипаттамасы. 3-кестеден көріп отырғанымыздай, жүйелік қауіпсіздік мәселесін шешу кезінде электрондық қауіпсіздік жүйесін құру тәсілдерінің көпшілігі маңызды ақпаратты қамтитын белгілі бір орталық деректер қорының құпиялылығына негізделген. Сонымен бірге олардың кейбіреулері бұған қосады құпия негізБұл қосымша қорғаныс деңгейлері аппараттық құралдың беріктігіне негізделген.
Негізінде, EPS құруға болатын басқа технологиялар бар. Мысалы, жақында БАҚ-та пластикалық картаға салынған CDR дискілеріне негізделген EPS әзірленгені туралы хабар шықты. Дегенмен ұқсас жүйелерәлемдік тәжірибеде кеңінен қолданылмайды, сондықтан біз оларға тоқталмаймыз.
3-кесте
| Технология | Жүйенің тұрақтылығы неге негізделген? | EPS мысалы |
| Орталық сервер клиенттік банкі бар жүйелер, ақша аудару | Қол жеткізу кілттерінің құпиялылығы | Телебанк (Гута-банк), «Интернет сервистік банк» (Автобанк) |
| Смарт карталар | Смарт-карталардың бұзуға аппараттық кедергісі | Mondex, сәйкес |
| Магниттік карталар және виртуалды несие карталары | Көмектес, Элита |
|
| Скреч карталары | Мәліметтер қорының скретч-карта нөмірлері мен кодтарымен құпиялылығы | E-port, Creditpilot, Webmoney, Paycash, Rapira |
| Пайдаланушының компьютеріндегі бағдарлама түріндегі файл/әмиян | Ақпарат алмасу хаттамасының криптографиялық күші | |
| Ақылы телефон қоңырауы | Орталық деректер қорының пин кодтарымен құпиялылығы және смарт телефон желісінің аппараттық тұрақтылығы | Қолжетімділік, Phonepay |
1.3 Ресейде қолданылатын негізгі электрондық төлем жүйелерін талдау
Қазіргі уақытта ресейлік Интернетте көптеген электронды төлем жүйелері қолданылады, бірақ олардың барлығы кеңінен қолданылмайды. RuNet-те қолданылатын батыстық төлем жүйелерінің барлығы дерлік несие карталарымен байланысты екендігі тән. Олардың кейбіреулері, мысалы, PayPal, Ресейден келген клиенттермен жұмыс істеуден ресми түрде бас тартады. Бүгінгі таңда ең көп қолданылатын жүйелер:
CyberPlat аралас типті жүйелерге жатады (жоғарыда аталған классификациялардың кез келгені тұрғысынан). Шындығында, бұл жүйеде үш бөлек жүйе бір шаңырақ астында жиналған деп айта аламыз: клиенттерге жүйеге қатысушы банктерде ашылған шоттарды басқаруға мүмкіндік беретін классикалық «клиент-банк» жүйесі (11 ресейлік банк және 1 латвиялық) ; CyberCheck жүйесі, ол жүйеге қосылған заңды тұлғалар арасында қауіпсіз төлемдерді жүзеге асыруға мүмкіндік береді; және Интернет-эквайринг жүйесі, яғни несиелік карталардан қабылданған төлемдерді өңдеу - CyberPos. Ресей нарығында қол жетімді барлық интернет-эквайринг жүйелерінің ішінде CyberPlat несие карталарының ең көп түрлерін өңдеуді қамтамасыз етеді, атап айтқанда: Visa, Mastercard/Eurocard, American Express7, Diners Club, JCB, Union Card; ол өзінің жақын арада қосылатынын хабарлады. STB-карта жүйесі және ACCORD картасы/Bashcard. Бейресми түрде компания қызметкерлері басқа ресейлік карта жүйелерімен араласу мүмкіндігін зерттеп жатырмыз деп мәлімдеді. Жоғарыда айтылғандардан басқа, CyberPlat компаниясы E-port төлем жүйесінің скретч-карталарын өңдеуді қамтамасыз етеді және алдағы уақытта Paycash жүйесі бар шлюзді пайдалануға беру туралы хабарлады.
Қазіргі уақытта ұрланған несие карталарынан төлемдерден қорғау деңгейін арттыру үшін компания сатушыға сатып алушының несие картасымен байланысты банктік шотқа шынымен қол жеткізе алатынын немесе тек оның деректемелерін білетінін тексеруге мүмкіндік беретін мамандандырылған PalPay технологиясын әзірлеуде. Бұл технологияның қолданысқа енгізілгені әлі ресми түрде жарияланған жоқ.
CyberCheck жүйесі корпоративтік серіктестермен жұмысты ұйымдастыру үшін үлкен қызығушылық тудырады. Оның басты ерекшелігі (несие карталары бойынша төлемдерді қабылдаумен салыстырғанда) төлеушінің фактіден кейін төлем жасаудан бас тартуының мүмкін еместігі болып табылады. Басқаша айтқанда, CyberCheck-тен төлем растауын алу саудагердің шоты орналасқан банктен мұндай растауды алу сияқты сенімді. Барлық осы сипаттамалар CyberPlat-ті ресейлік Интернеттегі EPS сатушылар үшін ең жетілдірілген және қызықты етеді.
Несиелік карталардан төлемдерді өңдеу тұрғысынан Assist жүйесі көптеген жағынан CyberPlat-тың функционалды аналогы болып табылады. Мәскеуде оның мүдделерін Альфа Банк қорғайды. Жүйеге барлығы 5 банк қосылған. Интернет-эквайрингтің ішкі жүйесі Visa, Mastercard/Eurocard, STB-карталарынан төлемдерді қабылдауға мүмкіндік береді. Қыркүйек айындағы жағдай бойынша Assist жүйесінің серверінде жарияланған басқа карта жүйелерінен төлемдер іс жүзінде қабылданбады. Дегенмен, бейресми ақпаратқа сәйкес, жақын арада Diners Club карталарын, Cirrus Maestro және Visa Electron дебеттік карталарын қабылдауға болады. Бір қызығы, бұл карта түрі әдетте эквайринг компанияларда қабылданбайды, бірақ оның құны төмен болғандықтан, бұл карталар өте кең таралған. Әдетте, дебеттік карталарды қабылдаудан бас тарту қауіпсіздік мәселелеріне байланысты. Мүмкін ASSIST бұл мәселені SET протоколын қолдану арқылы жеңе алады, оны қолдау туралы компания жақында жариялады. Карточка иесіне одан жасалған төлемнен бас тартуға мүмкіндік беретін Интернеттегі пластикалық карталармен төлем жасаудың дәстүрлі әдісінен (заряд қайтару) айырмашылығы, SET хаттамасы сатушы үшін тәуекелді айтарлықтай төмендете отырып, транзакцияның шынайылығына кепілдік береді.
Assist веб-сайтында жарияланған Интернет-провайдерден сатып алынған электрондық сертификаттарды пайдалана отырып есеп айырысу әдісі өте қызықты, өйткені ол провайдерлер үшін жаңа бизнес бағыттарын ашады, дегенмен, қолда бар ақпаратқа сәйкес, заңдық қиындықтарға байланысты, соңғы уақытқа дейін олай болмаған. шын мәнінде кез келген адам пайдаланады. Дегенмен, бейресми ақпаратқа сәйкес, бұл жағдай жақын арада өзгереді - 2001 жылдың күзінде біз бұл есептеу әдісінің алғашқы практикалық іске асырылуын көре аламыз.
Сипаттамаларда айтылған CyberPlat және Assist карталары жүйелерінен басқа, нарықта белгілі бір танымалдыққа ие болған басқалары бар. Discover/NOVUS Солтүстік Америкада кеңінен таралған және батыс аудиториясына қызмет көрсететін электрондық дүкендерді қызықтыруы мүмкін. Біз бұл жүйенің карталарын өңдейтін қандай да бір отандық эквайринг компаниялары туралы білмейміз, бірақ батыстық эквайерлердің мүдделерін білдіретін делдалдар тарапынан бірқатар ұсыныстар бар. Ресейлік карточкалық жүйелердің ішінде СТБ және Union Card-тан кейін нарықта ең көрнектілері - Золотая Корона, Сберкард (Сбербанк), Әмбебап карта және ICB-карта (Промстройбанк), сондай-ақ бұрын айтылған ACCORD картасы/Bashcard . «ICB-картасын» бірнеше шағын эквайринг компаниялар өңдейді, Золотая Корона және Сберкарт карталарынан Интернет арқылы төлемдерді қабылдауды эмитенттер және/немесе байланысты компаниялар тікелей қамтамасыз етеді, ал әмбебап карта жағдайында ол жасайды. ешкіммен қамтамасыз етілмеген сияқты.
Paycash және Webmoney-ді әзірлеушілер электронды қолма-қол ақша жүйесі ретінде орналастырады, бірақ мұқият зерттеген кезде мұндай мәртебені тек Paycash ғана талап ете алады.
Paycash-ті дамытуды Таврический банк бастады, бірақ қазіргі уақытта жүйеге басқа банктер қосылған, мысалы, Гута Банк.
Технологиялық тұрғыдан алғанда, Paycash қолма-қол ақша төлемдерінің толықтай дерлік имитациясын қамтамасыз етеді. Бір электрондық әмияннан (клиент өз компьютерінде орнатқан арнайы бағдарлама) ақшаны банкке қатысты төлемнің анонимділігін қамтамасыз ете отырып, екіншісіне аударуға болады. Жүйе Ресейде кеңінен таралған және қазіргі уақытта әлемдік нарыққа шығуға талпыныс жасауда.
Paycash-тің тар жолы - электрондық әмиянға ақша аудару процедурасы. Соңғы уақытқа дейін жалғыз жолол үшін банк бөлімшесіне барып, жүйе шотына ақша аудару керек болды. Рас, балама нұсқалар болды - Guta Bank Telebank жүйесінің пайдаланушылары үшін үйден шықпай-ақ Guta Bank-тегі шоттан ақша аударуға болады, бірақ кейбір жағдайларда оларды тікелей сатушының шотына аудару оңайырақ болды - Paycash-ті делдал ретінде пайдаланбай электрондық дүкен. Сондай-ақ Western Union немесе пошта/схема арқылы ақша аудару мүмкін болды, бірақ бұл бағыттың тартымдылығы комиссиялардың жоғары деңгейімен шектелді. Санкт-Петербург тұрғындары үшін өте экзотикалық мүмкіндік бар - ақша үшін үйге курьерді шақыру. Керемет, бірақ, өкінішке орай, бәріміз де солтүстік астанада тұрмаймыз.
Paycash-ке несие карталарынан ақша аудару әлі мүмкін емес. Бұл карточкалық жүйелердің жұмысын қолдайтын компаниялар өз клиенттеріне «өткізуді қайтару» - төлемді «ретроспективті» жасаудан бас тарту мүмкіндігін беретінімен байланысты. «Charge back» несие картасының иесін оның деректемелерін пайдалана алатын алаяқтардан қорғайтын механизм. Мұндай бас тарту жағдайында тауардың нақты карта ұстаушысына нақты жеткізілгенін және төлем жасалуы тиіс екенін дәлелдеу міндеті сатушыға жүктеледі. Бірақ Paycash жағдайында мұндай дәлелдеу негізінен мүмкін емес - анық себептермен. Әзірлеу үстіндегі жоғарыда аталған CyberPlat шлюзі де осы мәселені шешуге арналған.
Әзірше, бұны қаптамадан шығару үшін бөгетжүйеде PayCash екі ақылға қонымды қадам жасады - ол алдын ала төленген скретч карталарын шығарды және тарифтері пошталық тарифтерден айтарлықтай төмен (2,2% қарсы 8%) Contact аудару жүйесі арқылы төлемдерді қабылдауды қамтамасыз етті.
Webmoney жүйесі - Ресейдегі электронды төлем нарығындағы «пионерлердің» бірі. Қазіргі уақытта ол халықаралық сипатқа ие. Кейбір мәліметтерге қарағанда, Webmoney-дің бұрынғы КСРО республикаларында ғана емес, шет елдерде де өкілдері бар. Жүйелік оператор «VM Center» автономды коммерциялық емес ұйымы болып табылады.
Webmoney жұмыс режимі электронды қолма-қол ақшамен жұмыс істеуге өте ұқсас, тек мұқият және мұқият талдау шын мәнінде Webmoney төлемдердің толық анонимділігін қамтамасыз етпейтініне көз жеткізуге мүмкіндік береді, яғни олардың иелерінен жасырын емес. жүйенің өздері. Дегенмен, Webmoney тәжірибесі бұл мүліктің кейбір жағдайларда алаяқтықпен күресуге мүмкіндік беретін өте пайдалы екенін көрсетті. Сонымен қатар, жеке ақылы қызмет ретінде VM орталығы заңды және жеке тұлғаларды сертификаттауды ұсынады, бұл оны жүйенің басқа қатысушыларына қатысты анонимділіктен айырады. Бұл мүмкіндік ең алдымен адал электронды дүкен ұйымдастырғысы келетін және әлеуетті сатып алушыларды олардың сенімділігіне сендіруді қалайтындар үшін қажет. Webmoney шоттар ашуға және екі валютада ақша аударуға мүмкіндік береді: рубль және доллар.
Жүйеге кіру үшін «электрондық әмиян» бағдарламасы қолданылады. Жүйенің қосымша мүмкіндіктері - әмияннан әмиянға қысқа хабарламаларды тасымалдау, сондай-ақ әмиян иелері арасындағы несиелік операциялар. Алайда, біздің ойымызша, несиені қайтармаған жағдайда мәжбүрлеп өндіріп алу мүмкіндігінсіз интернет арқылы жасырын адамдарға несие беруге келісетіндер аз.
Paycash-тен айырмашылығы, Webmoney бастапқыда әмиянға әдеттегі қолма-қол ақшаны аударуға және әмиянның мазмұнын банкте төлем тапсырмаларын толтырудың қиын процедураларынсыз қолма-қол ақшаға айналдыруға мүмкіндік берді, бірақ заңды тұрғыдан алғанда, өте оғаш жолмен. . Тұтастай алғанда, Webmoney-тің ұйымдармен жұмысына қатысты құқықтық қолдауы көптен бері көптеген шағымдарды тудырды.
Бұл соңғы пайдаланушылар өздері үшін «әмияндарды» белсенді түрде орнатып жатқанда, көптеген электронды дүкендер бұл EPS пайдаланудан бас тартты. Рас, қазіргі уақытта бұл жағдай біршама жақсарды және Webmoney иелерінің белсенді маркетингтік ұстанымы жүйенің имиджінің үнемі жақсаруына әкеледі. Бірі қызықты ерекшеліктеріБұл маркетингтік стратегия нарыққа кіргеннен кейін бірден барлығына осы жүйеде ақша табу мүмкіндігіне ие болды (кейбіреулер «Nails» жобасын және оның кейінгі дамуын есіне алады - visiting.ru). Paycash сияқты, Webmoney жүйеге ақша салуға арналған алдын ала төленген скретч карталарын шығарады.
Скреч карталарына негізделген екі жүйе: E-port (Avtokard-холдинг) және KreditPilot (Kreditpilot.com), егіз ағайынды сияқты. Екеуі де сатып алушы алдымен кең тарату желісінің бір жерінде немесе үйдегі курьер арқылы тапсырыс беру арқылы құпия коды бар скретч картасын сатып алады, содан кейін осы жүйелерден төлемдерді қабылдайтын дүкендерде осы кодты пайдаланып онлайн төлей бастайды деп болжайды. E-port қосымша банк арқылы немесе «Webmoney» жүйесі арқылы компанияның шотына ақша аудару арқылы «виртуалды» скретч карталарын жасау мүмкіндігін ұсынады.
2001 жылдың қыркүйегінде жұмыс істей бастаған Rapida жүйесі, алдыңғы екеуі сияқты, скретч карталары немесе жүйеге қатысушы банкте төлем арқылы пайдаланушының шотына ақша салуды ұсынады. Сонымен қатар, «Клиент-Банк» режимінде жұмыс істеу және жүйеге қатысушылар болып табылмайтын заңды тұлғалардың шоттарына, сондай-ақ жеке тұлғаларға банктік шот ашпай ақша аудару мүмкіндігі көрсетілген. Жүйеге кіру тек Интернет арқылы ғана емес, сонымен қатар теру дыбысын қолдану арқылы телефон арқылы да қамтамасыз етіледі. Тұтастай алғанда, жүйе технологиялық жағынан жетілдірілген және өте қызықты көрінеді, бірақ оның іске қосылғанына әзірге перспективалар туралы айту үшін жеткілікті уақыт өткен жоқ.
Төлемді қалааралық сөйлесулер сияқты төлеуге мүмкіндік беретін EPS (одан кейін телефон компаниясының шот-фактурасы негізінде) алғаш рет АҚШ-та пайда болды және порнографиялық ресурстарға қол жеткізу үшін төлеуге арналған. Алайда, мұндай жүйелердің көптеген иелерінің жүйелі алаяқтық әрекеттеріне байланысты олар сатып алушылар арасында танымалдылыққа ие болмады, ал сатушылар оларға ерекше риза болмады, өйткені бұл жүйелер төлемдерді айтарлықтай кешіктіруге бейім болды.
Ұқсас концепцияның екі отандық іске асырылуы - Phonepay және Eaccess - өз саяхатының басында. Екі жүйе де төлем жасау үшін клиент 8-809 кодындағы белгілі бір қалааралық нөмірге қоңырау шалу керек деп есептейді (мүмкін, MTU-inform компаниясы берген), содан кейін кейбір негізгі ақпарат болады. оған робот айтқан.Eaccess жағдайында бұл ақылы ақпараттық ресурсқа кіру үшін пайдаланылатын пин-код, ал Phonepay жағдайында бұл бес санның бірінің 12 цифрынан тұратын әмбебап «цифрлық монета» Жүйелердің веб-сайттарына қарап, e -access әлі де біртіндеп дамып келе жатқанын, жүйеге қосылған дүкендердің санын көбейтетінін атап өтуге болады, бірақ Phonepay тиесілі емес бірде-бір дүкенді қоспаған. әзірлеушілерге оның жүйесіне.
Менің ойымша, Ресейдегі мұндай жүйелердің соңғы пайдаланушының оларға қол жеткізуінің қарапайымдылығына байланысты өте нақты перспективалары бар, алайда олардың қолдану аясы сатумен шектеледі. ақпараттық ресурстар. Төлемдерді қабылдаудың ұзақ кешігуі (жүйе оларды сатып алушы телефон шотын төлегеннен бұрын дүкенге аударады) осы EPS көмегімен материалдық құндылықтармен сауда жасауды өте тиімсіз әрекетке айналдырады.
Қорытындылай келе, электрондық аударым жүйесінің тағы бір түрін атап өткен жөн – дәстүрлі пошта-телеграфтық аударымдармен бәсекелесетін жеке тұлғалар арасындағы аударымдардың мамандандырылған жүйелері. Бұл тауашаны бірінші болып Western Union және Money Gram сияқты шетелдік жүйелер иеленді. Дәстүрлі аударымдармен салыстырғанда олар төлемнің жоғары жылдамдығы мен сенімділігін қамтамасыз етеді. Сонымен қатар, олардың бірқатар елеулі кемшіліктері бар, олардың ең бастысы - аударым сомасының 10% дейін жететін қызметтерінің жоғары құны. Тағы бір мәселе, бұл жүйелерді тауарларға төлемдерді жүйелі түрде қабылдау үшін заңды түрде пайдалану мүмкін емес. Дегенмен, жай ғана отбасы мен достарына ақша жібергісі келетіндер үшін осы жүйелерге, сондай-ақ олардың назарын аударған жөн. отандық аналогтар(Анелик және Контакт). Әзірге Paycash де, Webmoney де олармен бәсекеге түсе алмайды, өйткені Австралияда немесе Германияда электронды әмияннан қолма-қол ақшаны алу мүмкін емес. Rapida EPS бұл мүмкіндікті мәлімдейді, бірақ әзірге веб-сайтта егжей-тегжейлер жоқ және жүйе кеңселерінің географиясын нарықта бұрыннан бар жүйелермен салыстыруға болмайды.
Электрондық дүкендердің иелері, ең алдымен, несие карталары мен электронды қолма-қол ақша жүйелерінен - Webmoney және Paycash арқылы ақша қабылдау туралы ойлауы керек. Тұтынушы сипаттамаларының жиынтығына сүйене отырып, біздің ойымызша, ресейлік нарықта несие карталарынан төлемдерді қабылдауға арналған жүйелердің ешқайсысы CyberPlat-пен бәсекелесе алмайды. Барлық басқа жүйелер қосымша пайдалануға жатады, әсіресе сол E-портты бөлек орнатудың қажеті жоқ екенін есте сақтасаңыз, оның карталарына CyberPlat қызмет көрсетеді.
2. ЭЛЕКТРОНДЫҚ ТӨЛЕМ ЖҮЙЕЛЕРІН ҚОРҒАУ ҚҰРАЛДАРЫ
2.1 Электрондық төлем жүйелерін қолданумен байланысты қауіптер
қарастырайық ықтимал қауіптеросы жүйеге қатысты шабуылдаушының деструктивті әрекеттері. Ол үшін шабуылдаушы шабуылының негізгі нысандарын қарастырайық. Шабуыл жасаушының негізгі нысанасы қаржылық активтер, дәлірек айтсақ, олардың электрондық алмастырғыштары (суррогаттары) – төлем жүйесінде айналыстағы төлем тапсырмалары. Осы құралдарға қатысты шабуылдаушы келесі мақсаттарды көздей алады:
1. Қаржылық активтерді ұрлау.
2. Жалған қаржы активтерін енгізу (жүйенің қаржылық балансын бұзу).
3. Жүйенің дұрыс жұмыс істемеуі ( техникалық қауіп).
Шабуылдың көрсетілген объектілері мен нысандары абстрактілі сипатқа ие және ақпаратты қорғау бойынша қажетті шараларды талдауға және әзірлеуге мүмкіндік бермейді, сондықтан 4-кестеде шабуылдаушының деструктивті әсерінің объектілері мен нысандарының спецификациясы берілген.
Кесте 4 Шабуылдаушының ықтимал деструктивті әрекеттерінің үлгісі
| Әсер ету объектісі | Әсер ету мақсаты | Әсерді жүзеге асырудың мүмкін механизмдері. |
| Банктің веб-серверіндегі HTML беттері | Клиент төлем тапсырмасына енгізген ақпаратты алу мақсатында ауыстыру. | Серверге шабуыл және сервердегі беттерді ауыстыру. Трафиктегі беттерді ауыстыру. Клиенттің компьютеріне шабуыл жасау және клиенттің беттерін ауыстыру |
| Сервердегі клиент туралы ақпарат беттері | Клиенттердің төлемдері туралы ақпаратты алу | Серверге шабуыл. Трафик шабуылы. Клиенттің компьютеріне шабуыл. |
| Клиент формаға енгізген төлем тапсырмасының деректері | Клиент төлем тапсырмасына енгізген ақпаратты алу. | Клиенттің компьютеріне шабуыл (вирустар және т.б.). Бұл нұсқауларды трафик арқылы жіберген кездегі шабуыл. Серверге шабуыл. |
| Клиенттің компьютерінде орналасқан және электрондық төлем жүйесіне қатысы жоқ жеке клиент туралы ақпарат | Клиенттің құпия ақпаратын алу. Клиент ақпаратын өзгерту. Клиенттің компьютерін өшіру. | Бүкіл кешен белгілі шабуылдарИнтернетке қосылған компьютерге. Төлем жүйесінің механизмдерін пайдалану нәтижесінде пайда болатын қосымша шабуылдар. |
| Банктің процессингтік орталығынан ақпарат. | Өңдеу орталығының ақпаратын ашу және өзгерту және жергілікті желіқұмыра. | Интернетке қосылған жергілікті желіге шабуыл. |
Бұл кестеде Интернет арқылы кез келген электрондық төлем жүйесі қанағаттандыратын негізгі талаптар көрсетілген:
Біріншіден, жүйе төлем тапсырысы деректерін рұқсат етілмеген өзгертулер мен өзгертулерден қорғауды қамтамасыз етуі керек.
Екіншіден, жүйе шабуылдаушының клиенттің компьютеріне шабуылдарды ұйымдастыру қабілетін арттырмауы керек.
Үшіншіден, жүйе серверде орналасқан деректерді рұқсатсыз оқудан және өзгертуден қорғауы керек.
Төртіншіден, жүйе банктің жергілікті желісін жаһандық желі әсерінен қорғау жүйесін қамтамасыз етуі немесе қолдауы керек.
Нақты электрондық төлем ақпаратын қорғау жүйелерін әзірлеу барысында, бұл модельжәне талаптар қосымша егжей-тегжейлі болуы керек. Дегенмен, ағымдағы презентация үшін мұндай егжей-тегжей қажет емес.
2.2 Электрондық төлем жүйелерін қорғау технологиялары
Біраз уақыт WWW-нің дамуы WWW негізі болып табылатын html беттерінің статикалық мәтін болып табылатындығымен тежелді, яғни. олардың көмегімен пайдаланушы мен сервер арасында интерактивті ақпарат алмасуды ұйымдастыру қиын. Әзірлеушілер осы бағытта HTML мүмкіндіктерін кеңейтудің көптеген жолдарын ұсынды, олардың көпшілігі ешқашан кеңінен қабылданбады. Интернет дамуының жаңа кезеңін білдіретін ең қуатты шешімдердің бірі Java апплеттерін HTML беттеріне қосылған интерактивті компоненттер ретінде пайдалану туралы Sun ұсынған ұсыныс болды.
Java апплеті – бұл Java бағдарламалау тілінде жазылған және кейбір виртуалды компьютердің – Java машинасының кодтары болып табылатын және Intel отбасылық процессорларының кодтарынан ерекшеленетін арнайы байт-кодтарға жинақталған бағдарлама. Апплеттер Интернеттегі серверде орналастырылады және осы апплетке қоңырау бар HTML бетіне кірген сайын пайдаланушының компьютеріне жүктеледі.
Апплет кодын орындау үшін стандартты браузер байт кодтарды Intel процессорлар тобында (немесе басқа процессорлар тобында) машина нұсқауларына түсіндіретін Java қозғалтқышының іске асырылуын қамтиды. Java апплет технологиясына тән мүмкіндіктер, бір жағынан, қуатты дамытуға мүмкіндік береді пайдаланушы интерфейстері, URL арқылы кез келген желілік ресурстарға қатынауды ұйымдастырады, TCP/IP, FTP және т.б. хаттамаларды оңай қолданады, бірақ, екінші жағынан, олар тікелей компьютер ресурстарына қол жеткізуді мүмкін емес етеді. Мысалы, апплеттердің кіру мүмкіндігі жоқ файлдық жүйекомпьютер және қосылған құрылғылар.
WWW мүмкіндіктерін кеңейту үшін ұқсас шешім Microsoft корпорациясының технологиясы - Active X болып табылады. Бұл технология мен Java арасындағы ең маңызды айырмашылық компоненттердің (апплеттердің аналогтары) кодтағы бағдарламалар болып табылады. Intel процессорыжәне бұл құрамдастардың барлық компьютерлік ресурстарға, сондай-ақ Windows интерфейстері мен қызметтеріне кіру мүмкіндігі бар.
WWW мүмкіндіктерін кеңейтудің тағы бір кең таралған тәсілі Netscape компаниясының Netscape Navigator технологиясына арналған Plug-in бағдарламасы болып табылады. Дәл осы технология Интернет арқылы электрондық төлемдердің ақпараттық қауіпсіздік жүйесін құрудың ең оңтайлы негізі болып көрінеді. Әрі қарай талқылау үшін бұл технология веб-сервер ақпаратын қорғау мәселесін қалай шешетінін қарастырайық.
Кейбір веб-сервер және әкімші бар деп есептейік осы серверденсервердің ақпарат массивінің кейбір бөлігіне қол жеткізуді шектеу талап етіледі, яғни. кейбір пайдаланушылар кейбір ақпаратқа қол жеткізе алатындай етіп ұйымдастырады, бірақ басқалары қол жеткізе алмайды.
Қазіргі уақытта бұл мәселені шешу үшін бірқатар тәсілдер ұсынылуда, атап айтқанда, көптеген ОЖ, оның астында Интернет серверлері жұмыс істейді, олардың кейбір аймақтарына кіру үшін құпия сөзді талап етеді, яғни. аутентификацияны талап етеді. Бұл тәсілдің екі маңызды кемшілігі бар: біріншіден, деректер сервердің өзінде анық мәтінде сақталады, екіншіден, деректер желі арқылы да анық мәтін түрінде беріледі. Осылайша, шабуылдаушы екі шабуылды ұйымдастыруға мүмкіндік алады: сервердің өзіне (парольді болжау, парольді айналып өту және т.б.) және трафикке шабуыл. Мұндай шабуылдардың фактілері Интернет қауымдастығына кеңінен белгілі.
Ақпараттық қауіпсіздік мәселесін шешудің тағы бір танымал тәсілі - SSL (Secure Sockets Layer) технологиясына негізделген тәсіл. SSL пайдалану кезінде клиент пен сервер арасында деректер тасымалданатын қауіпсіз байланыс арнасы орнатылады, яғни. Мәліметтерді желі арқылы анық мәтінде беру мәселесін салыстырмалы түрде шешілген деп санауға болады. SSL негізгі проблемасы кілттік жүйені құру және оны бақылау болып табылады. Деректерді серверде анық түрде сақтау мәселесіне келетін болсақ, ол шешілмеген күйінде қалып отыр.
Жоғарыда сипатталған тәсілдердің тағы бір маңызды кемшілігі - серверден де, желілік клиенттің бағдарламалық жасақтамасынан да қолдау қажет, бұл әрқашан мүмкін емес және ыңғайлы. Әсіресе жаппай және ұйымдастырылмаған клиенттерге бағытталған жүйелерде.
Автор ұсынған тәсіл Интернеттегі ақпараттың негізгі тасымалдаушысы болып табылатын html беттерінің өзін қорғауға негізделген. Қорғаудың мәні HTML беттері бар файлдар серверде шифрланған түрде сақталады. Бұл жағдайда олар шифрланған кілт оны шифрлаған адамға (әкімшіге) және клиенттерге ғана белгілі (жалпы алғанда кілттік жүйені құру мәселесі мөлдір файл жағдайындағы сияқты шешіледі) шифрлау).
Клиенттер Netscape Plug-in for Netscape технологиясы арқылы қауіпсіз ақпаратқа қол жеткізеді. Бұл модульдер бағдарламалар, дәлірек айтқанда бағдарламалық қамтамасыз ету компоненттері, олар MIME стандартындағы белгілі бір файл түрлерімен байланысты. MIME – Интернеттегі файл пішімдерін анықтайтын халықаралық стандарт. Мысалы, келесі файл түрлері бар: text/html, text/plane, image/jpg, image/bmp, т.б. Сонымен қатар, стандарт орнату механизмін анықтайды реттелетін түрлерітәуелсіз әзірлеушілер анықтайтын және пайдалана алатын файлдар.
Сонымен, белгілі бір MIME файл түрлерімен байланысты плагиндер қолданылады. Байланыс мынада: пайдаланушы сәйкес типтегі файлдарға қол жеткізген кезде, шолғыш онымен байланысты Plug-in іске қосады және бұл модуль файл деректерін визуализациялау және пайдаланушының осы файлдармен әрекеттерін өңдеу үшін барлық әрекеттерді орындайды.
Ең танымал қосылатын модульдер avi пішімінде бейнелерді ойнататын модульдерді қамтиды. Бұл файлдарды қарау браузерлердің стандартты мүмкіндіктеріне кірмейді, бірақ сәйкес Plug-in орнату арқылы сіз бұл файлдарды шолғышта оңай көре аласыз.
Әрі қарай барлық шифрланған файлдар белгіленген халықаралық стандартқа сәйкес MIME типті файлдар ретінде анықталады. "application/x-shp". Plug-in файл түрімен байланыстыру үшін Netscape технологиясы мен хаттамаларды пайдаланып әзірленеді. Бұл модуль екі функцияны орындайды: біріншіден, ол құпия сөзді және пайдаланушы идентификаторын сұрайды, екіншіден, ол файлды шифрды ашу және браузер терезесіне шығару жұмысын орындайды. Бұл модуль барлық клиенттік компьютерлердің браузерлерінде Netscape орнатқан стандартты ретке сәйкес орнатылады.
Осы кезде жұмыстың дайындық кезеңі аяқталып, жүйе жұмысқа дайын. Жұмыс барысында клиенттер шифрланған HTML беттеріне өздерінің стандартты мекенжайын (URL) пайдаланады. Браузер осы беттердің түрін анықтайды және шифрланған файлдың мазмұнын оған тасымалдай отырып, біз әзірлеген модульді автоматты түрде іске қосады. Модуль клиентті аутентификациялайды және сәтті аяқталғаннан кейін парақтың мазмұнын шифрын шешеді және көрсетеді.
Осы процедураны орындау кезінде клиент беттердің «мөлдір» шифрлануын сезінеді, өйткені жоғарыда сипатталған жүйенің барлық жұмысы оның көзінен жасырылады. Сонымен қатар, html беттеріне тән барлық стандартты мүмкіндіктер, мысалы, суреттерді пайдалану, Java апплеттері, CGI сценарийлері сақталады.
Бұл тәсіл көптеген ақпараттық қауіпсіздік мәселелерін шешетінін байқау қиын емес, өйткені ашық түрде ол тек клиенттердің компьютерлерінде орналасады, деректер желі арқылы шифрланған түрде беріледі. Ақпаратты алу мақсатын көздейтін шабуылдаушы белгілі бір қолданушыға ғана шабуыл жасай алады және ешбір сервердің ақпараттық қауіпсіздік жүйесі бұл шабуылдан қорғай алмайды.
Қазіргі уақытта автор Netscape Navigator (3.x) браузері мен Netscape Communicator 4.x үшін ұсынылған тәсіл негізінде екі ақпараттық қауіпсіздік жүйесін әзірледі. кезінде алдын ала сынақӘзірленген жүйелер MExplorer бақылауымен қалыпты жұмыс істей алатыны анықталды, бірақ барлық жағдайда емес.
Жүйелердің бұл нұсқалары HTML парағымен байланысты объектілерді шифрламайтынын атап өту маңызды: суреттер, сценарий апплеттері және т.б.
1-жүйе нақты html беттерін бір нысан ретінде қорғауды (шифрлауды) ұсынады. Сіз бет жасайсыз, содан кейін оны шифрлап, серверге көшіресіз. Шифрланған бетке қол жеткізген кезде ол автоматты түрде шифры шешіліп, арнайы терезеде көрсетіледі. Сервер бағдарламалық құралынан қауіпсіздік жүйесін қолдау қажет емес. Барлық шифрлау және дешифрлеу жұмыстары клиенттің жұмыс орнында жүзеге асырылады. Бұл жүйеәмбебап болып табылады, яғни. беттің құрылымы мен мақсатына байланысты емес.
Жүйе 2 қорғауға басқа тәсілді ұсынады. Бұл жүйе сіздің бетіңіздің кейбір аймағында қорғалған ақпараттың көрсетілуін қамтамасыз етеді. Ақпарат серверде шифрланған файлда (html пішімінде болуы міндетті емес). Сіз өзіңіздің парағыңызға кірген кезде қауіпсіздік жүйесі бұл файлға автоматты түрде қол жеткізеді, ондағы деректерді оқиды және оны беттің белгілі бір аймағында көрсетеді. Бұл тәсіл ең аз әмбебаптықпен максималды тиімділік пен эстетикалық сұлулыққа қол жеткізуге мүмкіндік береді. Анау. жүйе белгілі бір мақсатқа бағытталған болып шығады.
Бұл тәсілді Интернет арқылы электронды төлем жүйелерін құру кезінде де қолдануға болады. Бұл жағдайда веб-сервердің белгілі бір бетіне кіру кезінде пайдаланушыға төлем тапсырысының нысанын көрсететін Plug-in модулі іске қосылады. Клиент оны толтырғаннан кейін модуль төлем деректерін шифрлайды және оны серверге жібереді. Бұл ретте ол пайдаланушыдан электрондық қолтаңбаны талап етуі мүмкін. Сонымен қатар, шифрлау және қолтаңба кілттерін кез келген тасымалдағыштан оқуға болады: иілгіш дискілерден, электронды планшеттерден, смарт-карталардан және т.б.
2.3 Электрондық төлем жүйелеріне қойылатын негізгі талаптарға сәйкестік технологияларын талдау
Жоғарыда біз Интернет арқылы төлем жүйелерін құру үшін пайдалануға болатын үш технологияны сипаттадық: бұл Java апплеттеріне, Active-X компоненттеріне және қосылатын модульдерге негізделген технология. Оларды сәйкесінше J, AX және P технологиялары деп атаймыз.
Шабуылдаушының компьютерге шабуыл жасау мүмкіндігін арттырмауы керек деген талапты қарастырыңыз. Ол үшін шабуылдардың ықтимал түрлерінің бірін талдап көрейік - сәйкес клиентті қорғау модульдерін шабуылдаушымен ауыстыру. J технологиясы жағдайында бұл апплеттер, AX жағдайында суасты компоненттері, P жағдайында бұл қосылатын модульдер. Шабуылдаушының қорғау модульдерін тікелей клиенттің компьютерінде ауыстыру мүмкіндігі бар екені анық. Бұл шабуылды жүзеге асыру механизмдері осы талдаудың шеңберінен тыс; дегенмен, бұл шабуылды жүзеге асыру қарастырылып отырған қорғаныс технологиясына байланысты емес екенін атап өткен жөн. Және әрбір технологияның қауіпсіздік деңгейі бірдей, яғни. олардың барлығы да бұл шабуылға бірдей тұрақсыз.
J және AX технологияларының алмастыру тұрғысынан ең осал жері оларды Интернеттен жүктеп алу болып табылады. Дәл осы сәтте шабуылдаушы ауыстыруды жүзеге асыра алады. Сонымен қатар, егер шабуылдаушы банк серверінде осы модульдерді ауыстыра алса, онда ол Интернетте айналатын төлем жүйесі ақпаратының барлық көлеміне қол жеткізе алады.
P технологиясы жағдайында ауыстыру қаупі жоқ, өйткені модуль желіден жүктелмеген - ол клиенттің компьютерінде тұрақты сақталады.
Ауыстырудың салдары әртүрлі: J-технологиясында шабуылдаушы тек клиент енгізген ақпаратты ұрлай алады (бұл елеулі қауіп), ал Active-X және Plug-in жағдайында шабуылдаушы. компьютерде жұмыс істейтін клиент қол жеткізе алатын кез келген ақпаратты алыңыз.
Қазіргі уақытта автор Java апплетінің спуфинг шабуылдарын жүзеге асырудың нақты әдістерін білмейді. Шамасы, бұл шабуылдар нашар дамып келеді, өйткені ақпаратты ұрлау мүмкіндіктері іс жүзінде жоқ. Бірақ Active-X компоненттеріне шабуылдар кең таралған және жақсы белгілі.
Интернет арқылы электрондық төлем жүйесінде айналатын ақпаратты қорғау талабын қарастырайық. Бұл жағдайда J технологиясы бір маңызды мәселеде P және AX-тен де төмен екені анық. Ақпаратты қорғаудың барлық механизмдері шифрлауға немесе электрондық қолтаңбаға негізделген, ал барлық сәйкес алгоритмдер негізгі элементтерді енгізуді талап ететін криптографиялық түрлендірулерге негізделген. Қазіргі уақытта негізгі элементтердің ұзындығы 32-128 байтты құрайды, сондықтан пайдаланушыдан оларды пернетақтадан енгізуді талап ету мүмкін емес. Сұрақ туындайды: оларды қалай енгізу керек? P және AX технологиялары компьютерлік ресурстарға қол жетімді болғандықтан, бұл мәселенің шешімі анық және белгілі - кілттер жергілікті файлдардан, дискеттерден, планшеттерден немесе смарт-карталардан оқылады. Бірақ J технологиясы жағдайында мұндай енгізу мүмкін емес, яғни клиенттен мағынасыз ақпараттың ұзақ тізбегін енгізуді талап ету керек, немесе негізгі элементтердің ұзындығын қысқарту арқылы криптографиялық түрлендірулердің күшін азайтады, сондықтан оны азайту керек. қауіпсіздік механизмдерінің сенімділігі. Оның үстіне бұл қысқарту өте маңызды.
Электрондық төлем жүйесі серверде орналасқан деректерді рұқсатсыз оқудан және өзгертуден қорғауды ұйымдастыру керек деген талапты қарастырайық. Бұл талап жүйенің серверде пайдаланушыға арналған құпия ақпаратты орналастыруды қамтитындығынан туындайды. Мысалы, өңдеу нәтижелері туралы ескертумен оған жіберілген төлем тапсырмаларының тізімі.
P технологиясы жағдайында бұл ақпарат шифрланған және серверде орналастырылған HTML беттері түрінде беріледі. Барлық әрекеттер жоғарыда сипатталған алгоритмге сәйкес орындалады (HTML беттерін шифрлау).
J және AX технологиялары жағдайында бұл ақпаратты сервердегі файлда қандай да бір құрылымдық пішінде орналастыруға болады, ал компоненттер немесе апплеттер деректерді оқу және визуализациялау операцияларын орындауы керек. Мұның бәрі жалпы алғанда апплеттер мен компоненттердің жалпы көлемінің ұлғаюына, демек, сәйкес беттердің жүктелу жылдамдығының төмендеуіне әкеледі.
Осы талап тұрғысынан алғанда, P технологиясы өзінің үлкен өндіргіштігінің арқасында жеңеді, яғни. әзірлеуге жұмсалатын шығындардың төмендігі және желі арқылы өтетін компоненттердің ауыстырылуына үлкен қарсылық.
Банктік жергілікті желіні қорғаудың соңғы талабына келетін болсақ, ол желіаралық қалқан (брандмауэр) жүйесін сауатты құру арқылы орындалады және қарастырылып отырған технологияларға тәуелді емес.
Осылайша, жоғарыда аталғандар алдын ала жүргізілді салыстырмалы талдау J, AX және P технологиялары, одан J технологиясын тұтынушының компьютерінің қауіпсіздік дәрежесін сақтау электрондық төлем жүйелерінде қолданылатын криптографиялық түрлендірулердің күшіне қарағанда маңыздырақ болған жағдайда қолданылуы керек деген қорытынды шығады.
P технологиясы төлем ақпаратын қорғау жүйелерінің негізінде жатқан ең оңтайлы технологиялық шешім болып көрінеді, өйткені ол қуатты біріктіреді. стандартты қолдану Win32 және Интернет арқылы шабуылдардан қорғау. Осы технологияны қолданатын жобаларды практикалық және коммерциялық іске асыруды, мысалы, Ресейдің қаржылық коммуникациялар компаниясы жүзеге асырады.
AX технологиясына келетін болсақ, оны пайдалану зиянкестердің шабуылдарына тиімсіз және тұрақсыз болып көрінеді.
ҚОРЫТЫНДЫ
Электрондық ақша барған сайын біздің күнделікті шындыққа айнала бастады, бұл кем дегенде ескерілуі керек. Әрине, алдағы елу жылда (мүмкін) қарапайым ақшаны ешкім жоймайды. Бірақ электронды ақшаны басқара алмау және олармен бірге әкелетін мүмкіндіктерді жіберіп алу - соңғы он бес жылда осындай қиыншылықпен қозғалған айналаға өз еркімен «темір шымылдық» орнату. Көптеген ірі компаниялар өз қызметтері мен тауарлары үшін электронды төлемдер арқылы төлеуді ұсынады. Бұл тұтынушының көп уақытын үнемдейді.
Электрондық әмиянды ашуға және ақшамен жұмыс істеуге арналған тегін бағдарламалық жасақтама жаппай компьютерлер үшін барынша бейімделген және аздаған тәжірибеден кейін қарапайым пайдаланушы үшін ешқандай қиындық тудырмайды. Біздің уақыт – компьютерлер, интернет және электронды коммерция заманы. Осы салаларда білімі мен тиісті құралдары бар адамдар үлкен жетістікке жетеді. Электрондық ақша - бұл интернетке қол жеткізе алатын адамға көбірек мүмкіндіктер ашатын күн сайын кеңірек таралатын ақша.
Есептеу-графикалық жұмыстың мақсаты келесі тапсырмаларды орындау және шешу болды:
1. Электрондық төлем жүйелерінің негізгі міндеттері және олардың жұмыс істеу принциптері, ерекшеліктері айқындалады.
2. Негізгі электрондық төлем жүйелері талданады.
3. Электрондық ақшаны пайдаланумен байланысты қауіптер талданады.
4. Электрондық төлем жүйелерін пайдалану кезіндегі қорғау құралдары талданады.
БИБЛИОГРАФИЯЛЫҚ ТІЗІМ
1. Антонов Н.Г., Пессель М.А. Ақша айналымы, несие және банктер. -М.: Финстатинформ, 2005, 179-185 б.
2. Банк портфелі – 3. -М.: Соминтек, 2005, 288-328 б.
3. Михайлов Д.М. Халықаралық төлемдер мен кепілдіктер. М.: FBK-PRESS, 2008, 20-66 б.
4. Поляков В.П., Московкина Л.А. Орталық банктердің құрылымы мен функциялары. Шетелдік тәжірибе: Оқу құралы. - М.: ИНФРА-М, 2006 ж.
5. Гайкович Ю.В., Першин А.С. Электрондық банктік жүйелердің қауіпсіздігі. - М: Біріккен Еуропа, 2004 ж
6. Демин В.С. және т.б.. Автоматтандырылған банк жүйелері. - М: Менатеп-Информ, 2007 ж
7. Крысин В.А. Бизнес қауіпсіздігі. - М: Қаржы және статистика, 2006 ж
8. Линков И.И. және т.б.Коммерциялық құрылымдардағы ақпараттық бөлімдер: қалай аман қалу және табысқа жету. - М: NIT, 2008
9. Титоренко Г.А. және т.б.банк қызметін компьютерлендіру. - М: Финстатинформ, 2007 ж
10. Тушнолобов И.Б., Урусов Д.П., Ярцев В.И. Бөлінген желілер. - Санкт-Петербург: Петр, 2008 ж
12. Аглицкий И. Ресей банктерін ақпараттық қамтамасыз етудің жағдайы және болашағы. - Банктік технологиялар, 2007 No1.
Репетиторлық
Тақырыпты зерттеуге көмек керек пе?
Біздің мамандар сізді қызықтыратын тақырыптар бойынша кеңес береді немесе репетиторлық қызметтерді ұсынады.
Өтінішіңізді жіберіңізКонсультация алу мүмкіндігі туралы білу үшін дәл қазір тақырыпты көрсету.
3. Электрондық төлемдерді қорғау
Банктік ақпараттан кейін банктік қауіпсіздік мәселесі әсіресе өткір, біріншіден, ол нақты ақшаны білдіреді, екіншіден, банк клиенттерінің үлкен санының құпия мүдделеріне әсер етеді.
2000 жылы электронды коммерция нарығының көлемі
| Нарық көлемі және сипаттамалары | Бағалау, доллар |
| Барлық интернет өнімін сатып алудың жалпы құны | 4,5-6 млрд |
| Орташа сатып алушыға шаққандағы барлық сатып алулардың жалпы құны | 600-800 |
| Бір интернет транзакциясының орташа сатып алу құны | 25-35 |
| Интернеттегі сатып алу транзакцияларының толық көлемі | 130-200 млн |
| Интернеттегі өнімді сатып алу үлесі | 60-70% |
| Жеткізілген тауарларды сатып алу үлесі | 30-40% |
Электрондық төлем жүйелерінің жұмыс істеуінің жалпы схемасы
Жүйемен шарт жасасқан және тиісті лицензияны алған банк екі жағдайда әрекет ете алады - осы жүйенің барлық басқа қатысушы банктер төлеуге қабылдаған төлем құралдарының эмитенті ретінде және эквайер-банк, қызмет көрсететін кәсіпорындар ретінде. басқа эмитенттер шығарған осы жүйенің төлем құралдарын төлемге қабылдау және осы төлем құралдарын өз филиалдарында қолма-қол ақшаға қабылдау.
Төлемді қабылдау процедурасы өте қарапайым. Ең алдымен кәсіпорынның кассирі тиісті сипаттамаларды пайдалана отырып, картаның шынайылығын тексеруі керек.
Төлем жасау кезінде компания клиент картасының деректемелерін көшіру машинасы – импринтер көмегімен арнайы чекке аударуы, чекке сатып алу немесе қызмет көрсету сомасын енгізу және клиенттің қолын алу қажет.
Осындай жолмен берілген чек слип деп аталады. Транзакцияларды қауіпсіз жүргізу үшін төлем жүйесі рұқсатсыз төлемдерді жүзеге асыруға болатын әртүрлі аймақтар мен бизнес түрлері үшін сомалардың төменгі шегін ұсынады. Егер шекті сома асып кетсе немесе клиенттің жеке басына күмәнданса, компания авторизациялау процесін жүргізуге міндетті.
Процедураның техникалық аспектілеріне тоқталмай, біз авторизациялау кезінде компания клиенттің шотының жай-күйі туралы ақпаратқа нақты қол жеткізетінін және осылайша клиенттің картаға меншік құқығын және оның төлем қабілеттілігін анықтау мүмкіндігін алатынын атап өтеміз. мәміле сомасында. Слиптің бір данасы компанияда қалады, екіншісі клиентке беріледі, үшіншісі эквайер банкке беріледі және клиенттің шотынан компанияға төлем сомасын өтеу үшін негіз болады.
Соңғы жылдары POS-терминалдар кеңінен танымал болды, олардың көмегімен слиптерді толтырудың қажеті жоқ. Карта мәліметтері POS-терминалға кіріктірілген оқырманның магниттік жолағынан оқылады, транзакция сомасы пернетақтадан енгізіледі, ал терминал кірістірілген модем арқылы тиісті төлем жүйесіне авторизациялауға өтініш береді. Бұл жағдайда банк саудагерге қызметтерін көрсететін процессингтік орталықтың техникалық мүмкіндіктері пайдаланылады. Бұл жағдайда компания банкке клиенттің қолтаңбасының үлгісі бар касса таспасының көшірмесімен және операциялық күннің соңында терминал қалыптастыратын пакеттік файлдармен есеп береді.
Соңғы жылдары оған көбірек көңіл бөлінуде микропроцессорлық карталарды пайдаланатын банк жүйелері.
Сырттай бұл сақтау құралдары кәдімгі карталардан еш айырмашылығы жоқ, тек картаның ішінде дәнекерленген жад чипі немесе микропроцессор және оның бетінде көрсетілген контакт тақтасының жапырақшалары.
Бұл карталардың жоғарыда айтылғандардың барлығынан түбегейлі айырмашылығы олар клиенттің шотының күйі туралы ақпаратты тікелей алып жүреді, өйткені олар транзиттік шот болып табылады. Мұндай карталарды қабылдаудың әрбір пункті арнайы POS-терминалмен (чипті оқу құрылғысымен) жабдықталуы керек екені түсінікті.
Картаны пайдалана алу үшін клиент оны банк терминалындағы шотынан жүктеуі керек. Барлық транзакциялар OFF-LINE режимінде диалогтық карта – терминал немесе клиент картасы – сауда картасы кезінде жүзеге асырылады.
Мұндай жүйе чиптің қауіпсіздігінің жоғары дәрежесіне және толық дебеттік төлем схемасына байланысты толығымен дерлік қауіпсіз. Сонымен қатар, картаның өзі кәдімгіге қарағанда айтарлықтай қымбат болса да, OFF-LINE режимі телекоммуникациялық жүктемені пайдаланбайтындықтан, жұмыс кезінде жүйе одан да арзанырақ болып шығады.
Пластикалық банк карталарын пайдалана отырып электрондық төлемдер әртүрлі түрлері«1-банк – Клиент – Кәсіпорын – 2-банк» тізбегіндегі есеп айырысулардың және «1-банк – ... – N банкі» түріндегі банкаралық есеп айырысулардың жеткілікті икемді және әмбебап механизмін білдіреді. Дегенмен, бұл төлем құралдарының әмбебаптығы оларды алаяқтық үшін ерекше тартымды нысана етеді. Теріс пайдаланумен байланысты шығындардың жылдық құны жалпы айналыммен салыстырғанда салыстырмалы түрде аз болғанымен, айтарлықтай соманы құрайды.
Қауіпсіздік жүйесін және оның дамуын пластикалық карталармен заңсыз операцияларды жүргізу әдістерінен бөлек қарастыруға болмайды, оларды бөлуге болады. Қылмыстың 5 негізгі түрі.
1. Контрафактілік карталармен операциялар.
Алаяқтықтың бұл түрі төлем жүйесіндегі шығындардың ең көп бөлігін құрайды. Нақты карталардың жоғары техникалық және технологиялық қауіпсіздігіне байланысты үй карталары соңғы уақытта сирек қолданылады және қарапайым диагностиканың көмегімен анықталуы мүмкін.
Әдетте, жалған ақша жасау үшін ұрланған карточка бланкілері пайдаланылады, оларда банк пен клиенттің деректемелері қолданылады. Техникалық тұрғыдан жоғары жабдықталған қылмыскерлер тіпті картаның магниттік жолағына ақпаратты жаза алады немесе оны көшіре алады, бір сөзбен айтқанда, контрафактіні жоғары деңгейде орындай алады.
Мұндай әрекеттерді жасаушылар, әдетте, ұйымдасқан қылмыстық топтар, кейде клиенттердің шоттары мен транзакция процедуралары туралы ақпаратқа қол жеткізе алатын эмитент-банктердің қызметкерлерімен сөз байласу болып табылады. Халықаралық қылмыстық қауымдастыққа құрмет көрсете отырып, жалған карталар Ресейде банк нарығының осы секторының дамуының басталуымен бір мезгілде дерлік пайда болғанын атап өткен жөн.
2. Ұрланған/жоғалған карталармен операциялар.
Алаяқ клиенттің PIN кодын білген жағдайда ғана ұрланған картаны пайдаланып үлкен зиян келтіруі мүмкін. Содан кейін ұрланған картаның эмитент-банк оны электронды тоқтату тізіміне (жарамсыз карталар тізімі) қоюға үлгермей тұрып, электрондық кассирлер – банкоматтар желісі арқылы клиенттің шотынан үлкен соманы алуға болады.
3. Қызметтер мен тауарлар үшін бірнеше төлемдер «Еден шегінен» аспайтын және рұқсатты талап етпейтін сомалар үшін. Төлем жасау үшін қылмыскер клиенттің жалған қолтаңбасын жасауы керек. Алайда, бұл схемамен қиянаттың ең тартымды объектісі қол жетімсіз болады - қолма-қол ақша. Бұл санатқа эмитент-банк өз клиенттеріне пошта арқылы жіберу кезінде ұрланған карточкаларға қатысты қылмыстар жатады.
4. Пошта/телефон тапсырысы бойынша алаяқтық.
Қылмыстың бұл түрі клиенттің пошта немесе телефон арқылы тапсырысы бойынша тауарлар мен қызметтерді жеткізу қызметін дамытуға байланысты пайда болды. Қылмыскер жәбірленушінің несие картасының нөмірін біле тұра, оны тапсырыс бланкісінде көрсетіп, уақытша тұрғылықты жері бойынша бұйрықты алып, қашып кетуі мүмкін.
5. Есептік жазбадан бірнеше рет ақша алу.
Бұл қылмыстарды әдетте қызметкерлер жасайды заңды тұлға, несие картасы арқылы клиенттен тауарлар мен қызметтер үшін төлемді қабылдау және бір төлем фактісі бойынша бірнеше төлем чектерін беру арқылы жүзеге асырылады. Ұсынылған чектердің негізінде компанияның шотына сатылған тауарлардың немесе көрсетілген қызметтердің құнынан көбірек ақша түседі. Алайда, бірқатар мәмілелерді орындағаннан кейін қылмыскер кәсіпорынды жабуға немесе кетуге мәжбүр болады.
Мұндай әрекеттерді болдырмау үшін картаны пайдаланушыларға транзакциялар жасау кезінде қол қойылған құжаттарға (тіпті аз мөлшерде болса да) мұқият болу ұсынылады.
Қауіпсіздік бөлімшелері қолданатын әдістерді екі негізгі санатқа бөлуге болады. Бірінші және, мүмкін, ең маңызды деңгей пластикалық картаның өзінің техникалық қауіпсіздігіне қатысты. Енді технологиялық тұрғыдан алғанда, карта банкноттарға қарағанда жақсы қорғалғанын және күрделі технологияларды қолданбай, оны өзіңіз жасау мүмкін емес екенін сенімді түрде айта аламыз.
Кез келген төлем жүйесінің карталары қатаң белгіленген стандарттарға сәйкес келеді. Картаның стандартты формасы бар. Жүйедегі банктің сәйкестендіру нөмірі (БСН коды) және клиенттің банктік шотының нөмірі, оның аты-жөні, картаның жарамдылық мерзімі бедерленген және картаның алдыңғы жағында қатаң белгіленген орындарда орналастырылған. Голографиялық жолмен жасалған төлем жүйесінің символы да бар. Карточка нөмірінің соңғы төрт саны голографиялық таңбаға тікелей бедерлі (рельефпен басылады), бұл таңбаны жоймай голограмманы көшіруге немесе кодты қайта бедерлеуге мүмкіндік бермейді.
Карточканың артқы жағында магниттік жолақ және иесінің қолтаңбасының үлгісі бар аймақ бар. Магниттік жолақта қатаң белгіленген позицияларда және криптографиялық алгоритмдерді пайдалана отырып, төлем жүйесінің өзінің деректемелері, қауіпсіздік белгілері, ақпаратты көшіруге кедергі келтіретін белгілер жазылады, ал картаның алдыңғы жағында басылған ақпарат қайталанады. Иесінің қолтаңбасының үлгісінің аймағында арнайы жабын бар. Өшіруге немесе қолтаңбаны жіберуге кішкене әрекеттенгенде, жабын жойылады және төлем жүйесінің қауіпсіздік белгілері бар басқа түсті субстрат пайда болады.
Карточканың қалған бетінің ауданы толығымен эмитент-банктің иелігінде және банктің рәміздерімен, оның жарнамасымен және клиенттерге қажетті ақпаратпен ерікті түрде безендірілген. Картаның өзі тек ультракүлгін сәуледе көрінетін таңбалармен қорғалған.
Техникалық қорғау шараларына сонымен қатар банктік коммуникацияларды, банктік желілерді заңсыз енуден, бұзылулардан және ақпараттың ағып кетуіне немесе тіпті жойылуына әкелетін басқа да сыртқы әсерлерден қорғау кіреді. Қорғау бағдарламалық-техникалық құралдармен жүзеге асырылады және төлем жүйесінің уәкілетті ұйымдарымен сертификатталған.
Қорғау шараларының екінші санатына пластикалық карталармен жұмыс істеу үшін банк бөлімшелерінен ақпараттың ағып кетуіне жол бермеу шаралары кіреді. Негізгі қағида – қызметкерлердің қызметтік міндеттерін нақты бөлу және осыған сәйкес құпия ақпаратқа қолжетімділікті жұмысқа қажетті минимумнан аспайтын көлемде шектеу.
Бұл шаралар қылмыскерлердің қызметкерлермен сөз байласу қаупі мен мүмкіндігін азайтады. Қызметкерлердің біліктілігін арттыру үшін тақырыптық семинарлар өткізіледі. Төлем жүйелері тұрақты түрде қауіпсіздік бюллетеньдерін таратады, онда карточкаларға қатысты қылмыстар туралы ресми материалдар мен статистикалық мәліметтер жарияланады, қылмыскерлердің белгілері және заңсыз айналымға түскен жалған карталардың белгілері туралы хабарлайды. Бюллетеньдер арқылы қызметкерлер оқытылып, қылмысты азайтуға бағытталған профилактикалық және арнайы іс-шаралар ұйымдастырылады.
Бөлім қызметкерлерін кадрлық іріктеуге ерекше көңіл бөлінеді. Барлық қауіпсіздік мәселелеріне арнайы қауіпсіздік қызметкері жауапты. Алдын алу шараларының ішінде «пластикалық ақшамен» жұмыс істеудің мәдени деңгейін арттыруға бағытталған клиенттермен жұмыс ең маңызды орын алады. Карточканы мұқият және мұқият өңдеу қылмыстың құрбаны болу ықтималдығын айтарлықтай төмендетеді.
Электрондық есеп айырысу және төлем жүйесіндегі бұзушылықтарды талдау
Мамандар арасында Норвегияның Екінші дүниежүзілік соғыста тез құлдырауы негізінен британдық корольдік әскери-теңіз күштерінің кодтарын неміс криптографтары бұзуына байланысты екені белгілі, олар алдыңғы жылы Корольдік әскери-теңіз күштерінің 40-бөлмесі мамандары Германияға қарсы қолданған әдістерді қолданды. соғыс.
Екінші дүниежүзілік соғыстан бері үкіметтің криптографияны қолдануына байланысты құпиялық перде жойылды. Бұл таңқаларлық емес және бұл тек қырғи-қабақ соғыстың кесірінен емес, сонымен қатар бюрократтардың (кез келген ұйымда) өз қателіктерін мойындағысы келмейтіндігінен.
Банкомат арқылы алаяқтық жасаудың кейбір жолдарын қарастырайық. Мақсат - дизайнерлердің өз өнімінің теориялық тұрғыдан осал еместігіне бағытталған идеяларын талдау және болған оқиғадан сабақ алу.
Техникалық айла-шарғысыз жүзеге асырылатын алаяқтықтың бірнеше түрін, сондай-ақ олардың орын алуына мүмкіндік беретін банктік процедураларды көрсететін бірнеше қарапайым мысалдардан бастайық.
Клиент картасындағы магниттік жолақта тек оның шот нөмірі болуы керек екені белгілі, ал оның жеке сәйкестендіру нөмірі (ЖСН) шот нөмірін шифрлау және нәтижеден төрт цифр алу арқылы алынады. Осылайша, банкомат шифрлауды немесе PIN кодын басқа жолмен тексеруді (мысалы, интерактивті сұрау) орындай алуы керек.
Жақында Англиядағы Винчестер Crown соты қарапайым, бірақ тиімді схеманы қолданған екі қылмыскерді соттады. Олар банкоматтарда кезекте тұрып, клиенттердің пин-кодтарын қарап, банкомат қабылдамаған карталарды алып, олардан шот нөмірлерін бос карталарға көшіріп алып, клиенттердің шоттарын тонау үшін пайдаланған.
Бұл трюк бірнеше жыл бұрын Нью-Йорк банкінде қолданылған (және хабарланған). Қылмыскер жұмыстан шығарылған банкомат технигі және ол аймақта қауіпсіздік қызметі бар банк оны әрекет үстінде ұстағанша 80 000 доллар ұрлап үлгерген.
Бұл шабуылдар сәтті болды, өйткені банктер клиенттің бүкіл шот нөмірін банктік картаға басып шығарды, сонымен қатар магниттік жолақта криптографиялық артықшылық болмады. Сіз Нью-Йорк банкінің сабағын алады деп ойлайсыз, бірақ жоқ.
Техникалық шабуылдың тағы бір түрі көптеген банкомат желілерінің хабарламаларды шифрламайтындығына және транзакцияға авторизациялау кезінде аутентификация процедураларын орындамайтындығына негізделген. Бұл шабуылдаушы банкоматтан банкоматқа «Мен төлемге рұқсат беремін» деген жауапты жазып, содан кейін банкомат бос болғанша жазбаны қайталай алады дегенді білдіреді. «Эвиссерация» деп аталатын бұл әдісті тек сырттан келген шабуылдаушылар ғана қолданбайды. Банк операторлары сыбайластарымен бірге банкоматтарды «ішектеу» үшін желіні басқару құрылғысын пайдаланған белгілі жағдай бар.
Сынақ транзакциялары проблемалардың тағы бір көзі болып табылады
Банкоматтың бір түрі үшін он нотаны шығаруды тексеру үшін он төрт саннан тұратын пернелер тізбегі пайдаланылды. Белгілі бір банк бұл ретті қашықтағы банкоматтарды пайдалану жөніндегі нұсқаулықта басып шығарды. Үш жылдан кейін ақша кенеттен жоғала бастады. Олар банкоматтың осы түрін пайдаланатын барлық банктер сынақ транзакциясына жол бермеу үшін бағдарламалық жасақтама патчтарын қосқанға дейін жалғасты.
Ең жылдам дамып келе жатқан алаяқтық - бұл тұтынушылардың есептік жазбалары мен PIN кодтарын жинау үшін жалған терминалдарды пайдалану. Бұл түрдің шабуылдары алғаш рет 1988 жылы Құрама Штаттарда сипатталған. Алаяқтар кез келген картаны қабылдап, бір қорап темекі тарататын аппарат жасап шығарған. Бұл өнертабыс дүкенге орналастырылып, PIN кодтары мен магниттік карталардан алынған деректер модем арқылы жіберілді. Бұл қулық бүкіл әлемге тарады.
Сондай-ақ, техникалық мамандар клиенттердің шағымдары еленбейтінін біле тұра, олардың ақшасын ұрлайды. Шотландиядағы бір банкте анықтама бөлімінің инженері компьютерді банкоматқа қосып, клиенттердің шот нөмірлері мен PIN кодтарын жазып алды. Содан кейін ол карталарды қолдан жасап, есепшоттағы ақшаны ұрлаған. Клиенттер тағы да бос қабырғаларға шағымданды. Банкті Шотландияның жоғарғы заң шенеуніктерінің бірі осы тәжірибесі үшін ашық түрде сынға алды.
Төрт таңбалы PIN-кодты пайдаланудың мақсаты - егер біреу басқа адамның банк картасын тауып алса немесе ұрласа, кодты кездейсоқ табудың он мыңнан бір мүмкіндігі бар. Егер PIN-кодты енгізуге тек үш әрекетке рұқсат етілсе, онда ұрланған картадан ақшаны алу ықтималдығы үш мыңнан бірден аз. Дегенмен, кейбір банктер төрт цифрмен берілген әртүрлілікті азайта алды.
Кейбір банктер шот нөмірін криптографиялық түрлендіру арқылы PIN кодын алу үлгісін ұстанбайды, бірақ кездейсоқ таңдалған PIN кодын пайдаланады (немесе тұтынушылардың таңдауына мүмкіндік береді), содан кейін оны есте сақтау үшін оны криптотрансформациялайды. Тұтынушыға оңай болжауға болатын PIN кодын таңдауға мүмкіндік берумен қатар, бұл тәсіл кейбір техникалық қателерді енгізеді.
Кейбір банктер файлда шифрланған PIN кодын сақтайды. Бұл бағдарламашы өзінің PIN кодының шифрланған мәнін ала алатынын және сол PIN коды бар барлық басқа тіркелгілер үшін дерекқорды іздей алатынын білдіреді.
Бір үлкен британдық банк тіпті картаның магниттік жолағына шифрланған PIN-код жазған. Қылмыстық қоғамдастық өз картасының магниттік жолағындағы шот нөмірін ауыстырып, содан кейін оны шоттан ұрлау үшін өз PIN коды арқылы пайдалана алатынын түсіну үшін он бес жыл қажет болды.
Осы себепті VISA жүйесі банктерге шифрлау алдында клиенттің шот нөмірін өзінің PIN кодымен біріктіруді ұсынады. Дегенмен, мұны барлық банктер жасай бермейді.
Осы уақытқа дейін күрделі шабуылдар қарапайым іске асыру және операциялық процедура қателерімен байланысты болды. Кәсіби қауіпсіздік зерттеушілері мұндай өрескел қателіктерді қызықсыз деп санайды, сондықтан неғұрлым нәзік техникалық кемшіліктерді пайдаланатын шабуылдарға назар аударды. Банктік қызметте қауіпсіздіктің бірқатар осал тұстары да бар.
Банк жүйелеріне жоғары технологиялық шабуылдар сирек болғанымен, олар қоғам тарапынан қызығушылық тудырады, өйткені ЕО ақпараттық қауіпсіздік технологияларын бағалау критерийлері (ITSEC) сияқты үкіметтік бастамалар белгілі техникалық талаптарға сәйкес сертификатталған өнімдер жинағын әзірлеуге бағытталған. қателер. Осы бағдарламаның негізінде жатқан ұсыныстар тиісті өнімдерді енгізу және өңдеу процедуралары негізінен қатесіз болады және шабуыл мемлекеттік қауіпсіздік агенттігінің қызметкерлерімен салыстырылатын техникалық дайындықты қажет етеді. Бұл тәсіл азаматтық емес, әскери жүйелерге сәйкес келетін сияқты.
Неғұрлым күрделі шабуылдар жасалатынын түсіну үшін банктік қауіпсіздікті толығырақ қарастыру қажет.
Қауіпсіздік модульдерімен байланысты мәселелер
Қауіпсіздік өнімдерінің барлығы бірдей сапада бола бермейді және жақсы өнімдерді орташа өнімдерден ажырата алатын білікті мамандар аз банктерде болады.
Нақты тәжірибеде шифрлау өнімдерімен, атап айтқанда, ескі IBM 3848 қауіпсіздік модулімен немесе қазіргі уақытта банктік ұйымдар үшін ұсынылған модульдермен кейбір мәселелер бар.
Егер банкте аппараттық қамтамасыз етілген қауіпсіздік модульдері болмаса, PIN-кодты шифрлау функциясы тиісті жағымсыз салдары бар бағдарламалық құралда жүзеге асырылады. Қауіпсіздік модулінің бағдарламалық құралында өндірушінің инженерлері бағдарламалық өнімдерді жөндеуге арналған тоқтау нүктелері болуы мүмкін. Бұл факт банктердің бірі оны желіге қосу туралы шешім қабылдаған кезде және өндірушінің жүйелік инженері қажетті шлюздің жұмысын қамтамасыз ете алмаған кезде назар аударылды. Жұмысты аяқтау үшін ол жүйеден PIN кодтарын алу үшін осы амалдардың бірін қолданды. Мұндай тоқтау нүктелерінің болуы қауіпсіздік модульдерін басқарудың сенімді процедураларын құруды мүмкін емес етеді.
Кейбір қауіпсіздік модулін өндірушілердің өзі мұндай шабуылдарды жеңілдетеді. Мысалы, әдіс тәулік уақытына негізделген жұмыс кілттерін генерациялау үшін пайдаланылады және нәтижесінде күтілген 56 емес, шын мәнінде тек 20 кілттік бит пайдаланылады. Осылайша, ықтималдық теориясына сәйкес, жасалған әрбір 1000 кілт үшін, екеуі сәйкес келеді.
Бұл бір терминалдағы транзакцияларды екіншісінен жасалған транзакциялармен алмастыру үшін шабуылдаушы банктік коммуникацияларды басқаратын кейбір нәзік теріс әрекеттерді мүмкін етеді.
Бір банктің бағдарламашылары клиенттік кілттерді шифрлау бағдарламаларына енгізуге байланысты қиындықтармен де айналыспады. Олар жай ғана жад аймағындағы негізгі мәндерге көрсеткіштерді орнатты, олар жүйе іске қосылған кезде әрқашан нөлге тең болады. Нәтиже бұл шешімнақты және болып шықты сынақ жүйелерібірдей негізгі сақтау аймақтарын пайдаланды. Банк мамандары тестілеу жабдығынан клиенттің PIN кодтарын алуға болатынын түсінді. Олардың бірнешеуі ұрланған банк карталарының PIN кодтарын таңдау үшін жергілікті қылмыскерлермен байланысқа шыққан. Банктің қауіпсіздік менеджері не болып жатқанын ашқанда, ол жол апатынан қайтыс болды (ал жергілікті полиция барлық тиісті материалды «жоғалтады». Банк өз клиенттеріне жаңа карталарды жіберуге алаңдамады.
Қауіпсіздік модульдерінің негізгі мақсаттарының бірі – бағдарламашылар мен компьютерлерге қол жеткізетін қызметкерлердің негізгі банк ақпаратын алуына жол бермеу. Дегенмен, қауіпсіздік модульдерінің электрондық құрамдас бөліктерімен қамтамасыз етілген құпиялық көбінесе криптографиялық ену әрекеттеріне төтеп бере алмайды.
Қауіпсіздік модульдерінің ішкі пайдалануға арналған өздерінің басты кілттері бар және бұл кілттер белгілі бір жерде сақталуы керек. Кілттің сақтық көшірмесі көбінесе PROM сияқты оңай оқылатын пішінде сақталады және кілт мезгіл-мезгіл оқылады, мысалы, аймақ пен терминал кілттерінің жиынын басқару бір қауіпсіздік модулінен басқа. Мұндай жағдайларда банк бұл операцияны орындау процесінде толығымен сарапшылардың мейіріміне ие болады.
Жобалау технологияларымен байланысты мәселелер
Банкоматты жобалау технологиясын қысқаша талқылайық. Ескі үлгілерде шифрлау бағдарламасының коды модульдің өзінде емес, дұрыс емес жерде - басқару құрылғысында орналасқан. Басқару құрылғысы модульге жақын жерде белгілі бір аймақта орналастырылуы керек еді. Бірақ көптеген банкоматтар қазіргі уақытта банк ғимаратына жақын жерде орналаспаған. Ұлыбританияның бір университетінде банкомат кампуста орналасқан және шифрланбаған шот нөмірлері мен PIN кодтарын жіберген. телефон желісіқаладан бірнеше шақырым жерде орналасқан филиалдың басқару блогына. Телефон желісін тыңдау құрылғысын пайдалануды мазалаған кез келген адам мыңдаған жалған карталарды жасай алады.
Ең жақсы өнімдердің бірі сатып алынған жағдайда да, қате енгізу немесе дұрыс ойластырылмаған технологиялық процедуралар банк үшін қиындықтарға әкелетін көптеген нұсқалар бар. Көптеген қауіпсіздік модульдері әрбір транзакция үшін қайтару кодтарының ауқымын қайтарады. Олардың кейбіреулері, мысалы, «кілттік паритет қатесі» бағдарламашы шын мәнінде қолданылып жатқан модульмен тәжірибе жасап жатқаны туралы ескерту береді. Дегенмен, бірнеше банктер осы ескертулерді ұстап тұру және сәйкес әрекет ету үшін қажетті құрылғы драйверін жазуға алаңдады.
Банктер «байланысты қызметтерді ұсынатын» фирмалармен банкомат жүйесінің барлығына немесе бір бөлігіне қосалқы мердігерлік шарттар жасасып, осы фирмаларға PIN кодтарын берген жағдайлар бар.
ПИН-кодтарды екі немесе одан да көп банктер бөліскен жағдайлар да болды. Барлық банк қызметкерлері сенімді деп есептелсе де, сыртқы фирмалар банкке қатысты қауіпсіздік саясатын ұстанбауы мүмкін. Бұл фирмалардағы қызметкерлер әрқашан дұрыс тексерілмейді, олар аз жалақы алады, немқұрайлы және ұқыпсыз болуы мүмкін, бұл алаяқтықтың ойластырылып, орындалуына әкелуі мүмкін.
Сипатталған басқару қателерінің көпшілігі жобаның психологиялық бөлігінің дамымауынан туындайды. Банк филиалдары мен компьютерлік орталықтар өздерінің күнделікті жұмысын аяқтаған кезде стандартты процедураларды орындауы керек, бірақ мақсаты анық бақылау процедуралары ғана қатаң сақталуы мүмкін. Мысалы, менеджер мен есепші арасында филиал сейфінің кілтін бөлісу жақсы түсінікті: бұл екеуін де отбасын кепілге алудан қорғайды. Криптографиялық кілттер жиі пайдаланушыға ыңғайлы пішінде оралмайды, сондықтан дұрыс пайдаланылуы екіталай. Жартылай жауап шын мәнінде кілттерге ұқсайтын құрылғылар болуы мүмкін (ядролық қару сақтандырғыштарының криптографиялық кілттерінде үлгіленген).
Операциялық процедураларды жақсарту туралы көп жазуға болады, бірақ егер мақсат кез келген криптографиялық кілттің оны теріс пайдаланудың техникалық мүмкіндігі бар біреудің қолына түсуінің алдын алу болса, онда нұсқаулықтар мен оқу курстарында нақты мақсат болуы керек. «Қауіпсіздік арқылы қауіпсіздік» қағидасы көбінесе пайдадан гөрі көп зиян келтіреді.
Кілтті тарату
Кілттерді бөлу банк филиалдары үшін ерекше проблема тудырады. Өздеріңіз білетіндей, теория екі банкирдің әрқайсысы өздерінің кілттік компонентін енгізуді талап етеді, осылайша олардың комбинациясы терминалдың негізгі кілтін береді. Терминалдың басты кілтінде шифрланған PIN-код техникалық қызмет көрсетуден кейінгі бірінші транзакция кезінде банкоматқа жіберіледі.
Егер банкоматтың техникі екі негізгі құрамдас бөлікті де алса, ол PIN коды мен жалған карталардың шифрын шеше алады. Іс жүзінде кілттерді ұстаған филиал менеджерлері оларды инженерге беруге қуанышты, өйткені олар банкоматқа қызмет көрсету кезінде оның жанында тұрғысы келмейді. Сонымен қатар, терминал кілтін енгізу егде жастағы менеджерлер өздерінің қадір-қасиетін төмендететін пернетақтаны пайдалануды білдіреді.
Кілттерді қате басқару әдеттегі тәжірибе. Техникалық қызмет көрсету персоналының инженеріне негізгі кілттері бар екі микросұлбаны берген белгілі жағдай бар. Теориялық тұрғыдан қосарлы бақылау процедуралары болғанымен, қауіпсіздік қызметкерлері чиптерді тапсырды, өйткені соңғы кілттер қолданылды және ешкім не істеу керектігін білмеді. Инженер карталарды қолдан жасап қана қоймайды. Ол кілттерді алып кетіп, банкоматтағы барлық операцияларды тоқтата алар еді.
Кілттер қорғалған файлдарға қарағанда ашық файлдарда жиі сақталатыны қызық емес. Бұл тек банкомат кілттеріне ғана емес, сонымен қатар миллиардтаған транзакцияларды жүргізетін SWIFT сияқты банктен банкке есеп айырысу жүйелерінің кілттеріне де қатысты. Терминал пернелері және аймақтық пернелер сияқты инициализациялау пернелерін тек бір рет пайдаланып, содан кейін оларды жойған дұрыс.
Криптаналитикалық қауіптер
Банк жүйелеріне ең аз қауіп төндіретін крипталитиктер болуы мүмкін, бірақ оларды толығымен дисконттау мүмкін емес. Кейбір банктер (соның ішінде ірі және белгілі банктер) әлі күнге дейін DES-ке дейінгі жылдарда жасалған отандық криптографиялық алгоритмдерді пайдаланады. Бір деректер желісінде деректер блоктары тұрақты мәнді қосу арқылы жай ғана «шифрленді». Бұл әдіс желіні 40-тан астам банк пайдаланғанымен, бес жыл бойы сын көтермеді. Оның үстіне бұл банктердің барлық сақтандыру, аудит және қауіпсіздік сарапшылары жүйенің техникалық сипаттамаларын оқыған көрінеді.
Тіпті «құрметті» алгоритм қолданылса да, ол сәйкес емес параметрлермен жүзеге асырылуы мүмкін. Мысалы, кейбір банктер қауіпсіздіктің қажетті деңгейін қамтамасыз ету үшін кілт ұзындығы кемінде 500 бит болуы керек болса да, кілт ұзындығы 100-ден 400 битке дейін болатын RSA алгоритмін енгізді.
Сондай-ақ, сіз белгілі бір банк пайдаланатын кілтті тапқанша, барлық ықтимал шифрлау кілттерін сынап, дөрекі күш қолдану арқылы кілтті таба аласыз.
Аймақтық кілттерді пайдаланып жұмыс кілттерін шифрлау үшін халықаралық желілерде қолданылатын хаттамалар аймақ кілтіне осылайша шабуыл жасауды жеңілдетеді. Егер аймақ кілті бір рет ашылған болса, желі арқылы банк жіберген немесе алған барлық PlN кодтарын шешуге болады. Канадалық банк сарапшыларының жақында жүргізген зерттеуі DES-ке мұндай шабуылдың әрбір аймақ кілтіне шамамен 30 000 фунт стерлинг тұратынын анықтады. Демек, ұйымдасқан қылмыстың ресурстары мұндай қылмыс үшін жеткілікті және мұндай қылмысты жеткілікті түрде ауқатты адам жасай алады.
Кілттерді табуға қажетті мамандандырылған компьютерлер кейбір елдердің, соның ішінде қазір хаос жағдайында тұрған елдердің барлау қызметтерінде жасалған шығар. Демек, бұл жабдықты сақтаушылардың оны жеке пайдасына пайдалану қаупі бар.
Кіші және үлкен барлық жүйелерде бағдарламалық құрал қателері бар және олар адам қателігіне ұшырайды. Банк жүйелері де ерекшелік емес, мұны өнеркәсіптік өндірісте жұмыс істеген кез келген адам түсінеді. Салалық есеп айырысу жүйелері ондаған жылдар бойы дамып келе жатқан көптеген өзара әрекеттесетін модульдері бар үлкенірек және күрделірек болады. Кейбір транзакциялар міндетті түрде қате орындалады: дебеттер қайталануы немесе шот дұрыс емес өзгертілуі мүмкін.
Бұл жағдай банк шоттарын салыстыру үшін арнайы штат ұстайтын ірі компаниялардың қаржылық бақылаушылары үшін жаңалық емес. Қате дебет пайда болған кезде бұл қызметкерлер тексеру үшін тиісті құжаттарды сұрайды, егер құжаттама жоқ болса, банктен қате төлемді қайтарады.
Дегенмен, банкомат клиенттерінде даулы төлемдерді өтеудің мұндай мүмкіндігі жоқ. АҚШ-тан тыс банкирлердің көпшілігі олардың жүйелерінде қателер жоқ деп айтады.
Мұндай саясат белгілі бір құқықтық және әкімшілік тәуекелдерге әкеледі. Біріншіден, ол теріс пайдалану мүмкіндігін тудырады, өйткені алаяқтық жасырылған. Екіншіден, бұл клиент үшін тым күрделі дәлелдемелерге әкеледі, бұл АҚШ соттарында процедураны жеңілдетуге себеп болды. Үшіншіден, банк қызметкерлерін ұсталуы екіталай екенін біле отырып, оларды ұрлауға жанама түрде ынталандырумен байланысты моральдық қауіп бар. Төртіншіден, бұл идеологиялық олқылық, өйткені тұтынушылардың арыз-шағымдарын орталықтандырылған есепке алудың болмауына байланысты алаяқтық істерін дұрыс ұйымдастырылған бақылауға мүмкіндік жоқ.
Банкоматтардың шығындарымен байланысты іскерлік белсенділікке әсерін дәл бағалау қиын. Ұлыбританияда Қазынашылықтың Экономикалық хатшысы (банк ісін реттеуге жауапты министр) 1992 жылы маусымда мұндай қателер күн сайын жасалатын үш миллион транзакцияның кем дегенде екеуіне әсер ететінін мәлімдеді. Дегенмен, соңғы сот процестерінің қысымымен бұл көрсеткіш алдымен 250 000 қате транзакциядан 1-ге, содан кейін 100 000-нан 1-ге, ең соңында 34 000-нан 1-ге дейін қайта қаралды.
Шағым берген клиенттерге әдетте банк қызметкерлері қарсылық білдіретіндіктен және адамдардың көпшілігі өз шотынан бір реттік ақшаны алуды байқамайтындықтан, ең жақсы болжам бойынша 10 000 дұрыс емес транзакцияның 1-і орын алады. Осылайша, егер орташа клиентпен Банкомат 50 жыл бойы аптасына бір рет, біз әрбір төртінші тұтынушы өмір бойы банкоматтарды пайдалануда қиындықтарға тап болады деп күтуге болады.
Криптографиялық жүйе құрастырушылары жүйе ақауларының теорияда қалай пайда болуы мүмкін емес, іс жүзінде қалай болатыны туралы ақпараттың болмауына байланысты қолайсыз жағдайда. Бұл кемшілік кері байланысқате қатер моделін қолдануға әкеледі. Дизайнерлер әдетте қателерді тудыратын нәрселерге назар аудармай, жүйеде не сәтсіздікке әкелетініне күш салады. Көптеген өнімдер соншалықты күрделі және қиын, олар сирек дұрыс қолданылады. Нәтижесінде қателердің көпшілігі жүйені енгізу және қызмет көрсетумен байланысты. Нәтижесі қаржылық шығынға ғана емес, сонымен қатар сот төрелігінің бұзылуына және банк жүйесіне деген сенімнің төмендеуіне әкеліп соқтырған банкоматтардағы алаяқтықтардың көптігі болды.
Криптографиялық әдістерді енгізудің бір мысалы EXCELLENCE цифрлық қолтаңбасын қолданатын криптографиялық ақпаратты қорғау жүйесі болып табылады.
EXCELLENCE бағдарламалық криптографиялық жүйесі криптографиялық шифрлау, сандық қолтаңба және аутентификация функцияларын пайдалана отырып, IBM-үйлесімді дербес компьютерлер арасында өңделетін, сақталатын және жіберілетін ақпаратты қорғауға арналған.
Жүйе мемлекеттік стандарттарға сәйкес келетін криптографиялық алгоритмдерді жүзеге асырады: шифрлау - ГОСТ 28147-89. ЭЦҚ RSA алгоритміне негізделген.
Қатаң аутентификациясы және кілтті сертификаттауы бар кілт жүйесі халықаралық тәжірибеде кеңінен қолданылатын X.509 хаттамасына және ашық RSA кілтін тарату принципіне негізделген.
Жүйе файл деңгейінде ақпаратты өңдеуге арналған криптографиялық функцияларды қамтиды:
және кілттермен жұмыс істеуге арналған криптографиялық функциялар:
Әрбір желі абонентінің жеке және ашық кілті болады. Әрбір пайдаланушының құпия кілті оның жеке кілттік дискісінде немесе жеке электронды картасында жазылады. Абонент кілтінің құпиялылығы ол үшін шифрланған ақпараттың қорғалуын және оның ЭЦҚ-ны қолдан жасау мүмкін еместігін қамтамасыз етеді.
Жүйе негізгі ақпарат тасушысының екі түрін қолдайды:
Әрбір желі абонентінде олардың атауларымен бірге рұқсатсыз өзгертуден қорғалған барлық жүйе абоненттерінің ашық кілттерінің файлдық каталогы болады. Әрбір абонент өзінің жеке кілтін құпия сақтауға міндетті.
Функционалды түрде EXCELLENCE жүйесі excell_s.exe бағдарламалық модулі түрінде жүзеге асырылады және MS DOS 3.30 және одан жоғары операциялық жүйеде жұмыс істейді. Функцияларды орындау параметрлері пішінде беріледі пәрмен жолы DOS. Сонымен қатар, графикалық интерфейс беріледі. Бағдарлама Intel386/486/Pentium процессорындағы 32 биттік операцияларды автоматты түрде таниды және қолдайды.
Басқаларға енгізу үшін бағдарламалық жүйелерЖЖҚ-дағы деректермен келесі режимдерде жұмыс істеуге арналған негізгі криптографиялық функцияларды қамтитын EXCELLENCE жүйесінің нұсқасы енгізілді: жады – жады; жад – файл; файл – жад.
21 ғасырдың басына арналған болжам
Ақпараттық қауіпсіздік мәселесін шешу үшін тиімді шаралар қабылдайтын банк менеджментінің үлесі 40-80%-ға дейін артуы тиіс. Негізгі проблема қызмет көрсету (соның ішінде бұрынғы) персонал (40%-дан 95%-ға дейін) болады, ал қауіптердің негізгі түрлері рұқсатсыз кіру (UNA) және вирустар (банктердің 100%-ға дейіні вирустық шабуылдарға ұшырайды) болады. ).
Ақпараттық қауіпсіздікті қамтамасыз етудің маңызды шаралары ақпараттық қауіпсіздік қызметінің жоғары кәсібилігі болады. Осыған банктер пайданың 30% дейін ақпараттық қауіпсіздікке жұмсауға мәжбүр болады.
Жоғарыда аталған барлық шараларға қарамастан, ақпараттық қауіпсіздік мәселесін абсолютті шешу мүмкін емес. Сонымен бірге, банктің ақпараттық қауіпсіздік жүйесінің тиімділігі толығымен оған салынған қаражат көлемімен және ақпараттық қауіпсіздік қызметінің кәсібилігімен, ал банктің ақпараттық қауіпсіздік жүйесін бұзу мүмкіндігі толығымен оның құнымен анықталады. қауіпсіздік жүйесін және алаяқтардың біліктілігін жеңу. (Шетелдік тәжірибеде, егер оны жеңу құны қорғалатын ақпарат құнының 25% аспайтын болса, қауіпсіздік жүйесін «бұзу» мағынасы бар деп есептеледі).
4-тарауда электрондық банктік жүйелерді қорғау тәсілдерінің ерекшеліктері қарастырылды. Бұл жүйелердің спецификалық ерекшелігі электрондық мәліметтер алмасудың ерекше түрі – электронды төлемдер, онсыз бірде-бір заманауи банк өмір сүре алмайды.
Электрондық деректер алмасу (EDE) – іскерлік, коммерциялық және қаржылық электрондық құжаттарды компьютерден компьютерге алмасу. Мысалы, бұйрықтар, төлем нұсқаулары, келісім-шарттық ұсыныстар, шот-фактуралар, чектер және т.б.
EOD сауда-саттық мәмілесін дайындаудың, шарт жасасудың және жеткізуді жүзеге асырудың барлық кезеңдерінде сауда серіктестері (клиенттер, жеткізушілер, делдалдар және т.б.) арасында жедел өзара әрекеттесуді қамтамасыз етеді. Келісімшартты төлеу және ақша аудару кезеңінде EDI қаржылық құжаттардың электрондық алмасуына әкелуі мүмкін. Бұл сауда және төлем операциялары үшін тиімді орта жасайды:
* Нақты уақыт режимінде сауда серіктестерін тауарлар мен қызметтердің ұсыныстарымен таныстыруға, қажетті өнімді/қызметті таңдауға, коммерциялық шарттарды (құны мен жеткізу мерзімі, сауда жеңілдіктері, кепілдік және қызмет көрсету міндеттемелері) нақтылауға болады;
* Тауарларға/қызметтерге тапсырыс беру немесе нақты уақыт режимінде келісімшарт ұсынысын сұрау;
* Тауарлардың жеткізілуін, ілеспе құжаттарды (шот-фактуралар, шот-фактуралар, құрамдас тізімдер және т.б.) электронды пошта арқылы алуды жедел бақылау;
* Тауарларды/қызметтерді жеткізуді, шот-фактураларды беруді және төлеуді аяқтауды растау;
* Банктік несие және төлем операцияларын орындау. OED артықшылықтары мыналарды қамтиды:
* Қағазсыз технологияға көшу арқылы операциялардың құнын төмендету. Сарапшылар қағаз құжаттаманы өңдеу және жүргізу құнын коммерциялық операциялар мен тауарды жеткізудің жалпы құнының 3-8% құрайды. EED пайдаланудан түсетін пайда, мысалы, АҚШ-тың автомобиль өнеркәсібінде өндірілген автомобильге 200 доллардан астам бағаланады;
* Есеп айырысу және ақша айналымының жылдамдығын арттыру;
* Есептеулердің ыңғайлылығын арттыру.
EED дамытудың екі негізгі стратегиясы бар:
1. EOD серіктестермен тығыз өзара әрекеттесуге мүмкіндік беретін бәсекелестік артықшылық ретінде пайдаланылады. Бұл стратегияны ірі ұйымдар қабылдады және кеңейтілген кәсіпорын тәсілі деп аталады.
2. EDI кейбір нақты өнеркәсіптік жобаларда немесе коммерциялық және басқа ұйымдардың бірлестіктерінің бастамаларында олардың өзара әрекеттесу тиімділігін арттыру үшін қолданылады.
Америка Құрама Штаттары мен Батыс Еуропадағы банктер EDI таратудағы өздерінің негізгі рөлін және іскерлік және жеке серіктестермен тығыз қарым-қатынастан келетін маңызды артықшылықтарды мойындады. OED банктерге клиенттерге қызмет көрсетуге көмектеседі, әсіресе құны жоғары болғандықтан, бұрын оларды пайдалана алмайтын шағын.
ЭҚИ кең таралу жолындағы негізгі кедергі – байланыс арналары арқылы алмасу кезінде құжаттарды ұсынудың әртүрлілігі. Бұл кедергіні еңсеру үшін әртүрлі ұйымдар әртүрлі салалар үшін EED жүйесінде құжаттарды тапсыру стандарттарын әзірледі:
QDTI - General Trade Interchange (Еуропа, халықаралық сауда);
MDSND - Ұлттық автоматтандырылған клирингтік орталық қауымдастығы (АҚШ, Автоматтандырылған клирингтік орталықтардың ұлттық қауымдастығы);
TDCC - Көлік деректерін үйлестіру комитеті;
VICS - ерікті салааралық коммуникация стандарты (АҚШ, ерікті салааралық байланыс стандарты);
WINS - қоймалық ақпарат желісінің стандарттары ақпараттық желітауар қоймалары).
1993 жылдың қазан айында UN/ECE халықаралық тобы EDIFACT стандартының бірінші нұсқасын жариялады. Синтаксистік ережелер мен коммерциялық деректер элементтерінің әзірленген жиынтығы екі ISO стандарты түрінде ресімделді:
ISO 7372 - Сауда деректерінің элементтерінің анықтамалығы;
ISO 9735 - EDIFACT - Қолданба деңгейінің синтаксистік ережелері.
EOD ерекше жағдайы электрондық төлемдер болып табылады - клиенттер мен банктер арасында, банктер мен басқа қаржылық және коммерциялық ұйымдар арасында қаржылық құжаттармен алмасу.
Электрондық төлемдер түсінігінің мәні мынада: байланыс желілері арқылы жіберілген, тиісті түрде рәсімделген және жіберілген хабарламалар бір немесе бірнеше банктік операцияларды орындауға негіз болады. Негізінде бұл операцияларды орындау үшін қағаз құжаттар талап етілмейді (бірақ олар шығарылуы мүмкін). Басқаша айтқанда, байланыс желілері арқылы жіберілген хабарламада жіберушінің өз шоты бойынша, атап айтқанда, қабылдаушы банктің корреспонденттік шотында (клирингтік орталық бола алады) кейбір операцияларды орындағаны туралы және алушының хабарламада көрсетілген операциялар. Осындай хабарлама негізінде сіз ақша жіберуге немесе алуға, несие ашуға, сатып алу немесе қызмет үшін төлеуге және кез келген басқа әрекеттерді орындауға болады. банктік операция. Мұндай хабарламалар электрондық ақша деп аталады, ал мұндай хабарламаларды жіберу немесе алу негізінде банк операцияларын орындау электрондық төлемдер деп аталады. Әрине, электронды төлемдерді жасаудың бүкіл процесі қажет сенімді қорғаныс. Әйтпесе, банк пен оның клиенттері үлкен қиындықтарға тап болады.
Электрондық төлемдер банкаралық, сауда және жеке төлемдер үшін қолданылады.
Банкаралық және сауда есеп айырысу ұйымдар (заңды тұлғалар) арасында жүргізіледі, сондықтан оларды кейде корпоративтік деп те атайды. Жеке клиенттердің қатысуымен есеп айырысулар жеке деп аталады.
Банк жүйелеріндегі негізгі ұрлықтардың көпшілігі тікелей немесе жанама түрде электронды төлем жүйелерімен байланысты.
Әртүрлі елдердегі көптеген қаржы институттары мен олардың клиенттерін қамтитын электрондық төлем жүйелерін, әсіресе жаһандық жүйелерді құруда көптеген кедергілер бар. Олардың негізгілері:
1. Бірыңғай банк жүйелерін құруды айтарлықтай қиындататын операциялар мен қызметтердің бірыңғай стандарттарының болмауы. Әрбір ірі банк өзінің EOD желісін құруға ұмтылады, бұл оны пайдалану және қызмет көрсету шығындарын арттырады. Қайталанатын жүйелер оларды пайдалануды қиындатады, өзара араласуды тудырады және тұтынушылардың мүмкіндіктерін шектейді.
2. Қаржылық алыпсатарлық мүмкіндігінің артуына әкелетін ақша массасының ұтқырлығының артуы «кезбе капиталдың» ағынын кеңейтеді. Бұл ақша қысқа мерзімде нарықтағы жағдайды өзгертіп, оны тұрақсыздандыруы мүмкін.
3. Қаржылық есеп айырысуларды жүзеге асыру кезіндегі техникалық құралдардың және бағдарламалық қателердің істен шығуы мен істен шығуы, бұл әрі қарай есеп айырысу үшін күрделі асқынуларға және клиенттер тарапынан банкке деген сенімнің жоғалуына, әсіресе банктік байланыстардың тығыз тоғысуына байланысты (бір түрі) «қателерді тарату»). Бұл ретте ақпаратты өңдеуді тікелей басқаратын жүйелік операторлар мен әкімшіліктің рөлі мен жауапкершілігі айтарлықтай артады.
Кез келген электрондық төлем жүйесінің клиенті болғысы келетін немесе өз жүйесін ұйымдастырғысы келетін кез келген ұйым бұл туралы білуі керек.
Сенімді жұмыс істеу үшін электрондық төлем жүйесі жақсы қорғалған болуы керек.
Сауда есеп айырысулары әртүрлі сауда ұйымдары арасында жүргізіледі. Төлеуші ұйымның шотынан алушы ұйымның шотына ақша аудару кезінде банктер бұл есеп айырысуларға делдал ретінде қатысады.
Саудамен есеп айырысу электрондық төлемдер бағдарламасының жалпы табысы үшін өте маңызды. Әртүрлі компаниялардың қаржылық операцияларының көлемі әдетте банктік операциялардың жалпы көлемінің маңызды бөлігін құрайды.
Сауда есеп айырысуларының түрлері әртүрлі ұйымдар үшін өте ерекшеленеді, бірақ олар жүзеге асырылған кезде ақпараттың екі түрі әрқашан өңделеді: төлем хабарламалары және көмекші (статистика, есептер, хабарламалар). Қаржы ұйымдары үшін ең үлкен қызығушылық, әрине, төлем хабарламаларынан алынған ақпарат - шот нөмірлері, сомалар, теңгерім және т.б. Сауда ұйымдары үшін ақпараттың екі түрі де бірдей маңызды – біріншісі қаржылық жағдай туралы анықтама береді, екіншісі шешім қабылдауға және саясатты әзірлеуге көмектеседі.
Сауда есеп айырысуларының ең көп тараған түрлері:
* Тікелей депозит.
Бұл есеп айырысу түрінің мағынасы ұйымның банкке алдын ала дайындалған магниттік тасымалдағыштарды немесе арнайы хабарламаларды пайдалана отырып, өз қызметкерлеріне немесе клиенттеріне төлемдердің белгілі бір түрлерін автоматты түрде жүзеге асыруға нұсқау беруі болып табылады. Мұндай төлемдерді жүзеге асыру шарттары алдын ала келісіледі (қаржыландыру көзі, сомасы және т.б.). Олар негізінен тұрақты төлемдер (сақтандырудың әртүрлі түрлері бойынша төлемдер, несиелерді өтеу, жалақы және т.б.) үшін пайдаланылады. Институционалды түрде тікелей депозит, мысалы, чектерді пайдалана отырып төлеуге қарағанда ыңғайлы.
1989 жылдан бастап тікелей депозитті пайдаланатын қызметкерлердің саны екі есе өсті және жалпы санның 25% құрады. Бүгінде 7 миллионнан астам американдықтар жалақыларын тікелей депозит арқылы алады. Банктер үшін тікелей депозит келесі артықшылықтарды ұсынады:
Қағаз құжаттарды өңдеуге байланысты тапсырмалар көлемін қысқарту және соның нәтижесінде айтарлықтай соманы үнемдеу;
Депозиттер санының ұлғаюы, өйткені төлемдер көлемінің 100%-ы депозитке салынуы тиіс.
Банктерден басқа меншік иелері де, жұмысшылар да пайда көреді; ыңғайлылығы артып, шығындар азаяды.
* OED көмегімен есептеулер.
Мұндағы деректер шот-фактуралар, шот-фактуралар, құрамдас парақтар және т.б.
EDI енгізу үшін келесі негізгі қызметтер жиынтығы қажет:
X.400 стандартына сәйкес электрондық пошта;
Файлды тасымалдау;
Нүктеден нүктеге байланыс;
Деректер базасына он-лайн қол жеткізу;
Хат жәшігі;
Ақпаратты ұсыну стандарттарын түрлендіру.
Қазіргі уақытта EDI пайдаланатын сауда есеп айырысу жүйелерінің мысалдары мыналарды қамтиды:
Ұлттық Банк және Royal Bank (Канада) IBM ақпараттық желісін пайдалана отырып, өз клиенттерімен және серіктестерімен қосылған;
1986 жылы негізі қаланған Трансконтинентальды автоматтандырылған төлем қызметі (TAPS) банкі Шотландия Банкін корреспондент-банктер және автоматтандырылған клирингтік орталықтар арқылы 15 елдегі клиенттермен және серіктестермен байланыстырады.
Электрондық банкаралық есеп айырысулар негізінен екі түрге бөлінеді:
* Делдалдық банктің (клирингтік банктің) қуатты компьютерлік жүйесін және осы банктегі есеп айырысуларға қатысатын банктердің корреспонденттік шоттарын пайдалана отырып клирингтік есеп айырысу. Жүйе заңды тұлғалардың өзара ақшалай талаптары мен міндеттемелерін кейіннен қалдықты аударумен есепке алуға негізделген. Клиринг мәмілеге қатысушылардың өзара талаптарын реттеу клирингтік орталық немесе арнайы электронды клиринг жүйесі арқылы жүзеге асырылатын қор және тауар биржаларында да кеңінен қолданылады.
Банкаралық клирингтік есеп айырысулар арнайы клирингтік палаталар, коммерциялық банктер арқылы, бір банктің филиалдары мен филиалдары арасында – бас кеңсе арқылы жүзеге асырылады. Бірқатар елдерде клирингтік орталықтардың қызметін орталық банктер атқарады. Автоматтандырылған клирингтік орталықтар (АКС) қаржы институттары арасында ақшалай қаражат алмасу қызметін көрсетеді. Төлем операциялары негізінен дебеттермен немесе кредиттермен шектеледі. AKP жүйесінің мүшелері AKP қауымдастығының мүшелері болып табылатын қаржы институттары болып табылады. Бірлестік географиялық аймақта электрондық төлемдерді жүзеге асыру ережелерін, процедураларын және стандарттарын әзірлеу мақсатында құрылады. Айта кету керек, ACP қаражатты және ілеспе ақпаратты жылжыту механизмінен басқа ештеңе емес. Олар төлем қызметтерін өздері орындамайды. ACP қағаз қаржылық құжаттарды өңдеу жүйелерін толықтыру үшін құрылды. Алғашқы автоматты беріліс қорабы 1972 жылы Калифорнияда пайда болды, қазіргі уақытта Америка Құрама Штаттарында 48 автоматты беріліс қорабы жұмыс істейді. 1978 жылы барлық 48 ACH желісін кооперативтік негізде біріктіретін Ұлттық автоматтандырылған клирингтік орталық қауымдастығы (NACHA) құрылды.
Операциялардың көлемі мен сипаты үнемі кеңеюде. ACP іскерлік есеп айырысулар мен электрондық деректер алмасу операцияларын жүзеге асыра бастайды. Әртүрлі банктер мен компаниялардың үш жылдық күш-жігерінен кейін кредиттер мен дебеттерді автоматты түрде өңдеу үшін CTP (корпоративтік сауда төлемі) жүйесі құрылды. Сарапшылардың пікірінше, жақын арада автоматты беріліс қорабы функцияларын кеңейту үрдісі жалғасады.
* Тікелей есеп айырысулар, онда екі банк лоро ностро шоттары арқылы бір-бірімен тікелей байланысады, мүмкін ұйымдастырушылық немесе көмекші рөл атқаратын үшінші тараптың қатысуымен. Әрине, өзара мәмілелердің көлемі мұндай есеп айырысу жүйесін ұйымдастыру шығындарын ақтау үшін жеткілікті үлкен болуы керек. Әдетте, мұндай жүйе бірнеше банктерді біріктіреді және әрбір жұп делдалдарды айналып өтіп, бір-бірімен тікелей байланыса алады. Дегенмен, бұл жағдайда өзара әрекеттесетін банктерді қорғаумен (кілттерді бөлу, басқару, жұмыс істеуін бақылау және оқиғаларды тіркеу) айналысатын басқару орталығы қажет.
Әлемде мұндай жүйелер өте көп - бірнеше банктерді немесе филиалдарды біріктіретін шағын жүйелерден мыңдаған қатысушыларды біріктіретін алып халықаралық жүйелерге дейін. Бұл сыныптың ең танымал жүйесі - SWIFT.
Жақында электрондық төлемдердің үшінші түрі пайда болды - электрондық чекті қысқарту, оның мәні қағаз чекті ол ұсынылған қаржы институтына жіберу маршрутын тоқтату болып табылады. Қажет болса, оның электронды аналогы арнайы хабарлама түрінде әрі қарай «саяхаттайды». Электрондық чекті қайта жіберу және өтеу ACH көмегімен жүзеге асырылады.
1990 жылы NACHA «Электрондық чекті үзу» ұлттық пилоттық бағдарламасының тестілеуінің бірінші кезеңін жариялады. Оның мақсаты - үлкен көлемдегі қағаз чектерді өңдеуге кететін шығынды азайту.
Электрондық төлем жүйесі арқылы ақша жіберу келесі қадамдарды қамтиды (нақты шарттарға және жүйенің өзіне байланысты, тапсырыс әртүрлі болуы мүмкін):
1. Бірінші банк жүйесіндегі белгілі бір шот қажетті сомаға азаяды.
2. Бірінші банктегі екінші банктің корреспонденттік шоты сол сомаға өседі.
3. Бірінші банктен екінші банкке орындалып жатқан әрекеттер туралы ақпарат (шоттың сәйкестендіргіштері, сомасы, күні, шарттары және т.б.) бар хабарлама жіберіледі; бұл жағдайда жіберілген хабарлама қолдан жасаудан тиісті түрде қорғалған болуы керек: шифрланған, ЭЦҚ және бақылау өрістерімен қамтамасыз етілген және т.б.
4. Бірінші банктің корреспонденттік шотынан қажетті сома екіншісінде дебеттеледі.
5. Екінші банктегі белгілі бір шот қажетті сомаға көбейтіледі.
6. Екінші банк біріншіге шотқа енгізілген түзетулер туралы хабарлама жібереді; бұл хабарлама да төлем хабарын қорғауға ұқсас түрде бұрмаланудан қорғалуы керек.
7. Айырбастау хаттамасы шиеленістерді болдырмау үшін абоненттер үшін де, мүмкін үшінші тарап үшін де (желілік басқару орталығында) жазылады.
Хабарламаны жіберу жолында делдалдар болуы мүмкін – клирингтік орталықтар, ақпаратты беруде делдалдық банктер және т.б. Мұндай есептеулердің негізгі қиындығы - серіктесіне деген сенімділік, яғни әрбір абонент өз корреспонденті барлық қажетті әрекеттерді орындайтынына сенімді болуы керек.
Электрондық төлемдерді қолдануды кеңейту үшін қаржылық құжаттарды электронды түрде ұсынуды стандарттау жүргізілуде. Ол 70-ші жылдары екі ұйымда басталды:
1) ANSI (Американдық ұлттық стандарт институты) ANSI X9.2-1080, (Қаржы институты арасында дебеттік және кредиттік карта хабарлама алмасуына арналған алмасу хабарының сипаттамасы) жариялады. 1988 жылы ISO 8583 (Bank Card Originated Messages Interchange Message Specifications – Content for Financial Transactions) деп аталатын ұқсас стандартты ISO қабылдады;
2) SWIFT (Society for Worldwide Interbank Financial Telecommunications) банкаралық хабарламалар үшін бірқатар стандарттарды әзірледі.
ISO 8583 стандартына сәйкес қаржылық құжат хабарламаның немесе электрондық құжаттың (электрондық несие картасы, X.400 пішіміндегі хабарлама немесе EDIFACT синтаксисіндегі құжат) белгілі өрістерінде орналасқан бірқатар деректер элементтерін (детальдарын) қамтиды. Әрбір деректер элементіне (ED) өзінің бірегей нөмірі тағайындалады. Деректер элементі не міндетті (яғни осы түрдегі әрбір хабарламада қамтылған) немесе қосымша (кейбір хабарларда болмауы мүмкін) болуы мүмкін.
Бит масштабы хабарламаның құрамын анықтайды (ондағы бар ЭС). Егер разряд шкаласының белгілі бір цифры біреуге орнатылса, бұл хабарламада сәйкес ED бар екенін білдіреді. Хабарламаларды кодтаудың бұл әдісінің арқасында хабарламаның жалпы ұзындығы қысқарады, көптеген ЭС-тері бар хабарламаларды көрсетуде икемділікке қол жеткізіледі және стандартты құрылымның электрондық құжатына жаңа ЭҚ және хабарлама түрлерін қосу мүмкіндігі қамтамасыз етіледі.
Электрондық банкаралық төлемдердің бірнеше әдістері бар. Олардың екеуін қарастырайық: чек бойынша төлем (қызмет көрсетілгеннен кейін төлем) және аккредитив бойынша төлем (күтілетін қызмет үшін төлем). Төлем сұраулары немесе төлем тапсырмалары арқылы төлеу сияқты басқа әдістерде ұқсас ұйым бар.
Чекпен төлеу қағаз немесе төлеушінің жеке басын куәландыратын басқа құжат негізінде жүзеге асырылады. Бұл құжат чекте көрсетілген соманы иесінің шотынан ұсынушының шотына аудару үшін негіз болып табылады. Чек арқылы төлеу келесі қадамдарды қамтиды:
Чек алу;
Банкке чек беру;
Чек иесінің шотынан чек иесінің шотына аударуды талап ету;
Ақша аудару;
Төлем туралы хабарлама.
Мұндай төлемдердің негізгі кемшіліктері оңай жалған жасауға болатын көмекші құжаттың (чектің) қажеттілігі, сондай-ақ төлемді аяқтау үшін қажет айтарлықтай уақыт (бірнеше күнге дейін).
Сондықтан соңғы кездері бұл төлем түрі аккредитив бойынша төлем ретінде кеңінен таралған. Ол келесі қадамдарды қамтиды:
Клиенттің банкке несие беру туралы хабарламасы;
Қарыз беру және ақша аудару туралы алушының банкіне хабарлама;
Алушыны несие алғаны туралы хабардар ету.
Бұл жүйе өте қысқа мерзімде төлем жасауға мүмкіндік береді. Несие туралы хабарламаны (электрондық) пошта, дискет, магниттік таспа арқылы жіберуге болады.
Жоғарыда қарастырылған төлем түрлерінің әрқайсысының өзіндік артықшылықтары мен кемшіліктері бар. Чектер шағын сомаларды төлеуге, сондай-ақ тұрақты емес төлемдерге өте ыңғайлы. Бұл жағдайларда төлемді кешіктіру өте маңызды емес, ал несиені пайдалану орынсыз. Аккредитивті пайдаланатын төлемдер әдетте тұрақты төлемдер үшін және айтарлықтай сомалар үшін пайдаланылады. Бұл жағдайларда клирингтік кешіктірудің болмауы ақша айналымы мерзімін қысқарту арқылы көп уақыт пен ақшаны үнемдеуге мүмкіндік береді. Бұл екі әдістің жалпы кемшілігі - сенімді электронды төлем жүйесін ұйымдастыруға ақша жұмсау қажеттілігі.
