Spôsoby ochrany systému elektronických platieb digitálnych peňazí. Aké sú hlavné spôsoby ochrany elektronických peňazí? Prostriedky ochrany elektronických platobných systémov
Elektronické platobné systémy sú jedným z najpopulárnejších typov práce s elektronickou menou. Každý rok sa rozvíjajú čoraz aktívnejšie a zaberajú pomerne veľký podiel na trhu práce s menou. Spolu s nimi sa vyvíjajú aj technológie na zaistenie ich bezpečnosti. Od dnešného dňa nemôže existovať žiadny elektronický platobný systém bez dobrých technológií a bezpečnostných systémov, ktoré zaisťujú bezpečnú transakciu peňažných transakcií. V skutočnosti existuje veľa elektronických platobných systémov, ako aj bezpečnostných technológií. Každý z nich má iné princípy a technológie práce, ako aj svoje výhody a nevýhody. Okrem toho zostáva nevyriešených množstvo teoretických a praktických otázok, čo určuje relevantnosť výskumnej témy.
Každý elektronický platobný systém používa svoje vlastné metódy, šifrovacie algoritmy, protokoly prenosu údajov na vykonávanie bezpečných transakcií a prenosu údajov. Niektoré systémy používajú šifrovací algoritmus RSA a prenosový protokol HTTPs, iné používajú na prenos šifrovaných údajov algoritmus DES a protokol SSL. Myšlienka napísať článok je založená na štúdiu a analýze množstva populárnych platobných systémov, konkrétne bezpečnostných technológií, ktoré sa v nich používajú, a zistení, ktorý je najpokročilejší.
V priebehu písania článku boli realizované štúdie platobných systémov, analýza bezpečnosti existujúcich platobných systémov. Štyri platobné systémy (Webmoney, Yandex.Money, PauPa1 a E-Port) boli analyzované podľa rovnakých kritérií. Systémy boli hodnotené pomocou viacúrovňového systému, ktorý obsahuje vnorené parametre. Samozrejme, všetky tieto kritériá platia pre sféru informačná bezpečnosť. Existujú dve hlavné kritériá: technická podpora pre informačnú bezpečnosť platieb a organizačná a právna podpora. Každý z týchto dvoch parametrov bol hodnotený na trojbodovom systéme. Hodnotiaca škála je presne taká, keďže súčasný vývoj elektronických platobných systémov u nás je na takej úrovni, že väčšinu ich parametrov možno opísať len slovami „áno alebo nie“. Ak teda elektronický platobný systém maximálne zodpovedá niektorému parametru, získa najvyššie skóre (3), ak neodpovedá vôbec, minimálne skóre (0). Ak systém nemá toto kritérium vo svojej explicitnej forme, ale ak sú s chýbajúcim kritériom spojené nejaké služby alebo schopnosti, udelíme stredné skóre - jeden alebo dva.
Pri hodnotení elektronických platobných systémov treba pamätať na to, že za rôznych podmienok nie je hodnota toho istého parametra rovnaká. Napríklad viaceré služby, ktoré výrazne zvyšujú úroveň ochrany, môže užívateľ implementovať len dobrovoľne, navyše je cenná už samotná prítomnosť týchto služieb v systéme. Ľudský faktor nikto nezrušil a nikdy nezruší, preto sa počíta s tým, že služba môže byť implementovaná aj nerealizovaná.
Technické zabezpečenie transakcií
Toto je prvé z kritérií - súbor parametrov, ktorý, ako už názov napovedá, zabezpečuje technickú stránku ochrany informácií. Do tohto nastavenia povolené: kryptografické metódy šifrovania, autentifikácie a prístupu pomocou špeciálneho hardvér(v najprimitívnejšom prípade - pomocou USB kľúčov).
Nie je žiadnym tajomstvom, že hlavným kritériom ochrany informácií z technického hľadiska je samozrejme šifrovanie údajov a konkrétnejšie kryptografické algoritmy, s ktorými sú implementované. Je tiež známe, že čím je dĺžka kľúča dlhšia, tým je ťažšie ho dešifrovať, a teda získať prístup k dôverným informáciám. Tri z testovaných systémov využívajú známy a široko uznávaný algoritmus RSA: Webmoney, Yandex.Money, PayPal. E-Port používa šifrovanie SSL verzie 3.0. V skutočnosti je šifrovanie implementované pomocou kľúčov SSL, ktoré sú jedinečné, generujú sa počas relácie a nazývajú sa kľúč relácie. Dĺžka kľúča SSL v systéme E-Port sa pohybuje od 40 do 128 bitov, čo je dosť na prijateľnú úroveň bezpečnosti transakcií.
Ďalším parametrom v technickej podpore informačnej bezpečnosti transakcií je autentifikácia, t.j. súbor riešení, ktoré používateľ potrebuje na prístup k svojim vlastným osobným informáciám. Všetko je tu jednoduché. Systémy Webmoney a Yandex.Money používajú dve kritériá prístupu, zatiaľ čo PayPal a E-Port používajú iba jedno. Vo Webmoney musíte na prístup do systému a uskutočňovanie platieb zadať heslo a špeciálny kľúč. Yandex.Money funguje podobným spôsobom: vyžaduje sa heslo a špeciálny program peňaženky. Vo všetkých ostatných systémoch je prístup cez heslo. V systéme E-Port však na fungovanie pomocou protokolu SSL musí mať webový server potenciálneho klienta (a ktorýkoľvek iný člen systému) špeciálny digitálny certifikát prijatý od niektorej z autorizovaných spoločností. Tento certifikát sa používa na autentifikáciu webového servera klienta. Mechanizmus ochrany certifikátov používaný E-Portom je certifikovaný spoločnosťou RSA Security. Tretím a posledným parametrom v tomto kritériu štúdie je prístup do systému pomocou špeciálneho hardvéru, ako sú USB kľúče.
Metódy kryptografického šifrovania
Webmoney a Yandex.Money používajú kľúč s veľkosťou 1024 bitov (veľmi vysoké číslo, takýto kľúč je takmer nemožné prelomiť jednoduchým spočítaním) a PayPal používa kľúč, ktorý je dvakrát kratší – 512 bitov. dva systémy, podľa tohto kritéria získame maximálny bod - 3. PayPal, pretože používa menší šifrovací kľúč, dostane dva body. Zostáva len vyhodnotiť E-Port podľa tohto parametra. Napriek použitiu protokolu SSL v ňom a dokonca dĺžke kľúča až 128 bitov existuje v E-Port určitá potenciálna zraniteľnosť: mnohé staršie verzie prehliadačov podporujú šifrovanie pomocou kľúčov menšej dĺžky, preto je možné prijaté dáta hacknúť; teda pre tých, ktorí používajú prehliadač ako klienta platobný systém, treba s tým pracovať Najnovšia verzia(samozrejme, nie vždy je to pohodlné a možné). V kolónke „šifrovanie“ si však môžete nastaviť 1,7 bodu pre E-Port: toto hodnotenie si systém zaslúžil vďaka použitiu progresívneho protokolu PGP na šifrovanie e-mailových správ.
Overenie
Systémy Webmoney a Yandex.Money používajú dve kritériá prístupu, zatiaľ čo PayPal a E-Port používajú iba jedno. Vo Webmoney musíte na prístup do systému a uskutočňovanie platieb zadať heslo a špeciálny kľúč. Yandex.Money funguje podobným spôsobom: vyžaduje sa heslo a špeciálny program peňaženky , Vo všetkých ostatných systémoch je prístup pomocou hesla. Avšak, v systéme E-Port pracovať cez protokol SSL, webový server potenciálneho klienta.
Podľa Webmoney a Yandex.Money získajú po tri body, PayPal - 0 bodov, E-Port - jeden.
Je to ešte jednoduchšie ako pri predchádzajúcich možnostiach. Zo všetkých systémov má takúto dodatočnú možnosť iba Webmoney PayPal, ktoré takúto možnosť neposkytujú. Ak teda vezmeme do úvahy váhový faktor, Webmoney a PayPal získali za tento parameter 1,5 bodu, zvyšok - nulu.
Po vyhodnotení dvoch kritérií je možné výsledky zhrnúť. Podľa súčtu uvažovaných parametrov sa Webmoney ukázalo ako bezpečné. Ak totiž používateľ využíva všetky bezpečnostné služby, ktoré poskytuje, môže zostať prakticky nezraniteľný voči podvodníkom. Na druhom mieste sa umiestnil systém Yandex.Money, na treťom PayPal (tento systém je ideálny pre právnické osoby pre výraznú právnu transparentnosť platieb) a na poslednom mieste sa umiestnil systém E-Port.
Okrem toho, keď zhrnieme analýzu platobných systémov, môžeme povedať, že výber elektronického platobného systému sa nevykonáva podľa jedného bezpečnostného parametra, aj keď je jedným z najdôležitejších. Elektronické platobné systémy sa líšia aj dostupnosťou služieb, jednoduchosťou používania – existuje mnoho ďalších faktorov.
závery
Elektronické platby sú prirodzenou etapou vo vývoji telekomunikácií.Dopyt je vysoký v tých výklenkoch, kde existuje plnohodnotný produkt – digitálny produkt, ktorého vlastnosti sú dobre „nadradené“ vlastnostiam online platby: okamžitá platba, okamžité doručenie , jednoduchosť a bezpečnosť.
Internetový platobný systém je systém na vykonávanie zúčtovania medzi finančnými, obchodnými organizáciami a používateľmi internetu v procese nákupu / predaja tovaru a služieb cez internet. Práve platobný systém vám umožňuje premeniť službu spracovania objednávok alebo elektronický obchod na plnohodnotný obchod so všetkými štandardnými atribútmi: výberom produktu alebo služby na webovej stránke predávajúceho môže kupujúci uskutočniť platbu bez toho, aby opustil obchod. počítač.
V systéme elektronického obchodu sa platby uskutočňujú za niekoľkých podmienok:
1. Rešpektovanie dôvernosti. Pri platbách cez internet chce kupujúci, aby jeho údaje (napríklad číslo kreditnej karty) poznali len organizácie, ktoré na to majú zákonné právo.
2. Udržiavanie integrity informácií. Informácie o nákupe nemôže nikto zmeniť.
3. Autentifikácia. Kupujúci a predávajúci si musia byť istí, že všetky strany zapojené do transakcie sú tým, za koho sa vydávajú.
4. Platobné prostriedky. Možnosť platby akýmkoľvek platobným prostriedkom, ktorý má kupujúci k dispozícii.
6. Záruky rizika predávajúceho. Pri obchodovaní na internete sa predávajúci vystavuje mnohým rizikám spojeným s odmietnutím tovaru a zlým úmyslom kupujúceho. Veľkosť rizík musí byť dohodnutá s poskytovateľom platobného styku a ďalšími organizáciami zaradenými do obchodných reťazcov prostredníctvom osobitných dohôd.
7. Minimalizujte transakčné poplatky. Poplatok za spracovanie transakcie za objednanie a platbu za tovar je prirodzene zahrnutý v ich nákladoch, takže zníženie ceny transakcie zvyšuje konkurencieschopnosť. Je dôležité si uvedomiť, že transakcia musí byť v každom prípade zaplatená, aj keď kupujúci tovar odmietne.
Všetky tieto podmienky musia byť implementované v internetovom platobnom styku, čo sú v podstate elektronické verzie klasických platobných systémov.
Všetky platobné systémy sú teda rozdelené na:
Debet (práca s elektronickými šekmi a digitálnou hotovosťou);
Kredit (práca s kreditnými kartami).
Debetné systémy
Schémy debetných platieb sú vytvorené podobne ako ich offline prototypy: šek a bežná hotovosť. Do schémy sú zapojené dve nezávislé strany: emitenti a používatelia. Emitentom sa rozumie subjekt, ktorý riadi platobný styk. Vydáva niektoré elektronické jednotky predstavujúce platby (napríklad peniaze na bankových účtoch). Používatelia systému vykonávajú dve hlavné funkcie. Vykonávajú a prijímajú platby na internete pomocou vydaných elektronických zásielok.
Elektronické šeky sú obdobou bežných papierových šekov. Ide o pokyny platiteľa svojej banke na prevod peňazí z jeho účtu na účet príjemcu platby. Operácia sa uskutoční, keď príjemca predloží banke šek. Sú tu dva hlavné rozdiely. Po prvé, pri vypisovaní papierového šeku platiteľ uvedie svoj skutočný podpis av online verzii - elektronický podpis. Po druhé, samotné šeky sa vydávajú elektronicky.
Platby sa uskutočňujú v niekoľkých fázach:
1. Platiteľ vystaví elektronický šek, podpíše ho elektronickým podpisom a odošle príjemcovi. Pre väčšiu spoľahlivosť a bezpečnosť je možné číslo bežného účtu zakódovať verejným kľúčom banky.
2. Šek sa predloží na platbu do platobného systému. Ďalej (buď tu alebo v banke obsluhujúcej príjemcu) prebieha kontrola elektronický podpis.
3. Ak sa potvrdí jeho pravosť, dôjde k dodaniu produktu alebo poskytnutiu služby. Peniaze sa prevedú z účtu platiteľa na účet príjemcu.
Jednoduchosť platobnej schémy (obr. 43) je, žiaľ, kompenzovaná ťažkosťami pri jej implementácii v dôsledku skutočnosti, že kontrolné schémy sa ešte nerozšírili a neexistujú žiadne certifikačné centrá na implementáciu elektronického podpisu.
Elektronický digitálny podpis (EDS) používa systém šifrovania verejného kľúča. Tým sa vytvorí súkromný kľúč na podpisovanie a verejný kľúč na overenie. Súkromný kľúč uchováva používateľ, zatiaľ čo verejný kľúč môže mať prístup každý. Najpohodlnejším spôsobom distribúcie verejných kľúčov je použitie certifikačných centier. Ukladá digitálne certifikáty obsahujúce verejný kľúč a informácie o vlastníkovi. Používateľ sa tým zbavuje povinnosti distribuovať svoj verejný kľúč sám. Okrem toho certifikačné autority poskytujú autentifikáciu, aby sa zabezpečilo, že nikto nemôže generovať kľúče v mene inej osoby.
Elektronické peniaze plne simulujú skutočné peniaze. Vydávajúca organizácia – vydavateľ – zároveň vydáva ich elektronické náprotivky, ktoré sa v rôznych systémoch nazývajú rôzne (napríklad kupóny). Ďalej ich kupujú používatelia, ktorí nimi platia za nákupy, a potom ich predajca vykúpi od emitenta. Pri emisii je každá peňažná jednotka certifikovaná elektronickou pečaťou, ktorú pred preplatením skontroluje emisná štruktúra.
Jednou z vlastností fyzických peňazí je ich anonymita, to znamená, že neuvádza, kto a kedy ich použil. Niektoré systémy analogicky umožňujú zákazníkovi prijímať elektronickú hotovosť takým spôsobom, že nie je možné určiť vzťah medzi ním a peniazmi. Toto sa vykonáva pomocou schémy slepého podpisu.
Treba tiež poznamenať, že pri použití elektronické peniaze nie je potrebná autentifikácia, keďže systém je založený na vydávaní peňazí do obehu pred ich použitím.
Obrázok 44 znázorňuje platobnú schému využívajúcu elektronické peniaze.
Mechanizmus platby je nasledujúci:
1. Kupujúci si vopred vymení skutočné peniaze za elektronické peniaze. Udržiavanie hotovosti u klienta je možné vykonávať dvoma spôsobmi, ktoré sú určené použitým systémom:
Na pevnom disku počítača;
na čipových kartách.
Rôzne systémy ponúkajú rôzne schémy výmeny. Niektorí si otvárajú špeciálne účty, na ktoré sa prevádzajú prostriedky z účtu kupujúceho výmenou za elektronické bankovky. Niektoré banky môžu vydávať elektronickú hotovosť samy. Zároveň sa vydáva len na žiadosť klienta s jeho následným prevodom na počítač alebo kartu tohto klienta a výberom peňažného ekvivalentu z jeho účtu. Pri implementácii slepého podpisu si kupujúci sám vytvorí elektronické bankovky, odošle ich do banky, kde sa po prijatí skutočných peňazí na účet certifikujú a zašlú späť klientovi.
Spolu s pohodlím takéhoto skladovania má aj nevýhody. Poškodenie disku alebo čipovej karty má za následok nenávratnú stratu elektronických peňazí.
2. Kupujúci prevedie elektronické peniaze za nákup na server predávajúceho.
3. Peniaze sa predložia emitentovi, ktorý overí ich pravosť.
4. Ak sú elektronické bankovky pravé, je účet predávajúceho navýšený o sumu nákupu a tovar je odoslaný kupujúcemu alebo je poskytnutá služba.
Jedným z dôležitých rozlišovacích znakov elektronických peňazí je schopnosť uskutočňovať mikroplatby. Je to spôsobené tým, že nominálna hodnota bankoviek nemusí zodpovedať skutočným minciam (napríklad 37 kopejok).
Elektronickú hotovosť môžu vydávať banky aj nebankové organizácie. Zatiaľ však nebola vyvinutá jeden systém prevod rôznych druhov elektronických peňazí. Výplatu nimi vydanej elektronickej hotovosti teda môžu iba samotní emitenti. Navyše, použitie takýchto peňazí z nefinančných štruktúr nie je garantované štátom. Nízka cena transakcie však robí z elektronickej hotovosti atraktívny nástroj na platby na internete.
Kreditné systémy
Internetové kreditné systémy sú analógmi konvenčných systémov, ktoré pracujú s kreditnými kartami. Rozdiel spočíva vo vykonávaní všetkých transakcií cez internet a v dôsledku toho v potrebe dodatočného zabezpečenia a autentifikácie.
Platby cez internet pomocou kreditných kariet sa týkajú:
1. Kupujúci. Klient, ktorý má počítač s webovým prehliadačom a prístupom na internet.
2. Vydávajúca banka. Tu je účet kupujúceho. Vydávajúca banka vydáva karty a je garantom plnenia finančných záväzkov klienta.
3. Predajcovia. Predajcovia sú servery elektronického obchodu, ktoré vedú katalógy tovarov a služieb a prijímajú objednávky zákazníkov.
4. Akvizičné banky. Banky slúžiace obchodníkom. Každý predajca má jednu banku, v ktorej má vedený svoj bežný účet.
5. Internetový platobný systém. Elektronické komponenty, ktoré sú sprostredkovateľmi medzi ostatnými účastníkmi.
6. Tradičný platobný systém. Súbor finančných a technologických prostriedkov na obsluhu kariet tohto typu. Medzi hlavné úlohy riešené platobným systémom patrí zabezpečenie používania kariet ako platobného prostriedku za tovar a služby, využívanie bankových služieb, vzájomné zúčtovanie a pod. Účastníkmi platobného systému sú fyzické a právnické osoby spojené vzťahmi na používanie kreditných kariet.
7. Spracovateľské centrum platobného styku. Organizácia, ktorá poskytuje informácie a technologickú interakciu medzi účastníkmi tradičného platobného systému.
8. Zúčtovacia banka platobného systému. Úverová inštitúcia, ktorá v mene spracovateľského centra vykonáva vzájomné zúčtovanie medzi účastníkmi platobného systému.
Všeobecná schéma platieb v takomto systéme je znázornená na obrázku 45.
1. Kupujúci v elektronickom obchode vytvorí košík s tovarom a zvolí spôsob platby „kreditná karta“.
Prostredníctvom obchodu, to znamená, že parametre karty sa zadávajú priamo na webovej stránke obchodu, potom sa prenesú do internetového platobného systému (2a);
Na serveri platobného systému (2b).
Výhody druhého spôsobu sú zrejmé. V tomto prípade informácie o kartách nezostanú v obchode, a preto sa zníži riziko ich prijatia tretími stranami alebo podvodu zo strany predajcu. V oboch prípadoch pri prenose údajov o kreditnej karte stále existuje možnosť ich zachytenia útočníkmi v sieti. Aby sa tomu zabránilo, údaje sú počas prenosu šifrované.
Šifrovanie samozrejme znižuje možnosť zachytenia údajov v sieti, preto sa komunikácia medzi kupujúcim/predávajúcim, predávajúcim/internetovým platobným systémom, kupujúcim/internetovým platobným systémom prednostne vykonáva pomocou bezpečných protokolov. Najbežnejším z nich je dnes protokol SSL (Secure Sockets Layer), ako aj štandard bezpečných elektronických transakcií SET (Secure Electronic Transaction), ktorý má časom nahradiť SSL pri spracovaní transakcií súvisiacich s platbami za nákupy kreditnými kartami na internete.
3. Internetový platobný systém odošle žiadosť o autorizáciu klasickému platobnému systému.
4. Ďalší postup závisí od toho, či vydávajúca banka vedie online databázu (DB) účtov. Ak je databáza dostupná, spracovateľské centrum odošle do vydávajúcej banky žiadosť o autorizáciu karty (pozri úvod alebo slovník) (4a) a následne (4b) dostane jej výsledok. Ak takáto základňa neexistuje, samotné spracovateľské centrum uchováva informácie o stave účtov držiteľov kariet, stoplisty a plní požiadavky na autorizáciu. Tieto informácie pravidelne aktualizujú vydávajúce banky.
Obchod poskytuje službu alebo zasiela produkt (8a);
Spracovateľské centrum odošle informáciu o vykonanej transakcii zúčtovacej banke (8b). Peniaze z účtu kupujúceho vo vydávajúcej banke sa prevedú prostredníctvom zúčtovacej banky na účet obchodu v prijímajúcej banke.
Aby bolo možné takéto platby, vo väčšine prípadov, špeciálne softvér. Môže byť doručená kupujúcemu (nazývanému elektronická peňaženka), predávajúcemu a jeho servisnej banke.
Úvod
1. Elektronické platobné systémy a ich klasifikácia
1.1 Základné pojmy
1.2 Klasifikácia elektronických platobných systémov
1.3 Analýza hlavných elektronických platobných systémov používaných v Rusku
2. Prostriedky ochrany elektronických platobných systémov
2.1 Hrozby spojené s používaním elektronických platobných systémov
2.2 Bezpečnostné technológie pre elektronické platobné systémy
2.3 Analýza technológií na dosiahnutie súladu základné požiadavky na elektronické platobné systémy
Záver
Bibliografický zoznam
ÚVOD
Pred 10 rokmi málo zaujímavá, vysoko špecializovaná téma elektronických platieb a elektronických peňazí sa v poslednom čase stala aktuálnou nielen pre podnikateľov, ale aj pre koncových užívateľov. Módne slová „e-business“, „e-commerce“ pozná snáď každý druhý človek, ktorý aspoň občas číta počítačovú alebo populárnu tlač. Úloha platby na diaľku (prevod peňazí na veľké vzdialenosti) sa presunula z kategórie špeciálnych do každodenných. Množstvo informácií o tejto problematike však vôbec neprispieva k prehľadnosti v mysliach občanov. Ako z dôvodu zložitosti a koncepčnej nerozvinutosti problematiky elektronických platieb, tak aj z dôvodu, že mnohí popularizátori často fungujú na princípe poškodeného telefónu, na úrovni domácnosti je samozrejme každému všetko jasné. Ale to až kým nepríde na rad praktický rozvoj elektronických platieb. Tu sa ukazuje nepochopenie vhodnosti používania elektronických platieb v určitých prípadoch.
Medzitým sa úloha prijímania elektronických platieb stáva čoraz dôležitejšou pre tých, ktorí sa chystajú podnikať prostredníctvom internetu, ako aj pre tých, ktorí sa chystajú nakupovať cez web. Tento článok je pre oboch.
Hlavným problémom pri zvažovaní elektronických platobných systémov pre začiatočníkov je rôznorodosť ich dizajnu a princípov fungovania a skutočnosť, že napriek vonkajšej podobnosti implementácie sa v ich hĺbke môžu skrývať celkom odlišné technologické a finančné mechanizmy.
Rýchly rozvoj popularity globálneho internetu viedol k silnému impulzu pre vývoj nových prístupov a riešení v rôznych oblastiach svetovej ekonomiky. Aj také konzervatívne systémy, akými sú elektronické platobné systémy v bankách, podľahli novým trendom. Prejavilo sa to vznikom a vývojom nových platobných systémov – elektronických platobných systémov cez internet, ktorých hlavnou výhodou je, že zákazníci môžu vykonávať platby (finančné transakcie) a obísť tak vyčerpávajúcu a niekedy aj technicky náročnú fázu fyzickej prepravy platobného príkazu. do banky. O implementáciu týchto systémov majú záujem aj banky a bankové inštitúcie, ktoré umožňujú zvýšiť rýchlosť obsluhy zákazníkov a znížiť režijné náklady na realizáciu platieb.
Elektronické platobné systémy obiehajú informácie, vrátane dôverných informácií, ktoré si vyžadujú ochranu pred prezeraním, modifikovaním a zavádzaním nepravdivých informácií. Vývoj vhodných bezpečnostných technológií orientovaných na internet je v súčasnosti veľkou výzvou. Dôvodom je architektúra, základné zdroje a technológie Internetové siete zamerané na organizáciu prístupu alebo zberu otvorené informácie. V poslednom čase sa však objavujú prístupy a riešenia, ktoré naznačujú možnosť využitia štandardných internetových technológií pri budovaní systémov na bezpečný prenos informácií cez internet.
Účelom RGR je analyzovať elektronické platobné systémy a vypracovať odporúčania na používanie každého z nich. Na základe cieľa sú formulované nasledujúce etapy implementácie RGR:
1. Určiť hlavné úlohy elektronických platobných systémov a princípy ich fungovania, ich vlastnosti.
2. Analyzujte hlavné systémy elektronických platieb.
3. Analyzujte hrozby spojené s používaním elektronických peňazí.
4. Analyzujte prostriedky ochrany pri používaní elektronických platobných systémov.
1. ELEKTRONICKÉ PLATOBNÉ SYSTÉMY A ICH KLASIFIKÁCIA
1.1 Základné pojmy
Elektronické platby. Začnime tým, že je legitímne hovoriť o vzniku elektronických platieb ako typu bezhotovostných platieb v druhej polovici 20. storočia. Inými slovami, prenos informácií o platbách prostredníctvom drôtu existuje už dlho, ale nadobudol zásadne novú kvalitu, keď sa na oboch koncoch drôtov objavili počítače. Informácie sa prenášali pomocou ďalekopisu, ďalekopisu, počítačových sietí, ktoré sa v tom čase objavili. Kvalitatívne nový skok sa prejavil v tom, že sa výrazne zvýšila rýchlosť uskutočňovania platieb a umožnilo sa ich automatické spracovanie.
Neskôr sa objavili aj elektronické ekvivalenty iných druhov platieb – hotovostné platby a iné platobné prostriedky (napríklad šeky).
Elektronické platobné systémy (EPS). Elektronickým platobným systémom nazývame akýkoľvek komplex špecifického hardvéru a softvérové nástroje umožňujúce elektronické platby.
Existovať rôznymi spôsobmi a komunikačné kanály pre prístup k EPS. Dnes je najrozšírenejším z týchto kanálov internet. Zvyšuje sa šírenie EPS, prístup ku ktorému sa uskutočňuje pomocou mobilný telefón(cez SMS, WAP a iné protokoly). Iné spôsoby sú menej bežné: modemom, telefónom s tónovou voľbou, telefónom cez operátora.
Elektronické peniaze. Nejasný pojem. Ak dobre zvážite, čo sa za tým skrýva, ľahko pochopíte, že elektronické peniaze sú nesprávne pomenovanie „elektronická hotovosť“, ako aj elektronické platobné systémy ako také.
Toto nedorozumenie v terminológii je spôsobené voľnosťou prekladu výrazov z angličtiny. Keďže elektronické platby sa v Rusku rozvíjali oveľa pomalšie ako v Európe a Amerike, boli sme nútení používať pevne zakorenené pojmy. Názvy elektronickej hotovosti ako „digitálna hotovosť“ (e-cash), „digitálne peniaze“ (digitálne peniaze), „elektronická hotovosť“ (digitálna hotovosť)2 majú, samozrejme, právo na život.
Vo všeobecnosti pojem „elektronické peniaze“ neznamená nič konkrétne, preto sa v budúcnosti budeme snažiť vyhnúť ich používaniu.
Elektronická hotovosť:
Ide o technológiu, ktorá sa objavila v 90-tych rokoch minulého storočia a ktorá umožňuje vykonávať elektronické platby, ktoré nie sú priamo viazané na prevod peňazí z účtu na účet v banke alebo inej finančnej organizácii, teda priamo medzi osobami. - koneční účastníci platby. Ďalšou dôležitou vlastnosťou elektronickej hotovosti je anonymita platieb, ktoré poskytuje. Autorizačné centrum, ktoré platbu certifikuje, nemá informácie o tom, kto presne a komu peniaze previedol.
Elektronická hotovosť je jedným z typov elektronických platieb. Jednotka elektronickej hotovosti nie je nič iné ako finančný záväzok vystaviteľa (banky alebo inej finančnej inštitúcie), v podstate podobný bežnej zmenke. Platby pomocou elektronickej hotovosti sa objavujú tam, kde je používanie iných platobných systémov nepohodlné. Dobrým príkladom je neochota kupujúceho poskytnúť informácie o svojej kreditnej karte pri platbe za tovar na internete.
Po rozhodnutí o terminológii môžeme prejsť k ďalšej fáze nášho rozhovoru - povedzme si o klasifikácii EPS. Keďže EPS sprostredkúva elektronické výpočty, delenie EPS je založené na rôznych typoch týchto výpočtov.
Okrem toho hrá v tejto veci veľmi dôležitú úlohu softvérová a/alebo hardvérová technológia, na ktorej je mechanizmus EPS založený.
1.2 Klasifikácia elektronických platobných systémov
Elektronické platobné systémy možno klasifikovať tak na základe špecifík elektronických platieb, ako aj na základe špecifickej technológie, ktorá je základom EPS.
Klasifikácia EPS v závislosti od typu elektronických platieb:
1. Podľa zloženia účastníkov platieb (tabuľka 1).
stôl 1
| Druh elektronických platieb | Platobné strany | Analóg v tradičnom systéme peňažného zúčtovania | Príklad EPS |
| Platby medzi bankami | Finančné inštitúcie | žiadne analógy | |
| B2B platby | Právnické osoby | Bezhotovostné platby medzi organizáciami | |
| С2B platby | Koncoví spotrebitelia tovarov a služieb a právnické osoby – predajcovia | Hotovostné a bezhotovostné platby od kupujúcich predávajúcim | Pilotná pôžička |
| C2C platby | Jednotlivci | Priame hotovostné vyrovnanie medzi jednotlivcami, poštou, telegrafickým prevodom |
V budúcnosti nebudeme uvažovať o tých EPS, ktoré sú určené na obsluhu elektronického zúčtovania typu „banka-banka“. Takéto systémy sú mimoriadne zložité, vo väčšej miere ovplyvňujú technologické aspekty fungovania bankového systému a s najväčšou pravdepodobnosťou nie sú zaujímavé pre široké masy našich čitateľov.
Okrem toho je potrebné poznamenať, že existuje ďalší typ platieb, ktorý logicky celkom nezapadá do tabuľky 1. Podľa formálnych znakov úplne spadá do oblasti C2B, no napriek tomu ich nemožno zabezpečiť prostredníctvom rozšírených EPS tohto typu. . Mikroplatby sa vyznačujú extrémne nízkou (centy alebo zlomky centov) hodnotou tovaru. Najcharakteristickejší zo všetkých populárne články príkladom systému, ktorý implementuje mikroplatby, je predaj vtipov (za cent za kus). Pre mikroplatby sú vhodné systémy ako Eaccess a Phonepay.
2. Podľa druhu vykonávaných operácií (Tabuľka 2).
tabuľka 2
| Druh elektronických platieb | Kde sa používajú | Príklad EPS |
| Operácie vedenia bankového účtu | Systémy „klientskej banky“ s prístupom cez modem, internet, mobilný telefón a pod. | Operácie vedenia bankového účtu klienta Systému |
| Operácie prevodu peňazí bez otvorenia bankového účtu | systémy prevodu peňazí počítačové siete podobne ako pri poštových a telegrafických prevodoch | |
| Operácie s kartovými bankovými účtami | Debetné a kreditné plastové karty | Cyberplat (Cyberpos) |
| Operácie s elektronickými šekmi a inými nepeňažnými platobnými záväzkami | Uzavreté systémy medzipodnikových platieb | Cyberplat (Cybercheck) |
| Transakcie s elektronickou (kvázi) hotovosťou | Výpočty s fyzikálnymi fyzické osoby, elektronické analógy tokenov a predplatené karty používané ako peňažné náhrady pri platbe za tovar |
Treba poznamenať, že systémy „klient-banka“ sú známe už dlho. K svojmu bankovému účtu môžete pristupovať pomocou modemu. Za posledné desaťročie sa objavili nové príležitosti na spravovanie účtu pomocou internetu prostredníctvom používateľsky príjemného webového rozhrania. Táto služba sa volala „Internet banking“ a do platobných systémov typu „klient-banka“ nezaviedla nič zásadne nové. Okrem toho existujú aj ďalšie možnosti prístupu k bankovému účtu, napríklad pomocou mobilného telefónu (WAP-banking, SMS-banking). V tomto ohľade sa v tomto článku nebudeme konkrétne zaoberať týmto druhom EPS, len si všimneme, že teraz v Rusku poskytuje služby internetového bankovníctva asi 100 komerčných bánk pomocou viac ako 10 rôznych EPS.
Klasifikácia EPS v závislosti od použitej technológie:
Jednou z najdôležitejších vlastností EPS je odolnosť proti vlámaniu. Možno je to najdiskutovanejšia charakteristika takýchto systémov. Ako je vidieť z tabuľky 3, pri riešení problému bezpečnosti systému je väčšina prístupov k budovaniu EPS založená na utajení určitej centrálnej databázy obsahujúcej kritické informácie. Niektorí z nich sa k tomu zároveň pridávajú tajná základňaďalšie úrovne ochrany na základe odolnosti hardvéru.
V zásade existujú aj iné technológie, na základe ktorých sa dá EPS postaviť. Napríklad, nie je to tak dávno, čo sa v médiách objavila správa o vývoji EPS na báze CDR diskov vložených do plastovej karty. Avšak podobné systémy sa vo svetovej praxi veľmi nevyužívajú, a preto sa im nebudeme venovať.
Tabuľka 3
| Technológia | Na čom je založená stabilita systému? | Príklad EPS |
| Systémy s centrálnym serverom klient banky, prevod prostriedkov | Bezpečnosť prístupových kľúčov | Telebanka (Gutabanka), "Internet Service Bank" (Autobanka) |
| Smart karty | Hardvérová odolnosť čipovej karty voči hackingu | Mondex, ACCORD |
| Magnetické karty a virtuálne kreditné karty | Pomoc, Elite |
|
| stieracie žreby | Utajenie databázy s číslami a kódmi stieracích žrebov | E-port, Creditpilot, Webmoney, Paycash, Rapira |
| Súbor/peňaženka ako program v počítači používateľa | Kryptografická sila protokolu výmeny informácií | |
| Platený telefonát | Utajenie centrálnej databázy pomocou PIN kódov a hardvérová stabilita inteligentnej telefónnej siete | Prístup, platba za telefón |
1.3 Analýza hlavných elektronických platobných systémov používaných v Rusku
V súčasnosti sa na ruskom internete používa pomerne veľa elektronických platobných systémov, hoci nie všetky sú široko používané. Je charakteristické, že takmer všetky západné platobné systémy používané v Runete sú viazané na kreditné karty. Niektoré z nich, ako napríklad PayPal, oficiálne odmietajú spolupracovať s klientmi z Ruska. V súčasnosti sa najčastejšie používajú tieto systémy:
CyberPlat označuje systémy zmiešaného typu (v zmysle ktorejkoľvek z vyššie uvedených klasifikácií). V skutočnosti môžeme povedať, že v rámci tohto systému sa pod jednou strechou zhromažďujú tri samostatné: klasický systém „klient-banka“, ktorý umožňuje zákazníkom spravovať účty otvorené v bankách zapojených do systému (11 ruských bánk a 1 lotyšský ); systém CyberCheck, ktorý umožňuje bezpečné platby medzi právnickými osobami pripojenými k systému; a internetový akvizičný systém, to znamená spracovanie platieb prijatých z kreditných kariet - CyberPos. Spomedzi všetkých internetových akvizičných systémov dostupných na ruskom trhu poskytuje CyberPlat spracovanie najväčšieho počtu typov kreditných kariet, a to: Visa, Mastercard/Eurocard, American Express7, Diners Club, JCB, Union Card, bezprostredné pripojenie k STB- bol ohlásený kartový systém a ACCORD-card/Bashkard. Zamestnanci spoločnosti neoficiálne tvrdili, že pracujú na možnosti dokovania s inými ruskými kartovými systémami. Okrem uvedeného CyberPlat zabezpečuje spracovanie stieracích žrebov platobného systému E-port a oznámilo blížiace sa uvedenie brány do prevádzky so systémom Paycash.
V súčasnosti spoločnosť pre zvýšenie úrovne ochrany pred platbami z odcudzených kreditných kariet vyvíja špecializovanú technológiu PalPay, ktorá spočíva v tom, že predávajúci dostane možnosť skontrolovať, či má kupujúci skutočne prístup k bankovému účtu spojenému s kreditnej karte, alebo pozná iba jej údaje. Oficiálne uvedenie tejto technológie do prevádzky ešte nebolo oznámené.
Systém CyberCheck je veľmi zaujímavý pre organizáciu práce s firemnými partnermi. Jeho hlavnou črtou (v porovnaní s prijímaním platieb kreditnými kartami) je nemožnosť dodatočného odmietnutia platby platiteľom. Inými slovami, prijatie potvrdenia o platbe od CyberCheck je rovnako spoľahlivé ako prijatie takéhoto potvrdenia od banky, kde sa nachádza účet predajcu. Všetky tieto funkcie robia CyberPlat možno najpokročilejším a najzaujímavejším pre predajcov EPS na ruskom internete.
Assist systém z hľadiska spracovania platieb z kreditných kariet je v mnohých ohľadoch funkčným analógom CyberPlat. V Moskve jej záujmy zastupuje Alfa-Bank. Celkovo je do systému pripojených 5 bánk. Internetový akvizičný subsystém umožňuje prijímať platby z kariet Visa, Mastercard/Eurocard, STB-card. Od septembra už reálne nebolo zabezpečené prijímanie platieb z iných kartových systémov deklarovaných na serveri systému Assist. Podľa neoficiálnych informácií však v blízkej budúcnosti bude možné akceptovať karty Diners Club, Cirrus Maestro a debetné karty Visa Electron. Zaujímavosťou je, že tento typ kariet zvyčajne akvizičné spoločnosti neakceptujú, avšak vzhľadom na ich lacnosť sú tieto karty veľmi rozšírené. Zvyčajne je odmietnutie akceptovať debetné karty motivované bezpečnostnými faktormi. Snáď sa ASSIST podarí tento problém obísť pomocou protokolu SET, ktorého podporu spoločnosť oznámila len nedávno. Na rozdiel od tradičného spôsobu platby plastovými kartami na internete, ktorý umožňuje držiteľovi karty odmietnuť platbu z nej (charge-back), protokol SET zaručuje pravosť transakcie, čím výrazne znižuje riziko pre obchodníka.
Spôsob platby oznámený na stránke Assist pomocou elektronických certifikátov zakúpených od poskytovateľa internetu je celkom zaujímavý, pretože otvára poskytovateľom nové možnosti podnikania, avšak podľa dostupných informácií ho z dôvodu právnych ťažkostí donedávna v skutočnosti nikto nepoužíval . Napriek tomu sa opäť podľa neoficiálnych informácií tento stav čoskoro zmení - na jeseň 2001 sa možno dočkáme prvej praktickej implementácie tohto spôsobu výpočtu.
Okrem kartových systémov CyberPlat a Assist spomenutých v popisoch existujú aj ďalšie, ktoré sa dočkali určitej distribúcie na trhu. Discover/NOVUS je široko distribuovaný v Severnej Amerike a môže byť zaujímavý pre tie elektronické obchody, ktoré fungujú pre západné publikum. Nie sú nám známe domáce akvizičné spoločnosti, ktoré by karty tohto systému spracovávali, existuje však množstvo ponúk od sprostredkovateľov zastupujúcich záujmy západných nadobúdateľov. Medzi ruskými kartovými systémami sú po STB a Union Card najvýraznejšie na trhu Zolotaya Korona, Sbercard (Sberbank), Universal Card a ICB-card (Promstroybank), ako aj vyššie uvedená karta ACCORD / Bashcard. , „ICB-kartu“ má na starosti niekoľko malých akvizičných spoločností, prijímanie platieb cez internet z kariet „Golden Crown“ a „Sbercard“ vraj zabezpečujú priamo vydavatelia a/alebo spoločnosti s nimi spojené, a v prípade univerzálnej karty sa zdá, že ju nikto neposkytuje.
Paycash a Webmoney sú svojimi vývojármi umiestnené ako elektronické pokladničné systémy, ale pri bližšom preskúmaní si takýto status môže právom nárokovať iba Paycash.
Vývoj Paycash iniciovala Tauride Bank, no v súčasnosti sú do systému pripojené aj ďalšie banky, napríklad Guta-Bank.
Z technologického hľadiska poskytuje Paycash takmer úplnú imitáciu hotovostných platieb. Z jednej elektronickej peňaženky (špecializovaný program, ktorý si klient nainštaluje na svoj počítač) je možné prevádzať peniaze do druhej, pričom je zabezpečená anonymita platby vo vzťahu k banke. Systém sa v Rusku značne rozšíril a v súčasnosti sa pokúša vstúpiť na svetový trh.
Prekážkou Paycash je postup prevodu peňazí do elektronickej peňaženky. Až do nedávnej doby jediná cesta Urobiť to znamenalo ísť do pobočky banky a previesť peniaze na účet systému. Je pravda, že existovali alternatívy - pre používateľov systému Guta-bank Telebank bolo možné previesť peniaze z účtu v Guta-bank bez opustenia domova, ale v niektorých prípadoch je zrejme jednoduchšie ich previesť priamo na účet. predávajúceho – elektronického obchodu bez použitia Paycash ako sprostredkovateľa. Peniaze bolo možné prevádzať aj cez Western Union alebo poštovým/telegrafickým prevodom, no atraktívnosť tejto cesty bola obmedzená vysokou úrovňou provízie. Pre obyvateľov Petrohradu je tu veľmi exotická príležitosť – zavolať si kuriéra za peniaze domov. Skvelé, ale, bohužiaľ, nie všetci žijeme v severnom hlavnom meste.
Možnosť prevodu peňazí do Paycash z kreditných kariet zatiaľ chýba. Je to spôsobené tým, že spoločnosti, ktoré podporujú prácu kartových systémov, poskytujú svojim zákazníkom možnosť takzvaného „charge back“ – odmietnutia platby „backdating“. „Charge back“ je mechanizmus, ktorý chráni majiteľa kreditnej karty pred podvodníkmi, ktorí môžu použiť jej údaje. V prípade takéhoto odmietnutia nesie dôkazné bremeno, že tovar bol skutočne doručený skutočnému držiteľovi karty a že platba by mala byť vykonaná, na obchodníka. Ale v prípade Paycash je tento druh dôkazu v podstate nemožný – z pochopiteľných dôvodov. Na vyriešenie tohto problému je navrhnutá aj vyššie spomínaná brána s CyberPlat, ktorá je vo vývoji.
Zatiaľ to vyšiť úzke miesto v systéme PayCash urobil dva celkom rozumné kroky – vydávanie predplatených stieracích žrebov a zabezpečenie prijímania platieb prostredníctvom prevodného systému Contact, ktorého sadzby sú výrazne nižšie ako poštové sadzby (2,2 % oproti 8 %).
Systém Webmoney je jedným z „priekopníkov“ na trhu elektronických platieb v Rusku. V súčasnosti je medzinárodný. Podľa niektorých správ má Webmoney zástupcov nielen v krajinách - republikách bývalého ZSSR, ale aj v zahraničí. Prevádzkovateľom systému je autonómna nekomerčná organizácia „VM-center“.
Spôsob fungovania Webmoney je veľmi podobný práci s elektronickou hotovosťou, iba starostlivá a starostlivá analýza nám umožňuje uistiť sa, že Webmoney v skutočnosti neposkytuje úplnú anonymitu platieb, to znamená, že nie sú uzavreté od samotných vlastníkov systému. . Prax Webmoney však ukázala, že táto vlastnosť je skôr výhodná, čo v niektorých prípadoch umožňuje riešiť podvody. Navyše ako samostatná platená služba „VM-Center“ ponúka certifikáciu právnickej osoby a fyzickej osoby, čím ich prirodzene zbavuje anonymity vo vzťahu k ostatným účastníkom systému. Táto príležitosť je potrebná predovšetkým pre tých, ktorí chcú organizovať poctivý elektronický obchod a chcú presvedčiť potenciálnych kupcov o svojej spoľahlivosti. Webmoney vám umožňuje otvárať účty a prevádzať prostriedky v dvoch menách: rubľoch a dolároch.
Na prístup do systému sa používa program „elektronická peňaženka“. Ďalšími funkciami systému sú prenos krátkych správ z peňaženky do peňaženky, ako aj kreditné transakcie medzi majiteľmi peňaženiek. Podľa nášho názoru však málokto bude súhlasiť s požičiavaním anonymných ľudí cez internet, ktorí si nebudú môcť pôžičku v prípade nesplácania vymáhať nasilu.
Na rozdiel od Paycash, Webmoney spočiatku poskytoval možnosť previesť bežnú hotovosť do peňaženky aj vyplatiť obsah peňaženiek bez zdĺhavého vypĺňania platobných príkazov v banke, no z právneho hľadiska dosť zvláštnym spôsobom. Vo všeobecnosti právna podpora Webmoney, pokiaľ ide o jej prácu s organizáciami po dlhú dobu, spôsobila veľa kritiky.
To bol dôvod, prečo zatiaľ čo koncoví používatelia si aktívne inštalovali „peňaženky“, mnohé e-shopy tento EPS odmietali. Je pravda, že v súčasnosti sa táto situácia trochu zlepšila a aktívna marketingová pozícia vlastníkov Webmoney vedie k tomu, že imidž systému sa neustále zlepšuje. Jeden z zaujímavé funkcie Táto marketingová stratégia spočívala v tom, že takmer okamžite po jeho vstupe na trh dostal každý možnosť zarobiť si v tomto systéme (niektorí si možno spomenú na projekt Nails a jeho neskorší vývoj – visit.ru). Rovnako ako Paycash, aj Webmoney vydáva predplatené stieracie žreby určené na vkladanie peňazí do systému.
Dva systémy založené na stieracích žreboch: E-port (Autocard-holding) a CreditPilot (Creditpilot.com) sú ako dvojičky. Obaja predpokladajú, že kupujúci si najskôr kúpi stierací žreb s tajným kódom niekde v širokej distribučnej sieti alebo objednaním kuriéra domov, po čom začne platiť na internete pomocou tohto kódu v obchodoch, ktoré prijímajú platby. týchto systémov. E-port navyše ponúka možnosť vytvorenia „virtuálnych“ stieracích žrebov prevodom peňazí na účet spoločnosti cez banku alebo cez systém „Webmoney“.
Systém Rapida, ktorý začal fungovať v septembri 2001, rovnako ako dva predchádzajúce, ponúka vloženie peňazí na účet používateľa prostredníctvom stieracích žrebov alebo platbu v členskej banke systému. Okrem toho bola oznámená možnosť pracovať v režime „Klient-Banka“ a prevádzať peniaze na účty právnických osôb, ktoré nie sú účastníkmi systému, ako aj fyzických osôb bez otvorenia bankového účtu. Prístup do systému je zabezpečený nielen cez internet, ale aj telefonicky pomocou tónovej voľby. Vo všeobecnosti systém vyzerá technologicky vyspelý a veľmi zaujímavý, no od uvedenia do prevádzky zatiaľ neuplynulo dosť času na to, aby sme mohli hovoriť o perspektívach.
EPS, ktoré umožňujú platby rovnakým spôsobom, akým sa platia za medzimestské hovory (potom na základe účtu od telefónnej spoločnosti), sa prvýkrát objavili v Spojených štátoch a mali platiť za prístup k pornografickým zdrojom. . V dôsledku systematického podvodného konania mnohých majiteľov takýchto systémov si však medzi kupujúcimi nezískali popularitu a predajcovia s nimi neboli obzvlášť spokojní, pretože tieto systémy sa snažili výrazne oneskoriť platby.
Dve domáce implementácie tohto konceptu – Phonepay a Eaccess – sú na samom začiatku svojej cesty. Oba systémy predpokladajú, že klient, aby mohol uskutočniť platbu, musí zavolať na určité medzimestské číslo v kóde 8-809 (poskytnuté zrejme spoločnosťou MTU-inform), po ktorom sa mu zobrazia niektoré kľúčové informácie. byť mu nadiktovaný robotom. v prípade Eaccess ide o PIN kód používaný na prístup k platenému informačnému zdroju a v prípade Phonepay ide o univerzálnu „digitálnu mincu“ pozostávajúcu z 12 číslic jednej z päť nominálnych hodnôt napevno zakódovaných v systéme -access sa stále postupne rozvíja, zvyšuje sa počet obchodov pripojených k systému a Phonepay nepripojil do svojho systému ani jeden obchod, ktorý nepatrí vývojárom.
Podľa môjho názoru majú takéto systémy v Rusku celkom jednoznačné vyhliadky súvisiace s jednoduchým prístupom k nim koncovým používateľom, avšak ich rozsah bude obmedzený na predaj informačné zdroje. Veľké oneskorenie pri prijímaní platieb (systém ich prevedie do obchodu najskôr, ako kupujúci zaplatí telefónny účet) spôsobuje, že obchodovanie s hmotným majetkom pomocou týchto EPS je skôr nerentabilné.
Na záver treba spomenúť ďalší typ EPS – špecializované prenosové systémy medzi jednotlivcami, ktoré konkurujú tradičným poštovým a telegrafickým prevodom. Toto miesto bolo najskôr obsadené takými zahraničnými systémami ako Western Union a Money Gram. V porovnaní s klasickými prevodmi poskytujú rýchlejšie a bezpečnejšie platby. Zároveň majú množstvo významných nedostatkov, z ktorých hlavnou sú vysoké náklady na ich služby, ktoré dosahujú až 10 % sumy prevodu. Ďalšou nepríjemnosťou je, že tieto systémy nemožno legálne využívať na systematické prijímanie platieb za tovar. Avšak pre tých, ktorí chcú len poslať peniaze príbuzným a priateľom, má zmysel venovať pozornosť týmto systémom, ako aj ich domácim náprotivkom (Anelik a Contact). Paycash ani Webmoney im zatiaľ nedokážu konkurovať, keďže niekde v Austrálii alebo Nemecku nie je možné získať hotovosť vytiahnutím z elektronickej peňaženky. EPS Rapida takúto možnosť deklaruje, no na stránke zatiaľ nie sú žiadne podrobnosti a geografia kancelárií systému sa nedá porovnávať so systémami, ktoré sú už na trhu.
Majitelia elektronických obchodov by zrejme mali myslieť predovšetkým na prijímanie peňazí z kreditných kariet a elektronických pokladničných systémov - Webmoney a Paycash. Z hľadiska kombinácie spotrebiteľských charakteristík podľa nášho názoru žiadny zo systémov na prijímanie platieb z kreditných kariet na ruskom trhu nemôže konkurovať CyberPlat. Všetky ostatné systémy podliehajú voliteľnému použitiu, najmä ak si pamätáte, že rovnaký E-port nemusí byť inštalovaný samostatne, pretože jeho karty sú obsluhované spoločnosťou CyberPlat.
2. PROSTRIEDKY OCHRANY ELEKTRONICKÝCH PLATOBNÝCH SYSTÉMOV
2.1 Hrozby spojené s používaním elektronických platobných systémov
Zvážte možné hrozby deštruktívne akcie útočníka vo vzťahu k tomuto systému. Za týmto účelom zvážte hlavné objekty útoku útočníka. Hlavným objektom útoku útočníka sú finančné prostriedky, respektíve ich elektronické náhrady (náhrady) – platobné príkazy obiehajúce v platobnom styku. Vo vzťahu k týmto nástrojom môže útočník sledovať nasledujúce ciele:
1. Krádež finančných prostriedkov.
2. Zavedenie falošných prostriedkov (narušenie finančnej rovnováhy systému).
3. Porušenie výkonu systému ( technické ohrozenie).
Špecifikované objekty a ciele útoku sú abstraktného charakteru a neumožňujú analýzu a vývoj potrebných opatrení na ochranu informácií, preto tabuľka 4 poskytuje špecifikáciu objektov a cieľov deštruktívnych účinkov útočníka.
Tabuľka 4 Model možných deštruktívnych akcií útočníka
| Predmet vplyvu | Účel dopadu | Možné mechanizmy na realizáciu vplyvu. |
| HTML stránky na webovom serveri banky | Substitúcia za účelom získania informácií zadaných klientom do platobného príkazu. | Útok na server a nahradenie stránok na serveri. Nahradenie stránok v návštevnosti. Útok na počítač klienta a nahradenie stránok na klientovi |
| Stránky s informáciami o klientovi na serveri | Získanie informácií o platbách klienta (klientov) | Útok na server. Útok na premávku. Útok na počítač klienta. |
| Údaje platobného príkazu zadané klientom do formulára | Získanie informácií zadaných klientom do platobného príkazu. | Útok na počítač klienta (vírusy a pod.). Zaútočte na tieto pokyny, keď sú posielané cez premávku. Útok na server. |
| Súkromné informácie o klientovi umiestnené na počítači klienta, ktoré nesúvisia s elektronickým platobným systémom | Získavanie dôverných informácií klienta. Úprava informácií o klientovi. Vypnutie klientskeho počítača. | Celý komplex známe útoky k počítaču pripojenému na internet. Ďalšie útoky, ktoré sa objavujú v dôsledku používania mechanizmov platobného systému. |
| Informácie o bankovom spracovateľskom centre. | Sprístupnenie a úprava informácií spracovateľského centra a lokálna sieť jar. | Útok na lokálnu sieť pripojenú k internetu. |
Z tejto tabuľky vyplývajú základné požiadavky, ktoré musí spĺňať každý systém elektronických platieb cez internet:
Po prvé, systém musí zabezpečiť ochranu údajov platobného príkazu pred neoprávnenými zmenami a úpravami.
Po druhé, systém by nemal zvyšovať schopnosť útočníka organizovať útoky na počítač klienta.
Po tretie, systém musí zabezpečiť ochranu dát umiestnených na serveri pred neoprávneným čítaním a modifikáciou.
Po štvrté, systém musí poskytovať alebo podporovať systém na ochranu lokálnej siete banky pred expozíciou z globálnej siete.
Počas vývoja špecifických systémov na ochranu informácií o elektronických platbách, tento model a požiadavky musia byť predmetom ďalších podrobností. Pre aktuálnu prezentáciu sa však takéto podrobnosti nevyžadujú.
2.2 Bezpečnostné technológie pre elektronické platobné systémy
Vývoj WWW bol istý čas brzdený tým, že html stránky, ktoré sú základom WWW, sú statický text, t.j. s ich pomocou je ťažké zorganizovať interaktívnu výmenu informácií medzi používateľom a serverom. Vývojári navrhli mnoho spôsobov, ako rozšíriť možnosti HTML v tomto smere, z ktorých mnohé neboli široko prijaté. Jedným z najvýkonnejších riešení, ktoré predstavovalo novú etapu vo vývoji internetu, bol návrh spoločnosti Sun použiť Java applety ako interaktívne komponenty pripojené k HTML stránkam.
Java applet je program, ktorý je napísaný v programovacom jazyku Java a zostavený do špeciálnych bajtkódov, čo sú kódy nejakého virtuálneho počítača – stroja Java – a líšia sa od kódov procesorov Intel. Applety sú umiestnené na serveri na webe a sťahujú sa do počítača používateľa vždy, keď sa pristúpi na stránku HTML, ktorá obsahuje volanie tohto apletu.
Na spustenie kódov apletov štandardný prehliadač obsahuje implementáciu stroja Java, ktorá interpretuje bajtové kódy do strojových inštrukcií rodiny procesorov Intel (alebo inej). Schopnosti obsiahnuté v technológii Java appletov na jednej strane umožňujú vyvíjať výkonné používateľské rozhrania, organizovať prístup k akýmkoľvek sieťovým zdrojom podľa URL, je jednoduché používať protokoly TCP/IP, FTP atď. a na druhej strane znemožniť priamy prístup k počítačovým zdrojom. Napríklad aplety nemajú prístup k systém súborov počítač a pripojené zariadenia.
Podobným riešením na rozšírenie možností WWW je technológia Active X od Microsoftu. Najvýraznejší rozdiel medzi touto technológiou a Java je v tom, že komponenty (analógy apletov) sú programy v kódoch procesor Intel a že tieto komponenty majú prístup ku všetkým zdrojom počítača, ako aj rozhraniam a službám systému Windows.
Ďalším menej bežným prístupom k vylepšeniu WWW je zásuvný modul Netscape pre technológiu Netscape Navigator. Práve táto technológia sa javí ako najoptimálnejší základ pre budovanie informačných bezpečnostných systémov pre elektronické platby cez internet. Pre ďalšiu prezentáciu zvážme, ako táto technológia rieši problém ochrany informácií webového servera.
Predpokladajme, že existuje nejaký webový server a správca tento server je potrebné obmedziť prístup k niektorej časti poľa informácií servera, t.j. organizovať tak, aby niektorí používatelia mali prístup k niektorým informáciám, zatiaľ čo iní nie.
V súčasnosti sa navrhuje množstvo prístupov k riešeniu tohto problému, najmä veľa OS, pod kontrolou ktorej internetové servery fungujú, žiadajú heslo pre prístup do niektorých ich oblastí, t.j. vyžadujú overenie. Tento prístup má dve významné nevýhody: po prvé, údaje sú uložené na samotnom serveri v otvorenej forme a po druhé, údaje sa tiež prenášajú cez sieť v otvorenej forme. Útočník má teda možnosť zorganizovať dva útoky: na samotný server (uhádnutie hesla, obídenie hesla atď.) a útok na prevádzku. Fakty o realizácii takýchto útokov sú internetovej komunite všeobecne známe.
Ďalším známym prístupom k riešeniu problému informačnej bezpečnosti je prístup založený na technológii SSL (Secure Sockets Layer). Pri použití SSL je medzi klientom a serverom vytvorený bezpečný komunikačný kanál, cez ktorý sa prenášajú dáta, t.j. problém prenosu údajov v čistom texte po sieti možno považovať za relatívne vyriešený. Hlavný problém SSL spočíva v konštrukcii kľúčového systému a kontrole nad ním. Pokiaľ ide o problém ukladania údajov na server v otvorenej forme, zostáva nevyriešený.
Ďalšou dôležitou nevýhodou vyššie opísaných prístupov je potreba ich podpory zo strany softvéru servera aj sieťového klienta, čo nie je vždy možné a pohodlné. Najmä v systémoch zameraných na masového a neorganizovaného klienta.
Autorom navrhovaný prístup je založený priamo na ochrane html stránok, ktoré sú hlavným nosičom informácií na internete. Podstata ochrany spočíva v tom, že súbory obsahujúce HTML stránky sú uložené na serveri v zašifrovanej podobe. Zároveň kľúč, na ktorom sú zašifrované, pozná len ten, kto ho zašifroval (správca) a klienti (vo všeobecnosti je problém budovania systému kľúčov riešený rovnako ako v prípade transparentného šifrovanie súborov).
Klienti pristupujú k zabezpečeným informáciám prostredníctvom zásuvného modulu Netscape pre technológiu Netscape. Tieto moduly sú presnejšie programy softvérové komponenty, ktoré sú spojené s určitými typmi súborov v štandarde MIME. MIME je medzinárodný štandard, ktorý definuje formáty súborov na internete. Existujú napríklad nasledujúce typy súborov: text/html, text/plane, image/jpg, image/bmp atď. Okrem toho norma definuje mechanizmus nastavenia vlastné typy súbory, ktoré môžu byť definované a používané nezávislými vývojármi.
Používajú sa teda doplnky, ktoré sú spojené s určitými typmi súborov MIME. Spojenie spočíva v tom, že keď používateľ pristupuje k súborom zodpovedajúceho typu, prehliadač spustí s ním spojený Plug-in a tento modul vykoná všetky akcie na vizualizáciu údajov súboru a spracovanie akcií používateľa s týmito súbormi.
Najznámejšie Plug-in moduly sú moduly, ktoré prehrávajú videoklipy vo formáte avi. Prezeranie týchto súborov nie je súčasťou bežných možností prehliadačov, ale nainštalovaním príslušného zásuvného modulu môžete tieto súbory jednoducho zobraziť v prehliadači.
Ďalej sú všetky zašifrované súbory v súlade so zavedeným medzinárodným štandardným poriadkom definované ako súbory typu MIME. "aplikácia/x-shp". Potom sa podľa technológie a protokolov Netscape vyvinie doplnok, ktorý sa priradí k tomuto typu súboru. Tento modul robí dve veci: po prvé, žiada o heslo a ID používateľa a po druhé, dešifruje a zobrazuje súbor v okne prehliadača. Tento modul sa inštaluje v súlade s riadnym poriadkom stanoveným spoločnosťou Netscape na prehliadačoch všetkých klientskych počítačov.
V tejto prípravnej fáze práce je systém pripravený na prevádzku. Klienti počas prevádzky pristupujú k zašifrovaným html stránkam na svojej štandardnej adrese (URL). Prehliadač určí typ týchto stránok a automaticky spustí modul, ktorý sme vyvinuli, pričom mu odovzdá obsah zašifrovaného súboru. Modul autentifikuje klienta a po úspešnom dokončení dešifruje a zobrazí obsah stránky.
Pri vykonávaní celej tejto procedúry má klient pocit „transparentného“ šifrovania stránky, keďže všetky vyššie popísané systémové operácie sú pred jeho očami skryté. Zároveň sú zachované všetky štandardné funkcie vložené do html stránok, ako je použitie obrázkov, Java appletov, CGI skriptov.
Je ľahké vidieť, že tento prístup rieši mnohé problémy informačnej bezpečnosti v otvorenej forme je len na počítačoch klientov, dáta sa prenášajú po sieti v zašifrovanej podobe. Útočník, ktorý sleduje cieľ získať informácie, môže vykonať útok iba na konkrétneho používateľa a ani jeden systém ochrany informácií servera nemôže chrániť pred týmto útokom.
V súčasnosti autor vyvinul dva systémy informačnej bezpečnosti založené na navrhovanom prístupe pre prehliadače Netscape Navigator (3.x) a Netscape Communicator 4.x. Počas predbežné testovanie zistilo sa, že vyvinuté systémy môžu normálne fungovať pod kontrolou MExplorer, ale nie vo všetkých prípadoch.
Je dôležité poznamenať, že tieto verzie systémov nešifrujú objekty spojené s HTML stránkou: obrázky, aplety skriptov atď.
Systém 1 ponúka ochranu (šifrovanie) skutočných html stránok ako jednej entity. Vytvoríte stránku, potom ju zašifrujete a skopírujete na server. Pri prístupe na zašifrovanú stránku sa automaticky dešifruje a zobrazí sa v špeciálnom okne. Podpora bezpečnostného systému serverovým softvérom sa nevyžaduje. Všetky práce na šifrovaní a dešifrovaní sa vykonávajú na pracovnej stanici klienta. Tento systém je univerzálny, t.j. nezávisí od štruktúry a účelu stránky.
Systém 2 ponúka iný prístup k ochrane. Tento systém poskytuje zobrazenie chránených informácií v niektorej oblasti vašej stránky. Informácie sú v zašifrovanom súbore (nie nevyhnutne vo formáte html) na serveri. Keď prejdete na svoju stránku, systém ochrany automaticky pristúpi k tomuto súboru, načíta z neho údaje a zobrazí ich v určitej oblasti stránky. Tento prístup vám umožňuje dosiahnuť maximálnu efektivitu a estetickú krásu s minimálnou všestrannosťou. Tie. ukáže sa, že systém je zameraný na konkrétny účel.
Tento prístup je možné uplatniť aj pri budovaní elektronických platobných systémov cez internet. V tomto prípade sa pri prístupe na určitú stránku Web servera spustí modul Plug-in, ktorý používateľovi zobrazí formulár platobného príkazu. Po vyplnení klientom modul zašifruje platobné údaje a odošle ich na server. Zároveň môže od používateľa požiadať o elektronický podpis. Okrem toho je možné čítať šifrovacie kľúče a podpisy z akéhokoľvek média: diskety, elektronické tablety, čipové karty atď.
2.3 Analýza technológií na splnenie základných požiadaviek na elektronické platobné systémy
Vyššie sme opísali tri technológie, ktoré možno použiť pri budovaní platobných systémov cez internet: ide o technológiu založenú na Java appletoch, komponentoch Active-X a zásuvných moduloch. Nazvime ich technológie J, AX a P, resp.
Zvážte požiadavku, aby sa nezvyšovala schopnosť útočníka zaútočiť na počítač. Aby sme to urobili, analyzujme jeden z možných typov útokov - nahradenie príslušných modulov ochrany klienta útočníkom. V prípade technológie J sú to applety, v prípade AX ponorné komponenty, v prípade P sú to zásuvné moduly. Je zrejmé, že útočník má možnosť nahradiť ochranné moduly priamo na počítači klienta. Mechanizmy na implementáciu tohto útoku sú nad rámec tejto analýzy, je však potrebné poznamenať, že implementácia tohto útoku nezávisí od zvažovanej technológie ochrany. A úroveň zabezpečenia každej technológie je rovnaká, t.j. všetci sú rovnako zraniteľní voči tomuto útoku.
Najzraniteľnejším miestom v technológiách J a AX je z pohľadu substitúcie ich sťahovanie z internetu. V tomto bode môže útočník striedať. Navyše, ak sa útočníkovi podarí nahradiť tieto moduly na serveri banky, získa prístup ku všetkým informáciám o platobnom systéme, ktoré kolujú na internete.
V prípade technológie P zámena nehrozí, keďže modul sa nenačítava zo siete - je trvalo uložený na počítači klienta.
Dôsledky spoofingu sú rôzne: v prípade J-technológie môže útočník ukradnúť iba informácie zadané klientom (čo je vážna hrozba) a v prípade Active-X a Plug-inu môže útočník získať všetky informácie, ku ktorým má klient spustený na počítači prístup.
V súčasnosti si autor nie je vedomý konkrétnych spôsobov implementácie útokov spoofingu Java appletov. Zdá sa, že tieto útoky sa vyvíjajú slabo, pretože z toho vyplývajúce príležitosti na kradnutie informácií prakticky chýbajú. Útoky na komponenty Active-X sú však rozšírené a dobre známe.
Zvážte požiadavku na ochranu informácií obiehajúcich v elektronickom platobnom systéme cez internet. Je zrejmé, že v tomto prípade je technológia J nižšia ako P aj AX v jednom veľmi významnom probléme. Všetky mechanizmy ochrany informácií sú založené na šifrovaní alebo elektronickom podpise a všetky relevantné algoritmy sú založené na kryptografických transformáciách, ktoré vyžadujú zavedenie kľúčových prvkov. V súčasnosti je dĺžka kľúčových prvkov približne 32 – 128 bajtov, takže je takmer nemožné vyžadovať, aby ich používateľ zadával z klávesnice. Vynára sa otázka, ako ich zadať? Keďže technológie P a AX majú prístup k počítačovým zdrojom, riešenie tohto problému je zrejmé a dobre známe – kľúče sa čítajú z lokálnych súborov, diskiet, tabletov či smart kariet. Ale v prípade technológie J je takýto vstup nemožný, čo znamená, že buď musíte od klienta požadovať zadanie dlhého sledu nezmyselných informácií, alebo znížením dĺžky kľúčových prvkov znížiť silu kryptografických transformácií a v dôsledku toho znížiť spoľahlivosť ochranných mechanizmov. Tento pokles je navyše veľmi výrazný.
Zvážte požiadavku, že elektronický platobný systém musí zabezpečiť ochranu údajov umiestnených na serveri pred neoprávneným čítaním a modifikáciou. Táto požiadavka vyplýva zo skutočnosti, že systém zahŕňa umiestnenie dôverných informácií určených pre používateľa na server. Napríklad zoznam ním zaslaných platobných príkazov s poznámkou o výsledku spracovania.
V prípade technológie P sú dáta prezentované vo forme html stránok, ktoré sú zašifrované a umiestnené na server. Všetky akcie sa vykonávajú v súlade s vyššie popísaným algoritmom (šifrovanie html stránok).
V prípade technológií J a AX môžu byť tieto informácie umiestnené v nejakej štruktúrovanej forme do súboru na serveri a komponenty alebo applety musia vykonávať operácie čítania a vizualizácie údajov. To všetko vo všeobecnosti vedie k zvýšeniu celkovej veľkosti apletov a komponentov a následne k zníženiu rýchlosti sťahovania príslušných stránok.
Z pohľadu tejto požiadavky vyhráva technológia P vďaka väčšej vyrobiteľnosti, t.j. menej režijných nákladov na vývoj a väčšia odolnosť voči zámene komponentov pri ich prechode cez sieť.
Pokiaľ ide o poslednú požiadavku na ochranu bankovej lokálnej siete, je splnená kompetentnou výstavbou systému firewallov (firewallov) a nezávisí od uvažovaných technológií.
Vyššie uvedené bolo teda predbežné komparatívna analýza technológie J, AX a P, z čoho vyplýva, že technológia J by mala byť použitá vtedy, ak je udržanie stupňa bezpečnosti klientovho počítača oveľa dôležitejšie ako sila kryptografických transformácií používaných v elektronických platobných systémoch.
Technológia P sa javí ako najoptimálnejšie technologické riešenie, ktoré je základom platobných informačných bezpečnostných systémov, pretože kombinuje výkon štandardná aplikácia Win32 a ochrana pred útokmi cez internet. Praktickú a komerčnú realizáciu projektov s využitím tejto technológie realizuje napríklad spoločnosť Russian Financial Communications.
Čo sa týka technológie AX, jej využitie sa zdá byť neefektívne a nestabilné voči škodlivým útokom.
ZÁVER
Elektronické peniaze sa čoraz viac stávajú našou každodennou realitou, s ktorou treba prinajmenšom počítať. Samozrejme, nikto v najbližších päťdesiatich rokoch (pravdepodobne) bežné peniaze nezruší. Neschopnosť spravovať elektronické peniaze a premeškať príležitosti, ktoré so sebou prinášajú, však znamená dobrovoľne postaviť okolo seba „železnú oponu“, ktorá sa za posledných pätnásť rokov tak ťažko roztrhala. Mnoho veľkých firiem ponúka platbu za svoje služby a tovar prostredníctvom elektronických platieb. Pre spotrebiteľa to ušetrí veľa času.
Bezplatný softvér na otváranie vašej elektronickej peňaženky a na všetku prácu s peniazmi je maximálne prispôsobený pre masové počítače a po troche cviku nerobí bežnému používateľovi žiadne problémy. Naša doba je dobou počítačov, internetu a elektronického obchodu. Ľudia, ktorí majú znalosti v týchto oblastiach a vhodné prostriedky, dosahujú obrovský úspech. Elektronické peniaze sú peniaze, ktoré sa každým dňom rozširujú a otvárajú čoraz viac príležitostí pre človeka, ktorý má prístup do Siete.
Účel výpočtových a grafických prác bol splnený a vyriešil nasledovné úlohy:
1. Stanovujú sa hlavné úlohy elektronických platobných systémov a princípy ich fungovania, ich vlastnosti.
2. Sú analyzované hlavné systémy elektronických platieb.
3. Analyzoval hrozby spojené s používaním elektronických peňazí.
4. Analyzoval prostriedky ochrany pri používaní elektronických platobných systémov.
LITERATÚRA
1. Antonov N.G., Pessel M.A. Peňažný obeh, úvery a banky. -M.: Finstatinform, 2005, s. 179-185.
2. Portfólio banky - 3. - M .: Somintek, 2005, s. 288-328.
3. Michajlov D.M. Medzinárodné platby a záruky. Moskva: FBK-PRESS, 2008, s. 20-66.
4. Polyakov V.P., Moskovkina L.A. Štruktúra a funkcie centrálnych bánk. Zahraničné skúsenosti: Učebnica. - M.: INFRA-M, 2006.
5. Gaikovich Yu.V., Pershin A.S. Bezpečnosť systémov elektronického bankovníctva. - M: United Europe, 2004
6. Demin V.S. atď. Automatizované bankové systémy. - M: Menatep-Inform, 2007
7. Krysin V.A. Bezpečnosť podnikania. - M: Financie a štatistika, 2006
8. Linkov I.I. a kol.Informačné členenia v obchodných štruktúrach: ako prežiť a uspieť. - M: NIT, 2008
9. Titorenko G.A. a iná Elektronizácia bankovníctva. - M: Finstatinform, 2007
10. Tushnolobov I.B., Urusov D.P., Yartsev V.I. Distribuované siete. - Petrohrad: Peter, 2008
12. Aglitsky I. Stav a perspektívy informačnej podpory ruských bánk. - Bankové technológie, 2007 č.1.
Doučovanie
Potrebujete pomôcť s učením témy?
Naši odborníci vám poradia alebo poskytnú doučovacie služby na témy, ktoré vás zaujímajú.
Odoslať žiadosť s uvedením témy práve teraz, aby ste sa dozvedeli o možnosti konzultácie.
3. Ochrana elektronických platieb
Otázka bankovej bezpečnosti je obzvlášť naliehavá ako bankové informácie, po prvé, predstavuje skutočné peniaze a po druhé, ovplyvňuje dôverné záujmy veľkého počtu klientov bánk.
Veľkosť trhu elektronického obchodu v roku 2000
| Objem a vlastnosti trhu | Odhad, USD |
| Celkové náklady na všetky nákupy produktov cez internet | 4,5-6 miliárd |
| Celková hodnota všetkých nákupov na priemerného zákazníka | 600-800 |
| Priemerné obstarávacie náklady na internetovú transakciu | 25-35 |
| Celkový objem transakcií-akvizícií cez internet | 130-200 miliónov |
| Podiel nákupov produktov online | 60-70% |
| Podiel nákupov dodaného tovaru | 30-40% |
Všeobecná schéma fungovania elektronických platobných systémov
Banka, ktorá uzavrela zmluvu so systémom a získala príslušnú licenciu, môže vystupovať v dvoch funkciách – ako vydavateľ platobných prostriedkov tohto systému akceptovaných na platbu všetkými ostatnými zúčastnenými bankami a ako prijímajúca banka obsluhujúca podniky, ktoré prijímajú platby. platobných prostriedkov tohto platobného styku vydaných inými emitentmi a prijímanie týchto platobných prostriedkov na vyplatenie vo svojich pobočkách.
Proces platby je pomerne jednoduchý. V prvom rade musí pokladník podniku overiť pravosť karty podľa príslušných znakov.
Pri platbe musí spoločnosť preniesť údaje z karty klienta na špeciálny šek pomocou kopírky - imprintera, zadať do šeku sumu, za ktorú bol nákup alebo poskytnuté služby, a získať podpis klienta.
Takto vyhotovený šek sa nazýva ústrižok. Pre bezpečné vykonávanie transakcií platobný systém odporúča nižšie limity pre sumy pre rôzne regióny a typy podnikateľov, ktoré možno použiť na zúčtovanie bez autorizácie. Pri prekročení limitnej sumy alebo pri pochybnostiach o totožnosti klienta je spoločnosť povinná vykonať autorizačný proces.
Bez toho, aby sme sa zaoberali technickými aspektmi postupu, poukazujeme na to, že pri autorizácii sa podnik skutočne dostane k informáciám o stave klientskeho účtu a získa tak možnosť zistiť vlastníctvo karty klientom a jej platobnú kapacitu. vo výške sumy transakcie. Jedna kópia bločku zostáva v spoločnosti, druhá je odovzdaná klientovi, tretia je doručená preberajúcej banke a slúži ako podklad pre vrátenie sumy platby spoločnosti z účtu klienta.
V posledných rokoch si získali veľkú obľubu POS terminály, pri ktorých nie je potrebné vypĺňať bločky. Údaje o karte sa načítajú z magnetického prúžku na čítačke zabudovanej v POS termináli, z klávesnice sa zadá suma transakcie a terminál prostredníctvom zabudovaného modemu požiada o autorizáciu do príslušného platobného systému. V tomto prípade sa využívajú technické kapacity spracovateľského centra, ktorého služby poskytuje obchodníkovi banka. V tomto prípade spoločnosť nahlási banke s kópiou pokladničnej pásky so vzorom podpisu klienta a dávkových súborov, ktoré terminál generuje na konci pracovného dňa.
V posledných rokoch sa naň upozorňuje čoraz viac bankové systémy využívajúce mikroprocesorové karty.
Navonok sa tieto nosiče informácií nelíšia od bežných kariet, s výnimkou pamäťového čipu alebo mikroprocesora prispájkovaného vo vnútri karty a kontaktných doštičiek umiestnených na jej povrchu.
Zásadný rozdiel medzi týmito kartami a všetkými vyššie uvedenými je v tom, že priamo nesú informácie o stave klientskeho účtu, keďže samy sú tranzitným účtom. Je zrejmé, že každé akceptačné miesto takýchto kariet musí byť vybavené špeciálnym POS terminálom (s čítačkou čipov).
Aby mohol klient kartu používať, musí si ju stiahnuť zo svojho účtu na bankovom termináli. Všetky transakcie prebiehajú v režime OFF-LINE počas dialógu karta - terminál alebo zákaznícka karta - karta obchodníka.
Takýto systém je takmer úplne bezpečný vďaka vysokému stupňu zabezpečenia čipu a úplnej schéme vyrovnania debetu. Okrem toho, hoci samotná karta je výrazne drahšia ako bežná, systém v procese prevádzky sa ukazuje byť ešte lacnejší, pretože zaťaženie telekomunikácií nie je využívané v režime OFF-LINE.
Elektronické platby pomocou plastových bankových kariet rôzne druhy predstavujú dostatočne flexibilný a univerzálny zúčtovací mechanizmus v reťazci „Banka 1 - Klient - Podnik - Banka 2“ a medzibankové zúčtovanie typu „Banka 1 - ... - Banka N“. Avšak práve všestrannosť týchto platobných nástrojov z nich robí obzvlášť atraktívne ciele pre podvody. Položka ročnej straty v dôsledku zneužívania je pôsobivá suma, aj keď relatívne malá v porovnaní s celkovým obratom.
Bezpečnostný systém a jeho vývoj nemožno posudzovať izolovane od spôsobov nelegálnych operácií s plastovými kartami, ktoré možno rozdeliť na 5 hlavných druhov trestných činov.
1. Operácie s falošnými kartami.
Tento typ podvodu má najväčší podiel na stratách platobného systému. Pre vysokú technickú a technologickú bezpečnosť reálnych kariet sa vlastnoručne vyrobené karty v poslednej dobe používajú len zriedka a dajú sa identifikovať pomocou najjednoduchšej diagnostiky.
Na falšovanie sa spravidla používajú odcudzené polotovary kariet, na ktorých sú aplikované údaje o banke a klientovi. Zločinci, ktorí sú technicky vysoko vybavení, môžu dokonca umiestniť informácie na magnetický prúžok karty alebo ju skopírovať, jedným slovom, vykonávať falzifikáty na vysokej úrovni.
Páchateľmi takýchto činov sú spravidla organizované zločinecké skupiny, ktoré sa niekedy sprisahajú so zamestnancami emisných bánk, ktorí majú prístup k informáciám o klientskych účtoch a postupoch pri vykonávaní transakcií. Vzdávajúc hold medzinárodnému zločineckému spoločenstvu, treba poznamenať, že falošné karty sa v Rusku objavili takmer súčasne so začiatkom rozvoja tohto sektora bankového trhu.
2. Operácie s ukradnutými/stratenými kartami.
Na ukradnutej karte je možné spôsobiť väčšiu škodu len vtedy, ak podvodník pozná PIN kód klienta. Potom je možné vybrať veľkú sumu z účtu klienta prostredníctvom siete elektronických pokladníc - bankomatov skôr, ako banka, ktorá vydala odcudzenú kartu, stihne zaradiť odcudzenú kartu na elektronický stoplist (zoznam neplatných kariet).
3. Viacnásobná platba za služby a tovar pre sumy nepresahujúce „dolnú hranicu“ a nevyžadujúce povolenie. Na uskutočnenie platieb stačí zločincovi sfalšovať podpis klienta. S touto schémou sa však najatraktívnejší predmet zneužívania stáva nedostupným - hotovosť. Táto kategória zahŕňa trestné činy s kartami odcudzenými počas ich prevodu vydávajúcou bankou svojim zákazníkom poštou.
4. Podvody s mailovými/telefonickými objednávkami.
Tento druh kriminality sa objavil v súvislosti s rozvojom služby doručovania tovarov a služieb na poštovú alebo telefonickú objednávku klienta. Keď zločinec pozná číslo kreditnej karty svojej obete, môže ho uviesť na objednávkovom formulári a po prijatí príkazu na adresu prechodného pobytu zmizne.
5. Viacnásobné výbery z účtu.
Tieto zločiny zvyčajne páchajú pracovníci právnická osoba, prijímanie platby od klienta za tovary a služby kreditnou kartou a uskutočňuje sa vystavením viacerých potvrdení o platbe pre jednu skutočnosť platby. Na základe predložených šekov je na účet spoločnosti pripísaných viac peňazí, ako sú náklady na predaný tovar alebo poskytnuté služby. Po niekoľkých transakciách je však zločinec nútený zavrieť alebo opustiť podnik.
Aby sa predišlo takýmto činnostiam, používateľom kariet sa odporúča, aby pri transakciách (aj pri malých sumách) venovali väčšiu pozornosť podpísaným dokumentom.
Metódy používané bezpečnostnými oddeleniami možno rozdeliť do dvoch hlavných kategórií. Prvá a možno aj najdôležitejšia rovina súvisí s technickým zabezpečením samotnej plastovej karty. Teraz môžeme s istotou povedať, že z hľadiska technológie je karta chránená lepšie ako bankovky a je takmer nemožné ju vyrobiť svojpomocne bez použitia sofistikovaných technológií.
Karty akéhokoľvek platobného systému spĺňajú prísne stanovené štandardy. Karta má štandardnú formu. Identifikačné číslo banky v systéme (BIN kód) a číslo účtu klienta v banke, jeho meno a priezvisko, doba platnosti karty sú vyrazené a umiestnené na presne určených miestach na prednej strane karty. Nechýba ani symbol platobného styku, vyhotovený holografickým spôsobom. Posledné štyri číslice čísla karty sú vyrazené (vyrazené) priamo na holografickom symbole, čo znemožňuje kopírovanie hologramu alebo opätovné vytlačenie kódu bez zničenia symbolu.
Na zadnej strane karty je magnetický prúžok a plocha so vzorom podpisu majiteľa. Na magnetickom prúžku v presne definovaných pozíciách a pomocou kryptografických algoritmov sa zaznamenávajú podrobnosti o samotnom platobnom systéme, bezpečnostné značky, symboly, ktoré zabraňujú kopírovaniu informácií, a duplikujú sa informácie vytlačené na prednej strane karty. Oblasť s podpisom majiteľa má špeciálny náter. Pri najmenšom pokuse o vymazanie alebo preposlanie podpisu sa povlak zničí a objaví sa podklad inej farby s bezpečnostnými symbolmi platobného systému.
Zvyšok plochy karty je úplne k dispozícii vydávajúcej banke a je ľubovoľne zostavený so symbolmi banky, jej reklamou a informáciami potrebnými pre zákazníkov. Samotná karta je chránená znakmi, ktoré sú viditeľné iba pod ultrafialovým svetlom.
Medzi technické ochranné opatrenia patrí aj ochrana bankovej komunikácie, bankových sietí pred nelegálnymi prienikmi, poruchami a inými vonkajšími vplyvmi vedúcimi k úniku alebo dokonca zničeniu informácií. Ochrana je vykonávaná softvérom a hardvérom a je certifikovaná oprávnenými organizáciami platobného systému.
Do druhej kategórie ochranných opatrení patria opatrenia na zamedzenie úniku informácií z bankových oddelení zaoberajúcich sa plastovými kartami. Hlavnou zásadou je jasné vymedzenie povinností zamestnancov a v súlade s tým obmedzenie prístupu k utajovaným skutočnostiam v množstve nepresahujúcom minimum potrebné na prácu.
Tieto opatrenia znižujú riziko a možnosť tajnej dohody medzi zločincami a zamestnancami. So zamestnancami sa konajú tematické semináre pre ďalšie vzdelávanie. Platobné systémy pravidelne distribuujú bezpečnostné bulletiny, v ktorých zverejňujú oficiálne materiály a štatistiky o trestných činoch s kartami, hlásia známky zločincov a známky vstupu falošných kariet do nelegálneho obehu. Prostredníctvom bulletinov sa školí personál a organizujú sa preventívne a špeciálne akcie na zníženie kriminality.
Osobitná pozornosť sa venuje personálnemu výberu zamestnancov oddelenia. Za všetky bezpečnostné záležitosti zodpovedá špecializovaný bezpečnostný dôstojník. Spomedzi preventívnych opatrení má najvýznamnejšie miesto práca s klientmi zameraná na zvýšenie kultúrnej úrovne nakladania s „plastovými peniazmi“. Opatrné a starostlivé zaobchádzanie s kartou výrazne znižuje pravdepodobnosť, že sa stanete obeťou trestného činu.
Analýza porušení v systéme elektronického zúčtovania a platieb
V odborných kruhoch je dobre známe, že rýchly pád Nórska v druhej svetovej vojne bol z veľkej časti spôsobený tým, že šifry Britského kráľovského námorníctva prelomili nemeckí kryptografi, ktorí používali presne tie isté metódy, aké používala jednotka Royal Navy's Room 40. proti Nemecku v predchádzajúcej vojne.
Od druhej svetovej vojny sa na vládne používanie kryptografie stiahol závoj tajomstva. Nie je to prekvapujúce, a to nielen kvôli studenej vojne, ale aj kvôli neochote byrokratov (v akejkoľvek organizácii) priznať svoje chyby.
Poďme sa pozrieť na niektoré spôsoby, akými boli podvody s bankomatmi skutočne spáchané. Cieľom je analyzovať myšlienky dizajnérov zamerané na teoretickú nezraniteľnosť ich produktu a vyvodiť ponaučenie z toho, čo sa stalo.
Začnime niekoľkými jednoduchými príkladmi, ktoré ukazujú niekoľko typov podvodov, ktoré je možné vykonať bez veľkých technických vylepšení, ako aj bankové postupy, ktoré ich umožnili.
Je všeobecne známe, že magnetický prúžok na karte zákazníka by mal obsahovať iba číslo jeho účtu a jeho osobné identifikačné číslo (PIN) sa získa zašifrovaním čísla účtu a získaním štyroch číslic z výsledku. Bankomat teda musí byť schopný vykonať procedúru šifrovania alebo inak vykonať overenie PIN (napr. interaktívnym dotazom).
Nedávno Crown Court of Winchester v Anglicku odsúdil dvoch zločincov, ktorí použili jednoduchú, ale účinnú schému. Stáli v radoch pri bankomatoch, odkukávali zákaznícke PIN kódy, vyberali bankomatom odmietnuté karty a kopírovali z nich čísla účtov na prázdne karty, ktoré slúžili na vykrádanie účtov zákazníkov.
Tento trik bol použitý (a ohlásený) pred niekoľkými rokmi v banke v New Yorku. Na vine bol prepustený bankomat, ktorému sa podarilo ukradnúť 80-tisíc dolárov skôr, ako ho banka po tom, ako ho prepchala bezpečnostnou službou, prichytila priamo pri čine.
Tieto útoky uspeli, pretože banky vytlačili na bankovú kartu číslo účtu zákazníka v plnom znení a navyše na magnetickom prúžku nebola žiadna kryptografická redundancia. Človek by si myslel, že sa poučí z New York Bank, ale nie.
Ďalší typ technického útoku sa spolieha na skutočnosť, že v mnohých sieťach bankomatov nie sú správy šifrované a pri autorizácii transakcie sa nevykonávajú overovacie postupy. To znamená, že útočník môže zaznamenať odpoveď z banky do bankomatu „Povoľujem platbu“ a potom znova rolovať záznamom, kým sa bankomat nevyprázdni. Túto techniku, známu ako eviscerácia, nepoužívajú len útočníci zvonku. Je známy prípad, keď operátori bánk použili sieťové kontrolné zariadenie na „vypitvanie“ bankomatov spolu s komplicmi.
Testovacie transakcie sú ďalším zdrojom problémov
Pre jeden typ bankomatu sa na testovanie vydávania desiatich bankoviek použila štrnásťmiestna sekvencia kľúčov. Banka vytlačila túto sekvenciu v príručke na používanie vzdialených bankomatov. O tri roky neskôr zrazu začalo miznutie peňazí. Pokračovali, kým všetky banky používajúce tento typ bankomatov nezahrnuli softvérové záplaty, ktoré zakazovali testovaciu transakciu.
Najrýchlejší rast vykazujú podvody využívajúce falošné terminály na získavanie zákazníckych účtov a PIN kódov. Útoky tohto typu boli prvýkrát opísané v Spojených štátoch v roku 1988. Podvodníci postavili stroj, ktorý akceptuje akúkoľvek kartu a vydá balíček cigariet. Tento vynález bol umiestnený v obchode a PIN kódy a dáta z magnetických kariet boli prenášané cez modem. Trik sa rozšíril po celom svete.
Technici tiež kradnú peniaze od zákazníkov, vediac, že ich sťažnosti budú pravdepodobne ignorované. V banke v Škótsku pripojil technik technickej podpory počítač k bankomatu a zaznamenal čísla zákazníckych účtov a PIN. Potom sfalšoval karty a ukradol peniaze z účtov. A opäť sa zákazníci sťažovali na prázdne steny. Za túto prax banku verejne kritizoval jeden z najvyšších právnych predstaviteľov v Škótsku.
Účelom použitia štvormiestneho PINu je, že ak niekto nájde alebo ukradne bankovú kartu inej osoby, existuje šanca jedna ku desaťtisíc, že kód náhodou uhádne. Ak sú povolené len tri pokusy o PIN, potom je šanca na výber peňazí z ukradnutej karty menšia ako jedna k trom tisíckam. Niektorým bankám sa však podarilo zmenšiť danú pestrosť o štyri číslice.
Niektoré banky sa neriadia schémou získania PIN kódu kryptografickou konverziou čísla účtu, ale použitím náhodne zvoleného PIN kódu (alebo umožnením výberu zákazníkom) a následnou kryptografickou konverziou na zapamätanie. Okrem toho, že tento prístup umožňuje zákazníkovi vybrať si PIN, ktorý sa dá ľahko uhádnuť, vedie k niektorým technickým úskaliam.
Niektoré banky uchovávajú v záznamoch zašifrovanú hodnotu PIN. To znamená, že programátor môže získať zašifrovanú hodnotu svojho vlastného PIN a vyhľadať v databáze všetky ostatné účty s rovnakým PIN.
Jedna veľká britská banka dokonca zaznamenala zašifrovanú hodnotu PIN na magnetický prúžok karty. Trvalo pätnásť rokov, kým si zločinecká obec uvedomila, že je možné nahradiť číslo účtu na magnetickom prúžku vlastnej karty a následne ho použiť s vlastným PINom na krádež z nejakého účtu.
Z tohto dôvodu sa v systéme VISA odporúča, aby banky pred šifrovaním spojili číslo účtu zákazníka s jeho PIN. Nie všetky banky to však robia.
Sofistikovanejšie útoky boli doteraz spôsobené jednoduchou implementáciou a chybami v prevádzkových postupoch. Profesionálni výskumníci v oblasti bezpečnosti mali tendenciu považovať takéto chyby za nezaujímavé, a preto sa zamerali na útoky založené na vývoji jemnejších technických nedostatkov. Bankovníctvo má tiež množstvo bezpečnostných zraniteľností.
Hoci sú útoky na bankové systémy založené na špičkových technológiách zriedkavé, z hľadiska verejnosti sú zaujímavé, pretože vládne iniciatívy, ako napríklad kritériá hodnotenia technológie informačnej bezpečnosti EÚ (ITSEC), majú za cieľ vyvinúť súbor produktov, ktoré sú certifikované bez známych technických chýb. Návrhy, z ktorých vychádza tento program, sú, že implementácia a technologické postupy príslušných produktov budú v podstate bezchybné a že útok si vyžaduje technické školenie porovnateľné s výcvikom vládnych bezpečnostných agentúr. Tento prístup je zrejme vhodnejší pre vojenské systémy ako pre civilné.
Aby sme pochopili, ako sa vykonávajú sofistikovanejšie útoky, je potrebné pozrieť sa na bankový bezpečnostný systém podrobnejšie.
Problémy súvisiace s bezpečnostnými modulmi
Nie všetky bezpečnostné produkty sú rovnako kvalitné a len málo bánk má kvalifikovaných odborníkov na rozlíšenie dobrých produktov od priemerných.
V reálnej praxi sa vyskytujú určité problémy so šifrovacími produktmi, najmä so starým bezpečnostným modulom IBM 3848 alebo modulmi v súčasnosti odporúčanými pre bankové organizácie.
Ak banka nedisponuje hardvérovými bezpečnostnými modulmi, funkcia šifrovania PIN kódu bude softvérovo implementovaná s príslušnými nežiaducimi následkami. Softvér bezpečnostného modulu môže obsahovať body prerušenia na ladenie softvérových produktov inžiniermi výrobcu. Na túto skutočnosť bolo upozornené, keď sa v jednej z bánk rozhodlo o jej zaradení do siete a systémový inžinier výrobcu nedokázal zabezpečiť chod požadovanej brány. Aby svoju prácu dokončil, použil jeden z týchto trikov na vytiahnutie PINov zo systému. Existencia takýchto bodov prerušenia znemožňuje vytvorenie spoľahlivých postupov na správu bezpečnostných modulov.
Niektorí výrobcovia bezpečnostných modulov si takéto útoky uľahčujú sami. Napríklad sa používa metóda generovania pracovných kľúčov na základe času dňa a v dôsledku toho sa skutočne použije iba 20 bitov kľúča namiesto očakávaných 56. Podľa teórie pravdepodobnosti teda na každých 1 000 vygenerovaných kľúčov dvaja sa zhodujú.
To umožňuje jemné zneužitie, pri ktorom útočník manipuluje s komunikáciou banky tak, že transakcie jedného terminálu sú nahradené transakciami iného.
Programátori jednej banky si nelámali hlavu ani s problémami spojenými so zavádzaním zákazníckych kľúčov do šifrovacích programov. Jednoducho nastavia ukazovatele na kľúčové hodnoty v oblasti pamäte, ktorá je pri štarte systému vždy nastavená na nulu. výsledok toto rozhodnutie bolo, že skutočný a testovací systém využívali rovnaké kľúčové úložné priestory. Technici banky prišli na to, že môžu získať zákaznícke PIN na testovacom zariadení. Viacerí z nich kontaktovali miestnych kriminálnikov, aby vybrali PIN kódy pre ukradnuté bankové karty. Keď bezpečnostný manažér banky prezradil, čo sa deje, zahynul pri autonehode (a miestna polícia „stratila“ všetky relevantné materiály). Banka sa neobťažovala posielať svojim zákazníkom nové karty.
Jedným z hlavných účelov bezpečnostných modulov je zabrániť programátorom a personálu s prístupom k počítačom získať kľúčové bankové informácie. Utajenie poskytované elektronickými komponentmi bezpečnostných modulov však často nedokáže odolať pokusom o kryptografický prienik.
Bezpečnostné moduly majú svoje vlastné hlavné kľúče na interné použitie a tieto kľúče sa musia uchovávať na špecifickom mieste. Záložná kópia kľúča sa často uchováva v ľahko čitateľnej forme, ako je pamäť PROM, a kľúč je možné z času na čas prečítať, napríklad pri prenose kontroly nad sadou kľúčov zóny a terminálu z jedného bezpečnostného modulu. inému. V takýchto prípadoch je banka v procese vykonávania tejto operácie úplne vydaná na milosť a nemilosť odborníkom.
Problémy súvisiace s dizajnovými technológiami
Poďme stručne diskutovať o technológii navrhovania bankomatov. V starších modeloch bol kód pre šifrovacie programy umiestnený na nesprávnom mieste - v ovládacom zariadení, a nie v samotnom module. Riadiace zariadenie malo byť umiestnené v bezprostrednej blízkosti modulu v určitej oblasti. No veľké množstvo bankomatov sa v súčasnosti nenachádza v bezprostrednej blízkosti budovy banky. Na jednej univerzite v Spojenom kráľovstve bol v kampuse umiestnený bankomat, na ktorý sa posielali nezašifrované čísla účtov a kódy PIN telefónna linka do riadiacej jednotky pobočky, ktorá sa nachádzala niekoľko kilometrov od mesta. Každý, kto nebol príliš lenivý používať odpočúvacie zariadenie telefónnej linky, mohol falšovať karty po tisícoch.
Aj v prípadoch, keď sa kupuje jeden z najlepších produktov, existuje veľké množstvo prípadov, kedy nesprávna implementácia alebo nedomyslené technologické postupy vedú banke k problémom. Väčšina bezpečnostných modulov vracia rozsah návratových kódov pre každú transakciu. Niektoré z nich, ako napríklad „chyba parity kľúča“, upozorňujú, že programátor experimentuje so skutočným používaným modulom. Len málo bánk sa však obťažovalo napísať ovládač zariadenia potrebný na zachytenie týchto upozornení a podľa toho konať.
O bankách je známe, že subdodávateľsky zadávajú celý systém zásobovania bankomatov alebo jeho časť firmám „poskytujúcim súvisiace služby“ a týmto firmám prenášajú PIN kódy.
Vyskytli sa aj precedensy, keď si PIN kódy zdieľali dve alebo viaceré banky. Aj keď sa všetci zamestnanci banky považujú za dôveryhodných, externé firmy nemusia dodržiavať bezpečnostné zásady, ktoré sú špecifické pre banky. Zamestnanci týchto firiem nie sú vždy riadne preverení, je pravdepodobné, že budú nedostatočne platení, zvedaví a bezohľadní, čo môže viesť k vymysleniu a vykonaniu podvodu.
Jadrom mnohých opísaných manažérskych chýb je nedostatočný rozvoj psychologickej časti projektu. Pobočky a výpočtové strediská banky musia pri vykonávaní svojej každodennej práce dodržiavať štandardné postupy, ale prísne sa budú uplatňovať iba tie kontrolné postupy, ktorých účel je zrejmý. Napríklad zdieľanie kľúčov od pobočkového trezoru medzi manažérom a účtovníkom je dobre pochopiteľné: oboch to chráni pred zajatím ich rodín. Kryptografické kľúče nie sú často zabalené v užívateľsky príjemnej forme, a preto je nepravdepodobné, že by sa správne používali. Čiastočnou odpoveďou by mohli byť zariadenia, ktoré skutočne pripomínajú kľúče (na obrázku kryptografických kľúčov rozbušiek jadrových zbraní).
O zlepšovaní operačných postupov by sa dalo písať veľa, ale ak je cieľom zabrániť tomu, aby sa nejaký kryptografický kľúč dostal do rúk niekoho, kto má technické schopnosti ho zneužiť, potom by mal byť v manuáloch a školeniach stanovený presný cieľ. Princíp „bezpečnosti prostredníctvom nejasností“ často spôsobí viac škody ako úžitku.
Rozdelenie kľúčov
Distribúcia kľúčov predstavuje osobitný problém pre pobočky bánk. Ako viete, teória vyžaduje, aby každý z dvoch bankárov zadal iný kľúčový komponent, takže ich kombináciou získate hlavný kľúč terminálu. PIN kód zašifrovaný na hlavnom kľúči terminálu sa odošle do bankomatu pri prvej transakcii po údržbe.
Ak technik bankomatu získa obe zložky kľúča, môže dešifrovať PIN a sfalšovať karty. V praxi to znamená, že manažéri pobočiek, ktorí kľúče skladujú, ich takmer radi odovzdajú strojníkovi, keďže nechcú stáť pri bankomate, kým je obsluhovaný. Navyše zadanie klávesu terminálu znamená používanie klávesnice, čo starší manažéri považujú za podceňovanú.
Zle spravovať kľúče je bežnou praxou. Je známy prípad, keď boli obidva mikroobvody s hlavnými kľúčmi odovzdané technikovi zo servisného personálu. Hoci teoreticky existovali postupy dvojitej kontroly, bezpečnostný personál odovzdal čipy od použitia posledných kľúčov a nikto nevedel, čo má robiť. Inžinier mohol nielen falšovať karty. Mohol odísť s kľúčmi a zastaviť všetky operácie bankových bankomatov.
Bez zaujímavosti nie je ani fakt, že kľúče sú častejšie uložené v otvorených súboroch ako v chránených. Týka sa to nielen kľúčov od bankomatov, ale aj kľúčov pre medzibankové zúčtovacie systémy, ako je SWIFT, v ktorých sa realizujú transakcie za miliardy. Bolo by rozumné použiť inicializačné kľúče, ako sú terminálové kľúče a kľúče zóny, iba raz a potom ich zničiť.
Kryptoanalytické hrozby
Kryptanalytici sú pravdepodobne najmenšou hrozbou pre bankové systémy, ale nemožno ich úplne vylúčiť. Niektoré banky (vrátane veľkých a slávnych) stále používajú domáce kryptografické algoritmy z rokov pred DES. V jednej dátovej sieti boli dátové bloky jednoducho „zakódované“ pridaním konštanty. Tento spôsob nebol päť rokov kritizovaný, napriek tomu, že sieť využívalo viac ako 40 bánk. Okrem toho všetci odborníci na poistenie, audit a bezpečnosť týchto bánk zjavne čítali špecifikácie systému.
Aj keď sa použije „slušný“ algoritmus, môže byť implementovaný s nevhodnými parametrami. Niektoré banky napríklad implementovali algoritmus RSA s dĺžkou kľúča 100 až 400 bitov, a to aj napriek tomu, že dĺžka kľúča musí byť aspoň 500 bitov, aby sa zabezpečila požadovaná úroveň bezpečnosti.
Kľúč môžete nájsť aj pomocou hrubej sily, skúšaním všetkých možných šifrovacích kľúčov, kým nenájdete kľúč, ktorý používa konkrétnu banku.
Protokoly používané v medzinárodných sieťach na šifrovanie operačných kľúčov pomocou zónových kľúčov uľahčujú napadnutie zónového kľúča týmto spôsobom. Ak bol kľúč zóny otvorený raz, všetky kódy PlN odoslané alebo prijaté bankou cez sieť môžu byť dešifrované. Nedávna štúdia kanadskej banky ukázala, že tento druh útoku na DES by stál približne 30 000 libier za kľúč zóny. V dôsledku toho sú na takýto zločin zdroje organizovaného zločinu úplne postačujúce a takýto zločin by mohol spáchať dostatočne bohatý jednotlivec.
Pravdepodobne boli špecializované počítače potrebné na nájdenie kľúčov vytvorené v špeciálnych službách niektorých krajín, vrátane tých v krajinách, ktoré sú teraz v stave chaosu. Preto existuje určité riziko, že majitelia tohto zariadenia by ho mohli použiť na osobný prospech.
Všetky systémy, malé aj veľké, obsahujú chyby a sú náchylné na chyby operátora. Výnimkou nie sú ani bankové systémy a uvedomuje si to každý, kto pracoval v priemyselnej výrobe. Pobočkové zúčtovacie systémy majú tendenciu byť väčšie a zložitejšie, s mnohými vzájomne pôsobiacimi modulmi, ktoré sa vyvíjajú desaťročia. Niektoré transakcie sa nevyhnutne vykonajú nesprávne: debet môže byť duplikovaný alebo nesprávne zmenený účet.
Táto situácia nie je novinkou pre finančných kontrolórov veľkých spoločností, ktoré majú na zosúlaďovanie bankových účtov špeciálny personál. Keď dôjde k chybnému debetu, títo úradníci požadujú príslušné dokumenty na analýzu a ak dokumenty chýbajú, dostanú od banky vrátenie nesprávnej platby.
Zákazníci bankomatov však túto možnosť uhradiť sporné platby nemajú. Väčšina bankárov mimo USA jednoducho tvrdí, že v ich systémoch nie sú žiadne chyby.
Takáto politika so sebou nesie určité právne a administratívne riziká. Po prvé, vytvára možnosť zneužitia, keďže podvod je konšpiračný. Po druhé, vedie k príliš zložitému dokazovaniu pre klienta, čo bolo dôvodom zjednodušenia konania na amerických súdoch. Po tretie, ide o morálnu ujmu spojenú s nepriamym nabádaním zamestnancov bánk ku krádežiam na základe vedomia, že je nepravdepodobné, že ich chytia. Po štvrté, ide o ideologickú vadu, pretože v dôsledku chýbajúcej centralizovanej evidencie zákazníckych nárokov neexistuje možnosť riadne organizovanej kontroly prípadov podvodov.
Dopad na obchodnú činnosť spojenú so stratami v bankomatoch je pomerne ťažké presne odhadnúť. V Spojenom kráľovstve ekonomický tajomník ministerstva financií (minister zodpovedný za bankovú reguláciu) v júni 1992 uviedol, že takéto chyby ovplyvňujú najmenej dve z troch miliónov denných transakcií. Pod tlakom nedávnych súdnych sporov sa však tento údaj upravil najskôr na 1 chybnú transakciu z 250 000, potom 1 zo 100 000 a nakoniec 1 z 34 000.
Keďže zákazníkov, ktorí podajú reklamáciu, zamestnanci banky zvyčajne odmietajú a väčšina ľudí si jednoducho nedokáže všimnúť jednorazový výber z účtu, najreálnejší predpoklad je, že na 10 000 pripadá približne 1 chybná transakcia. Ak teda priemerný zákazník použije bankomat raz týždenne po dobu 50 rokov, môžeme očakávať, že každý štvrtý zákazník bude mať počas života problémy s používaním bankomatu.
Dizajnéri kryptografických systémov sú v nevýhode kvôli nedostatku informácií o tom, ako k zlyhaniam systému dochádza v praxi, a nie ako by k nim mohlo dôjsť teoreticky. Táto nevýhoda spätná väzba vedie k použitiu nesprávneho modelu hrozby. Dizajnéri sa zameriavajú na to, čo v systéme môže viesť k poruche, namiesto toho, aby sa sústredili na to, čo by normálne viedlo k chybám. Mnohé produkty sú také zložité a zložité, že sa len zriedka používajú správne. Dôsledkom je skutočnosť, že väčšina chýb súvisí s implementáciou a údržbou systému. Konkrétnym výsledkom bolo množstvo podvodov s bankomatmi, ktoré viedli nielen k finančným stratám, ale aj k justičným omylom a zníženiu dôvery v bankový systém.
Jedným z príkladov implementácie kryptografických metód je systém ochrany kryptografických informácií pomocou digitálneho podpisu EXCELLENCE.
Softvérový kryptografický systém EXCELLENCE je navrhnutý tak, aby chránil informácie spracovávané, ukladané a prenášané medzi osobnými počítačmi kompatibilnými s IBM pomocou kryptografického šifrovania, digitálneho podpisu a autentifikačných funkcií.
Systém implementuje kryptografické algoritmy, ktoré spĺňajú štátne normy: šifrovanie - GOST 28147-89. Digitálny podpis je založený na algoritme RSA.
Kľúčový systém so silnou autentifikáciou a kľúčovou certifikáciou je založený na široko používanom v medzinárodnej praxi: protokol X.509 a princíp verejnej distribúcie RSA kľúčov.
Systém obsahuje kryptografické funkcie na spracovanie informácií na úrovni súborov:
a kryptografické funkcie pre prácu s kľúčmi:
Každý účastník siete má svoj vlastný tajný a verejný kľúč. Tajný kľúč každého užívateľa je zaznamenaný na jeho individuálnej kľúčovej diskete alebo individuálnej elektronickej karte. Utajenie kľúča predplatiteľa zabezpečuje ochranu pre neho zašifrovaných informácií a nemožnosť falšovania jeho digitálneho podpisu.
Systém podporuje dva typy kľúčových médií:
Každý účastník siete má k dispozícii katalóg súborov verejných kľúčov všetkých účastníkov systému, chránených pred neoprávnenými zmenami, spolu s ich menami. Každý účastník je povinný zachovať svoj tajný kľúč v tajnosti.
Funkčne je systém EXCELLENCE implementovaný ako programový modul excell_s.exe a pracuje pod MS DOS 3.30 a vyšším. Parametre na vykonávanie funkcií sa odovzdávajú vo formulári príkazový riadok DOS. Okrem toho je dodávaný grafický shell rozhrania. Program automaticky rozpozná a podporuje 32-bitové operácie procesora Intel386/486/Pentium.
Na vloženie do iných softvérové systémy implementovaný variant systému EXCELLENCE, obsahujúci hlavné kryptografické funkcie pre prácu s dátami v RAM v režimoch: pamäť - pamäť; pamäť - súbor; súbor je pamäť.
Predpoveď na začiatok XXI storočia
Podiel manažmentu bánk, ktorý prijme účinné opatrenia na riešenie problému informačnej bezpečnosti, by sa mal zvýšiť na 40 – 80 %. Hlavným problémom bude údržba (vrátane bývalého) personálu (od 40 % do 95 % prípadov) a hlavnými typmi hrozieb budú neoprávnený prístup (UAS) a vírusy (až 100 % bánk bude vystavených vírusovým útokom ).
Najdôležitejšími opatreniami na zabezpečenie informačnej bezpečnosti bude najvyššia profesionalita služieb informačnej bezpečnosti. Pre to banky budú musieť minúť až 30 % svojich ziskov na informačnú bezpečnosť.
Napriek všetkým vyššie uvedeným opatreniam je absolútne riešenie problému informačnej bezpečnosti nemožné. Efektívnosť systému informačnej bezpečnosti banky je zároveň úplne determinovaná množstvom finančných prostriedkov doň investovaných a profesionalitou služby informačnej bezpečnosti a možnosť narušenia informačného bezpečnostného systému banky je výlučne determinovaná nákladmi na prekonanie systému ochrany a kvalifikácie podvodníkov. (V zahraničnej praxi sa verí, že má zmysel „prelomiť“ systém ochrany, ak náklady na jeho prekonanie nepresiahnu 25 % nákladov na chránené informácie).
Kapitola 4 sa zaoberala charakteristikami prístupu k ochrane systémov elektronického bankovníctva. Špecifikom týchto systémov je špeciálna forma elektronickej výmeny dát – elektronické platby, bez ktorej nemôže existovať žiadna moderná banka.
Elektronická výmena údajov (EDI) je výmena obchodných, obchodných a finančných elektronických dokumentov medzi počítačmi. Napríklad objednávky, platobné pokyny, zmluvné ponuky, faktúry, účtenky atď.
OED zabezpečuje operatívnu interakciu obchodných partnerov (zákazníkov, dodávateľov, predajcov atď.) vo všetkých fázach prípravy obchodnej transakcie, uzatvorenia zmluvy a realizácie dodávky. Vo fáze platby za zmluvu a prevodu finančných prostriedkov môže EOS viesť k elektronickej výmene finančných dokumentov. To vytvára efektívne prostredie pre obchodné a platobné transakcie:
* V reálnom čase je možné zoznámiť obchodných partnerov s ponukami tovarov a služieb, vybrať potrebný produkt/službu, objasniť obchodné podmienky (náklady a dodacia lehota, obchodné zľavy, záručné a servisné povinnosti);
* Objednávanie tovaru/služieb alebo vyžiadanie ponuky zmluvy v reálnom čase;
* Operatívna kontrola dodávky tovaru, príjem sprievodných dokumentov e-mailom (faktúry, faktúry, výpisy komponentov a pod.);
* Potvrdenie o dokončení dodávky tovaru/služby, vystavenie a zaplatenie faktúry;
* Vykonávanie bankových úverových a platobných transakcií. Medzi výhody OED patria:
* Zníženie nákladov na transakcie vďaka prechodu na bezpapierovú technológiu. Odborníci odhadujú náklady na spracovanie a vedenie papierovej evidencie na 3 – 8 % z celkových nákladov obchodnej prevádzky a dodávky tovaru. Zisk z používania EOS sa napríklad v americkom automobilovom priemysle odhaduje na viac ako 200 USD na vyrobené auto;
* Zvýšenie rýchlosti výpočtu a obratu peňazí;
* Zlepšenie pohodlia výpočtov.
Existujú dve kľúčové stratégie rozvoja EEA:
1. OED sa používa ako konkurenčná výhoda, ktorá umožňuje užšiu interakciu s partnermi. Táto stratégia je prijatá vo veľkých organizáciách a nazýva sa Extended Enterprise Approach.
2. OED sa používa v niektorých špecifických priemyselných projektoch alebo v iniciatívach združení obchodných a iných organizácií na zvýšenie efektívnosti ich interakcie.
Banky v Spojených štátoch a západnej Európe si už uvedomili svoju kľúčovú úlohu pri šírení EIA a uvedomili si významné výhody, ktoré vyplývajú z užšej interakcie s obchodnými a osobnými partnermi. OED pomáha bankám poskytovať služby zákazníkom, najmä tým malým, ktorí si ich predtým nemohli dovoliť pre ich vysoké náklady.
Hlavnou prekážkou širokého šírenia EOS je rôznorodosť reprezentácií dokumentov pri ich výmene prostredníctvom komunikačných kanálov. Na prekonanie tejto prekážky rôzne organizácie vyvinuli štandardy na prezentáciu dokumentov v systémoch EOS pre rôzne odvetvia:
QDTI - General Trade Interchange (Európa, medzinárodný obchod);
MDSND - National Automated Clearing House Association (USA, National Association of Automated Clearing Houses);
TDCC - Výbor pre koordináciu údajov o doprave;
VICS - Voluntary Interindustry Communication Standard (USA, Voluntary Interindustry Communication Standard);
WINS – štandardy skladovej informačnej siete informačnej siete sklady).
V októbri 1993 medzinárodná skupina EHK OSN zverejnila prvú verziu normy EDIFACT. Vyvinutý súbor pravidiel syntaxe a prvkov komerčných údajov bol formalizovaný vo forme dvoch noriem ISO:
ISO 7372 - Adresár prvkov obchodných údajov (Adresár prvkov komerčných údajov);
ISO 9735 - EDIFACT - Pravidlá syntaxe na aplikačnej úrovni.
Špeciálnym prípadom EOD sú elektronické platby – výmena finančných dokumentov medzi zákazníkmi a bankami, medzi bankami a inými finančnými a komerčnými organizáciami.
Podstata konceptu elektronických platieb spočíva v tom, že správy odoslané cez komunikačné linky, riadne vykonané a odoslané, sú základom pre vykonanie jednej alebo viacerých bankových operácií. Na vykonanie týchto operácií sa v zásade nevyžadujú žiadne papierové doklady (aj keď ich možno vydať). Inými slovami, správa odoslaná cez komunikačné linky nesie informáciu o tom, že odosielateľ vykonal nejaké operácie na svojom účte, najmä na korešpondenčnom účte prijímajúcej banky (ktorým môže byť zúčtovacie centrum), a že príjemca musí vykonať operácie uvedené v správe. Na základe takejto správy môžete posielať alebo prijímať peniaze, otvoriť si pôžičku, zaplatiť za nákup alebo službu a vykonávať akékoľvek iné banková operácia. Takéto správy sa nazývajú elektronické peniaze a vykonávanie bankových operácií na základe odosielania alebo prijímania takýchto správ sa nazýva elektronické platby. Prirodzene, celý proces uskutočňovania elektronických platieb si vyžaduje spoľahlivú ochranu. V opačnom prípade bude banka a jej zákazníci čeliť vážnym problémom.
Elektronické platby sa používajú na medzibankové, obchodné a osobné zúčtovanie.
Medzibankové a obchodné vyrovnania sa uskutočňujú medzi organizáciami (právnickými osobami), preto sa niekedy nazývajú korporátne. Vyrovnania týkajúce sa jednotlivých klientov sa nazývajú osobné.
Väčšina veľkých krádeží v bankových systémoch priamo alebo nepriamo súvisí s elektronickými platobnými systémami.
Na ceste k vytvoreniu elektronických platobných systémov, najmä globálnych, pokrývajúcich veľké množstvo finančných inštitúcií a ich klientov v rôznych krajinách, je veľa prekážok. Hlavné sú:
1. Chýbajúce jednotné štandardy operácií a služieb, čo výrazne komplikuje vytváranie jednotných bankových systémov. Každá väčšia banka sa snaží o vytvorenie vlastnej siete ETO, čo zvyšuje náklady na jej prevádzku a údržbu. Duplicitné systémy sťažujú ich používanie, vytvárajú vzájomné rušenie a obmedzujú možnosti zákazníkov.
2. Zvyšujúca sa mobilita peňažnej masy, ktorá vedie k zvýšeniu možnosti finančných špekulácií, rozširuje tok „putujúceho kapitálu“. Tieto peniaze sú schopné v krátkom čase zmeniť situáciu na trhu a destabilizovať ho.
3. Zlyhania a zlyhania hardvérových a softvérových chýb pri realizácii finančného vyrovnania, ktoré môžu viesť k vážnym komplikáciám pre ďalšie vyrovnanie a strate dôvery klientov v banku, najmä z dôvodu úzkeho prelínania bankových väzieb (a druh "šírenia chýb"). Zároveň sa výrazne zvyšuje úloha a zodpovednosť operátorov a správy systému, ktorí priamo riadia spracovanie informácií.
Každá organizácia, ktorá sa chce stať klientom akéhokoľvek elektronického platobného systému, alebo organizovať svoj vlastný systém, si to musí uvedomiť.
Aby elektronický platobný systém fungoval spoľahlivo, musí byť dobre chránený.
Obchodné dohody sa uskutočňujú medzi rôznymi obchodnými organizáciami. Banky sa na týchto výpočtoch podieľajú ako sprostredkovatelia pri prevode peňazí z účtu vyplácajúcej organizácie na účet prijímajúcej organizácie.
Vysporiadanie obchodu je rozhodujúce pre celkový úspech programu elektronických platieb. Objem finančných transakcií rôznych spoločností zvyčajne tvorí významnú časť celkového objemu bankových operácií.
Typy obchodných vysporiadaní sa pre rôzne organizácie značne líšia, no pri ich realizácii sa vždy spracúvajú dva typy informácií: platobné správy a pomocné informácie (štatistiky, súhrny, notifikácie). Pre finančné inštitúcie sú, samozrejme, najväčším záujmom informácie platobných správ - čísla účtov, sumy, zostatok a pod. Pre obchodné organizácie sú obidva typy informácií rovnako dôležité - prvá poskytuje vodítko o finančnej situácii, druhá - pomáha pri rozhodovaní a tvorbe politiky.
Najbežnejšie používané obchodné vysporiadania sú nasledujúcich dvoch typov:
* Priamy vklad.
Zmyslom tohto typu platieb je, že organizácia dáva banke pokyn, aby určité druhy platieb pre svojich zamestnancov alebo zákazníkov vykonávala automaticky, pomocou vopred pripravených magnetických médií alebo špeciálnych správ. Podmienky realizácie takýchto výpočtov sú vopred dohodnuté (zdroj financovania, výška atď.). Používajú sa najmä na pravidelné platby (platby rôznych druhov poistenia, splácanie úverov, miezd a pod.). Z organizačného hľadiska je priamy vklad výhodnejší ako napríklad platby šekmi.
Od roku 1989 sa počet zamestnancov využívajúcich priamy vklad zdvojnásobil na 25 % z celkového počtu. Viac ako 7 miliónov Američanov dnes dostáva mzdy vo forme priameho vkladu. Pre banky ponúka priamy vklad tieto výhody:
Zníženie objemu úloh spojených so spracovaním papierových dokumentov a v dôsledku toho úspora značných súm;
Zvýšenie počtu vkladov, pretože 100% objemu platieb musí byť vykonaných na vklad.
Okrem bánk profitujú aj majitelia a zamestnanci; zvýšenie pohodlia a zníženie nákladov.
* Výpočty pomocou EOS.
Údaje sú tu faktúry, faktúry, výkazy komponentov atď.
Implementácia EEA si vyžaduje implementáciu tohto súboru základných služieb:
X.400 e-mail;
Prenos súboru;
Komunikácia z bodu do bodu;
Prístup k databázam v on-line režime;
Poštová schránka;
Transformácia štandardov prezentácie informácií.
Príklady v súčasnosti existujúcich systémov vysporiadania obchodu pomocou EOS sú:
National Bank a Royal Bank (Kanada) sa spájajú so svojimi zákazníkmi a partnermi prostredníctvom informačnej siete IBM;
Bank of Scotland Transcontinental Automated Payment Service (TAPS), založená v roku 1986, spája Bank of Scotland so zákazníkmi a partnermi v 15 krajinách prostredníctvom korešpondenčných bánk a automatizovaných zúčtovacích stredísk.
Elektronické medzibankové zúčtovanie sú prevažne dvoch typov:
* Zúčtovanie zúčtovania pomocou výkonného počítačového systému sprostredkovateľskej banky (zúčtovacia banka) a korešpondenčných účtov bánk zúčastňujúcich sa na zúčtovaní s touto bankou. Systém je založený na zápočte vzájomných peňažných pohľadávok a záväzkov právnických osôb s následným prevodom zostatku. Zúčtovanie je široko využívané aj na burzách cenných papierov a komoditných burzách, kde sa zápočet vzájomných pohľadávok účastníkov transakcií uskutočňuje prostredníctvom zúčtovacieho centra alebo špeciálneho elektronického zúčtovacieho systému.
Medzibankové zúčtovanie sa uskutočňuje prostredníctvom špeciálnych zúčtovacích centier, komerčných bánk, medzi pobočkami a pobočkami jednej banky - prostredníctvom ústredia. V mnohých krajinách vykonávajú funkcie zúčtovacích centier centrálne banky. Automatizované zúčtovacie strediská (ACP) poskytujú služby na výmenu finančných prostriedkov medzi finančnými inštitúciami. Platobné transakcie sú v podstate buď debetné alebo kreditné. Členmi systému AKT sú finančné inštitúcie, ktoré sú členmi združenia AKT. Asociácia je založená s cieľom vyvinúť pravidlá, postupy a štandardy pre vykonávanie elektronických platieb v rámci geografického regiónu. Treba poznamenať, že AKP nie je nič iné ako mechanizmus na pohyb financií a sprievodných informácií. Sami o sebe nevykonávajú platobné služby. AKT boli vytvorené na doplnenie systémov na spracovanie papierových finančných dokumentov. Prvé AKT sa objavili v Kalifornii v roku 1972, v súčasnosti je v USA 48 krajín AKT. V roku 1978 bola vytvorená asociácia National Automated Clearing House Association (NACHA), ktorá združuje všetkých 48 sietí AKT na kooperatívnom základe.
Objem a charakter operácií sa neustále rozširuje. AKT začínajú vykonávať obchodné zúčtovanie a operácie elektronickej výmeny údajov. Po troch rokoch úsilia rôznych bánk a spoločností vznikol systém CTP (Corporate Trade Payment), určený na automatické spracovanie kreditov a debetov. Podľa odborníkov bude v blízkej budúcnosti pokračovať trend rozširovania funkcií AKP.
* Priame zúčtovanie, pri ktorom dve banky spolu priamo komunikujú prostredníctvom loro nostro účtov, prípadne za účasti tretej strany v organizačnej alebo podpornej úlohe. Prirodzene, objem vzájomných transakcií by mal byť dostatočne veľký, aby odôvodnil náklady na organizáciu takéhoto systému vyrovnania. Takýto systém zvyčajne kombinuje niekoľko bánk, pričom každý pár môže komunikovať priamo medzi sebou a obchádzať sprostredkovateľov. V tomto prípade je však potrebné riadiace centrum, ktoré sa zaoberá ochranou interagujúcich bánk (distribúcia kľúčov, riadenie, kontrola fungovania a evidencia udalostí).
Takýchto systémov je na svete pomerne veľa – od malých, spájajúcich viacero bánk či pobočiek, až po obrie medzinárodné, spájajúce tisíce účastníkov. Najznámejším systémom tejto triedy je SWIFT.
V poslednej dobe sa objavil tretí typ elektronickej platby - spracovanie elektronických šekov (elektronické skracovanie šeku), ktorého podstatou je zastavenie cesty posielania papierového šeku do peňažného ústavu, v ktorom bol predložený. V prípade potreby jeho elektronický náprotivok „cestuje“ ďalej vo forme špeciálnej správy. Preposielanie a preplatenie elektronického šeku sa vykonáva pomocou ACP.
V roku 1990 NACHA oznámila prvú fázu testovania národného experimentálneho programu s názvom „Electronic Check Truncation“. Jeho cieľom je znížiť náklady na spracovanie obrovského množstva papierových šekov.
Posielanie peňazí pomocou elektronického platobného systému zahŕňa nasledujúce kroky (postup sa môže líšiť v závislosti od konkrétnych podmienok a samotného systému):
1. Určitý účet v systéme prvej banky je znížený o požadovanú sumu.
2. O rovnakú sumu sa zvyšuje korešpondenčný účet druhej banky v prvej.
3. Z prvej banky do druhej sa odošle správa s informáciami o vykonaných akciách (identifikátory účtu, suma, dátum, podmienky atď.); zároveň musí byť preposlaná správa primerane chránená pred falšovaním: zašifrovaná, digitálne podpísaná a s ovládacími poľami atď.
4. Požadovaná suma sa odpíše z korešpondenčného účtu prvej banky v druhej.
5. Určitý účet v druhej banke je navýšený o požadovanú sumu.
6. Druhá banka zasiela prvej banke oznámenie o vykonaných úpravách účtu; táto správa musí byť tiež chránená pred falšovaním podobným spôsobom ako platobná správa.
7. Výmenný protokol je pevný pre oboch účastníkov a prípadne aj pre tretiu stranu (v riadiacom centre siete), aby sa predišlo konfliktom.
Na spôsobe prenosu správ môžu byť sprostredkovatelia – zúčtovacie centrá, sprostredkovateľské banky pri prenose informácií a pod. Hlavnou ťažkosťou takýchto výpočtov je dôvera vo vášho partnera, to znamená, že každý z účastníkov si musí byť istý, že jeho korešpondent vykoná všetky potrebné kroky.
Pre rozšírenie využívania elektronických platieb sa realizuje štandardizácia elektronickej prezentácie finančných dokladov. Vznikla v 70-tych rokoch ako súčasť dvoch organizácií:
1) ANSI (American National Standard Institute) zverejnil ANSI X9.2-1080, (Špecifikácia výmenných správ pre výmenu správ debetných a kreditných kariet medzi finančným inštitútom). V roku 1988 prijala podobnú normu ISO a pomenovala ju ISO 8583 (Špecifikácie správ o výmene správ vytvorených bankovými kartami – obsah pre finančné transakcie);
2) SWIFT (Spoločnosť pre celosvetové medzibankové finančné telekomunikácie) vyvinula sériu štandardov pre medzibankové správy.
V súlade s normou ISO 8583 finančný dokument obsahuje množstvo údajových prvkov (náležitostí), ktoré sa nachádzajú v určitých poliach správy alebo elektronického dokumentu (elektronická kreditná karta, správa X.400 alebo dokument v syntaxi EDIFACT) . Každý dátový prvok (ED) má priradené svoje vlastné jedinečné číslo. Údajový prvok môže byť buď povinný (t. j. zahrnutý v každej správe tohto typu) alebo voliteľný (v niektorých správach môže chýbať).
Bitová stupnica určuje zloženie správy (tie ED, ktoré sú v nej prítomné). Ak je niektorá číslica bitovej stupnice nastavená na jednu, znamená to, že v správe je prítomná zodpovedajúca hodnota ED. Vďaka tomuto spôsobu kódovania správ sa znižuje celková dĺžka správy, dosahuje sa flexibilita pri prezentácii správ s mnohými ED a do elektronického dokumentu štandardnej štruktúry je možné zaradiť nové ED a typy správ.
Existuje niekoľko spôsobov elektronických medzibankových platieb. Zvážte dve z nich: platba šekom (platba po poskytnutí služby) a platba akreditívom (platba za očakávanú službu). Ostatné spôsoby, ako napríklad platba prostredníctvom platobných príkazov alebo platobných príkazov, majú podobnú organizáciu.
Platba šekom je založená na papierovom alebo inom doklade obsahujúcom totožnosť platiteľa. Tento doklad je podkladom pre prevod sumy uvedenej v šeku z účtu majiteľa na účet predkladateľa. Platba šekom zahŕňa nasledujúce kroky:
Prijatie šeku;
Predloženie šeku banke;
Žiadosť o prevod z účtu majiteľa šeku na účet vydavateľa;
Prevod peňazí;
Oznámenie o platbe.
Hlavnými nevýhodami takýchto platieb je potreba pomocného dokumentu (šeku), ktorý sa dá ľahko sfalšovať, ako aj značný čas strávený platbou (až niekoľko dní).
Preto je v posledných rokoch čoraz bežnejší taký typ platby, ako je platba akreditívom. Zahŕňa nasledujúce kroky:
Oznámenie banky zo strany klienta o poskytnutí úveru;
Oznámenie banky príjemcu o poskytnutí úveru a prevode peňazí;
Oznámenie príjemcu o prijatí pôžičky.
Tento systém vám umožňuje vykonávať platby vo veľmi krátkom čase. Oznámenie o pôžičke je možné zaslať (e-mailom) poštou, disketami, magnetickými páskami.
Každý z vyššie uvedených typov platieb má svoje výhody a nevýhody. Šeky sú najvhodnejšie na platenie malých súm, ako aj na občasné platby. V týchto prípadoch nie je omeškanie platby veľmi výrazné a použitie úveru je nevhodné. Akreditívy sa zvyčajne používajú na pravidelné platby a na významné sumy. V týchto prípadoch absencia oneskorenia pri zúčtovaní šetrí veľa času a peňazí skrátením doby obratu. Spoločnou nevýhodou týchto dvoch spôsobov je potreba nákladov na organizáciu spoľahlivého systému elektronických platieb.
