Metode de protejare a sistemului de plată electronică în bani digitali. Principalele modalități de a proteja banii electronici? Măsuri de securitate pentru sistemele electronice de plată
Sistemele de plată electronică sunt unul dintre cele mai populare tipuri de lucru cu moneda electronică. În fiecare an se dezvoltă din ce în ce mai activ, ocupând o cotă destul de mare de piață pentru lucrul cu moneda. Odată cu ele se dezvoltă și tehnologii pentru a le asigura siguranța. Pentru că astăzi nu poate exista un singur sistem de plată electronică fără tehnologii și sisteme de securitate bune, care la rândul lor asigură tranzacția în siguranță a tranzacțiilor monetare. Există o mulțime de sisteme de plată electronică în sine, precum și tehnologii de securitate. Fiecare dintre ele are principii și tehnologii de funcționare diferite, precum și propriile avantaje și dezavantaje. În plus, o serie de probleme teoretice și practice rămân nerezolvate, ceea ce determină relevanța temei de cercetare.
Fiecare sistem de plată electronică folosește propriile metode, algoritmi de criptare, protocoale de transfer de date pentru a efectua tranzacții securizate și transfer de date. Unele sisteme folosesc algoritmul de criptare RSA și protocolul de transfer HTTPs, în timp ce altele folosesc algoritmul DES și protocolul SSL pentru a transfera date criptate. Ideea din spatele scrierii acestui articol este de a studia și analiza o serie de sisteme de plată populare, și anume tehnologiile de securitate utilizate în acestea, și de a afla care este cel mai avansat.
Pe parcursul redactării articolului s-au efectuat cercetări asupra sistemelor de plată și o analiză a securității sistemelor de plată existente. Au fost analizate patru sisteme de plată (Webmoney, Yandex.Money, RauPa1 și E-Port) după aceleași criterii. Sistemele au fost evaluate folosind un sistem pe mai multe niveluri care include parametri imbricați. Desigur, toate aceste criterii se referă la zonă securitatea informatiei. Există două criterii principale: suport tehnic pentru securitatea informațională a plăților și suport organizațional și juridic. Fiecare dintre acești doi parametri a fost evaluat folosind un sistem în trei puncte. Scala de rating este exact aceasta, deoarece dezvoltarea actuală a sistemelor de plată electronică în țara noastră este la un asemenea nivel încât majoritatea parametrilor acestora pot fi descriși doar cu cuvintele „da sau nu”. În consecință, dacă un sistem de plată electronică se potrivește cel mai bine cu orice parametru, acesta primește cel mai mare scor (3); dacă nu răspunde deloc, primește scorul minim (0). Dacă sistemul nu are acest criteriu în forma sa explicită, dar dacă există servicii sau capabilități asociate cu cel care lipsește, acordăm un punctaj intermediar - unul sau doi.
La evaluarea sistemelor de plată electronică, trebuie amintit că în condiții diferite valoarea aceluiași parametru nu este aceeași. De exemplu, mai multe servicii care măresc semnificativ nivelul de protecție pot fi implementate doar de către utilizator în mod voluntar; în plus, însăși prezența acestor servicii în sistem este valoroasă. Factorul uman nu a fost anulat și nu va fi niciodată anulat, așa că se ține cont că serviciul poate fi fie implementat, fie nerealizat.
Suport tehnic pentru securitatea tranzacțiilor
Acesta este primul dintre criterii - un set de parametri care, după cum reiese clar din numele său, oferă latura tehnică a protecției informațiilor. Înainte de acest parametru, sunt incluse următoarele: metode criptografice de criptare, autentificare și acces folosind un hardware(în cel mai primitiv caz - folosind chei USB).
Nu este un secret pentru nimeni că principalul criteriu de protejare a informațiilor în termeni tehnici este, desigur, criptarea datelor și, mai precis, algoritmii criptografici cu care sunt implementați. De asemenea, se știe că, cu cât cheia este mai lungă, cu atât este mai dificil să o decriptezi și, în consecință, să obții acces la informații confidențiale. Trei dintre sistemele testate folosesc algoritmul RSA binecunoscut și respectat pe scară largă: Webmoney, Yandex.Money, PayPal. E-Port folosește criptarea prin intermediul protocolului SSL versiunea 3.0.De fapt, criptarea este implementată folosind chei SSL, care sunt unice, sunt generate în timpul sesiunii și poartă numele de cheie de sesiune. Lungimea cheii SSL în sistemul E-Port variază de la 40 la 128 de biți, ceea ce este suficient pentru un nivel acceptabil de securitate a tranzacțiilor.
Următorul parametru în suportul tehnic al securității informațiilor tranzacțiilor este autentificarea, adică. un set de soluții de care utilizatorul are nevoie pentru a-și accesa propriile informații personale. Totul este simplu aici. Sistemele Webmoney și Yandex.Money folosesc două criterii de acces, în timp ce PayPal și E-Port folosesc doar unul. În Webmoney, pentru a accesa sistemul și a efectua plăți, trebuie să introduceți o parolă și o cheie specială.Yandex.Money funcționează în mod similar: sunt necesare o parolă și un program special de portofel. În toate celelalte sisteme, accesul este asigurat prin parolă. Totuși, în sistemul E-Port, pentru a funcționa folosind protocolul SSL, serverul web al potențialului client (și orice alt participant la sistem) trebuie să aibă un certificat digital special primit de la una dintre companiile autorizate. Acest certificat este utilizat pentru autentificarea serverului web al clientului. Mecanismul de securitate al certificatelor utilizat în E-Port este certificat de RSA Security. Al treilea și ultimul criteriu din acest studiu este accesul la sistem folosind hardware special, cum ar fi cheile USB.
Metode de criptare criptografică
Webmoney și Yandex.Money folosesc o cheie cu o lungime de 1024 de biți (un indicator foarte mare, este aproape imposibil să spargi o astfel de cheie folosind o metodă simplă de forță brută), iar PayPal folosește o cheie pe jumătate - 512 biți. , pentru primele două sisteme, folosind acest criteriu obținem punctajul maxim – 3. PayPal, deoarece folosește o cheie de criptare mai scurtă, obține două puncte. Rămâne doar să evaluăm E-Port după acest parametru. În ciuda utilizării protocolului SSL și chiar a lungimii cheii de până la 128 de biți, E-Port are o oarecare vulnerabilitate potențială: multe versiuni mai vechi de browsere acceptă criptarea cu chei de lungime mai mică. , deci există posibilitatea de a pirata datele primite; in consecinta, pentru cei care folosesc browserul ca client pentru sistem de plata, trebuie să lucrezi cu el ultima versiune(desigur, acest lucru nu este întotdeauna convenabil sau posibil). Cu toate acestea, în coloana „criptare”, E-Port poate primi un scor de 1,7: sistemul a obținut acest rating datorită utilizării protocolului PGP progresiv pentru criptarea mesajelor de e-mail.
Autentificare
Sistemele Webmoney și Yandex.Money folosesc două criterii de acces, în timp ce PayPal și E-Port folosesc doar unul. În Webmoney, pentru a accesa sistemul și a efectua plăți, trebuie să introduceți o parolă și o cheie specială. Yandex.Money funcționează în mod similar: sunt necesare o parolă și un program special de portofel.În toate celelalte sisteme, accesul este oferit prin parolă. Cu toate acestea, în sistemul E-Port, serverul web al potențialului client este folosit pentru a funcționa folosind protocolul SSL.
Potrivit Webmoney și Yandex.Money, ei primesc trei puncte aici, PayPal - 0 puncte, E-Port - unul.
Este chiar mai ușor aici decât cu parametrii anteriori. Dintre toate sistemele, doar Webmoney PayPal are o astfel de opțiune suplimentară; acestea din urmă nu oferă o astfel de oportunitate. Astfel, ținând cont de coeficientul de ponderare, Webmoney și PayPal au primit 1,5 puncte pentru acest parametru, toate celelalte au primit zero.
După evaluarea celor două criterii, putem rezuma. Pe baza sumei parametrilor luați în considerare, Webmoney s-a dovedit a fi sigur. Într-adevăr, dacă utilizatorul folosește toate serviciile de securitate pe care le oferă, el poate rămâne practic invulnerabil în fața fraudătorilor. Al doilea loc a fost ocupat de sistemul Yandex.Money, al treilea de PayPal (acest sistem este ideal pentru persoanele juridice pentru transparența sa juridică semnificativă a plăților), iar ultimul loc a fost acordat sistemului E-Port.
În plus, însumând analiza sistemelor de plată, putem spune că alegerea unui sistem de plată electronică nu se realizează după un singur parametru de securitate, chiar dacă este unul dintre cei mai importanți. Sistemele de plată electronică diferă și prin disponibilitatea serviciilor, ușurința în utilizare - există mulți alți factori.
concluzii
Plățile electronice sunt o etapă naturală în dezvoltarea telecomunicațiilor.Cererea este mare în acele nișe în care există un produs cu drepturi depline - un produs digital, ale cărui proprietăți sunt bine „suprapuse” cu proprietățile plății online: plată instantanee, livrare instantanee , simplitate și lipsă de marcă.
Sistem de plată prin internet este un sistem de efectuare a plăților între organizații financiare, de afaceri și utilizatorii de internet în procesul de cumpărare/vânzare de bunuri și servicii prin internet. Este sistemul de plată care vă permite să transformați un serviciu de procesare a comenzilor sau o vitrină electronică într-un magazin cu drepturi depline, cu toate atributele standard: selectând un produs sau serviciu pe site-ul vânzătorului, cumpărătorul poate efectua o plată fără a părăsi calculator.
Într-un sistem de comerț electronic, plățile sunt efectuate cu un număr de condiții:
1. Păstrarea confidențialității. Atunci când efectuează plăți prin Internet, cumpărătorul dorește ca datele sale (de exemplu, numărul cardului de credit) să fie cunoscute doar de organizațiile care au dreptul legal de a face acest lucru.
2. Menținerea integrității informațiilor. Informațiile de cumpărare nu pot fi modificate de nimeni.
3. Autentificare. Cumpărătorii și vânzătorii trebuie să aibă încredere că toate părțile implicate într-o tranzacție sunt cine spun că sunt.
4. Mijloace de plată. Posibilitate de plata folosind orice mijloc de plata disponibil cumparatorului.
6. Garanții de risc ale vânzătorului. Atunci când tranzacționează pe internet, vânzătorul este expus multor riscuri asociate cu refuzul produselor și cu necinstea cumpărătorului. Amploarea riscurilor trebuie convenită cu furnizorul de sistem de plată și cu alte organizații incluse în lanțul de tranzacționare prin acorduri speciale.
7. Minimizarea taxelor de tranzacție. Taxele de procesare a tranzacțiilor pentru comandarea și plata bunurilor sunt în mod natural incluse în prețul acestora, astfel încât scăderea prețului tranzacției crește competitivitatea. Este important de menționat că tranzacția trebuie plătită în orice caz, chiar dacă cumpărătorul refuză mărfurile.
Toate aceste condiții trebuie implementate în sistemul de plată prin Internet, care, în esență, sunt versiuni electronice ale sistemelor tradiționale de plată.
Astfel, toate sistemele de plată sunt împărțite în:
Debit (lucrarea cu cecuri electronice și numerar digital);
Credit (lucrare cu carduri de credit).
Sisteme de debit
Schemele de plată prin debit sunt construite în mod similar cu prototipurile lor offline: cec și bani obișnuiți. Schema implică două părți independente: emitenți și utilizatori. Emitentul este înțeles ca fiind entitatea care gestionează sistemul de plăți. Emite unele unități electronice care reprezintă plăți (de exemplu, bani în conturi bancare). Utilizatorii sistemului îndeplinesc două funcții principale. Ei efectuează și acceptă plăți pe internet folosind unități electronice emise.
Cecurile electronice sunt analoge cu cecurile obișnuite pe hârtie. Acestea sunt instrucțiunile plătitorului către banca sa pentru a transfera bani din contul său în contul beneficiarului plății. Operațiunea are loc la prezentarea de către destinatarul cecului la bancă. Există două diferențe principale aici. În primul rând, atunci când scrie un cec pe hârtie, plătitorul își pune semnătura reală, iar în versiunea online - o semnătură electronică. În al doilea rând, cecurile în sine sunt emise electronic.
Plățile se fac în mai multe etape:
1. Plătitorul emite un cec electronic, îl semnează cu semnătură electronică și îl transmite destinatarului. Pentru a asigura o mai mare fiabilitate și securitate, numărul contului curent poate fi criptat cu cheia publică a băncii.
2. Cecul este prezentat pentru plata către sistemul de plată. În continuare, (fie aici, fie la banca care deservește destinatarul) are loc un cec semnatura electronica.
3. În cazul în care se confirmă autenticitatea acestuia, se livrează bunurile sau se prestează serviciul. Banii sunt transferați din contul plătitorului în contul destinatarului.
Simplitatea schemei de plată (Fig. 43), din păcate, este compensată de dificultățile implementării acesteia din cauza faptului că schemele de verificare nu s-au răspândit încă și nu există centre de certificare pentru implementarea semnăturilor electronice.
O semnătură digitală electronică (EDS) utilizează un sistem de criptare cu cheie publică. Aceasta creează o cheie privată pentru semnare și o cheie publică pentru verificare. Cheia privată este stocată de utilizator, iar cheia publică poate fi accesată de oricine. Cel mai convenabil mod de a distribui cheile publice este utilizarea autorităților de certificare. Certificatele digitale care conțin cheia publică și informații despre proprietar sunt stocate acolo. Acest lucru eliberează utilizatorul de obligația de a-și distribui el însuși cheia publică. În plus, autoritățile de certificare oferă autentificare pentru a se asigura că nimeni nu poate genera chei în numele altei persoane.
Banii electronici simulează complet banii reali. În același timp, organizația emitentă - emitentul - își emite analogii electronici, numite diferit în diferite sisteme (de exemplu, cupoane). În continuare, acestea sunt achiziționate de utilizatori, care le folosesc pentru a plăti achizițiile, iar apoi vânzătorul le răscumpără de la emitent. La emitere, fiecare unitate monetară este certificată printr-un sigiliu electronic, care este verificat de către structura emitentă înainte de răscumpărare.
Una dintre caracteristicile banilor fizici este anonimatul, adică nu indică cine i-a folosit și când. Unele sisteme, prin analogie, permit cumpărătorului să primească numerar electronic în așa fel încât legătura dintre el și bani să nu poată fi determinată. Acest lucru se face folosind o schemă de semnătură oarbă.
De asemenea, este de remarcat faptul că atunci când se utilizează bani electronici Nu este nevoie de autentificare, deoarece sistemul se bazează pe eliberarea banilor în circulație înainte de utilizarea acestuia.
Figura 44 prezintă o schemă de plată folosind monedă electronică.
Mecanismul de plată este următorul:
1. Cumpărătorul schimbă bani reali în bani electronici în avans. Stocarea numerarului cu clientul poate fi efectuată în două moduri, care este determinată de sistemul utilizat:
Pe hard disk-ul computerului;
Pe carduri inteligente.
Diferite sisteme oferă diferite scheme de schimb. Unele deschid conturi speciale în care fondurile din contul cumpărătorului sunt transferate în schimbul facturilor electronice. Unele bănci pot emite ele însele numerar electronic. Totodata, acesta se emite numai la cererea clientului, urmat de transferul acestuia pe computerul sau cardul acestui client si retragerea echivalentului de numerar din contul acestuia. La implementarea unei semnături oarbe, cumpărătorul însuși creează facturi electronice, le trimite la bancă, unde, când sosesc bani reali în cont, acestea sunt certificate printr-un sigiliu și trimise înapoi clientului.
Pe lângă comoditatea unei astfel de stocări, are și dezavantaje. Deteriorarea unui disc sau a unui card inteligent are ca rezultat pierderea ireversibilă a banilor electronici.
2. Cumpărătorul transferă bani electronici pentru achiziție pe serverul vânzătorului.
3. Banii sunt prezentați emitentului, care îi verifică autenticitatea.
4. Dacă facturile electronice sunt autentice, contul vânzătorului este majorat cu suma achiziției, iar bunurile sunt expediate cumpărătorului sau serviciul este furnizat.
Una dintre caracteristicile distinctive importante ale monedei electronice este capacitatea de a efectua microplăți. Acest lucru se datorează faptului că valoarea nominală a bancnotelor poate să nu corespundă cu monede reale (de exemplu, 37 de copeici).
Atât băncile, cât și organizațiile nebancare pot emite numerar electronic. Cu toate acestea, nu a fost încă dezvoltat un singur sistem conversia diferitelor tipuri de monedă electronică. Prin urmare, doar emitenții înșiși pot răscumpăra numerarul electronic pe care l-au emis. În plus, utilizarea acestor bani din structurile nefinanciare nu este garantată de stat. Cu toate acestea, costul scăzut al tranzacției face ca numerarul electronic să fie un instrument atractiv pentru plățile online.
Sisteme de creditare
Sistemele de credit pe internet sunt analoge ale sistemelor convenționale care funcționează cu carduri de credit. Diferența constă în faptul că toate tranzacțiile sunt efectuate prin internet și, ca urmare, este nevoie de măsuri suplimentare de securitate și autentificare.
Următoarele sunt implicate în efectuarea plăților prin internet folosind carduri de credit:
1. Cumpărător. Un client cu un computer cu un browser Web și acces la Internet.
2. Banca emitentă. Contul bancar al cumpărătorului se află aici. Banca emitentă emite carduri și este garantul obligațiilor financiare ale clientului.
3. Vânzători. Vânzătorii sunt înțeleși ca servere de comerț electronic în care sunt menținute cataloage de bunuri și servicii și sunt acceptate comenzile de achiziție ale clienților.
4. Achizitionarea bancilor. Băncile care servesc vânzătorii. Fiecare vânzător are o singură bancă în care își ține contul curent.
5. Sistem de plată prin internet. Componente electronice care acționează ca intermediari între alți participanți.
6. Sistem tradițional de plată. Un set de mijloace financiare și tehnologice pentru deservirea cardurilor de acest tip. Printre principalele sarcini rezolvate de sistemul de plată se numără asigurarea utilizării cardurilor ca mijloc de plată pentru bunuri și servicii, utilizarea serviciilor bancare, efectuarea de compensații reciproce etc. Participanții la sistemul de plată sunt persoane fizice și juridice unite prin utilizarea cardurilor de credit.
7. Centru de procesare a sistemului de plată. O organizație care oferă informații și interacțiune tehnologică între participanții la sistemul tradițional de plată.
8. Banca de decontare a sistemului de plată. O organizație de credit care efectuează decontări reciproce între participanții la sistemul de plăți în numele centrului de procesare.
Schema generală de plată într-un astfel de sistem este prezentată în Figura 45.
1. Cumpărătorul din magazinul electronic creează un coș de mărfuri și selectează metoda de plată „card de credit”.
Prin magazin, adică parametrii cardului sunt introduși direct pe site-ul magazinului, după care sunt transferați în sistemul de plată prin Internet (2a);
Pe serverul sistemului de plată (2b).
Avantajele celei de-a doua căi sunt evidente. În acest caz, informațiile despre carduri nu rămân în magazin și, în consecință, riscul de a le primi de către terți sau de a fi înșelat de vânzător este redus. În ambele cazuri, la transferul detaliilor cardului de credit, există încă posibilitatea ca acestea să fie interceptate de atacatori în rețea. Pentru a preveni acest lucru, datele sunt criptate în timpul transmiterii.
Criptarea, în mod firesc, reduce posibilitatea interceptării datelor în rețea, de aceea este indicat să se efectueze comunicări între cumpărător/vânzător, vânzător/sistem de plată prin Internet, cumpărător/sistem de plată prin Internet folosind protocoale securizate. Cele mai răspândite dintre ele astăzi sunt protocolul SSL (Secure Sockets Layer), precum și standardul SET (Secure Electronic Transaction), menit să înlocuiască în cele din urmă SSL la procesarea tranzacțiilor legate de plățile pentru achizițiile cu cardul de credit de pe Internet.
3. Sistemul de plată prin Internet transmite o cerere de autorizare către sistemul tradițional de plată.
4. Următorul pas depinde dacă banca emitentă menține o bază de date online de conturi. Dacă există o bază de date, centrul de procesare trimite băncii emitente o cerere de autorizare a cardului (vezi introducere sau dicționar) (4a) și apoi (4b) primește rezultatul acesteia. Dacă nu există o astfel de bază de date, atunci centrul de procesare însuși stochează informații despre starea conturilor deținătorilor de carduri, listele de oprire și îndeplinește cererile de autorizare. Aceste informații sunt actualizate în mod regulat de către băncile emitente.
Magazinul oferă un serviciu sau expediază mărfuri (8a);
Centrul de procesare transmite informații despre tranzacția finalizată către banca de decontare (8b). Banii din contul cumpărătorului la banca emitentă sunt transferați prin banca de decontare în contul magazinului la banca achizitoare.
Pentru a efectua astfel de plăți în cele mai multe cazuri aveți nevoie de un special software. Poate fi furnizat cumpărătorului (numit portofel electronic), vânzătorului și băncii sale de service.
Introducere
1. Sisteme electronice de plată și clasificarea acestora
1.1 Concepte de bază
1.2 Clasificarea sistemelor electronice de plată
1.3 Analiza principalelor sisteme electronice de plată utilizate în Rusia
2. Măsuri de securitate pentru sistemele electronice de plată
2.1 Amenințări asociate cu utilizarea sistemelor electronice de plată
2.2 Tehnologii pentru protejarea sistemelor electronice de plată
2.3 Analiza tehnologiilor pentru conformitate cerinte de baza la sistemele electronice de plată
Concluzie
Bibliografie
INTRODUCERE
O temă extrem de specializată a plăților electronice și a monedei electronice, care era de puțin interes pentru puțini oameni în urmă cu 10 ani, a devenit recent relevant nu numai pentru oamenii de afaceri, ci și pentru utilizatorii finali. Probabil că fiecare a doua persoană care citește ocazional computerul sau presa populară cunoaște cuvintele la modă „e-business” și „e-commerce”. Sarcina plății la distanță (transferul de bani pe distanțe lungi) a trecut de la categoria specială la cea de zi cu zi. Cu toate acestea, abundența de informații cu privire la această problemă nu contribuie deloc la claritatea în mintea cetățenilor. Atât datorită complexității și lipsei conceptuale de dezvoltare a problemei plăților electronice, cât și datorită faptului că mulți popularizatori lucrează adesea pe principiul unui telefon spart, la nivel de zi cu zi, totul, desigur, este clar pentru toată lumea. Dar asta până când vine momentul dezvoltării practice a plăților electronice. Aici există o lipsă de înțelegere a cât de adecvată este utilizarea plăților electronice în anumite cazuri.
Între timp, sarcina de a accepta plăți electronice devine din ce în ce mai importantă pentru cei care urmează să se angajeze în comerț folosind internetul, precum și pentru cei care urmează să facă achiziții prin internet. Acest articol este destinat ambilor.
Principala problemă atunci când luăm în considerare sistemele de plată electronică pentru un începător este diversitatea principiilor de proiectare și funcționare a acestora și faptul că, în ciuda similitudinii externe a implementării, mecanismele tehnologice și financiare destul de diferite pot fi ascunse în profunzimea lor.
Dezvoltarea rapidă a popularității internetului global a condus la un impuls puternic pentru dezvoltarea de noi abordări și soluții în diferite domenii ale economiei mondiale. Chiar și astfel de sisteme conservatoare precum sistemele electronice de plată din bănci au cedat noilor tendințe. Acest lucru s-a reflectat în apariția și dezvoltarea de noi sisteme de plată - sisteme de plată electronică prin internet, al căror avantaj principal este că clienții pot efectua plăți (tranzacții financiare), ocolind etapa istovitoare și uneori dificilă din punct de vedere tehnic a transportului fizic a unui ordin de plată. catre banca. Băncile și instituțiile bancare sunt, de asemenea, interesate de implementarea acestor sisteme, deoarece pot crește viteza de deservire a clienților și pot reduce costurile generale pentru efectuarea plăților.
Sistemele electronice de plată circulă informații, inclusiv informații confidențiale, care necesită protecție împotriva vizualizării, modificării și impunerii de informații false. Dezvoltarea tehnologiilor de securitate adecvate centrate pe Internet este în prezent o provocare majoră. Motivul pentru aceasta este că arhitectura, resursele de bază și tehnologiile rețele de internet concentrat pe organizarea accesului sau colectării informații deschise. Cu toate acestea, recent au apărut abordări și soluții care indică posibilitatea utilizării tehnologiilor Internet standard în construirea sistemelor de transmitere securizată a informațiilor prin Internet.
Scopul RGR este de a analiza sistemele electronice de plată și de a elabora recomandări pentru utilizarea fiecăruia dintre acestea. Pe baza scopului, se formulează următoarele etape de realizare a RGR:
1. Determinați principalele sarcini ale sistemelor electronice de plată și principiile funcționării acestora, caracteristicile acestora.
2. Analizați principalele sisteme electronice de plată.
3. Analizați amenințările asociate cu utilizarea banilor electronici.
4. Analizați măsurile de securitate atunci când utilizați sisteme de plată electronică.
1. SISTEME ELECTRONICE DE PLATA SI CLASIFICAREA LOR
1.1 Concepte de bază
Plăți electronice. Să începem cu faptul că este legitim să vorbim despre apariția plăților electronice ca tip de plăți fără numerar în a doua jumătate a secolului XX. Cu alte cuvinte, transferul de informații despre plățile prin cablu există de mult timp, dar a căpătat o calitate fundamental nouă atunci când computerele au apărut la ambele capete ale firelor. Informațiile au fost transmise prin telex, teletip și rețele de calculatoare care au apărut în acel moment. Un salt calitativ nou a fost exprimat prin faptul că viteza plăților a crescut semnificativ și a devenit disponibilă posibilitatea procesării lor automate.
Ulterior, au apărut și echivalente electronice ale altor tipuri de plăți - plăți în numerar și alte mijloace de plată (de exemplu, cecuri).
Sisteme electronice de plată (EPS). Numim sistem electronic de plată orice complex de hardware specific și software, permițând plățile electronice.
Exista diferite căiși canale de comunicare pentru accesul la EPS. Astăzi, cel mai comun dintre aceste canale este Internetul. Răspândirea EPS este în creștere, accesul la care se realizează folosind telefon mobil(prin SMS, WAP și alte protocoale). Alte metode sunt mai puțin frecvente: prin modem, prin telefon cu taste, prin telefon printr-un operator.
Bani electronici. Termen vag. Dacă luați în considerare cu atenție ce se află în spatele ei, este ușor de înțeles că banii electronici sunt o denumire incorectă pentru „numerar electronic”, precum și pentru sistemele de plată electronice ca atare.
Această neînțelegere în terminologie se datorează libertății de traducere a termenilor din engleză. Deoarece plățile electronice în Rusia s-au dezvoltat mult mai lent decât în Europa și America, am fost forțați să folosim termeni bine stabiliți. Desigur, nume de numerar electronic precum „numerar digital” (e-cash), „bani digitali”, „numerar electronic” (numerar digital)2 au dreptul la viață.
În general, termenul „bani electronici” nu înseamnă nimic specific, așa că în viitor vom încerca să evităm folosirea acestuia.
numerar electronic:
Aceasta este o tehnologie care a apărut în anii 90 ai secolului trecut, permițând plăți electronice care nu sunt direct legate de transferul de bani din cont în cont într-o bancă sau altă organizație financiară, adică direct între persoane - participanții finali in plata. O altă proprietate importantă a numerarului electronic este anonimatul plăților pe care le oferă. Centrul de autorizare care certifică plata nu are informații despre cine a transferat banii în mod specific și cui.
Numerarul electronic este unul dintre tipurile de plăți electronice. O unitate de numerar electronic nu este altceva decât o obligație financiară a emitentului (bancă sau altă instituție financiară), în esență similară cu o cambie obișnuită. Plățile folosind numerar electronic apar acolo unde devine incomod să utilizați alte sisteme de plată. Un exemplu clar este reticența unui cumpărător de a furniza informații despre cardul său de credit atunci când plătește bunuri pe internet.
După ce ne-am hotărât asupra terminologiei, putem trece la următoarea etapă a conversației noastre - să vorbim despre clasificarea EPS. Deoarece EPS media plățile electronice, divizarea EPS se bazează pe diferite tipuri de aceste plăți.
În plus, tehnologia software și/sau hardware pe care se bazează mecanismul EPS joacă un rol foarte important în această chestiune.
1.2 Clasificarea sistemelor electronice de plată
Sistemele de plată electronică pot fi clasificate atât pe baza specificului plăților electronice, cât și pe baza tehnologiei specifice care stă la baza sistemului de plăți electronice.
Clasificarea EPS în funcție de tipul plăților electronice:
1. În funcție de componența participanților la plată (Tabelul 1).
tabelul 1
| Tipul plăților electronice | Părțile de plată | Analog în sistemul tradițional de decontare în numerar | Exemplu EPS |
| Plăți de la bancă la bancă | Institutii financiare | fara analogi | |
| plăți B2B | Entitati legale | Plăți fără numerar între organizații | |
| Plăți С2B | Consumatorii finali de bunuri și servicii și persoane juridice - vânzători | Plăți în numerar și fără numerar de la cumpărători către vânzători | Pilot de credit |
| plăți C2C | Persoanele fizice | Plăți directe în numerar între persoane fizice, transferuri poștale și telegrafice |
Nu vom lua în considerare în continuare acele sisteme de plată electronică care sunt concepute pentru a servi plăți electronice de tip „bank-to-bank”. Asemenea sisteme sunt extrem de complexe, afectează într-o măsură mai mare aspectele tehnologice ale funcționării sistemului bancar și, cel mai probabil, nu prezintă interes pentru marea masă a cititorilor noștri.
În plus, trebuie menționat că există un alt tip de plată care, în mod logic, nu se încadrează deloc în Tabelul 1. Conform criteriilor formale, se încadrează complet în zona C2B, dar nu poate fi totuși furnizată prin intermediul EPS pe scară largă de acest tip. Microplățile se caracterizează prin costuri extrem de mici (cenți sau fracțiuni de cent) ale mărfurilor. Cel mai caracteristic dintre toate articole populare Un exemplu de sistem care implementează microplăți este vânzarea de glume (pentru un cent pe bucată). Sisteme precum Eaccess și Phonepay sunt potrivite pentru efectuarea de microplăți.
2. După tipul operațiunilor efectuate (Tabelul 2).
masa 2
| Tipul plăților electronice | Unde sunt folosite? | Exemplu EPS |
| Operațiuni de gestionare a contului bancar | Sisteme „Bancă client” cu acces prin modem, Internet, telefon mobil etc. | Operațiuni pentru gestionarea unui cont bancar al Sistemului Client |
| Operațiuni de transfer de bani fără deschiderea unui cont bancar | Sisteme de transfer de bani retele de calculatoare, similar transferurilor poștale și telegrafice | |
| Tranzacții cu conturi bancare cu card | Carduri de plastic de debit și credit | Cyberplat (Cyberpos) |
| Tranzacții cu cecuri electronice și alte obligații de plată fără numerar | Sisteme închise de plăți intercorporate | Cyberplat (Cybercheck) |
| Tranzacții cu numerar (cvasi) electronic | Calcule cu fizice persoane, analogi electronici de jetoane și carduri preplătite utilizate ca surogate de bani pentru plata mărfurilor |
Trebuie remarcat faptul că sistemele de tip „client - bancă” sunt cunoscute de destul de mult timp. Puteți accesa contul dvs. bancar folosind un modem. În ultimul deceniu, au apărut noi oportunități de a vă gestiona contul folosind Internetul, printr-o interfață web ușor de utilizat. Acest serviciu a fost numit „Internet banking” și nu a introdus nimic fundamental nou în sistemele de plată de tip „client-bancă”. În plus, există și alte opțiuni pentru accesarea unui cont bancar, de exemplu, folosind un telefon mobil (WAP banking, SMS banking). În acest sens, în acest articol nu ne vom opri în mod specific asupra acestui tip de EPS; vom reține doar că în prezent, în Rusia, aproximativ 100 de bănci comerciale oferă servicii bancare prin Internet, folosind mai mult de 10 EPS diferite.
Clasificarea EPS în funcție de tehnologia utilizată:
Una dintre cele mai importante calități ale EPS este rezistența la efracție. Aceasta este probabil cea mai discutată caracteristică a unor astfel de sisteme. După cum se poate observa din Tabelul 3, atunci când se rezolvă problema securității sistemului, majoritatea abordărilor pentru construirea unui sistem electronic de securitate se bazează pe secretul unei anumite baze de date centrale care conține informații critice. În același timp, unii dintre ei adaugă la asta baza secreta Aceste niveluri suplimentare de protecție se bazează pe durabilitatea hardware-ului.
În principiu, există și alte tehnologii pe baza cărora se poate construi EPS. De exemplu, nu cu mult timp în urmă a existat un raport în mass-media despre dezvoltarea unui EPS bazat pe discuri CDR încorporate într-un card de plastic. in orice caz sisteme similare nu sunt utilizate pe scară largă în practica mondială și, prin urmare, nu ne vom concentra asupra lor.
Tabelul 3
| Tehnologie | Pe ce se bazează stabilitatea sistemului? | Exemplu EPS |
| Sisteme cu un server central bancar client, transfer de fonduri | Secretul cheilor de acces | Telebank (Guta-bank), „Internet Service Bank” (Avtobank) |
| Carduri inteligente | Rezistența hardware a cardurilor inteligente la hacking | Mondex, ACCORD |
| Carduri magnetice și carduri de credit virtuale | Asistență, Elită |
|
| Carduri razuibile | Secretul bazei de date cu numere și coduri răzuibile | E-port, Creditpilot, Webmoney, Paycash, Rapira |
| Fișier/portofel sub forma unui program pe computerul utilizatorului | Puterea criptografică a protocolului de schimb de informații | |
| Apel telefonic platit | Secretul bazei de date centrale cu coduri pin și stabilitatea hardware a rețelei de telefonie inteligentă | Eaccess, Phonepay |
1.3 Analiza principalelor sisteme electronice de plată utilizate în Rusia
În prezent, pe internetul rusesc sunt folosite destul de multe sisteme de plată electronică, deși nu toate sunt utilizate pe scară largă. Este caracteristic că aproape toate sistemele de plată occidentale utilizate pe RuNet sunt legate de carduri de credit. Unii dintre ei, de exemplu PayPal, refuză oficial să lucreze cu clienți din Rusia. Cele mai utilizate sisteme astăzi sunt:
CyberPlat se referă la sisteme de tip mixt (din punctul de vedere al oricăreia dintre clasificările de mai sus). De fapt, putem spune că în cadrul acestui sistem, trei separate sunt colectate sub un singur acoperiș: sistemul clasic „client-bancă”, care permite clienților să gestioneze conturile deschise la băncile participante la sistem (11 bănci rusești și 1 letonă) ; Sistemul CyberCheck, care vă permite să efectuați plăți securizate între entitățile juridice conectate la sistem; și un sistem de achiziție pe Internet, adică procesarea plăților acceptate de pe carduri de credit - CyberPos. Dintre toate sistemele de achiziție prin internet disponibile pe piața rusă, CyberPlat asigură procesarea celui mai mare număr de tipuri de carduri de credit și anume: Visa, Mastercard/Eurocard, American Express7, Diners Club, JCB, Union Card; și-a anunțat conexiunea iminentă la sistemul de carduri STB și cardul ACCORD/Bashcard. În mod neoficial, angajații companiei au susținut că explorează posibilitatea de interfață cu alte sisteme de carduri rusești. Pe lângă cele de mai sus, compania CyberPlat asigură procesarea cardurilor răzuibile ale sistemului de plată E-port și a anunțat punerea în funcțiune viitoare a unui gateway cu sistemul Paycash.
În prezent, pentru a crește nivelul de protecție împotriva plăților din cardurile de credit furate, compania dezvoltă tehnologia specializată PalPay, care permite vânzătorului să verifice dacă cumpărătorul are într-adevăr acces la contul bancar asociat cardului de credit sau nu cunoaște decât detaliile acestuia. Introducerea în exploatare a acestei tehnologii nu a fost încă anunțată oficial.
Sistemul CyberCheck este de mare interes pentru organizarea muncii cu partenerii corporativi. Caracteristica sa principală (comparativ cu acceptarea plăților prin carduri de credit) este imposibilitatea plătitorului de a refuza o plată ulterior. Cu alte cuvinte, primirea confirmării plății de la CyberCheck este la fel de sigură ca și primirea unei astfel de confirmări de la banca unde se află contul comerciantului. Toate aceste caracteristici fac CyberPlat poate cel mai avansat și mai interesant pentru vânzătorii EPS de pe internetul rusesc.
Sistemul Assist în ceea ce privește procesarea plăților de pe carduri de credit este în multe privințe un analog funcțional al CyberPlat. La Moscova, interesele sale sunt reprezentate de Alfa Bank. Un total de 5 bănci sunt conectate la sistem. Subsistemul de achiziție prin Internet vă permite să acceptați plăți de la Visa, Mastercard/Eurocard, STB-card. Din septembrie, plățile de la alte sisteme de carduri declarate pe serverul sistemului Assist nu au fost efectiv acceptate. Totuși, conform informațiilor neoficiale, în viitorul apropiat va fi posibil să se accepte carduri Diners Club, carduri de debit Cirrus Maestro și Visa Electron. Interesant este că acest tip de card nu este de obicei acceptat de companiile achizitoare, dar datorită costului redus, aceste carduri sunt foarte frecvente. De obicei, refuzul de a accepta carduri de debit este motivat de preocupări de securitate. Poate că ASSIST va putea rezolva această problemă folosind protocolul SET, al cărui suport a fost anunțat de companie chiar zilele trecute. Spre deosebire de metoda tradițională de plată cu carduri de plastic pe Internet, care permite proprietarului cardului să refuze plata efectuată din acesta (charge-back), protocolul SET garantează autenticitatea tranzacției, reducând semnificativ riscul pentru vânzător.
Metoda decontărilor prin intermediul certificatelor electronice achiziționate de la un furnizor de internet, anunțată pe site-ul Assist, este destul de interesantă întrucât deschide noi linii de afaceri pentru furnizori, însă, conform informațiilor disponibile, din cauza dificultăților legale, până de curând nu era folosit efectiv de oricine. Cu toate acestea, din nou, conform informațiilor neoficiale, această stare de lucruri se va schimba în curând - deja în toamna anului 2001 este posibil să vedem prima implementare practică a acestei metode de calcul.
Pe lângă sistemele de carduri CyberPlat și Assist menționate în descrieri, există și altele care au câștigat o oarecare popularitate pe piață. Discover/NOVUS este distribuit pe scară largă în America de Nord și poate fi de interes pentru acele magazine electronice care deservesc publicul occidental. Nu cunoaștem nicio companie națională de achiziții care ar procesa carduri ale acestui sistem, dar există o serie de propuneri din partea intermediarilor care reprezintă interesele achizitorilor occidentali. Dintre sistemele de carduri rusești, după STB și Union Card, cele mai vizibile de pe piață sunt Zolotaya Korona, Sbercard (Sberbank), Universal Card și ICB-card (Promstroybank), precum și deja menționatul card ACCORD/Bashcard. „Card-ICB” este procesat de câteva companii mici care achiziționează, acceptarea plăților prin internet de la cardurile Zolotaya Korona și Sbercard este asigurată direct de emitenți și/sau companii afiliate, iar în cazul cardului universal, aceasta nu nu pare a fi furnizat de nimeni.
Paycash și Webmoney sunt poziționați de dezvoltatorii lor ca sisteme electronice de numerar, dar, la o examinare mai atentă, numai Paycash poate revendica pe drept un astfel de statut.
Dezvoltarea Paycash a fost inițiată de Banca Tavrichesky, dar în prezent alte bănci sunt conectate la sistem, de exemplu, Guta Bank.
Din punct de vedere tehnologic, Paycash oferă o imitație aproape completă a plăților în numerar. Dintr-un portofel electronic (un program specializat instalat de client pe computerul său), banii pot fi transferați în altul, asigurând în același timp anonimatul plății în raport cu banca. Sistemul a devenit destul de răspândit în Rusia și în prezent încearcă să intre pe piața mondială.
Blocajul Paycash este procedura de transfer de bani într-un portofel electronic. Până recent singura cale pentru a face acest lucru a fost să mergi la o sucursală bancară și să transferi bani în contul de sistem. Adevărat, existau alternative - pentru utilizatorii sistemului Guta Bank Telebank, era posibil să transferați bani dintr-un cont la Guta Bank fără a pleca de acasă, dar în unele cazuri, aparent, era mai ușor să îi transferați direct în contul vânzătorului - magazin electronic fără a utiliza Paycash ca intermediar. De asemenea, a fost posibil să se transfere bani prin Western Union sau prin transfer poștal/file, dar atractivitatea acestei rute a fost limitată de nivelul ridicat al taxelor. Pentru locuitorii din Sankt Petersburg, există o oportunitate foarte exotică - să apelați un curier la domiciliu pentru bani. Minunat, dar, din păcate, nu toți trăim în capitala nordică.
Încă nu este posibil să transferați bani către Paycash de pe carduri de credit. Acest lucru se datorează faptului că companiile care sprijină operarea sistemelor de carduri oferă clienților lor oportunitatea așa-numitei „returnări” - refuzul de a efectua o plată „retroactiv”. „Charge back” este un mecanism care protejează posesorul unui card de credit de fraudătorii care pot folosi detaliile acestuia. În cazul unui astfel de refuz, sarcina probei revine vânzătorului că bunurile au fost efectiv livrate deținătorului real de card și că plata trebuie efectuată. Dar în cazul Paycash, acest tip de dovadă este practic imposibil - din motive destul de evidente. Gateway-ul menționat mai sus cu CyberPlat, care este în curs de dezvoltare, este, de asemenea, menit să rezolve această problemă.
Între timp, să despachetez asta blocajîn sistem, PayCash a făcut două mișcări destul de rezonabile - a emis carduri răzuibile preplătite și a oferit acceptarea plății prin sistemul de transfer Contact, ale cărui tarife sunt semnificativ mai mici decât tarifele poștale (2,2% față de 8%).
Sistemul Webmoney este unul dintre „pionierii” pe piața plăților electronice din Rusia. În prezent are un caracter internațional. Potrivit unor informații, Webmoney are reprezentanți nu numai în republicile fostei URSS, ci și în țări străine. Operatorul de sistem este organizația autonomă non-profit „VM Center”.
Modul de operare al Webmoney este foarte asemănător cu lucrul cu numerar electronic, doar o analiză atentă și meticuloasă face posibil să ne asigurăm că, de fapt, Webmoney nu oferă anonimatul complet al plăților, adică nu sunt ascunse de proprietarii sistemul în sine. Cu toate acestea, practica Webmoney a arătat că această proprietate este mai degrabă benefică, permițând în unele cazuri combaterea fraudei. Mai mult, ca serviciu separat cu plată, VM Center oferă certificarea persoanelor juridice și a persoanelor fizice, ceea ce îl privează în mod firesc de anonimatul în raport cu ceilalți participanți la sistem. Această oportunitate este necesară în primul rând pentru cei care doresc să organizeze un magazin electronic onest și intenționează să convingă potențialii cumpărători de fiabilitatea lor. Webmoney vă permite să deschideți conturi și să transferați fonduri în două valute: ruble și dolari.
Pentru a accesa sistemul, se folosește programul „portofel electronic”. Caracteristicile suplimentare ale sistemului sunt transferul de mesaje scurte de la portofel la portofel, precum și tranzacțiile de credit între proprietarii de portofel. Cu toate acestea, în opinia noastră, puțini oameni vor fi de acord să împrumute unor persoane anonime prin internet fără posibilitatea de a încasa forțat împrumutul în caz de nerambursare.
Spre deosebire de Paycash, Webmoney a oferit inițial posibilitatea atât de a transfera numerar obișnuit într-un portofel, cât și de a încasa conținutul portofelului fără procedurile obositoare de completare a ordinelor de plată la bancă, dar într-un mod destul de ciudat, din punct de vedere legal, . În general, sprijinul juridic al Webmoney în ceea ce privește colaborarea cu organizațiile a provocat de multă vreme multe plângeri.
Acesta a fost motivul pentru care, în timp ce utilizatorii finali instalau în mod activ „portofele” pentru ei înșiși, multe magazine de electronice au refuzat să folosească acest EPS. Adevărat, în prezent această situație s-a îmbunătățit oarecum, iar poziția activă de marketing a proprietarilor de Webmoney duce la faptul că imaginea sistemului se îmbunătățește constant. Unul dintre caracteristici interesante Această strategie de marketing a fost că aproape imediat după intrarea sa pe piață, toată lumea a avut posibilitatea de a câștiga bani în acest sistem (unii își pot aminti proiectul „Nails” și dezvoltarea lui ulterioară - visiting.ru). La fel ca Paycash, Webmoney emite carduri răzuibile preplătite concepute pentru a depune bani în sistem.
Două sisteme bazate pe carduri răzuibile: E-port (Avtokard-holding) și KreditPilot (Kreditpilot.com), sunt ca frații gemeni. Ambii presupun că cumpărătorul va cumpăra mai întâi un card răzuibil cu cod secret undeva într-o rețea largă de distribuție sau comandând-o prin curier la domiciliu, iar apoi începe să plătească online folosind acest cod cu magazinele care acceptă plăți de la aceste sisteme. E-port oferă în plus posibilitatea de a crea carduri răzuibile „virtuale” prin transferul de bani în contul companiei printr-o bancă sau prin sistemul „Webmoney”.
Sistemul Rapida, care a început să funcționeze în septembrie 2001, la fel ca și cele două anterioare, oferă depunerea banilor în contul utilizatorului prin carduri răzuibile sau plata la o bancă participantă la sistem. În plus, este menționată posibilitatea de a lucra în modul „Client-Bancă” și de a transfera bani în conturile persoanelor juridice care nu sunt participanți la sistem, precum și către persoane fizice fără a deschide un cont bancar. Accesul la sistem este asigurat nu numai prin Internet, ci și prin telefon folosind apelarea prin ton. În general, sistemul pare avansat din punct de vedere tehnologic și foarte interesant, dar până acum nu a trecut suficient timp de la lansarea sa în funcțiune pentru a putea vorbi despre perspective.
EPS, care permit efectuarea plății în același mod ca și pentru apelurile la distanță lungă (după fapt, pe baza unei facturi de la compania de telefonie), au apărut pentru prima dată în Statele Unite și au fost destinate să plătească pentru accesul la resurse pornografice. Cu toate acestea, din cauza acțiunilor frauduloase sistematice ale multor proprietari ai unor astfel de sisteme, acestea nu au câștigat popularitate în rândul cumpărătorilor, iar vânzătorii nu au fost deosebit de mulțumiți de ele, deoarece aceste sisteme au avut tendința de a întârzia semnificativ plățile.
Două implementări interne ale unui concept similar - Phonepay și Eaccess - sunt la începutul călătoriei lor. Ambele sisteme presupun că, pentru a efectua o plată, clientul trebuie să efectueze un apel către un anumit număr de distanță în codul 8-809 (furnizat, aparent, de compania MTU-inform), după care vor fi câteva informații cheie. dictat de robot.În cazul lui Eaccess, acesta este un cod PIN folosit pentru a accesa o resursă de informații plătită, iar în cazul Phonepay, este o „monedă digitală” universală formată din 12 cifre ale uneia dintre cele cinci denumiri hard-coded în sistem.. Privind site-urile sistemelor, se poate observa că e-access încă se dezvoltă treptat, crescând numărul de magazine conectate la sistem, dar Phonepay nu a conectat un singur magazin care să nu aparțină pentru dezvoltatori la sistemul său.
În opinia mea, astfel de sisteme din Rusia au perspective foarte clare legate de ușurința accesului la ele de către utilizatorul final, cu toate acestea, domeniul de aplicare al acestora va fi limitat la vânzări. resurse informaționale. Întârzierea mare în primirea plăților (sistemul le va transfera în magazin nu mai devreme decât cumpărătorul plătește factura de telefon) face ca tranzacționarea cu active materiale folosind aceste EPS să fie o activitate destul de neprofitabilă.
În sfârșit, trebuie menționat un alt tip de sistem de transfer electronic - sisteme specializate de transferuri între persoane fizice, concurente cu transferurile poștale și telegrafice tradiționale. Primii care au ocupat această nișă au fost sisteme străine precum Western Union și Money Gram. În comparație cu transferurile tradiționale, acestea oferă o mai mare viteză și fiabilitate a plății. În același timp, au o serie de dezavantaje semnificative, dintre care principalul este costul ridicat al serviciilor lor, ajungând până la 10% din suma transferului. O altă problemă este că aceste sisteme nu pot fi utilizate în mod legal pentru a accepta în mod sistematic plăți pentru mărfuri. Cu toate acestea, pentru cei care doresc pur și simplu să trimită bani familiei și prietenilor, este logic să-și îndrepte atenția asupra acestor sisteme, precum și asupra lor. analogi domestici(Anelik și Contact). Până acum, nici Paycash, nici Webmoney nu pot concura cu ei, deoarece nu este posibil să primiți numerar scoțându-i dintr-un portofel electronic undeva în Australia sau Germania. EPS Rapida susține această posibilitate, dar până acum nu există detalii pe site, iar geografia birourilor sistemului nu poate fi comparată cu sistemele deja disponibile pe piață.
Proprietarii de magazine electronice, aparent, ar trebui să se gândească în primul rând la acceptarea banilor de la carduri de credit și sisteme electronice de numerar - Webmoney și Paycash. Pe baza totalității caracteristicilor consumatorilor, în opinia noastră, niciunul dintre sistemele disponibile pe piața rusă de acceptare a plăților cu carduri de credit nu poate concura cu CyberPlat. Toate celelalte sisteme sunt supuse utilizării opționale, mai ales dacă vă amintiți că același E-port nu trebuie instalat separat, deoarece cardurile sale sunt deservite de CyberPlat.
2. MIJLOACE DE PROTECȚIE PENTRU SISTEME ELECTRONICE DE PLATĂ
2.1 Amenințări asociate cu utilizarea sistemelor electronice de plată
Sa luam in considerare posibile amenințări acțiuni distructive ale unui atacator în legătură cu acest sistem. Pentru a face acest lucru, să ne uităm la țintele principale ale atacului unui atacator. Ținta principală a unui atacator sunt activele financiare, sau mai degrabă înlocuitorii lor electronici (surogate) - ordinele de plată care circulă în sistemul de plată. În legătură cu aceste instrumente, un atacator poate urmări următoarele obiective:
1. Furtul de active financiare.
2. Introducerea de active financiare contrafăcute (încălcarea echilibrului financiar al sistemului).
3. Defecțiune a sistemului ( amenințare tehnică).
Obiectele și țintele specificate ale atacului sunt de natură abstractă și nu permit analiza și dezvoltarea măsurilor necesare pentru protejarea informațiilor, prin urmare Tabelul 4 oferă o specificare a obiectelor și țintelor efectelor distructive ale atacatorului.
Tabelul 4 Modelul posibilelor acțiuni distructive ale unui atacator
| Obiect de influență | Scopul influenței | Posibile mecanisme de implementare a impactului. |
| Pagini HTML de pe serverul web al băncii | Înlocuire în scopul obținerii de informații introduse într-un ordin de plată de către client. | Atacul asupra serverului și înlocuirea paginilor de pe server. Înlocuirea paginilor în trafic. Atacul asupra computerului clientului și înlocuirea paginilor clientului |
| Pagini de informații despre client de pe server | Obținerea de informații despre plățile clienților | Atacul la server. Atacul de trafic. Atacul la computerul clientului. |
| Datele ordinului de plată introduse de client în formular | Primirea informatiilor introduse in ordinul de plata de catre client. | Atacul asupra computerului clientului (viruși etc.). Un atac la aceste instrucțiuni atunci când sunt trimise prin trafic. Atacul la server. |
| Informații private ale clientului aflate pe computerul clientului și care nu au legătură cu sistemul electronic de plată | Obținerea de informații confidențiale despre client. Modificarea informațiilor despre clienți. Dezactivează computerul clientului. | Întregul complex atacuri cunoscute la un computer conectat la Internet. Atacuri suplimentare care apar ca urmare a utilizării mecanismelor sistemului de plată. |
| Informații de la centrul de procesare al băncii. | Dezvăluirea și modificarea informațiilor centrului de procesare și retea locala borcan. | Atacul asupra unei rețele locale conectate la Internet. |
Acest tabel prezintă cerințele de bază pe care trebuie să le îndeplinească orice sistem de plată electronică prin internet:
În primul rând, sistemul trebuie să asigure protecția datelor ordinelor de plată împotriva modificărilor și modificărilor neautorizate.
În al doilea rând, sistemul nu ar trebui să sporească capacitatea atacatorului de a organiza atacuri pe computerul clientului.
În al treilea rând, sistemul trebuie să protejeze datele aflate pe server de citirea și modificarea neautorizată.
În al patrulea rând, sistemul trebuie să furnizeze sau să sprijine un sistem pentru protejarea rețelei locale a băncii de influența rețelei globale.
Pe parcursul dezvoltării unor sisteme specifice de protecție a informațiilor de plată electronică, acest model iar cerințele trebuie să facă obiectul unor detalii suplimentare. Cu toate acestea, astfel de detalii nu sunt necesare pentru prezentarea curentă.
2.2 Tehnologii pentru protejarea sistemelor electronice de plată
De ceva timp, dezvoltarea WWW a fost împiedicată de faptul că paginile html, care stau la baza WWW, sunt text static, adică. cu ajutorul lor este dificil să se organizeze un schimb interactiv de informații între utilizator și server. Dezvoltatorii au propus multe modalități de extindere a capabilităților HTML în această direcție, dintre care multe nu au fost niciodată adoptate pe scară largă. Una dintre cele mai puternice soluții care a reprezentat o nouă etapă în dezvoltarea Internetului a fost propunerea lui Sun de a folosi applet-urile Java ca componente interactive conectate la pagini HTML.
Un applet Java este un program care este scris în limbajul de programare Java și compilat în coduri de octet speciale, care sunt codurile unui computer virtual - o mașină Java - și sunt diferite de codurile procesoarelor din familia Intel. Appleturile sunt găzduite pe un server de pe Internet și descărcate pe computerul utilizatorului ori de câte ori este accesată o pagină HTML care conține un apel către acest applet.
Pentru a executa codul de applet, un browser standard include o implementare a unui motor Java care interpretează bytecodicele în instrucțiuni de mașină pe o familie de procesoare Intel (sau altă familie de procesoare). Capacitățile inerente tehnologiei Java applet, pe de o parte, vă permit să dezvoltați puternic interfețe cu utilizatorul, organizează accesul la orice resurse de rețea prin URL, folosesc cu ușurință protocoale TCP/IP, FTP etc., dar, pe de altă parte, fac imposibilă accesarea directă a resurselor computerului. De exemplu, appleturile nu au acces la Sistemul de fișiere computer și dispozitive conectate.
O soluție similară pentru a extinde capacitățile WWW este tehnologia Microsoft - Active X. Cele mai semnificative diferențe dintre această tehnologie și Java este că componentele (analogii applet-urilor) sunt programe în cod. procesor Intelși faptul că aceste componente au acces la toate resursele computerului, precum și la interfețele și serviciile Windows.
O altă abordare mai puțin obișnuită pentru extinderea capabilităților WWW este cea a Plug-in-ului Netscape pentru tehnologia Netscape Navigator. Această tehnologie pare să fie cea mai optimă bază pentru construirea sistemelor de securitate a informațiilor pentru plățile electronice prin internet. Pentru discuții suplimentare, să ne uităm la modul în care această tehnologie rezolvă problema protejării informațiilor serverului Web.
Să presupunem că există un server Web și administrator a acestui server este necesar să restricționeze accesul la o anumită parte a matricei de informații a serverului, de ex. organizați astfel încât unii utilizatori să aibă acces la unele informații, dar alții nu.
În prezent, sunt propuse o serie de abordări pentru a rezolva această problemă, în special multe OS, sub care funcționează serverele de internet, necesită o parolă pentru a accesa unele dintre zonele lor, de ex. necesită autentificare. Această abordare are două dezavantaje semnificative: în primul rând, datele sunt stocate pe server însuși în text clar, iar în al doilea rând, datele sunt transmise prin rețea și în text clar. Astfel, un atacator are posibilitatea de a organiza două atacuri: asupra serverului propriu-zis (ghicirea parolei, ocolirea parolei etc.) și un atac asupra traficului. Faptele unor astfel de atacuri sunt cunoscute pe scară largă comunității de pe internet.
O altă abordare binecunoscută pentru rezolvarea problemei securității informațiilor este abordarea bazată pe tehnologia SSL (Secure Sockets Layer). Când se utilizează SSL, se stabilește un canal de comunicare securizat între client și server prin care sunt transmise datele, de exemplu. Problema transmiterii datelor în text clar prin rețea poate fi considerată relativ rezolvată. Principala problemă cu SSL este construcția sistemului de chei și controlul asupra acestuia. În ceea ce privește problema stocării datelor pe server în text clar, aceasta rămâne nerezolvată.
Un alt dezavantaj important al abordărilor descrise mai sus este necesitatea suportului lor atât din partea software-ului server, cât și al clientului de rețea, ceea ce nu este întotdeauna posibil sau convenabil. Mai ales în sistemele destinate clienților de masă și neorganizați.
Abordarea propusă de autor se bazează pe protejarea propriilor pagini html, care sunt principalul purtător de informații pe internet. Esența protecției este că fișierele care conțin pagini HTML sunt stocate pe server în formă criptată. În acest caz, cheia cu care sunt criptate este cunoscută doar de persoana care a criptat-o (administratorul) și de clienți (în general, problema construirii unui sistem de chei este rezolvată în același mod ca și în cazul fișierului transparent criptare).
Clienții accesează informații securizate folosind Plug-in-ul Netscape pentru tehnologia Netscape. Aceste module sunt programe, mai exact componente software, care sunt asociate cu anumite tipuri de fișiere în standardul MIME. MIME este un standard internațional care definește formatele de fișiere pe Internet. De exemplu, există următoarele tipuri de fișiere: text/html, text/plane, image/jpg, image/bmp etc. În plus, standardul definește un mecanism de setare tipuri personalizate fișiere care pot fi definite și utilizate de dezvoltatori independenți.
Prin urmare, sunt utilizate pluginuri care sunt asociate cu anumite tipuri de fișiere MIME. Conexiunea este că atunci când utilizatorul accesează fișiere de tipul corespunzător, browserul lansează Plug-in-ul asociat acestuia și acest modul realizează toate acțiunile pentru a vizualiza datele fișierului și a procesa acțiunile utilizatorului cu aceste fișiere.
Cele mai cunoscute module plug-in includ module care redă videoclipuri în format avi. Vizualizarea acestor fișiere nu este inclusă în capabilitățile standard ale browserelor, dar prin instalarea Plug-in-ului corespunzător, puteți vizualiza cu ușurință aceste fișiere în browser.
În plus, toate fișierele criptate sunt definite ca fișiere de tip MIME în conformitate cu standardul internațional stabilit. „aplicație/x-shp”. Un Plug-in este apoi dezvoltat folosind tehnologia și protocoalele Netscape pentru a se asocia cu tipul de fișier. Acest modul îndeplinește două funcții: în primul rând, solicită o parolă și un ID de utilizator și, în al doilea rând, face munca de decriptare și de ieșire a fișierului în fereastra browserului. Acest modul este instalat în conformitate cu ordinea standard stabilită de Netscape pe browserele tuturor computerelor client.
În acest moment, etapa pregătitoare a lucrărilor este finalizată și sistemul este gata de funcționare. În timpul funcționării, clienții accesează paginile HTML criptate folosind adresa lor standard (URL). Browserul determină tipul acestor pagini și lansează automat modulul dezvoltat de noi, transferând în acesta conținutul fișierului criptat. Modulul autentifică clientul și, la finalizarea cu succes, decriptează și afișează conținutul paginii.
Când efectuează întreaga procedură, clientul are senzația de criptare „transparentă” a paginilor, deoarece toată activitatea sistemului descris mai sus este ascunsă ochilor săi. În același timp, sunt păstrate toate caracteristicile standard inerente paginilor html, cum ar fi utilizarea de imagini, applet-uri Java, scripturi CGI.
Este ușor de observat că această abordare rezolvă multe probleme de securitate a informațiilor, deoarece în formă deschisă se află doar pe computerele clienților; datele sunt transmise prin rețea în formă criptată. Un atacator, care urmărește scopul de a obține informații, poate efectua un atac doar asupra unui anumit utilizator și niciun sistem de securitate a informațiilor pe server nu poate proteja împotriva acestui atac.
În prezent, autorul a dezvoltat două sisteme de securitate a informațiilor bazate pe abordarea propusă pentru browserul Netscape Navigator (3.x) și Netscape Communicator 4.x. Pe parcursul pretest S-a constatat că sistemele dezvoltate pot funcționa normal sub controlul MExplorer, dar nu în toate cazurile.
Este important de reținut că aceste versiuni de sisteme nu criptează obiectele asociate unei pagini HTML: imagini, applet-uri de script etc.
Sistemul 1 oferă protecție (criptare) paginilor HTML reale ca un singur obiect. Creați o pagină și apoi o criptați și o copiați pe server. La accesarea unei pagini criptate, aceasta este automat decriptată și afișată într-o fereastră specială. Suportul sistemului de securitate nu este necesar de la software-ul serverului. Toate lucrările de criptare și decriptare sunt efectuate pe stația de lucru a clientului. Acest sistem este universal, adică nu depinde de structura și scopul paginii.
Sistemul 2 oferă o abordare diferită a protecției. Acest sistem asigură că informațiile protejate sunt afișate într-o anumită zonă a paginii dvs. Informațiile sunt într-un fișier criptat (nu neapărat în format html) pe server. Când accesați pagina dvs., sistemul de securitate accesează automat acest fișier, citește datele din acesta și le afișează într-o anumită zonă a paginii. Această abordare vă permite să obțineți eficiență maximă și frumusețe estetică, cu o versatilitate minimă. Acestea. sistemul se dovedește a fi orientat către un scop anume.
Această abordare poate fi aplicată și la construirea sistemelor electronice de plată prin internet. În acest caz, la accesarea unei anumite pagini a serverului Web se lansează modulul Plug-in, care afișează utilizatorului formularul de ordin de plată. După ce clientul îl completează, modulul criptează datele de plată și le trimite către server. În același timp, acesta poate solicita o semnătură electronică de la utilizator. Mai mult, cheile de criptare și semnătură pot fi citite de pe orice suport: dischete, tablete electronice, smart carduri etc.
2.3 Analiza tehnologiilor pentru conformitatea cu cerințele de bază pentru sistemele electronice de plată
Mai sus am descris trei tehnologii care pot fi folosite pentru a construi sisteme de plată pe Internet: aceasta este o tehnologie bazată pe applet-uri Java, componente Active-X și module plug-in. Să le numim tehnologii J, AX și, respectiv, P.
Luați în considerare cerința ca capacitatea unui atacator de a ataca un computer să nu fie crescută. Pentru a face acest lucru, să analizăm unul dintre posibilele tipuri de atacuri - înlocuirea modulelor de protecție a clientului corespunzătoare cu un atacator. În cazul tehnologiei J, acestea sunt apple-uri, în cazul lui AX, componente submersibile, în cazul lui P, acestea sunt module plug-in. Este evident că un atacator are posibilitatea de a înlocui modulele de protecție direct pe computerul clientului. Mecanismele de implementare a acestui atac depășesc sfera acestei analize; cu toate acestea, trebuie remarcat că implementarea acestui atac nu depinde de tehnologia de protecție în cauză. Și nivelul de securitate al fiecărei tehnologii este același, adică. toți sunt la fel de instabili la acest atac.
Cel mai vulnerabil punct al tehnologiilor J și AX, din punct de vedere al substituției, este descărcarea lor de pe Internet. În acest moment un atacator poate efectua o înlocuire. Mai mult, dacă un atacator reușește să înlocuiască aceste module pe serverul băncii, atunci el obține acces la toate volumele de informații despre sistemul de plată care circulă pe internet.
În cazul tehnologiei P, nu există pericol de înlocuire, deoarece modulul nu este descărcat din rețea - este stocat permanent pe computerul clientului.
Consecințele înlocuirii sunt diferite: în cazul tehnologiei J, un atacator poate fura doar informațiile introduse de client (ceea ce reprezintă o amenințare serioasă), iar în cazul Active-X și Plug-in, un atacator poate obține orice informație la care are acces clientul care rulează pe computer.
În prezent, autorul nu cunoaște metode specifice pentru implementarea atacurilor de falsificare a applet-urilor Java. Se pare că aceste atacuri se dezvoltă slab, deoarece oportunitățile rezultate pentru furtul de informații sunt practic absente. Dar atacurile asupra componentelor Active-X sunt larg răspândite și bine cunoscute.
Să luăm în considerare cerința de a proteja informațiile care circulă în sistemul electronic de plată prin internet. Este evident că în acest caz tehnologia J este inferioară atât P, cât și AX într-o problemă foarte semnificativă. Toate mecanismele de securitate a informațiilor se bazează pe criptare sau semnătură electronică, iar toți algoritmii corespunzători se bazează pe transformări criptografice care necesită introducerea unor elemente cheie. În prezent, lungimea elementelor cheie este de ordinul a 32-128 de octeți, așa că solicitarea utilizatorului să le introducă de la tastatură este aproape imposibilă. Apare întrebarea: cum să le introduci? Deoarece tehnologiile P și AX au acces la resursele computerului, soluția la această problemă este evidentă și binecunoscută - cheile sunt citite din fișiere locale, dischete, tablete sau smart card. Dar în cazul tehnologiei J, o astfel de intrare este imposibilă, ceea ce înseamnă că trebuie fie să solicitați clientului să introducă o secvență lungă de informații fără sens, fie, prin reducerea lungimii elementelor cheie, să reduceți puterea transformărilor criptografice și, prin urmare, să reduceți fiabilitatea mecanismelor de securitate. În plus, această reducere este foarte semnificativă.
Să luăm în considerare cerința ca sistemul electronic de plată să organizeze protecția datelor aflate pe server împotriva citirii și modificării neautorizate. Această cerință decurge din faptul că sistemul presupune plasarea pe server a informațiilor confidențiale destinate utilizatorului. De exemplu, o listă de ordine de plată trimisă lui cu o notă despre rezultatele procesării.
În cazul tehnologiei P, aceste informații sunt prezentate sub formă de pagini HTML, care sunt criptate și plasate pe server. Toate acțiunile sunt efectuate în conformitate cu algoritmul descris mai sus (criptarea paginilor HTML).
În cazul tehnologiilor J și AX, aceste informații pot fi plasate într-o formă structurată într-un fișier de pe server, iar componentele sau appleturile trebuie să efectueze operațiunile de citire și vizualizare a datelor. Toate acestea duc în general la o creștere a dimensiunii totale a applet-urilor și componentelor și, în consecință, la o scădere a vitezei de încărcare a paginilor corespunzătoare.
Din punctul de vedere al acestei cerințe, tehnologia P câștigă datorită fabricabilității mai mari, adică. sarcină generală de dezvoltare mai mică și rezistență mai mare la înlocuirea componentelor pe măsură ce acestea trec prin rețea.
În ceea ce privește ultima cerință de protejare a rețelei locale bancare, aceasta este îndeplinită prin construirea competentă a unui sistem de firewall-uri (firewall-uri) și nu depinde de tehnologiile în cauză.
Astfel, cele de mai sus au fost efectuate preliminar analiza comparativa tehnologiile J, AX și P, din care rezultă că tehnologia J ar trebui utilizată dacă menținerea gradului de securitate al computerului clientului este semnificativ mai importantă decât puterea transformărilor criptografice utilizate în sistemele electronice de plată.
Tehnologia P pare a fi cea mai optimă soluție tehnologică care stă la baza sistemelor de securitate a informațiilor de plată, deoarece combină puterea aplicație standard Win32 și protecție împotriva atacurilor prin Internet. Implementarea practică și comercială a proiectelor care utilizează această tehnologie este realizată, de exemplu, de compania rusă de comunicații financiare.
În ceea ce privește tehnologia AX, utilizarea acesteia pare a fi ineficientă și instabilă la atacurile intrușilor.
CONCLUZIE
Banii electronici încep să devină din ce în ce mai clar realitatea noastră de zi cu zi, care, cel puțin, trebuie luată în considerare. Desigur, nimeni nu va desființa banii obișnuiți în următorii cincizeci de ani (probabil). Dar a nu putea gestiona banii electronici și a rata oportunitățile pe care le aduc cu ei înseamnă a ridica în mod voluntar o „cortina de fier” în jurul tău, care a fost deplasată cu atât de greu în ultimii cincisprezece ani. Multe companii mari oferă plata pentru serviciile și bunurile lor prin plăți electronice. Acest lucru economisește mult timp consumatorului.
Software-ul gratuit pentru deschiderea portofelului electronic și pentru orice lucru cu bani este adaptat maxim pentru calculatoarele de masă și, după puțină practică, nu provoacă probleme utilizatorului obișnuit. Timpul nostru este timpul computerelor, al internetului și al comerțului electronic. Oamenii care au cunoștințe în aceste domenii și instrumentele adecvate obțin un succes extraordinar. Banii electronici sunt bani care se răspândesc pe zi ce trece, deschizând tot mai multe oportunități pentru o persoană care are acces la Internet.
Scopul lucrării de calcul și grafic a fost finalizarea și rezolvarea următoarelor sarcini:
1. Sunt determinate principalele sarcini ale sistemelor electronice de plată și principiile funcționării acestora, caracteristicile acestora.
2. Sunt analizate principalele sisteme electronice de plată.
3. Sunt analizate amenințările asociate utilizării banilor electronici.
4. Se analizează mijloacele de protecție la utilizarea sistemelor electronice de plată.
LISTA BIBLIOGRAFICĂ
1. Antonov N.G., Pessel M.A. Circulația banilor, credit și bănci. -M.: Finstatinform, 2005, p. 179-185.
2. Portofoliu bancar - 3. -M.: Somintek, 2005, p. 288-328.
3. Mihailov D.M. Plăți internaționale și garanții. M.: FBK-PRESS, 2008, p. 20-66.
4. Polyakov V.P., Moskovkina L.A. Structura și funcțiile băncilor centrale. Experiență străină: manual. - M.: INFRA-M, 2006.
5. Gaikovich Yu.V., Pershin A.S. Securitatea sistemelor bancare electronice. - M: Europa Unită, 2004
6. Demin V.S. si altele.Sisteme bancare automatizate. - M: Menatep-Inform, 2007
7. Krysin V.A. Siguranța afacerii. - M: Finanțe și Statistică, 2006
8. Linkov I.I. și altele.Diviziunile informaționale în structurile comerciale: cum să supraviețuiești și să reușești. - M: NIT, 2008
9. Titorenko G.A. si altele.Informatizarea activitatilor bancare. - M: Finstatinform, 2007
10. Tushnolobov I.B., Urusov D.P., Yartsev V.I. Rețele distribuite. - Sankt Petersburg: Peter, 2008
12. Aglitsky I. Starea și perspectivele suportului informațional pentru băncile rusești. - Tehnologii bancare, 2007 Nr. 1.
Îndrumare
Ai nevoie de ajutor pentru a studia un subiect?
Specialiștii noștri vă vor consilia sau vă vor oferi servicii de îndrumare pe teme care vă interesează.
Trimiteți cererea dvs indicând subiectul chiar acum pentru a afla despre posibilitatea de a obține o consultație.
3. Protecția plăților electronice
Problema securității bancare este deosebit de acută, deoarece informațiile bancare, în primul rând, reprezintă bani reali, iar în al doilea rând, afectează interesele confidențiale ale unui număr mare de clienți bănci.
Dimensiunea pieței de comerț electronic în 2000
| Dimensiunea și caracteristicile pieței | Estimare, dolari |
| Costul total al tuturor achizițiilor de produse pe internet | 4,5-6 miliarde |
| Costul total al tuturor achizițiilor pe cumpărător mediu | 600-800 |
| Costul mediu de achiziție pe tranzacție pe internet | 25-35 |
| Volumul total al tranzacțiilor de cumpărare pe internet | 130-200 milioane |
| Ponderea achizițiilor de produse online | 60-70% |
| Ponderea achizițiilor de bunuri livrate | 30-40% |
Schema generală de funcționare a sistemelor electronice de plată
O bancă care a încheiat un acord cu sistemul și a primit licența corespunzătoare poate acționa în două calități - ca emitent de instrumente de plată ale acestui sistem, acceptat la plată de către toate celelalte bănci participante și ca bancă absorbantă, care deservește întreprinderile care acceptă instrumentele de plată ale acestui sistem la plată, emise de alți emitenți, și acceptă aceste mijloace de plată pentru încasare în sucursalele sale.
Procedura de acceptare a plății este destul de simplă. În primul rând, casieria întreprinderii trebuie să verifice autenticitatea cardului folosind caracteristicile corespunzătoare.
La plata, compania trebuie sa transfere datele cardului clientului la un cec special cu ajutorul unui copiator - imprimanta, sa introduca in cec suma pentru care s-a facut achizitia sau au fost prestate serviciile si sa obtina semnatura clientului.
Un cec eliberat în acest fel se numește fișă. Pentru a efectua tranzacții în siguranță, sistemul de plăți recomandă limite mai mici ale sumelor pentru diferite regiuni și tipuri de afaceri pentru care se pot face plăți fără autorizație. În cazul în care suma limită este depășită sau dacă există îndoieli cu privire la identitatea clientului, compania este obligată să efectueze un proces de autorizare.
Fără să ne oprim asupra aspectelor tehnice ale procedurii, menționăm că, în timpul autorizării, compania are de fapt acces la informații despre starea contului clientului și are astfel posibilitatea de a stabili deținerea cardului de către client și capacitatea acestuia de plată. în valoarea tranzacţiei. O copie a talonului rămâne la companie, al doilea este transferat clientului, al treilea este livrat băncii achizitoare și servește drept bază pentru rambursarea sumei plății către companie din contul clientului.
În ultimii ani, terminalele POS au devenit foarte populare, folosindu-se că nu este nevoie să completați fișe. Detaliile cardului sunt citite de pe banda magnetică de pe cititorul încorporat în terminalul POS, suma tranzacției este introdusă de la tastatură, iar terminalul, prin modemul încorporat, solicită autorizarea la sistemul de plată corespunzător. În acest caz, sunt utilizate capacitățile tehnice ale centrului de procesare, ale căror servicii sunt furnizate comerciantului de către bancă. În acest caz, compania raportează băncii cu o copie a casetei de marcat cu o mostră a semnăturii clientului și a fișierelor de lot pe care terminalul le generează la sfârșitul zilei de operare.
În ultimii ani, s-a atras tot mai multă atenție sisteme bancare care folosesc carduri cu microprocesor.
În exterior, aceste medii de stocare nu diferă de cardurile obișnuite, cu excepția cipul de memorie sau microprocesorul lipit în interiorul cardului și a petalelor plăcii de contact afișate pe suprafața acestuia.
Diferența fundamentală dintre aceste carduri și toate cele de mai sus este că ele transportă direct informații despre starea contului clientului, deoarece ele însele sunt un cont de tranzit. Este clar că fiecare punct de colectare pentru astfel de carduri trebuie să fie echipat cu un terminal POS special (cu cititor de cip).
Pentru a putea folosi cardul, clientul trebuie sa il incarce din contul sau la terminalul bancar. Toate tranzactiile se fac in modul OFF-LINE in timpul cardului de dialog - terminal sau card client - card comerciant.
Un astfel de sistem este aproape complet sigur datorită gradului ridicat de securitate al cipului și a schemei de plată debit complet. În plus, deși cardul în sine este semnificativ mai scump decât unul obișnuit, sistemul în timpul funcționării se dovedește a fi și mai ieftin datorită faptului că modul OFF-LINE nu utilizează sarcina de telecomunicații.
Plăți electronice folosind carduri bancare din plastic tipuri variate reprezintă un mecanism destul de flexibil și universal pentru decontări în lanțul „Banca 1 - Client - Întreprindere - Banca 2” și decontări interbancare de tip „Banca 1 - ... - Banca N”. Cu toate acestea, versatilitatea acestor instrumente de plată este cea care le face o țintă deosebit de atractivă pentru fraudă. Costul anual al pierderilor legate de abuz se ridică la o sumă semnificativă, deși relativ mic în comparație cu cifra de afaceri totală.
Sistemul de securitate și dezvoltarea lui nu pot fi considerate izolat de metodele de tranzacții ilegale cu carduri de plastic, care pot fi împărțite în 5 tipuri principale de infracțiuni.
1. Operațiuni cu carduri contrafăcute.
Acest tip de fraudă reprezintă cea mai mare parte a pierderilor din sistemul de plăți. Datorită securității tehnice și tehnologice ridicate a cardurilor reale, cardurile de casă sunt rar folosite recent și pot fi identificate cu ajutorul unor diagnostice simple.
De regulă, cardurile goale furate sunt folosite pentru contrafacere, pe care se aplică datele bancare și ale clientului. Fiind foarte echipați din punct de vedere tehnic, infractorii pot chiar să scrie informații pe banda magnetică a unui card sau să o copieze, într-un cuvânt, să facă contrafaceri la nivel înalt.
Făptuitorii unor astfel de acțiuni sunt, de regulă, grupuri infracționale organizate, uneori compușind cu angajații băncilor emitente care au acces la informații despre conturile clienților și procedurile tranzacțiilor. Aducând un omagiu comunității criminale internaționale, trebuie menționat că cardurile contrafăcute au apărut în Rusia aproape simultan cu începutul dezvoltării acestui sector al pieței bancare.
2. Tranzacții cu carduri furate/pierdute.
Este posibil să cauzați daune majore folosind un card furat numai dacă fraudatorul cunoaște codul PIN al clientului. Apoi devine posibilă retragerea unei sume mari din contul clientului printr-o rețea de bancomate electronice - ATM-uri înainte ca banca emitentă a cardului furat să aibă timp să o înscrie pe lista electronică de oprire (lista cardurilor invalide).
3. Plăți multiple pentru servicii și bunuri pentru sume care nu depășesc „limita de etaj” și care nu necesită autorizare. Pentru a efectua plăți, infractorul trebuie doar să falsifice semnătura clientului. Cu toate acestea, cu această schemă, cel mai atractiv obiect de abuz devine inaccesibil - bani gheata. Această categorie include infracțiunile care implică carduri furate în timp ce erau trimise de către banca emitentă clienților săi prin poștă.
4. Fraudă de comandă prin poștă/telefon.
Acest tip de infracțiune a apărut în legătură cu dezvoltarea serviciului de livrare de bunuri și servicii prin poștă sau comandă telefonică a clientului. Cunoscând numărul cardului de credit al victimei sale, infractorul îl poate indica pe formularul de comandă și, după ce a primit comanda la locul de reședință temporară, poate scăpa.
5. Retrageri multiple din cont.
Aceste infracțiuni sunt de obicei comise de angajați entitate legală, acceptând plata de la un client pentru bunuri și servicii prin card de credit și se efectuează prin emiterea mai multor cecuri de plată pentru un singur fapt de plată. Pe baza cecurilor depuse, în contul companiei sunt creditați mai mulți bani decât costul bunurilor vândute sau al serviciilor furnizate. Cu toate acestea, după finalizarea unui număr de tranzacții, infractorul este obligat să închidă sau să părăsească întreprinderea.
Pentru a evita astfel de acțiuni, utilizatorii de carduri sunt sfătuiți să fie mai atenți la documentele semnate atunci când efectuează tranzacții (chiar și pentru sume mici).
Metodele folosite de departamentele de securitate pot fi împărțite în două categorii principale. Primul și, poate, cel mai important nivel este legat de securitatea tehnică a cardului de plastic în sine. Acum putem spune cu încredere că din punct de vedere tehnologic cardul este mai bine protejat decât bancnotele și este aproape imposibil să-l faci singur fără utilizarea unor tehnologii sofisticate.
Cardurile oricărui sistem de plată îndeplinesc standardele strict stabilite. Harta are o formă standard. Numărul de identificare al băncii în sistem (cod BIN) și numărul contului bancar al clientului, numele și prenumele acestuia, data de expirare a cardului sunt în relief și plasate în poziții strict stabilite pe fața cardului. Există, de asemenea, un simbol al sistemului de plată realizat în mod olografic. Ultimele patru cifre ale numărului cardului sunt în relief (apăsate în relief) direct pe simbolul olografic, ceea ce face imposibilă copiarea hologramei sau re-embosarea codului fără a distruge simbolul.
Pe spatele cardului există o bandă magnetică și o zonă cu un eșantion de semnătură a proprietarului. Detaliile sistemului de plată propriu-zis, mărcile de securitate, simbolurile care împiedică copierea informațiilor sunt înregistrate pe banda magnetică în poziții strict definite și folosind algoritmi criptografici, iar informațiile imprimate pe fața cardului sunt duplicate. Zona de mostre de semnătură a proprietarului are un strat special. La cea mai mică încercare de a face ștergere sau de a transmite semnătura, acoperirea este distrusă și apare un substrat de altă culoare cu simbolurile de securitate ale sistemului de plată.
Suprafața rămasă a cardului este în întregime la dispoziția băncii emitente și este decorată în mod arbitrar cu simbolurile băncii, publicitatea acesteia și informațiile necesare clienților. Cardul în sine este protejat de caractere care sunt vizibile doar la lumina ultravioletă.
Măsurile de protecție tehnică includ și protecția comunicațiilor bancare, a rețelelor bancare împotriva intruziunilor ilegale, a defecțiunilor și a altor influențe externe care duc la scurgeri sau chiar la distrugerea informațiilor. Protecția se realizează prin software și hardware și este certificată de organizațiile autorizate de sisteme de plată.
A doua categorie de măsuri de protecție include măsuri de prevenire a scurgerii de informații din partea departamentelor bancare pentru lucrul cu carduri de plastic. Principiul principal este o delimitare clară a responsabilităților oficiale ale angajaților și, în conformitate cu aceasta, limitarea accesului la informații clasificate într-o măsură care nu depășește minimul necesar pentru muncă.
Aceste măsuri reduc riscul și posibilitatea ca infractorii să se complice cu angajații. Se organizează seminarii tematice pentru ca angajații să-și îmbunătățească abilitățile. Sistemele de plată distribuie în mod regulat buletine de securitate, în care publică materiale și statistici oficiale privind infracțiunile care implică carduri, raportează semne ale infractorilor și semne ale cărților contrafăcute intră în circulație ilegală. Prin buletine, personalul este instruit și se organizează activități preventive și speciale care vizează reducerea criminalității.
O atenție deosebită este acordată selecției personalului angajaților departamentului. Toate problemele de securitate sunt responsabilitatea unui ofițer de securitate dedicat. Dintre măsurile preventive, locul cel mai important îl ocupă munca cu clienții care vizează creșterea nivelului cultural de manipulare a „banilor de plastic”. Manipularea atentă și atentă a cardului reduce semnificativ probabilitatea de a deveni victima unei infracțiuni.
Analiza încălcărilor în sistemul electronic de decontare și plată
Este bine cunoscut printre specialiști că căderea rapidă a Norvegiei în cel de-al Doilea Război Mondial s-a datorat în mare măsură faptului că codurile Marinei Regale Britanice au fost sparte de criptografii germani care au folosit exact aceleași metode pe care specialiștii Royal Navy's Room 40 le-au folosit împotriva Germaniei în trecut. război.
Începând cu cel de-al Doilea Război Mondial, a fost ridicat un văl de secret asupra utilizării guvernamentale a criptografiei. Acest lucru nu este surprinzător și nu se datorează doar Războiului Rece, ci și reticenței birocraților (din orice organizație) de a-și recunoaște greșelile.
Să ne uităm la câteva dintre modalitățile prin care frauda la ATM a fost comisă de fapt. Scopul este de a analiza ideile designerilor care vizează invulnerabilitatea teoretică a produsului lor și de a învăța lecții din cele întâmplate.
Să începem cu câteva exemple simple care arată mai multe tipuri de escrocherii care pot fi efectuate fără prea multe trucuri tehnice, precum și procedurile bancare care permit să se întâmple.
Este bine cunoscut faptul ca banda magnetica de pe cardul unui client trebuie sa contina doar numarul de cont al acestuia, iar numarul sau personal de identificare (PIN) se obtine prin criptarea numarului de cont si prelevarea a patru cifre din rezultat. Astfel, ATM-ul trebuie să poată efectua criptarea sau în alt mod să efectueze verificarea PIN (de exemplu, interogare interactivă).
Winchester Crown Court din Anglia a condamnat recent doi criminali care au folosit o schemă simplă, dar eficientă. Stăteau la cozi la bancomate, se uitau la codurile PIN ale clienților, ridicau carduri respinse de bancomat și copiau numerele de cont de pe acestea pe carduri goale, care erau folosite pentru a jefui conturile clienților.
Acest truc a fost folosit (și raportat) în urmă cu câțiva ani la o bancă din New York. Făptuitorul era un tehnician ATM concediat, iar acesta a reușit să fure 80.000 de dolari înainte ca banca, care avea prezență de securitate în zonă, să-l prindă în flagrant.
Aceste atacuri au avut succes deoarece băncile au tipărit întregul număr de cont al clientului pe cardul bancar și, în plus, nu a existat o redundanță criptografică pe banda magnetică. Ai crede că lecția băncii din New York va fi învățată, dar nu.
Un alt tip de atac tehnic se bazează pe faptul că multe rețele de bancomate nu criptează mesajele și nu efectuează proceduri de autentificare atunci când autorizează o tranzacție. Aceasta înseamnă că un atacator poate înregistra un răspuns de la bancă la bancomat „Autorizez plata” și apoi poate reda înregistrarea până când bancomatul este gol. Această tehnică, cunoscută sub numele de „eviscerare”, nu este folosită doar de atacatorii din exterior. Există un caz cunoscut în care operatorii băncilor au folosit un dispozitiv de control al rețelei pentru a „devisa” bancomatele împreună cu complicii.
Tranzacțiile de testare sunt o altă sursă de probleme
Pentru un tip de bancomat, a fost folosită o secvență de taste de paisprezece cifre pentru a testa distribuirea a zece bancnote. O anumită bancă a tipărit această secvență în manualul său pentru utilizarea bancomatelor de la distanță. Trei ani mai târziu, banii au început să dispară brusc. Au continuat până când toate băncile care folosesc acest tip de bancomate au activat corecții software pentru a preveni tranzacția de testare.
Escrocherii cu cea mai rapidă creștere sunt cele care implică utilizarea de terminale false pentru a colecta conturi de clienți și coduri PIN. Atacurile acestei specii au fost descrise pentru prima dată în Statele Unite în 1988. Escrocii au construit o mașină care acceptă orice card și distribuie un pachet de țigări. Această invenție a fost plasată într-un magazin, iar codurile PIN și datele de pe cardurile magnetice au fost transmise printr-un modem. Trucul s-a răspândit în toată lumea.
Tehnicienii fură și bani de la clienți, știind că plângerile acestora vor fi probabil ignorate. La o bancă din Scoția, un inginer de serviciu de asistență a atașat un computer la un bancomat și a înregistrat numerele de cont și codurile PIN ale clienților. Apoi a falsificat cardurile și a furat bani din conturi. Încă o dată, clienții s-au plâns la ziduri goale. Banca a fost criticată public de unul dintre cei mai mari oficiali legali ai Scoției pentru această practică.
Scopul utilizării unui PIN din patru cifre este ca, dacă cineva găsește sau fură cardul bancar al altei persoane, există o șansă din zece mii de a ghici codul la întâmplare. Dacă sunt permise doar trei încercări de introducere a codului PIN, atunci probabilitatea de a retrage bani de pe un card furat este mai mică de una din trei mii. Cu toate acestea, unele bănci au reușit să reducă diversitatea oferită de patru cifre.
Unele bănci nu urmează tiparul de obținere a unui PIN prin conversia criptografică a numărului de cont, ci folosind un PIN selectat aleatoriu (sau permițând clienților să aleagă) și apoi criptotransformându-l pentru a-l aminti. Pe lângă faptul că permite clientului să aleagă un PIN ușor de ghicit, această abordare introduce câteva capcane tehnice.
Unele bănci păstrează în dosar o valoare PIN criptată. Aceasta înseamnă că programatorul poate obține valoarea criptată a propriului PIN și poate căuta în baza de date toate celelalte conturi cu același PIN.
O bancă mare din Marea Britanie a scris chiar și un cod PIN criptat pe banda magnetică a cardului. Comunității criminale i-au trebuit cincisprezece ani pentru a realiza că ar putea înlocui numărul de cont de pe banda magnetică a propriului card și apoi să-l folosească cu propriul PIN pentru a fura dintr-un cont.
Din acest motiv, sistemul VISA recomandă băncilor să combine numărul de cont al clientului cu PIN-ul acestuia înainte de a cripta. Cu toate acestea, nu toate băncile fac acest lucru.
Până acum, atacurile mai sofisticate au fost legate de erori simple de implementare și proceduri de operare. Cercetătorii profesioniști în domeniul securității au avut tendința de a considera astfel de gafe neinteresante și, prin urmare, s-au concentrat asupra atacurilor care exploatează defecte tehnice mai subtile. Banca are, de asemenea, o serie de deficiențe de securitate.
Deși atacurile de înaltă tehnologie asupra sistemelor bancare sunt rare, ele prezintă interes din punct de vedere public, deoarece inițiativele guvernamentale precum Criteriile de evaluare a tehnologiei de securitate a informațiilor din UE (ITSEC) urmăresc să dezvolte un set de produse care sunt certificate în raport cu tehnicile cunoscute. erori. Propunerile care stau la baza acestui program sunt că implementarea și procedurile de proces ale produselor în cauză vor fi în esență fără erori și că atacul necesită o pregătire tehnică comparabilă cu cea a personalului agenției de securitate guvernamentale. Aparent, această abordare este mai potrivită pentru sistemele militare decât pentru cele civile.
Pentru a înțelege cum sunt efectuate atacuri mai sofisticate, este necesar să ne uităm mai detaliat la securitatea bancară.
Probleme legate de modulele de securitate
Nu toate produsele de securitate sunt de aceeași calitate și puține bănci au experții pregătiți pentru a distinge produsele bune de cele mediocre.
În practică, există unele probleme cu produsele de criptare, în special, vechiul modul de securitate IBM 3848 sau modulele recomandate în prezent pentru organizațiile bancare.
Dacă banca nu are module de securitate implementate hardware, funcția de criptare a codului PIN va fi implementată în software cu consecințe nedorite corespunzătoare. Software-ul modulului de securitate poate avea puncte de întrerupere pentru depanarea produselor software de către inginerii producătorului. Acest fapt a fost adus în atenție atunci când una dintre bănci a decis să-l includă în rețea, iar inginerul de sistem al producătorului nu a putut asigura funcționarea gateway-ului necesar. Pentru a face treaba, a folosit unul dintre aceste trucuri pentru a extrage codurile PIN din sistem. Existența unor astfel de puncte de întrerupere face imposibilă crearea unor proceduri fiabile pentru gestionarea modulelor de securitate.
Unii producători de module de securitate facilitează înșiși astfel de atacuri. De exemplu, se folosește o metodă de generare a cheilor de lucru în funcție de ora din zi și, ca urmare, sunt utilizați efectiv doar 20 de biți de cheie, în loc de cei 56 așteptați. Astfel, conform teoriei probabilităților, pentru fiecare 1000 de chei generate, doi se vor potrivi.
Acest lucru face posibile unele abuzuri subtile în care un atacator manipulează comunicațiile bancare astfel încât tranzacțiile de la un terminal să fie înlocuite cu tranzacții de la altul.
Programatorii unei bănci nici măcar nu s-au deranjat cu problemele asociate cu introducerea cheilor clientului în programele de criptare. Pur și simplu au instalat pointeri către valorile cheie într-o zonă de memorie care este întotdeauna resetată la zero când sistemul pornește. Rezultatul această decizie s-a dovedit că adevăratul şi sisteme de testare a folosit aceleași zone cheie de depozitare. Tehnicienii băncii și-au dat seama că pot obține coduri PIN ale clienților pe echipamentele de testare. Câțiva dintre ei au contactat infractorii locali pentru a selecta coduri PIN pentru cardurile bancare furate. Când managerul de securitate al băncii a dezvăluit ce se întâmplă, acesta a murit într-un accident de mașină (iar poliția locală a „pierdut” tot materialul relevant). Banca nu s-a obosit să trimită noi carduri clienților săi.
Unul dintre scopurile principale ale modulelor de securitate este acela de a împiedica programatorii și personalul care accesează computerele să obțină informații cheie ale bancii. Cu toate acestea, secretul oferit de componentele electronice ale modulelor de securitate nu rezistă adesea încercărilor de pătrundere criptografică.
Modulele de securitate au propriile lor chei principale pentru uz intern, iar aceste chei trebuie menținute într-o anumită locație. O copie de rezervă a cheii este adesea păstrată într-o formă ușor de citit, cum ar fi un PROM, iar cheia poate fi citită din când în când, de exemplu atunci când controlul unui set de chei de zonă și terminal este transferat de la un modul de securitate la o alta. În astfel de cazuri, banca este complet la cheremul experților în procesul de realizare a acestei operațiuni.
Probleme asociate cu tehnologiile de proiectare
Să discutăm pe scurt despre tehnologia de design ATM. La modelele mai vechi, codul programului de criptare a fost localizat în locul greșit - în dispozitivul de control și nu în modulul în sine. Dispozitivul de control trebuia să fie amplasat în imediata apropiere a modulului într-o anumită zonă. Dar un număr mare de bancomate nu se află în prezent în imediata apropiere a clădirii băncii. La o universitate din Marea Britanie, un bancomat era amplasat în campus și i-a trimis numere de cont și coduri PIN necriptate linie telefonică la unitatea de control a filialei, care se afla la câțiva mile de oraș. Oricine s-a obosit să folosească un dispozitiv de interceptare a liniei telefonice ar putea contraface carduri cu mii.
Chiar și în cazurile în care se achiziționează unul dintre cele mai bune produse, există un număr mare de opțiuni în care implementarea incorectă sau procedurile tehnologice prost concepute duc la probleme băncii. Majoritatea modulelor de securitate returnează o serie de coduri de returnare pentru fiecare tranzacție. Unele dintre ele, cum ar fi „eroare de paritate cheie”, avertizează că programatorul experimentează cu un modul care este de fapt utilizat. Cu toate acestea, puține bănci s-au obosit să scrie driverul de dispozitiv necesar pentru a intercepta aceste avertismente și a acționa în consecință.
Există cazuri în care băncile au încheiat subcontracte pentru tot sau o parte din sistemul ATM cu firme care „prestează servicii conexe” și au transferat coduri PIN acestor firme.
Au existat, de asemenea, cazuri în care codurile PIN au fost partajate între două sau mai multe bănci. Chiar dacă tot personalul băncii este considerat de încredere, este posibil ca firmele externe să nu mențină politicile de securitate specifice băncii. Personalul de la aceste firme nu este întotdeauna verificat în mod corespunzător, este probabil să fie prost plătit, băgacios și imprudent, ceea ce poate duce la conceperea și executarea fraudei.
Multe dintre greșelile de management descrise se bazează pe lipsa de dezvoltare a părții psihologice a proiectului. Sucursalele băncilor și centrele de calcul ar trebui să urmeze proceduri standard atunci când își finalizează activitatea zilnică, dar numai acele proceduri de control al căror scop este clar sunt susceptibile de a fi respectate cu strictețe. De exemplu, împărțirea cheilor de la seiful sucursalei între manager și contabil este bine înțeleasă: îi protejează pe amândoi de a-și lua familiile ostatice. Cheile criptografice nu sunt adesea ambalate într-o formă ușor de utilizat și, prin urmare, este puțin probabil să fie utilizate corect. Un răspuns parțial ar putea fi dispozitivele care seamănă de fapt cu cheile (modulate pe cheile criptografice ale siguranțelor pentru arme nucleare).
S-ar putea scrie multe despre îmbunătățirea procedurilor operaționale, dar dacă scopul este de a preveni ca orice cheie criptografică să cadă în mâinile cuiva care are capacitatea tehnică de a abuza de ea, atunci trebuie să existe un obiectiv explicit în manuale și cursuri de formare. Principiul „securității prin obscuritate” face adesea mai mult rău decât bine.
Distribuția cheilor
Distribuția cheilor pune o problemă specială pentru sucursalele băncilor. După cum știți, teoria cere ca fiecare dintre cei doi bancheri să introducă propria lor componentă cheie, astfel încât combinația lor să dea cheia principală a terminalului. Codul PIN, criptat pe cheia principală a terminalului, este trimis la ATM în timpul primei tranzacții după întreținere.
Dacă tehnicianul ATM primește ambele componente cheie, el poate decripta PIN-ul și cardurile contrafăcute. În practică, directorii de sucursale care dețin cheile sunt aproape fericiți să le predea inginerului, deoarece nu vor să stea lângă bancomat în timp ce acesta este întreținut. Mai mult, introducerea unei taste de terminal înseamnă folosirea unei tastaturi, pe care managerii mai în vârstă o consideră sub demnitatea lor.
Este o practică comună gestionarea greșită a cheilor. Există un caz cunoscut când unui inginer din personalul de întreținere i s-au dat ambele microcircuite cu chei principale. Deși în teorie existau proceduri de control dual, oficialii de securitate au predat cipurile pentru că au fost folosite ultimele chei și nimeni nu știa ce să facă. Un inginer ar putea face mai mult decât să falsească cărți. Ar fi putut să plece cu cheile și să oprească toate operațiunile bancomatelor bancare.
Nu este neinteresant faptul că cheile sunt mai des stocate în fișiere deschise decât în cele protejate. Acest lucru se aplică nu numai cheilor ATM, ci și cheilor pentru sistemele de decontare de la bancă la bancă, cum ar fi SWIFT, care gestionează tranzacții în valoare de miliarde. Ar fi înțelept să folosiți cheile de inițializare, cum ar fi cheile de terminal și cheile de zonă, o singură dată și apoi să le distrugeți.
Amenințări criptoanalitice
Criptonaliștii reprezintă probabil cea mai mică amenințare pentru sistemele bancare, dar nu pot fi excluși complet. Unele bănci (inclusiv cele mari și binecunoscute) folosesc încă algoritmi criptografici de origine creată în anii înainte de DES. Într-o rețea de date, blocurile de date au fost pur și simplu „complicate” prin adăugarea unei constante. Această metodă nu a fost criticată timp de cinci ani, în ciuda faptului că rețeaua a fost folosită de peste 40 de bănci. Mai mult, toți experții în asigurări, audit și securitate ai acestor bănci au citit aparent specificațiile sistemului.
Chiar dacă se folosește un algoritm „respectabil”, acesta poate fi implementat cu parametri nepotriviți. De exemplu, unele bănci au implementat algoritmul RSA cu lungimi de cheie cuprinse între 100 și 400 de biți, chiar dacă lungimea cheii trebuie să fie de cel puțin 500 de biți pentru a asigura nivelul necesar de securitate.
De asemenea, puteți găsi o cheie folosind forța brută, încercând toate cheile de criptare posibile până când găsiți o cheie pe care o folosește o anumită bancă.
Protocoalele utilizate în rețelele internaționale pentru a cripta cheile de lucru folosind cheile de zonă facilitează atacul cheii de zonă în acest mod. Dacă cheia de zonă a fost deschisă o dată, toate codurile PlN trimise sau primite de bancă prin rețea pot fi decriptate. Un studiu recent realizat de experții Canadian Bank a constatat că un astfel de atac asupra DES ar costa aproximativ 30.000 de lire sterline pe cheie de zonă. În consecință, resursele crimei organizate sunt destul de suficiente pentru o astfel de infracțiune, iar o astfel de infracțiune ar putea fi comisă de un individ suficient de bogat.
Probabil că calculatoarele specializate necesare găsirii cheilor au fost create în serviciile de informații ale unor țări, inclusiv în țări care se află acum într-o stare de haos. În consecință, există un anumit risc ca deținătorii acestui echipament să îl poată folosi în scop personal.
Toate sistemele, mici și mari, conțin erori software și sunt supuse erorilor umane. Sistemele bancare nu fac excepție și oricine a lucrat în producția industrială își dă seama de acest lucru. Sistemele de decontare a ramurilor tind să devină mai mari și mai complexe, cu multe module care interacționează care au evoluat de-a lungul deceniilor. Unele tranzacții vor fi inevitabil executate incorect: debitele pot fi duplicate sau un cont poate fi modificat incorect.
Această situație nu este nouă pentru controlorii financiari ai marilor companii, care mențin un personal special pentru reconcilierea conturilor bancare. Când apare un debit eronat, acești angajați solicită documentația relevantă pentru revizuire și, dacă documentația lipsește, primesc rambursarea plății incorecte de la bancă.
Cu toate acestea, clienții ATM nu au această opțiune de a rambursa plățile contestate. Majoritatea bancherilor din afara SUA spun pur și simplu că nu există erori în sistemele lor.
O astfel de politică duce la anumite riscuri juridice și administrative. În primul rând, creează posibilitatea de abuz, deoarece frauda este ascunsă. În al doilea rând, acest lucru duce la dovezi prea complexe pentru client, motiv pentru simplificarea procedurii în instanțele din SUA. În al treilea rând, există riscul moral asociat cu încurajarea indirectă a angajaților băncii să fure, pe baza cunoștinței că este puțin probabil să fie prinși. În al patrulea rând, acesta este un defect ideologic, deoarece din cauza lipsei înregistrării centralizate a revendicărilor clienților, nu există posibilitatea unui control organizat corespunzător asupra cazurilor de fraudă.
Impactul asupra activității de afaceri asociate cu pierderile ATM este dificil de estimat cu exactitate. În Marea Britanie, Secretarul Economic al Trezoreriei (ministrul responsabil cu reglementarea sectorului bancar) a declarat în iunie 1992 că astfel de erori afectează cel puțin două tranzacții din trei milioane efectuate în fiecare zi. Cu toate acestea, sub presiunea recentă a litigiilor, această cifră a fost revizuită mai întâi la 1 la 250.000 de tranzacții eronate, apoi la 1 la 100.000 și în final la 1 la 34.000.
Deoarece clienții care fac reclamații sunt de obicei respinși de către angajații băncii și majoritatea oamenilor pur și simplu nu pot observa o retragere unică din contul lor, cea mai bună presupunere este că au loc aproximativ 1 din 10.000 de tranzacții incorecte. ATM-uri o dată pe săptămână timp de 50 de ani, ne putem aștepta ca unul din patru clienți să întâmpine probleme cu utilizarea bancomatelor pe parcursul vieții.
Proiectanții de sisteme criptografice sunt dezavantajați din cauza lipsei de informații despre cum apar defecțiunile sistemului în practică, mai degrabă decât modul în care ar putea apărea în teorie. Acest dezavantaj părere conduce la utilizarea unui model de amenințare incorect. Designerii își concentrează eforturile pe ceea ce în sistem poate duce la eșec, mai degrabă decât pe ceea ce cauzează de obicei erori. Multe produse sunt atât de complexe și complicate încât rareori sunt folosite corect. Consecința este faptul că majoritatea erorilor sunt asociate cu implementarea și întreținerea sistemului. Un rezultat specific a fost un val de fraude la ATM, care au dus nu numai la pierderi financiare, ci și la erori judiciare și la scăderea încrederii în sistemul bancar.
Un exemplu de implementare a metodelor criptografice este sistemul de protecție a informațiilor criptografice folosind semnătura digitală EXCELLENCE.
Sistemul criptografic software EXCELLENCE este proiectat pentru a proteja informațiile procesate, stocate și transmise între computerele personale compatibile cu IBM utilizând funcții de criptare criptografică, semnătură digitală și autentificare.
Sistemul implementează algoritmi criptografici care respectă standardele de stat: criptare - GOST 28147-89. Semnătura digitală se bazează pe algoritmul RSA.
Sistemul de chei cu autentificare strictă și certificare a cheilor este construit pe protocolul X.509 și pe principiul distribuției deschise a cheilor RSA, care sunt utilizate pe scară largă în practica internațională.
Sistemul conține funcții criptografice pentru procesarea informațiilor la nivel de fișier:
și funcții criptografice pentru lucrul cu chei:
Fiecare abonat al rețelei are propria sa cheie privată și publică. Cheia secretă a fiecărui utilizator este înregistrată pe discheta cu cheia individuală sau pe cardul electronic individual. Secretul cheii abonatului asigură protecția informațiilor criptate pentru acesta și imposibilitatea falsificării semnăturii sale digitale.
Sistemul acceptă două tipuri de medii de informare cheie:
Fiecare abonat al rețelei are un director de fișiere cu cheile publice ale tuturor abonaților sistemului, protejate împotriva modificărilor neautorizate, împreună cu numele acestora. Fiecare abonat este obligat să-și păstreze cheia privată secretă.
Din punct de vedere funcțional, sistemul EXCELLENCE este implementat sub forma unui modul software excell_s.exe și rulează pe sistemul de operare MS DOS 3.30 și o versiune superioară. Parametrii pentru executarea funcțiilor sunt trecuți în formular Linie de comanda DOS. În plus, este furnizată o interfață grafică. Programul recunoaște automat și acceptă operațiuni pe 32 de biți pe procesorul Intel386/486/Pentium.
Pentru încorporarea în alții sisteme software a fost implementata o varianta a sistemului EXCELLENCE care contine functii criptografice de baza pentru lucrul cu datele din RAM in urmatoarele moduri: memorie - memorie; memorie - fișier; fişier - memorie.
Prognoza pentru începutul secolului XXI
Ponderea managementului băncii care va lua măsuri eficiente pentru a rezolva problema securității informațiilor ar trebui să crească la 40-80%. Principala problemă va fi personalul de service (inclusiv fostul) (de la 40% la 95% din cazuri), iar principalele tipuri de amenințări vor fi accesul neautorizat (UNA) și virușii (până la 100% dintre bănci vor fi supuse atacurilor de viruși). ).
Cele mai importante măsuri pentru asigurarea securității informațiilor vor fi cel mai înalt profesionalism al serviciilor de securitate a informațiilor. Pentru aceasta băncile vor trebui să cheltuiască până la 30% din profit pentru securitatea informațiilor.
În ciuda tuturor măsurilor enumerate mai sus, o soluție absolută la problema securității informațiilor este imposibilă. În același timp, eficacitatea sistemului de securitate a informațiilor al unei bănci este în întregime determinată de cantitatea de fonduri investite în acesta și de profesionalismul serviciului de securitate a informațiilor, iar posibilitatea încălcării sistemului de securitate a informațiilor unei bănci este determinată în întregime de costul depășirea sistemului de securitate și a calificărilor fraudelor. (În practica străină, se crede că are sens să „pirați” un sistem de securitate dacă costul depășirii acestuia nu depășește 25% din valoarea informațiilor protejate).
Capitolul 4 a examinat caracteristicile abordării pentru protejarea sistemelor bancare electronice. O caracteristică specifică a acestor sisteme este o formă specială de schimb electronic de date - plățile electronice, fără de care nicio bancă modernă nu poate exista.
Schimbul electronic de date (EDE) este schimbul computer-la-computer de documente electronice de afaceri, comerciale și financiare. De exemplu, comenzi, instrucțiuni de plată, propuneri de contract, facturi, chitanțe etc.
EOD asigură interacțiunea promptă între partenerii comerciali (clienți, furnizori, revânzători etc.) în toate etapele pregătirii unei tranzacții comerciale, încheierii unui contract și implementării unei livrări. În etapa plății contractului și transferului de fonduri, EDI poate duce la schimbul electronic de documente financiare. Acest lucru creează un mediu eficient pentru tranzacțiile comerciale și de plată:
* Este posibilă familiarizarea partenerilor comerciali cu ofertele de bunuri și servicii, selectarea produsului/serviciul solicitat, clarificarea condițiilor comerciale (cost și timp de livrare, reduceri comerciale, obligații de garanție și servicii) în timp real;
* Comanda de bunuri/servicii sau solicitarea unei propuneri de contract in timp real;
* Controlul operațional al livrării mărfurilor, primirea documentelor însoțitoare (facturi, facturi, liste de componente etc.) prin e-mail;
* Confirmarea finalizarii livrarii bunurilor/serviciilor, emiterea si plata facturilor;
* Executarea de credit bancar si tranzactii de plata. Avantajele OED includ:
* Reducerea costurilor operațiunilor prin trecerea la tehnologia fără hârtie. Experții estimează costul procesării și menținerii documentației pe hârtie la 3-8% din costul total al tranzacțiilor comerciale și al livrării mărfurilor. Beneficiul utilizării EED este estimat, de exemplu, în industria auto din SUA la peste 200 USD per mașină fabricată;
* Creșterea vitezei de decontare și de rotație a banilor;
* Creșterea confortului calculelor.
Există două strategii cheie pentru dezvoltarea EED:
1. EOD este folosit ca un avantaj competitiv, permițând o interacțiune mai strânsă cu partenerii. Această strategie a fost adoptată de organizațiile mari și se numește Extended Enterprise Approach.
2. EDI este utilizat în unele proiecte industriale specifice sau în inițiative ale asociațiilor de organizații comerciale și alte organizații pentru a crește eficiența interacțiunii lor.
Băncile din Statele Unite și Europa de Vest și-au recunoscut deja rolul cheie în răspândirea EDI și beneficiile semnificative care provin din interacțiunea mai strânsă cu partenerii de afaceri și personali. OED ajută băncile să ofere servicii clienților, în special celor mici, care anterior nu își permiteau să le folosească din cauza costului ridicat.
Principalul obstacol în calea răspândirii pe scară largă a EDI este varietatea prezentărilor documentelor la schimbul lor prin canale de comunicare. Pentru a depăși acest obstacol, diferite organizații au dezvoltat standarde pentru depunerea documentelor în sisteme EED pentru diverse industrii:
QDTI - General Trade Interchange (Europa, comerț internațional);
MDSND - National Automated Clearing House Association (SUA, National Association of Automated Clearing Houses);
TDCC - Comitetul de coordonare a datelor de transport;
VICS - Voluntary Interindustry Communication Standard (SUA, Voluntary Interindustry Communication Standard);
WINS - Standarde pentru rețeaua de informații pentru depozit reteaua de informatii depozite de mărfuri).
În octombrie 1993, grupul internațional UN/ECE a publicat prima versiune a standardului EDIFACT. Setul dezvoltat de reguli de sintaxă și elemente de date comerciale a fost formalizat sub forma a două standarde ISO:
ISO 7372 - Director de elemente de date comerciale;
ISO 9735 - EDIFACT - Reguli de sintaxă la nivel de aplicație.
Un caz special de EOD îl reprezintă plățile electronice - schimbul de documente financiare între clienți și bănci, între bănci și alte organizații financiare și comerciale.
Esența conceptului de plăți electronice este că mesajele transmise prin linii de comunicație, executate și transmise corespunzător, stau la baza efectuării uneia sau mai multor operațiuni bancare. În principiu, nu sunt necesare documente pe hârtie pentru efectuarea acestor operațiuni (deși pot fi eliberate). Cu alte cuvinte, mesajul transmis prin liniile de comunicare poartă informații că expeditorul a efectuat unele operațiuni pe contul său, în special pe contul de corespondent al băncii destinatare (care poate fi un centru de compensare), și că destinatarul trebuie să efectueze operațiunile specificate în mesaj. Pe baza unui astfel de mesaj, puteți trimite sau primi bani, puteți deschide un împrumut, puteți plăti o achiziție sau un serviciu și puteți efectua orice alte tranzactie bancara. Astfel de mesaje se numesc bani electronici, iar executarea operatiunilor bancare bazate pe trimiterea sau primirea unor astfel de mesaje se numeste plati electronice. Desigur, întregul proces de efectuare a plăților electronice necesită protecţie fiabilă. În caz contrar, banca și clienții săi se vor confrunta cu probleme serioase.
Plățile electronice sunt utilizate pentru plăți interbancare, comerciale și personale.
Decontările interbancare și comerciale se fac între organizații (persoane juridice), motiv pentru care sunt uneori numite corporative. Acordurile care implică clienți individuali se numesc personal.
Majoritatea furturilor majore din sistemele bancare sunt legate direct sau indirect de sistemele electronice de plată.
Există multe obstacole în calea creării sistemelor electronice de plată, în special a celor globale, care acoperă un număr mare de instituții financiare și clienții acestora din diferite țări. Principalele sunt:
1. Lipsa unor standarde uniforme pentru operațiuni și servicii, ceea ce complică semnificativ crearea sistemelor bancare unificate. Fiecare bancă mare se străduiește să-și creeze propria rețea EOD, care crește costurile de funcționare și întreținere. Sistemele duplicate le fac dificil de utilizat, creând interferențe reciproce și limitând capabilitățile clienților.
2. Mobilitatea sporită a masei monetare, care duce la o creștere a posibilității de speculație financiară, extinde fluxurile de „capital rătăcitor”. Acești bani pot schimba situația de pe piață și o pot destabiliza în scurt timp.
3. Eșecuri și defecțiuni ale instrumentelor tehnice și erorilor software la efectuarea decontărilor financiare, care pot duce la complicații grave pentru decontări ulterioare și pierderea încrederii în bancă din partea clienților, în special din cauza împletirii strânse a legăturilor bancare (un fel de „propagare a erorilor”). În același timp, rolul și responsabilitatea operatorilor de sistem și a administrației, care gestionează direct procesarea informațiilor, crește semnificativ.
Orice organizație care dorește să devină client al oricărui sistem de plată electronică, sau să își organizeze propriul sistem, trebuie să fie conștientă de acest lucru.
Pentru a funcționa în mod fiabil, un sistem de plată electronică trebuie să fie bine protejat.
Decontări comerciale se fac între diferite organizații comerciale. Băncile participă la aceste decontări ca intermediari atunci când transferă bani din contul organizației plătitoare în contul organizației destinatare.
Decontarea comerciantului este extrem de importantă pentru succesul general al unui program de plăți electronice. Volumul tranzacțiilor financiare ale diferitelor companii constituie de obicei o parte semnificativă din volumul total al tranzacțiilor bancare.
Tipurile de decontări comerciale variază foarte mult pentru diferite organizații, dar atunci când sunt efectuate, sunt întotdeauna procesate două tipuri de informații: mesaje de plată și auxiliare (statistici, rapoarte, notificări). Pentru organizațiile financiare, cel mai mare interes îl reprezintă, desigur, informațiile din mesajele de plată - numere de cont, sume, sold etc. Pentru organizațiile comerciale, ambele tipuri de informații sunt la fel de importante - primul oferă un indiciu asupra stării financiare, al doilea ajută la luarea deciziilor și la dezvoltarea politicilor.
Cele mai comune tipuri de decontări comerciale sunt:
* Depunere directă.
Sensul acestui tip de decontare este că organizația instruiește banca să efectueze anumite tipuri de plăți către angajații sau clienții săi în mod automat, folosind medii magnetice pregătite în prealabil sau mesaje speciale. Condițiile pentru efectuarea acestor plăți sunt convenite în avans (sursa de finanțare, sumă etc.). Sunt utilizate în principal pentru plăți regulate (plăți de diferite tipuri de asigurări, rambursări de împrumuturi, salarii etc.). Din punct de vedere instituțional, depozitul direct este mai convenabil decât, de exemplu, plățile cu cecuri.
Din 1989, numărul angajaților care utilizează depozitul direct s-a dublat la 25% din total. Peste 7 milioane de americani își primesc astăzi salariul prin depozit direct. Pentru bănci, depozitul direct oferă următoarele beneficii:
Reducerea volumului de sarcini asociate procesării documentelor pe hârtie și, ca urmare, economisirea unor sume semnificative;
Creșterea numărului de depozite, deoarece trebuie depus 100% din volumul plăților.
Pe lângă bănci, beneficiază atât proprietarii, cât și muncitorii; confortul este crescut și costurile sunt reduse.
* Calcule folosind OED.
Datele de aici sunt facturi, facturi, foi de componente etc.
Pentru a implementa EDI, este necesar următorul set de servicii de bază:
Email conform standardului X.400;
Transfer de fișier;
Comunicare punct la punct;
Acces on-line la baze de date;
Cutie poștală;
Transformarea standardelor de prezentare a informațiilor.
Exemple de sisteme de decontare comerciale existente în prezent care utilizează EDI includ:
National Bank și Royal Bank (Canada) sunt conectate la clienții și partenerii lor folosind IBM Information Network;
Bank of Scotland Transcontinental Automated Payment Service (TAPS), fondat în 1986, conectează Bank of Scotland cu clienți și parteneri din 15 țări prin bănci corespondente și case de compensare automate.
Decontările electronice interbancare sunt în principal de două tipuri:
* Compensarea decontărilor utilizând sistemul informatic puternic al băncii intermediare (bancă de compensare) și conturile corespondente ale băncilor care participă la decontări în această bancă. Sistemul se bazează pe compensarea creanțelor și obligațiilor bănești reciproce ale persoanelor juridice cu transferul ulterior al soldului. Compensarea este, de asemenea, utilizată pe scară largă pe bursele de valori și mărfuri, unde decontarea creanțelor reciproce ale participanților la tranzacție se realizează printr-o casă de compensare sau un sistem electronic special de compensare.
Decontările de compensare interbancară se efectuează prin case speciale de compensare, bănci comerciale, între sucursalele și sucursalele unei bănci - prin sediul central. Într-o serie de țări, funcțiile caselor de compensare sunt îndeplinite de băncile centrale. Casele de compensare automate (ACH) furnizează servicii pentru schimbul de fonduri între instituțiile financiare. Tranzacțiile de plată sunt limitate în principal fie la debite, fie la credite. Membrii sistemului AKP sunt instituții financiare care sunt membre ale Asociației AKP. Asociația este formată cu scopul de a dezvolta reguli, proceduri și standarde pentru implementarea plăților electronice într-o regiune geografică. Trebuie remarcat faptul că ACP nu este altceva decât un mecanism de mutare a fondurilor și informații însoțitoare. Ei nu efectuează ei înșiși servicii de plată. ACP-urile au fost create pentru a completa sistemele de procesare a documentelor financiare pe hârtie. Prima transmisie automată a apărut în California în 1972; în prezent funcționează 48 de transmisii automate în Statele Unite. În 1978, a fost creată Asociația Națională a Casei de Compensare Automatizate (NACHA), unind toate cele 48 de rețele ACH pe bază de cooperare.
Volumul și natura operațiunilor sunt în continuă expansiune. ACP-urile încep să efectueze decontări comerciale și tranzacții de schimb electronic de date. După trei ani de eforturi ale diferitelor bănci și companii, a fost creat sistemul CTP (Corporate Trade Payment) pentru a procesa automat creditele și debitele. Potrivit experților, tendința de extindere a funcțiilor transmisiei automate va continua în viitorul apropiat.
* Decontări directe, în care două bănci comunică direct între ele folosind conturile loro nostro, eventual cu participarea unui terț care joacă un rol organizatoric sau de susținere. Desigur, volumul tranzacțiilor reciproce trebuie să fie suficient de mare pentru a justifica costurile de organizare a unui astfel de sistem de decontare. De obicei, un astfel de sistem unește mai multe bănci, iar fiecare pereche poate comunica direct între ele, ocolind intermediarii. Totuși, în acest caz, este nevoie de un centru de control care să se ocupe de protecția băncilor care interacționează (distribuirea cheilor, managementul, controlul funcționării și înregistrarea evenimentelor).
Există destul de multe astfel de sisteme în lume - de la cele mici care conectează mai multe bănci sau sucursale până la cele internaționale uriașe care conectează mii de participanți. Cel mai faimos sistem din această clasă este SWIFT.
Recent, a apărut un al treilea tip de plăți electronice - trunchierea cecului electronic, a cărui esență este oprirea traseului de trimitere a unui cec pe hârtie către instituția financiară unde a fost prezentat. Dacă este necesar, analogul său electronic „călătorește” mai departe sub forma unui mesaj special. Transmiterea și rambursarea unui cec electronic se efectuează folosind ACH.
În 1990, NACHA a anunțat prima fază de testare a programului pilot național „Truncarea verificării electronice”. Scopul său este de a reduce costul procesării unor cantități uriașe de cecuri pe hârtie.
Trimiterea banilor folosind un sistem de plată electronică include următorii pași (în funcție de condițiile specifice și de sistemul în sine, comanda poate varia):
1. Un anumit cont din sistemul primei bănci este redus cu suma necesară.
2. Contul de corespondent al celei de-a doua bănci din prima crește cu aceeași sumă.
3. Se trimite un mesaj de la prima bancă către a doua bancă care conține informații despre acțiunile efectuate (identificatori de cont, sumă, dată, condiții etc.); în acest caz, mesajul trimis trebuie să fie protejat corespunzător de fals: criptat, prevăzut cu semnătură digitală și câmpuri de control etc.
4. Suma necesară este debitată din contul corespondent al primei bănci în a doua.
5. Un anumit cont în a doua bancă este majorat cu suma necesară.
6. A doua bancă îi trimite primei o notificare despre ajustările de cont efectuate; acest mesaj trebuie, de asemenea, protejat împotriva falsificării într-un mod similar cu protejarea unui mesaj de plată.
7. Protocolul de schimb este înregistrat atât pentru abonați, cât și, eventual, pentru o terță parte (la centrul de control al rețelei) pentru a preveni conflictele.
Pe calea transmiterii mesajelor pot exista intermediari - centre de compensare, bănci intermediare în transferul de informații etc. Principala dificultate a unor astfel de calcule este încrederea în partenerul lor, adică fiecare abonat trebuie să fie sigur că corespondentul său va efectua toate acțiunile necesare.
Pentru extinderea utilizării plăților electronice, se realizează standardizarea prezentării electronice a documentelor financiare. A început în anii 70 în cadrul a două organizații:
1) ANSI (American National Standard Institute) a publicat ANSI X9.2-1080, (Interchange Message Specification for Debit and Credit Card Message Exchange Among Financial Institute). În 1988, un standard similar a fost adoptat de ISO și numit ISO 8583 (Specificații de mesaje de schimb de mesaje originate de card bancar - Conținut pentru tranzacții financiare);
2) SWIFT (Society for Worldwide Interbank Financial Telecommunications) a dezvoltat o serie de standarde pentru mesajele interbancare.
În conformitate cu standardul ISO 8583, un document financiar conține o serie de elemente de date (detalii) situate în anumite câmpuri ale unui mesaj sau document electronic (card de credit electronic, mesaj în format X.400 sau document în sintaxa EDIFACT). Fiecărui element de date (ED) i se atribuie propriul său număr unic. Un element de date poate fi fie obligatoriu (adică inclus în fiecare mesaj de acest tip) fie opțional (poate fi absent în unele mesaje).
Scara de biți determină compoziția mesajului (acele ED-uri care sunt prezente în el). Dacă o anumită cifră a scalei de biți este setată la unu, aceasta înseamnă că ED-ul corespunzător este prezent în mesaj. Datorită acestei metode de codificare a mesajelor, lungimea totală a mesajului este redusă, se obține flexibilitate în prezentarea mesajelor cu multe ED-uri și este oferită capacitatea de a include noi ED-uri și tipuri de mesaje într-un document electronic cu o structură standard.
Există mai multe metode de plăți interbancare electronice. Să luăm în considerare două dintre ele: plata prin cec (plată după serviciu) și plata prin acreditiv (plată pentru serviciul așteptat). Alte metode, cum ar fi plata prin cereri de plată sau ordine de plată, au o organizație similară.
Plata prin cec se bazează pe hârtie sau alt document care conține identificarea plătitorului. Acest document stă la baza transferului sumei specificate în cec din contul proprietarului în contul purtătorului. Plata prin cec include următorii pași:
Primirea unui cec;
depunerea unui cec la bancă;
Solicitare de transfer din contul titularului de cec în contul trăgătorului;
Transfer de bani;
Aviz de plată.
Principalele dezavantaje ale unor astfel de plăți sunt necesitatea unui document auxiliar (cec), care poate fi falsificat cu ușurință, precum și timpul semnificativ necesar pentru finalizarea plății (până la câteva zile).
Prin urmare, recent acest tip de plată ca plata prin acreditiv a devenit mai frecventă. Acesta include următorii pași:
Notificarea băncii de către client cu privire la acordarea unui împrumut;
Notificarea băncii destinatarului despre acordarea unui împrumut și transferul de bani;
Notificarea beneficiarului despre primirea împrumutului.
Acest sistem vă permite să efectuați plăți într-un timp foarte scurt. Notificarea unui împrumut poate fi trimisă prin poștă (electronică), dischete, benzi magnetice.
Fiecare dintre tipurile de plăți discutate mai sus are propriile sale avantaje și dezavantaje. Cecurile sunt cele mai convenabile pentru plata sumelor mici, precum și pentru plăți neregulate. În aceste cazuri, întârzierea la plată nu este foarte semnificativă, iar utilizarea creditului este inadecvată. Plățile folosind o scrisoare de credit sunt de obicei folosite pentru plăți regulate și pentru sume semnificative. În aceste cazuri, absența unei întârzieri de compensare vă permite să economisiți mult timp și bani prin reducerea perioadei de rotație a banilor. Dezavantajul comun al acestor două metode este necesitatea de a cheltui bani pentru organizarea unui sistem de plată electronică fiabil.
