Metode za zaščito elektronskega plačilnega sistema z digitalnim denarjem. Glavni načini zaščite elektronskega denarja? Varnostni ukrepi za elektronske plačilne sisteme
Elektronski plačilni sistemi so ena izmed najbolj priljubljenih vrst dela z elektronsko valuto. Vsako leto se vse bolj aktivno razvijajo in zasedajo precej velik delež trga za delo z valuto. Z njimi se razvijajo tudi tehnologije za zagotavljanje njihove varnosti. Kajti danes niti en elektronski plačilni sistem ne more obstajati brez dobrih tehnologij in varnostnih sistemov, ki zagotavljajo varno transakcijo denarnih transakcij. Obstaja veliko samih elektronskih plačilnih sistemov, pa tudi varnostnih tehnologij. Vsak od njih ima različne principe delovanja in tehnologije ter svoje prednosti in slabosti. Poleg tega ostajajo nerešena številna teoretična in praktična vprašanja, kar določa relevantnost raziskovalne teme.
Vsak elektronski plačilni sistem uporablja svoje metode, algoritme šifriranja, protokole za prenos podatkov za izvajanje varnih transakcij in prenos podatkov. Nekateri sistemi uporabljajo šifrirni algoritem RSA in protokol za prenos HTTPs, medtem ko drugi za prenos šifriranih podatkov uporabljajo algoritem DES in protokol SSL. Ideja pisanja tega članka je preučiti in analizirati številne priljubljene plačilne sisteme, in sicer varnostne tehnologije, ki se v njih uporabljajo, in ugotoviti, katera je najnaprednejša.
Med pisanjem članka je bila opravljena raziskava plačilnih sistemov in analiza varnosti obstoječih plačilnih sistemov. Analizirani so bili štirje plačilni sistemi (Webmoney, Yandex.Money, RauPa1 in E-Port) po enakih kriterijih. Sistemi so bili ocenjeni z uporabo večnivojskega sistema, ki vključuje ugnezdene parametre. Seveda se vsa ta merila nanašajo na območje varnost informacij. Glavni kriteriji sta dva: tehnična podpora informacijski varnosti plačil ter organizacijska in pravna podpora. Vsak od teh dveh parametrov je bil ocenjen s tritočkovnim sistemom. Ocenjevalna lestvica je prav taka, saj je trenutni razvoj elektronskih plačilnih sistemov pri nas na takšni ravni, da je večino njihovih parametrov mogoče opisati le z besedami »da ali ne«. V skladu s tem, če elektronski plačilni sistem najbolje ustreza kateremu koli parametru, prejme najvišjo oceno (3); če se sploh ne odzove, prejme minimalno oceno (0). Če sistem nima tega kriterija v eksplicitni obliki, vendar so z manjkajočim povezane storitve ali zmožnosti, dodelimo vmesno oceno - ena ali dve.
Pri ocenjevanju elektronskih plačilnih sistemov je treba upoštevati, da pod različnimi pogoji vrednost istega parametra ni enaka. Na primer, več storitev, ki bistveno povečajo stopnjo zaščite, lahko uporabnik implementira le prostovoljno, poleg tega je dragocena že sama prisotnost teh storitev v sistemu. Človeški dejavnik ni bil preklican in nikoli ne bo preklican, zato se upošteva, da je storitev lahko izvedena ali neizvedena.
Tehnična podpora za varnost transakcij
To je prvi od kriterijev - nabor parametrov, ki, kot je razvidno iz imena, zagotavlja tehnično stran zaščite informacij. Pred tem parametrom so vključeni: kriptografske metode šifriranja, avtentikacija in dostop s posebnim strojna oprema(v najbolj primitivnem primeru - z uporabo USB ključev).
Nobena skrivnost ni, da je glavni kriterij za zaščito informacij v tehničnem smislu seveda šifriranje podatkov, natančneje kriptografski algoritmi, s katerimi so implementirani. Znano je tudi, da daljši kot je ključ, težje ga je dešifrirati in posledično pridobiti dostop do zaupnih informacij. Trije od preizkušenih sistemov uporabljajo dobro znani in splošno spoštovani algoritem RSA: Webmoney, Yandex.Money, PayPal. E-Port uporablja šifriranje preko SSL protokola različice 3.0, dejansko pa je šifriranje izvedeno s pomočjo SSL ključev, ki so unikatni, generirani med sejo in se imenujejo sejni ključ. Dolžina SSL ključa v sistemu E-Port se giblje od 40 do 128 bitov, kar je povsem dovolj za sprejemljivo stopnjo varnosti transakcij.
Naslednji parameter v tehnični podpori informacijske varnosti transakcij je avtentikacija, tj. nabor rešitev, ki jih uporabnik potrebuje za dostop do svojih osebnih podatkov. Tukaj je vse preprosto. Sistema Webmoney in Yandex.Money uporabljata dva kriterija za dostop, PayPal in E-Port pa samo enega. V Webmoney morate za dostop do sistema in plačevanje vnesti geslo in poseben ključ Yandex.Money deluje podobno: potrebno je geslo in poseben program denarnice. V vseh drugih sistemih je dostop omogočen z geslom. Vendar pa mora imeti v sistemu E-Port za delovanje po protokolu SSL spletni strežnik potencialne stranke (in morebitnega drugega udeleženca v sistemu) posebno digitalno potrdilo, prejeto s strani enega od pooblaščenih podjetij. To potrdilo se uporablja za preverjanje pristnosti odjemalčevega spletnega strežnika. Varnostni mehanizem potrdil, ki se uporablja v E-Portu, je certificiral RSA Security. Tretji in zadnji kriterij v tej študiji je dostop do sistema s pomočjo posebne strojne opreme, kot so ključki USB.
Kriptografske metode šifriranja
Webmoney in Yandex.Money uporabljata ključ z dolžino 1024 bitov (zelo visok kazalnik, skoraj nemogoče je razbiti takšen ključ s preprosto metodo brutalne sile), PayPal pa uporablja ključ, ki je pol krajši - 512 bitov. , za prva dva sistema dobimo s tem kriterijem maksimalno točko – 3. PayPal, ker uporablja krajši šifrirni ključ, dobi dve točki. Ostaja le, da ocenimo E-Port s tem parametrom.Kljub uporabi protokola SSL in celo dolžini ključa do 128 bitov ima E-Port nekaj potencialne ranljivosti: številne starejše različice brskalnikov podpirajo šifriranje s ključi krajše dolžine. , zato obstaja možnost vdora v prejete podatke; torej za tiste, ki brskalnik uporabljajo kot odjemalca za plačilni sistem, morate delati z njim Najnovejša različica(seveda to ni vedno priročno ali mogoče). V stolpcu »šifriranje« pa lahko E-Port dobi oceno 1,7: sistem si je to oceno prislužil zahvaljujoč uporabi progresivnega protokola PGP za šifriranje e-poštnih sporočil.
Preverjanje pristnosti
Sistema Webmoney in Yandex.Money uporabljata dva kriterija za dostop, PayPal in E-Port pa samo enega. V Webmoney morate za dostop do sistema in plačevanje vnesti geslo in poseben ključ. Yandex.Money deluje podobno: potrebno je geslo in poseben program denarnice, v vseh drugih sistemih pa je dostop omogočen z geslom. Vendar pa je v sistemu E-Port spletni strežnik potencialnega odjemalca uporabljen za delo po SSL protokolu.
Glede na Webmoney in Yandex.Money tukaj prejmejo tri točke, PayPal - 0 točk, E-Port - eno.
Tukaj je še lažje kot s prejšnjimi parametri. Od vseh sistemov ima takšno dodatno možnost le Webmoney PayPal, slednji pa te možnosti ne ponuja. Tako sta ob upoštevanju utežnega koeficienta Webmoney in PayPal za ta parameter prejela 1,5 točke, vsi ostali pa nič.
Po ovrednotenju obeh kriterijev lahko povzamemo. Glede na vsoto obravnavanih parametrov se je Webmoney izkazal za varnega. Če uporabnik uporablja vse varnostne storitve, ki jih ponuja, lahko ostane tako rekoč neranljiv za goljufe. Drugo mesto je zasedel sistem Yandex.Money, tretje PayPal (ta sistem je idealen za pravne osebe zaradi velike pravne transparentnosti plačil), zadnje mesto pa je prejel sistem E-Port.
Poleg tega, če povzamemo analizo plačilnih sistemov, lahko rečemo, da izbira elektronskega plačilnega sistema ni izvedena glede na en varnostni parameter, četudi je eden najpomembnejših. Elektronski plačilni sistemi se razlikujejo tudi po razpoložljivosti storitev, enostavnosti uporabe - obstaja veliko drugih dejavnikov.
zaključki
Elektronsko plačevanje je naravna stopnja v razvoju telekomunikacij, povpraševanje je veliko v tistih nišah, kjer obstaja polnopravni produkt - digitalni produkt, katerega lastnosti so dobro »prekrite« z lastnostmi spletnega plačevanja: takojšnje plačilo, takojšnja dostava. , preprostost in brez blagovne znamke.
Internetni plačilni sistem je sistem za izvajanje plačil med finančnimi, poslovnimi organizacijami in uporabniki interneta v procesu nakupa/prodaje blaga in storitev preko interneta. Plačilni sistem vam omogoča, da storitev obdelave naročil ali elektronsko trgovino spremenite v popolno trgovino z vsemi standardnimi atributi: z izbiro izdelka ali storitve na spletnem mestu prodajalca lahko kupec izvede plačilo, ne da bi zapustil računalnik.
V sistemu e-trgovine so plačila izvedena pod številnimi pogoji:
1. Ohranjanje zaupnosti. Pri plačilih preko interneta kupec želi, da njegove podatke (na primer številko kreditne kartice) poznajo le organizacije, ki imajo za to zakonsko pravico.
2. Ohranjanje celovitosti informacij. Podatkov o nakupu ne more spreminjati nihče.
3. Preverjanje pristnosti. Kupci in prodajalci morajo biti prepričani, da so vse stranke, ki sodelujejo v transakciji, tiste, za katere se predstavljajo.
4. Plačilno sredstvo. Možnost plačila z vsemi plačilnimi sredstvi, ki so na voljo kupcu.
6. Garancije prodajalca za tveganje. Pri spletnem trgovanju je prodajalec izpostavljen številnim tveganjem, povezanim z zavrnitvijo izdelkov in nepoštenostjo kupca. Velikost tveganj se mora dogovoriti s ponudnikom plačilnega sistema in drugimi organizacijami, vključenimi v trgovalno verigo, s posebnimi pogodbami.
7. Zmanjšanje transakcijskih provizij. Stroški obdelave transakcij za naročanje in plačilo blaga so seveda vključeni v njihovo ceno, zato znižanje transakcijske cene povečuje konkurenčnost. Pomembno je upoštevati, da je treba transakcijo plačati v vsakem primeru, tudi če kupec zavrne blago.
Vsi ti pogoji morajo biti implementirani v internetni plačilni sistem, ki je v bistvu elektronska različica klasičnih plačilnih sistemov.
Tako so vsi plačilni sistemi razdeljeni na:
Debet (delo z elektronskimi čeki in digitalno gotovino);
Kredit (delo s kreditnimi karticami).
Debetni sistemi
Debetne plačilne sheme so zgrajene podobno kot njihovi prototipi brez povezave: čeki in običajni denar. Shema vključuje dve neodvisni strani: izdajatelje in uporabnike. Izdajatelj se razume kot subjekt, ki upravlja plačilni sistem. Izdaja nekatere elektronske enote, ki predstavljajo plačila (na primer denar na bančnih računih). Uporabniki sistema opravljajo dve glavni funkciji. Plačujejo in sprejemajo plačila na internetu z izdanimi elektronskimi enotami.
Elektronski čeki so analogni običajnim papirnim čekom. To so navodila plačnika njegovi banki za prenos denarja z njegovega računa na račun prejemnika plačila. Operacija se izvede, ko prejemnik čeka predloži banki. Tukaj sta dve glavni razliki. Prvič, pri pisanju papirnega čeka plačnik postavi svoj pravi podpis, v spletni različici pa elektronski podpis. Drugič, sami čeki so izdani elektronsko.
Plačila se izvajajo v več fazah:
1. Plačnik izda elektronski ček, ga podpiše z elektronskim podpisom in posreduje prejemniku. Za večjo zanesljivost in varnost lahko številko tekočega računa šifriramo z javnim ključem banke.
2. Ček je predložen za plačilo plačilnemu sistemu. Nato (bodisi tukaj ali v banki, ki služi prejemniku) se izvede ček elektronski podpis.
3. Če je njegova pristnost potrjena, je blago dostavljeno ali storitev opravljena. Denar se prenese z računa plačnika na račun prejemnika.
Preprostost plačilne sheme (slika 43) je na žalost izravnana s težavami pri njenem izvajanju zaradi dejstva, da sheme preverjanja še niso postale razširjene in da ni certifikacijskih centrov za izvajanje elektronskih podpisov.
Elektronski digitalni podpis (EDS) uporablja sistem šifriranja z javnim ključem. To ustvari zasebni ključ za podpisovanje in javni ključ za preverjanje. Zasebni ključ shrani uporabnik, javni ključ pa je dostopen vsem. Najprimernejši način za distribucijo javnih ključev je uporaba overiteljev. Tam so shranjena digitalna potrdila, ki vsebujejo javni ključ in podatke o lastniku. S tem je uporabnik oproščen obveznosti, da sam razdeli svoj javni ključ. Poleg tega overitelji zagotavljajo avtentikacijo, da zagotovijo, da nihče ne more ustvariti ključev v imenu druge osebe.
Elektronski denar popolnoma simulira pravi denar. Hkrati izdajateljska organizacija - izdajatelj - izda njihove elektronske analoge, ki se v različnih sistemih imenujejo drugače (na primer kuponi). Nato jih kupijo uporabniki, ki z njimi plačajo nakupe, nato pa jih prodajalec odkupi od izdajatelja. Vsaka denarna enota je ob izdaji overjena z elektronskim žigom, ki ga izdajateljska struktura pred unovčenjem preveri.
Ena od lastnosti fizičnega denarja je njegova anonimnost, to je, da ni razvidno, kdo in kdaj ga je uporabil. Nekateri sistemi po analogiji omogočajo kupcu, da prejme elektronsko gotovino na način, da ni mogoče ugotoviti povezave med njim in denarjem. To se naredi s shemo slepega podpisa.
Omeniti velja tudi, da pri uporabi elektronski denar Avtentikacija ni potrebna, saj sistem temelji na sprostitvi denarja v obtok pred njegovo uporabo.
Slika 44 prikazuje plačilno shemo z uporabo elektronskega denarja.
Mehanizem plačila je naslednji:
1. Kupec vnaprej zamenja pravi denar za elektronski denar. Hranjenje gotovine pri komitentu se lahko izvaja na dva načina, kar določa uporabljeni sistem:
Na trdem disku vašega računalnika;
Na pametnih karticah.
Različni sistemi ponujajo različne sheme menjave. Nekateri odprejo posebne račune, na katere se prenesejo sredstva z računa kupca v zameno za elektronske račune. Nekatere banke lahko same izdajo elektronsko gotovino. Hkrati se izda samo na zahtevo stranke, čemur sledi njen prenos na računalnik ali kartico te stranke in dvig denarnega ekvivalenta z njegovega računa. Pri izvajanju slepega podpisa kupec sam izdela elektronske račune, jih pošlje banki, kjer jih, ko na račun prispe pravi denar, overijo s pečatom in pošljejo nazaj stranki.
Poleg udobja takšnega shranjevanja ima tudi slabosti. Poškodba diska ali pametne kartice povzroči nepopravljivo izgubo elektronskega denarja.
2. Kupec nakaže elektronski denar za nakup na strežnik prodajalca.
3. Denar se predloži izdajatelju, ki preveri njegovo pristnost.
4. Če so elektronski računi pristni, se prodajalčev račun poveča za znesek nakupa, blago pa se odpošlje kupcu ali opravi storitev.
Ena od pomembnih značilnosti elektronskega denarja je možnost mikroplačil. To je posledica dejstva, da apoen bankovcev morda ne ustreza pravim kovancem (na primer 37 kopeck).
Tako banke kot nebančne organizacije lahko izdajo elektronsko gotovino. Vendar pa še ni razvita en sistem pretvorbo različnih vrst elektronskega denarja. Zato lahko samo izdajatelji sami unovčijo elektronsko gotovino, ki so jo izdali. Poleg tega uporaba takšnega denarja iz nefinančnih struktur ni zagotovljena s strani države. Vendar pa je zaradi nizkih transakcijskih stroškov elektronska gotovina privlačno orodje za spletno plačevanje.
Kreditni sistemi
Internetni kreditni sistemi so analogi običajnih sistemov, ki delujejo s kreditnimi karticami. Razlika je v tem, da se vse transakcije izvajajo prek interneta, posledično pa so potrebni dodatni varnostni in avtentikacijski ukrepi.
Pri plačevanju prek interneta s kreditnimi karticami se ukvarjajo:
1. Kupec. Odjemalec z računalnikom s spletnim brskalnikom in dostopom do interneta.
2. Banka izdajateljica. Tu se nahaja bančni račun kupca. Banka izdajateljica izdaja kartice in je porok za finančne obveznosti stranke.
3. Prodajalci. Prodajalci se razumejo kot strežniki e-trgovine, kjer se vzdržujejo katalogi blaga in storitev ter sprejemajo naročila strank.
4. Banke prevzemnice. Banke, ki služijo prodajalcem. Vsak prodajalec ima eno samo banko, pri kateri vodi svoj TRR.
5. Internetni plačilni sistem. Elektronske komponente, ki delujejo kot posredniki med drugimi udeleženci.
6. Tradicionalni plačilni sistem. Nabor finančnih in tehnoloških sredstev za servisiranje tovrstnih kartic. Med glavnimi nalogami, ki jih rešuje plačilni sistem, je zagotavljanje uporabe kartic kot plačilnega sredstva za blago in storitve, uporaba bančnih storitev, izvajanje medsebojnih pobotov itd. Udeleženci plačilnega sistema so fizične in pravne osebe, združene z uporabo kreditnih kartic.
7. Procesni center plačilnega sistema. Organizacija, ki zagotavlja informacijsko in tehnološko interakcijo med udeleženci v tradicionalnem plačilnem sistemu.
8. Poravnalna banka plačilnega sistema. Kreditna organizacija, ki v imenu procesnega centra izvaja medsebojne poravnave med udeleženci plačilnega sistema.
Splošna plačilna shema v takem sistemu je prikazana na sliki 45.
1. Kupec v elektronski trgovini ustvari košarico blaga in izbere način plačila »kreditna kartica«.
Preko trgovine, torej se parametri kartice vnesejo neposredno na spletni strani trgovine, nato pa se prenesejo v internetni plačilni sistem (2a);
Na strežniku plačilnega sistema (2b).
Prednosti drugega načina so očitne. V tem primeru podatki o karticah ne ostanejo v trgovini in s tem se zmanjša tveganje, da jih prejmejo tretje osebe ali da jih prodajalec zavede. V obeh primerih pri prenosu podatkov o kreditni kartici še vedno obstaja možnost, da jih prestrežejo napadalci v omrežju. Da bi to preprečili, so podatki med prenosom šifrirani.
Šifriranje seveda zmanjšuje možnost prestrezanja podatkov v omrežju, zato je komunikacijo med kupcem/prodajalcem, prodajalcem/internetnim plačilnim sistemom, kupcem/internetnim plačilnim sistemom priporočljivo izvajati po varnih protokolih. Danes sta najpogostejša med njimi protokol SSL (Secure Sockets Layer) in standard SET (Secure Electronic Transaction), ki je zasnovan tako, da sčasoma nadomesti SSL pri obdelavi transakcij, povezanih s plačili za nakupe s kreditnimi karticami na internetu.
3. Internetni plačilni sistem posreduje avtorizacijsko zahtevo tradicionalnemu plačilnemu sistemu.
4. Naslednji korak je odvisen od tega, ali banka izdajateljica vzdržuje spletno bazo podatkov o računih. Če obstaja zbirka podatkov, procesni center banki izdajateljici pošlje zahtevo za avtorizacijo kartice (glej uvod ali slovar) (4a) in nato (4b) prejme rezultat. Če take baze podatkov ni, center za obdelavo sam hrani podatke o stanju računov imetnikov kartic, stop sezname in izpolnjuje zahteve za avtorizacijo. Te informacije redno posodabljajo banke izdajateljice.
Trgovina opravlja storitev ali odpremlja blago (8a);
Procesni center posreduje informacijo o opravljeni transakciji poravnalni banki (8b). Denar s kupčevega računa pri banki izdajateljici se prek poravnalne banke prenese na račun trgovine pri banki prevzemnici.
Za izvedbo takšnih plačil v večini primerov potrebujete posebno programsko opremo. Lahko se dobavi kupcu (imenuje se elektronska denarnica), prodajalcu in njegovi servisni banki.
Uvod
1. Elektronski plačilni sistemi in njihova klasifikacija
1.1 Osnovni pojmi
1.2 Klasifikacija elektronskih plačilnih sistemov
1.3 Analiza glavnih elektronskih plačilnih sistemov, ki se uporabljajo v Rusiji
2. Varnostni ukrepi za elektronske plačilne sisteme
2.1 Grožnje, povezane z uporabo elektronskih plačilnih sistemov
2.2 Tehnologije za zaščito elektronskih plačilnih sistemov
2.3 Analiza tehnologij za skladnost osnovne zahteve na elektronske plačilne sisteme
Zaključek
Bibliografija
UVOD
Visoko specializirana tema elektronskih plačil in elektronskega denarja, ki je pred 10 leti le malo ljudi zanimala, je v zadnjem času postala aktualna ne le za poslovneže, temveč tudi za končne uporabnike. Verjetno vsak drugi, ki vsaj občasno bere računalnik ali popularni tisk, pozna modni besedi "e-poslovanje" in "e-poslovanje". Opravilo plačevanja na daljavo (prenos denarja na velike razdalje) je iz posebne kategorije prešlo v vsakdanje. Vendar pa obilica informacij o tem vprašanju prav nič ne prispeva k jasnini v glavah državljanov. Tako zaradi kompleksnosti in konceptualne nerazvitosti problematike elektronskega plačevanja kot zaradi dejstva, da številni popularizatorji pogosto delujejo po principu pokvarjenega telefona, je na vsakdanji ravni seveda vsem vse jasno. A to je dokler ne pride čas za praktičen razvoj elektronskih plačil. Tu gre za nerazumevanje, kako primerna je v določenih primerih uporaba elektronskih plačil.
Medtem pa postaja naloga sprejemanja elektronskih plačil vse bolj pomembna tako za tiste, ki se bodo ukvarjali s trgovino preko interneta, kot tudi za tiste, ki bodo nakupovali preko interneta. Ta članek je namenjen obema.
Glavna težava pri obravnavi elektronskih plačilnih sistemov za začetnika je raznolikost njihove zasnove in principov delovanja ter dejstvo, da se lahko kljub zunanji podobnosti izvedbe v njihovih globinah skrivajo precej različni tehnološki in finančni mehanizmi.
Hiter razvoj priljubljenosti svetovnega interneta je povzročil močan zagon za razvoj novih pristopov in rešitev na različnih področjih svetovnega gospodarstva. Tudi tako konzervativni sistemi, kot so elektronski plačilni sistemi v bankah, so podlegli novim trendom. To se je odrazilo v nastanku in razvoju novih plačilnih sistemov - elektronskih plačilnih sistemov preko interneta, katerih glavna prednost je, da lahko komitenti izvajajo plačila (finančne transakcije) mimo naporne in včasih tehnično zahtevne faze fizičnega prenosa plačilnega naloga. v banko. Za uvedbo teh sistemov so zainteresirane tudi banke in bančne ustanove, saj lahko povečajo hitrost storitev za stranke in zmanjšajo režijske stroške pri izvajanju plačil.
Elektronski plačilni sistemi krožijo informacije, vključno z zaupnimi informacijami, ki zahtevajo zaščito pred ogledom, spreminjanjem in vsiljevanjem lažnih informacij. Razvoj ustreznih internetno osredotočenih varnostnih tehnologij je trenutno velik izziv. Razlog za to so arhitektura, temeljni viri in tehnologije internetna omrežja osredotočen na organizacijo dostopa ali zbiranja odprte informacije. V zadnjem času pa so se pojavili pristopi in rešitve, ki nakazujejo možnost uporabe standardnih internetnih tehnologij pri gradnji sistemov za varen prenos informacij preko interneta.
Namen RGR je analizirati elektronske plačilne sisteme in razviti priporočila za uporabo vsakega od njih. Na podlagi cilja so oblikovane naslednje faze izvajanja RGR:
1. Določite glavne naloge elektronskih plačilnih sistemov in načela njihovega delovanja, njihove značilnosti.
2. Analizirajte glavne elektronske plačilne sisteme.
3. Analizirati nevarnosti, povezane z uporabo elektronskega denarja.
4. Analizirajte varnostne ukrepe pri uporabi elektronskih plačilnih sistemov.
1. ELEKTRONSKI PLAČILNI SISTEMI IN NJIHOVA RAZVRSTITEV
1.1 Osnovni pojmi
Elektronska plačila. Začnimo z dejstvom, da je upravičeno govoriti o nastanku elektronskih plačil kot vrste negotovinskega plačila v drugi polovici dvajsetega stoletja. Z drugimi besedami, prenos informacij o plačilih po žicah obstaja že dolgo, vendar je pridobil bistveno novo kakovost, ko so se na obeh koncih žic pojavili računalniki. Informacije so se prenašale s pomočjo teleksa, teletipa in računalniških omrežij, ki so se pojavila v tistem času. Kakovostno nov preskok se je izrazil v tem, da se je bistveno povečala hitrost plačil in je na voljo možnost njihove avtomatske obdelave.
Kasneje so se pojavile tudi elektronske ustreznice drugih vrst plačil – gotovinska plačila in druga plačilna sredstva (na primer čeki).
Elektronski plačilni sistemi (EPS). Elektronski plačilni sistem imenujemo vsak kompleks posebne strojne opreme in programsko opremo, ki omogoča elektronsko plačevanje.
obstajati različne načine in komunikacijske kanale za dostop do EPS. Danes je najpogostejši od teh kanalov internet. Širjenje EPS se povečuje, dostop do katerega se izvaja z uporabo mobilni telefon(prek SMS, WAP in drugih protokolov). Drugi načini so manj pogosti: z modemom, s tonskim telefonom, po telefonu prek operaterja.
Elektronski denar. Nejasen izraz. Če natančno premislite, kaj se skriva za tem, je lahko razumeti, da je elektronski denar napačno ime za »elektronsko gotovino«, pa tudi za elektronske plačilne sisteme kot take.
Ta nesporazum v terminologiji je posledica svobode prevajanja izrazov iz angleščine. Ker so se elektronska plačila v Rusiji razvijala veliko počasneje kot v Evropi in Ameriki, smo bili prisiljeni uporabljati trdno uveljavljene pogoje. Seveda imajo imena elektronske gotovine, kot so »digitalna gotovina« (e-cash), »digitalni denar«, »elektronska gotovina« (digital cash)2 pravico do življenja.
Na splošno izraz »elektronski denar« ne pomeni nič posebnega, zato se ga bomo v prihodnje poskušali izogibati.
Elektronska gotovina:
Gre za tehnologijo, ki se je pojavila v 90. letih prejšnjega stoletja in omogoča elektronska plačila, ki niso neposredno vezana na prenos denarja z računa na račun v banki ali drugi finančni organizaciji, torej neposredno med osebami – končnimi udeleženci. pri plačilu. Druga pomembna lastnost elektronske gotovine je anonimnost plačil, ki jo zagotavlja. Avtorizacijski center, ki potrjuje plačilo, nima podatka o tem, kdo konkretno je denar nakazal in komu.
Elektronska gotovina je ena izmed vrst elektronskih plačil. Enota elektronske gotovine ni nič drugega kot finančna obveznost izdajatelja (banke ali druge finančne institucije), ki je v bistvu podobna navadni menici. Plačilo z elektronsko gotovino se pojavi tam, kjer je uporaba drugih plačilnih sistemov neprijetna. Jasen primer je nepripravljenost kupca, da pri plačilu blaga na internetu posreduje podatke o svoji kreditni kartici.
Ko smo se odločili za terminologijo, lahko preidemo na naslednjo stopnjo našega pogovora - pogovorimo se o klasifikaciji EPS. Ker EPS posreduje pri elektronskih plačilih, delitev EPS temelji na različnih vrstah teh plačil.
Poleg tega ima pri tem zelo pomembno vlogo programska in/ali strojna tehnologija, na kateri temelji mehanizem EPS.
1.2 Klasifikacija elektronskih plačilnih sistemov
Elektronske plačilne sisteme je mogoče razvrstiti tako glede na posebnosti elektronskih plačil kot tudi glede na specifično tehnologijo, ki je osnova elektronskega plačilnega sistema.
Razvrstitev EPS glede na vrsto elektronskih plačil:
1. Glede na sestavo udeležencev plačila (tabela 1).
Tabela 1
| Vrsta elektronskih plačil | Stranke plačila | Analog v tradicionalnem sistemu denarne poravnave | Primer EPS |
| Plačila od banke do banke | Finančne ustanove | brez analogov | |
| B2B plačila | Pravne osebe | Brezgotovinska plačila med organizacijami | |
| S2B plačila | Končni potrošniki blaga in storitev ter pravne osebe – prodajalci | Gotovinska in negotovinska plačila kupca prodajalcu | Kreditni pilot |
| C2C plačila | Posamezniki | Neposredna gotovinska plačila med posamezniki, poštni in telegrafski prenosi |
V nadaljevanju ne bomo obravnavali tistih elektronskih plačilnih sistemov, ki so zasnovani za storitve elektronskih plačil tipa »banka-banka«. Takšni sistemi so izjemno kompleksni, v večji meri posegajo v tehnološke vidike delovanja bančnega sistema in najverjetneje ne zanimajo širših množic naših bralcev.
Dodatno je treba opozoriti, da obstaja še en tip plačila, ki logično ne sodi v tabelo 1. Po formalnih kriterijih povsem sodi v področje C2B, vendar ga kljub temu ni mogoče zagotoviti s pomočjo razširjenega tovrstnega EPS. Za mikroplačila so značilni izredno nizki (centi ali delčki centa) stroški blaga. Najbolj značilen od vseh poljudni članki Primer sistema, ki izvaja mikroplačila, je prodaja šal (za cent na kos). Za mikroplačila sta primerna sistema, kot sta Eaccess in Phonepay.
2. Po vrsti opravljenih operacij (tabela 2).
tabela 2
| Vrsta elektronskih plačil | Kje se uporabljajo? | Primer EPS |
| Poslovanje bančnega računa | Sistemi »Client bank« z dostopom prek modema, interneta, mobilnega telefona itd. | Operacije za vodenje bančnega računa Client System |
| Prenos denarja brez odprtja bančnega računa | Sistemi za prenos denarja računalniška omrežja, podobno kot pri poštnih in telegrafskih prenosih | |
| Transakcije s kartičnimi bančnimi računi | Debetne in kreditne plastične kartice | Cyberplat (Cyberpos) |
| Transakcije z elektronskimi čeki in druge negotovinske plačilne obveznosti | Zaprti sistemi medpodjetniških plačil | Cyberplat (Cybercheck) |
| Transakcije z elektronsko (kvazi) gotovino | Izračuni s fizikalnimi osebe, elektronski analogi žetonov in predplačniških kartic, ki se uporabljajo kot denarni nadomestki za plačilo blaga |
Treba je opozoriti, da so sistemi tipa "stranka - banka" znani že dolgo časa. Do bančnega računa lahko dostopate z modemom. V zadnjem desetletju so se pojavile nove priložnosti za upravljanje vašega računa prek interneta prek uporabniku prijaznega spletnega vmesnika. Ta storitev se je imenovala »internet bančništvo« in v plačilne sisteme tipa »stranka-banka« ni uvedla nič bistveno novega. Poleg tega obstajajo tudi druge možnosti za dostop do bančnega računa, na primer z uporabo mobilnega telefona (WAP bančništvo, SMS bančništvo). V zvezi s tem se v tem članku ne bomo posebej ukvarjali s to vrsto EPS, omenili bomo le, da trenutno v Rusiji približno 100 komercialnih bank ponuja storitve internetnega bančništva z uporabo več kot 10 različnih EPS.
Razvrstitev EPS glede na uporabljeno tehnologijo:
Ena najpomembnejših lastnosti EPS je njegova odpornost proti vlomom. To je morda najbolj obravnavana značilnost takih sistemov. Kot je razvidno iz tabele 3, pri reševanju problema varnosti sistema večina pristopov k izgradnji elektronskega varnostnega sistema temelji na tajnosti določene centralne baze podatkov, ki vsebuje kritične informacije. Obenem nekateri k temu dodajajo tajno bazo Te dodatne ravni zaščite temeljijo na vzdržljivosti strojne opreme.
Načeloma obstajajo druge tehnologije, na podlagi katerih je mogoče zgraditi EPS. Na primer, nedolgo nazaj je bilo v medijih objavljeno poročilo o razvoju EPS na osnovi diskov CDR, vgrajenih v plastično kartico. Vendar podobni sistemi v svetovni praksi niso pogosto uporabljeni, zato se nanje ne bomo osredotočali.
Tabela 3
| tehnologija | Na čem temelji stabilnost sistema? | Primer EPS |
| Sistemi s centralnim strežnikom stranka banka, prenos sredstev | Tajnost ključev za dostop | Telebank (Guta-bank), "Internet Service Bank" (Avtobank) |
| Pametne kartice | Strojna odpornost pametnih kartic na vdore | Mondex, ACCORD |
| Magnetne kartice in virtualne kreditne kartice | Pomoč, Elite |
|
| Karte za praske | Tajnost podatkovne baze s številkami in kodami praskalnic | E-port, Creditpilot, Webmoney, Paycash, Rapira |
| Datoteka/denarnica v obliki programa na uporabnikovem računalniku | Kriptografska moč protokola za izmenjavo informacij | |
| Plačan telefonski klic | Tajnost centralne baze podatkov s pin kodami in stabilnost strojne opreme pametnega telefonskega omrežja | Eaccess, Phonepay |
1.3 Analiza glavnih elektronskih plačilnih sistemov, ki se uporabljajo v Rusiji
Trenutno se na ruskem internetu uporablja precej elektronskih plačilnih sistemov, čeprav niso vsi široko uporabljeni. Značilno je, da so skoraj vsi zahodni plačilni sistemi, ki se uporabljajo v RuNetu, povezani s kreditnimi karticami. Nekateri od njih, na primer PayPal, uradno zavračajo sodelovanje s strankami iz Rusije. Najbolj razširjeni sistemi danes so:
CyberPlat se nanaša na sisteme mešanega tipa (z vidika katere koli od zgornjih klasifikacij). Pravzaprav lahko rečemo, da so znotraj tega sistema pod eno streho zbrani trije ločeni: klasični sistem »stranka-banka«, ki strankam omogoča upravljanje računov, odprtih pri bankah, ki sodelujejo v sistemu (11 ruskih bank in 1 latvijska) ; sistem CyberCheck, ki omogoča varno plačevanje med pravnimi osebami, ki so povezane v sistem; in internetni sistem za pridobivanje, to je procesiranje plačil, sprejetih s kreditnimi karticami - CyberPos. Med vsemi sistemi za pridobivanje interneta, ki so na voljo na ruskem trgu, CyberPlat zagotavlja obdelavo največjega števila vrst kreditnih kartic, in sicer: Visa, Mastercard/Eurocard, American Express7, Diners Club, JCB, Union Card; napovedal je skorajšnjo povezavo z sistem STB-card in ACCORD kartico/Bashcard. Neuradno so zaposleni v podjetju trdili, da preučujejo možnost povezovanja z drugimi ruskimi kartičnimi sistemi. Poleg naštetega podjetje CyberPlat zagotavlja procesiranje scratch kartic plačilnega sistema E-port in napoveduje skorajšnji zagon prehoda s sistemom Paycash.
Trenutno za povečanje stopnje zaščite pred plačili z ukradenimi kreditnimi karticami podjetje razvija specializirano tehnologijo PalPay, ki prodajalcu omogoča, da preveri, ali ima kupec res dostop do bančnega računa, povezanega s kreditno kartico, ali pozna le njegove podatke. Uvedba te tehnologije v delovanje še ni bila uradno objavljena.
Sistem CyberCheck je zelo zanimiv za organizacijo dela s poslovnimi partnerji. Njegova glavna značilnost (v primerjavi s sprejemanjem plačil s kreditnimi karticami) je nezmožnost, da bi plačnik naknadno zavrnil plačilo. Z drugimi besedami, prejem potrditve plačila od CyberCheck je enako zanesljiv kot prejem take potrditve od banke, kjer se nahaja račun trgovca. Zaradi vseh teh značilnosti je CyberPlat morda najbolj napreden in zanimiv za prodajalce EPS na ruskem internetu.
Sistem Assist v smislu obdelave plačil s kreditnimi karticami je v mnogih pogledih funkcionalni analog CyberPlata. V Moskvi njene interese zastopa Alfa Bank. V sistem je povezanih 5 bank. Internetni podsistem pridobivanja omogoča sprejemanje plačil s karticami Visa, Mastercard/Eurocard, STB-card. Od septembra plačila iz drugih kartičnih sistemov, prijavljenih na strežniku sistema Assist, dejansko niso bila sprejeta. Po neuradnih informacijah pa bo v kratkem mogoče sprejemati kartice Diners Club, Cirrus Maestro in Visa Electron. Zanimivo je, da te vrste kartic običajno ne sprejemajo prevzemna podjetja, vendar so zaradi nizkih stroškov te kartice zelo pogoste. Običajno je razlog za zavrnitev sprejemanja debetnih kartic varnostni pomislek. Morda bo ASSIST temu problemu uspelo zaobiti z uporabo protokola SET, katerega podporo je podjetje napovedalo ravno pred dnevi. Za razliko od tradicionalnega načina plačevanja s plastičnimi karticami na internetu, ki lastniku kartice omogoča, da zavrne plačilo z nje (charge-back), protokol SET zagotavlja pristnost transakcije, kar bistveno zmanjša tveganje za prodajalca.
Način poravnave z elektronskimi potrdili, kupljenimi pri internetnem ponudniku, objavljen na spletni strani Assist, je precej zanimiv, saj ponudnikom odpira nove poslovne linije, vendar po dostopnih informacijah zaradi pravnih težav do nedavnega ni bil dejansko uporablja kdorkoli. A po neuradnih informacijah se bo to stanje kmalu spremenilo - že jeseni 2001 bomo morda dočakali prvo praktično uporabo tega načina izračuna.
Poleg kartičnih sistemov CyberPlat in Assist, omenjenih v opisih, obstajajo tudi drugi, ki so pridobili nekaj priljubljenosti na trgu. Discover/NOVUS je široko razširjen v Severni Ameriki in je lahko zanimiv za tiste elektronske trgovine, ki služijo zahodnemu občinstvu. Ne poznamo domačih prevzemnikov, ki bi procesirali kartice tega sistema, obstaja pa kar nekaj predlogov posrednikov, ki zastopajo interese zahodnih prevzemnikov. Med ruskimi kartičnimi sistemi so za STB in Union Card najbolj opazni na trgu Zolotaya Korona, Sbercard (Sberbank), Universal Card in ICB-card (Promstroybank) ter že omenjena kartica ACCORD/Bashcard. »ICB-card« obdeluje nekaj majhnih prevzemnih podjetij, sprejemanje plačil prek interneta s karticami Zolotaya Korona in Sbercard domnevno zagotavljajo neposredno izdajatelji in/ali povezana podjetja, v primeru Universal Card pa zdi se, da jih ne zagotavlja nihče.
Paycash in Webmoney njuni razvijalci pozicionirajo kot sistem elektronske gotovine, toda ob natančnejšem pregledu lahko samo Paycash upravičeno zahteva tak status.
Razvoj Paycash je začela banka Tavrichesky, trenutno pa so v sistem povezane druge banke, na primer banka Guta.
S tehnološkega vidika Paycash zagotavlja skoraj popolno imitacijo gotovinskega plačevanja. Iz ene elektronske denarnice (specializiranega programa, ki ga stranka namesti na svoj računalnik) se denar lahko prenese v drugo, pri čemer je zagotovljena anonimnost plačila v razmerju do banke. Sistem je v Rusiji postal precej razširjen in trenutno poskuša vstopiti na svetovni trg.
Ozko grlo Paycasha je postopek prenosa denarja v elektronsko denarnico. Do pred kratkim edina pot za to je bilo treba iti v poslovalnico banke in nakazati denar na sistemski račun. Res je, obstajale so alternative - za uporabnike sistema Guta Bank Telebank je bilo mogoče nakazati denar z računa pri Guta Bank, ne da bi zapustili dom, toda v nekaterih primerih jih je bilo očitno lažje nakazati neposredno na račun prodajalca - elektronsko trgovino brez uporabe Paycasha kot posrednika. Denar je bilo mogoče nakazati tudi prek Western Uniona ali poštnega/bančnega nakazila, vendar je bila privlačnost te poti omejena zaradi visokih provizij. Za prebivalce Sankt Peterburga obstaja zelo eksotična priložnost - poklicati kurirja na dom za denar. Čudovito, a žal ne živimo vsi v severni prestolnici.
Še vedno ni mogoče prenesti denarja na Paycash s kreditnih kartic. To je posledica dejstva, da podjetja, ki podpirajo delovanje kartičnih sistemov, svojim strankam nudijo možnost tako imenovanega "vračila" - zavrnitev plačila "za nazaj". "Charge Back" je mehanizem, ki ščiti lastnika kreditne kartice pred goljufi, ki lahko uporabijo njene podatke. V primeru takšne zavrnitve je na prodajalcu dokazno breme, da je bilo blago dejansko dostavljeno pravemu imetniku kartice in da je bilo treba plačilo izvršiti. Toda v primeru Paycasha je tovrsten dokaz v bistvu nemogoč – iz povsem očitnih razlogov. Rešitvi tega problema je namenjen tudi zgoraj omenjeni prehod s CyberPlatom, ki je v razvoju.
Medtem, da razpakiram tole ozko grlo v sistemu je PayCash naredil dve dokaj razumni potezi - izdal je predplačniške praskalke in omogočil sprejemanje plačil prek sistema nakazil Contact, katerega tečaji so bistveno nižji od poštnih (2,2% proti 8%).
Sistem Webmoney je eden od "pionirjev" na trgu elektronskih plačil v Rusiji. Trenutno ima mednarodni značaj. Po nekaterih informacijah ima Webmoney predstavnike ne le v republikah nekdanje ZSSR, ampak tudi v tujini. Sistemski operater je avtonomna neprofitna organizacija »VM Center«.
Način delovanja Webmoneyja je zelo podoben delu z elektronsko gotovino, le skrbna in natančna analiza omogoča, da se prepričate, da Webmoney dejansko ne zagotavlja popolne anonimnosti plačil, torej niso skrita pred lastniki sistem sami. Vendar pa je praksa Webmoney pokazala, da je ta lastnost precej koristna, saj v nekaterih primerih omogoča boj proti goljufijam. Poleg tega VM Center kot ločeno plačljivo storitev ponuja certificiranje pravnih in fizičnih oseb, kar mu seveda odvzema anonimnost v odnosu do drugih udeležencev v sistemu. Ta priložnost je potrebna predvsem za tiste, ki želijo organizirati pošteno elektronsko trgovino in nameravajo potencialne kupce prepričati o njihovi zanesljivosti. Webmoney vam omogoča odpiranje računov in prenos sredstev v dveh valutah: rubljih in dolarjih.
Za dostop do sistema se uporablja program “elektronska denarnica”. Dodatne funkcije sistema so prenos kratkih sporočil iz denarnice v denarnico ter kreditne transakcije med lastniki denarnice. Le malokdo pa bo po našem mnenju pristal na posojanje anonimnim osebam prek spleta brez možnosti prisilne izterjave posojila v primeru nevračila.
Za razliko od Paycasha je Webmoney sprva omogočal prenos navadne gotovine v denarnico in izplačilo vsebine denarnic brez dolgočasnih postopkov izpolnjevanja plačilnih nalogov na banki, vendar na precej čuden, s pravnega vidika način . Na splošno je pravna podpora Webmoneyja pri delu z organizacijami že dolgo povzročala veliko pritožb.
To je bil razlog, da medtem ko so si končni uporabniki aktivno nameščali »denarnice«, je veliko elektronskih trgovin zavrnilo uporabo tega EPS. Res je, trenutno se je to stanje nekoliko izboljšalo, aktivni tržni položaj lastnikov Webmoneyja pa vodi v dejstvo, da se podoba sistema nenehno izboljšuje. Eden od zanimive lastnosti Ta marketinška strategija je bila, da je skoraj takoj po vstopu na trg vsakdo dobil priložnost zaslužiti v tem sistemu (nekateri se morda spomnijo projekta "Nails" in njegovega kasnejšega razvoja - visiting.ru). Tako kot Paycash tudi Webmoney izdaja predplačniške praskalne kartice, namenjene nalaganju denarja v sistem.
Dva sistema, ki temeljita na praskalnicah: E-port (Avtokard-holding) in KreditPilot (Kreditpilot.com), sta kot brata dvojčka. Oba predvidevata, da bo kupec najprej kupil praskalko s skrivno kodo nekje v široki distribucijski mreži ali tako, da jo bo naročil po kurirju na dom, nato pa s to kodo začel plačevati prek spleta v trgovinah, ki sprejemajo plačila iz teh sistemov. E-port poleg tega ponuja možnost izdelave »virtualnih« scratch kartic z nakazilom denarja na račun podjetja prek banke ali prek sistema »Webmoney«.
Sistem Rapida, ki je začel delovati septembra 2001, tako kot prejšnja dva ponuja polog denarja na račun uporabnika s praskalnimi karticami ali plačilo pri banki, ki sodeluje v sistemu. Poleg tega je navedena možnost dela v načinu »Stranka-banka« in nakazila denarja na račune pravnih oseb, ki niso udeleženci v sistemu, pa tudi posameznikom brez odprtja bančnega računa. Dostop do sistema je omogočen ne samo prek interneta, ampak tudi po telefonu s tonskim izbiranjem. Na splošno je sistem videti tehnološko napreden in zelo zanimiv, vendar je od njegovega začetka delovanja še premalo časa, da bi lahko govorili o perspektivah.
EPS, ki omogočajo plačevanje na enak način kot za medkrajevne klice (navsezadnje na podlagi računa telefonskega podjetja), so se prvič pojavili v ZDA in so bili namenjeni plačilu dostopa do pornografskih virov. Vendar zaradi sistematičnega goljufivega ravnanja številnih lastnikov takšni sistemi niso pridobili priljubljenosti med kupci, prodajalci pa z njimi niso bili posebej zadovoljni, saj so ti sistemi ponavadi precej zavlačevali plačila.
Dve domači izvedbi podobnega koncepta - Phonepay in Eaccess - sta na samem začetku svoje poti. Oba sistema predpostavljata, da mora stranka za izvedbo plačila poklicati določeno medkrajevno številko v kodi 8-809 (očitno jo je zagotovilo podjetje MTU-inform), nato pa bo nekaj ključnih informacij ki mu jih narekuje robot.V primeru Eaccess je to pin koda, ki se uporablja za dostop do plačljivega informacijskega vira, v primeru Phonepaya pa univerzalni »digitalni kovanec«, sestavljen iz 12 števk ene od petih Če pogledamo spletne strani sistemov, lahko ugotovimo, da se e-dostop še vedno postopoma razvija in povečuje število trgovin, povezanih s sistemom, vendar Phonepay ni povezal niti ene trgovine, ki ne sodi razvijalcem do svojega sistema.
Po mojem mnenju imajo takšni sistemi v Rusiji zelo določene možnosti, povezane z enostavnostjo dostopa do njih s strani končnega uporabnika, vendar bo obseg njihove uporabe omejen na prodajo informacijskih virov. Zaradi velike zamude pri prejemanju plačil (sistem jih bo prenesel v trgovino šele, ko kupec plača telefonski račun) je trgovanje z materialnimi sredstvi s temi EPS precej nedonosna dejavnost.
Na koncu je treba omeniti še eno vrsto elektronskih prenosnih sistemov - specializirane sisteme prenosov med posamezniki, ki tekmujejo s tradicionalnimi poštnimi in telegrafskimi prenosi. Prvi, ki so zasedli to nišo, so bili tuji sistemi, kot sta Western Union in Money Gram. V primerjavi s tradicionalnimi nakazili zagotavljajo večjo hitrost in zanesljivost plačila. Hkrati imajo številne pomembne pomanjkljivosti, med katerimi je glavna visoka cena njihovih storitev, ki dosežejo do 10% zneska prenosa. Druga težava je, da teh sistemov ni mogoče zakonito uporabljati za sistematično sprejemanje plačil za blago. Vendar pa je za tiste, ki preprosto želijo poslati denar družini in prijateljem, smiselno, da svojo pozornost usmerijo na te sisteme, pa tudi na njihove domači analogi(Anelik in Stik). Zaenkrat jim niti Paycash niti Webmoney ne moreta konkurirati, saj nekje v Avstraliji ali Nemčiji ni mogoče prejeti gotovine z izvlekom elektronske denarnice. Rapida EPS zatrjuje to možnost, vendar zaenkrat na spletni strani ni podrobnosti, prav tako pa geografije pisarn sistema ni mogoče primerjati s sistemi, ki so že na voljo na trgu.
Lastniki elektronskih trgovin bi morali očitno najprej razmišljati o sprejemanju denarja s kreditnih kartic in elektronskih gotovinskih sistemov - Webmoney in Paycash. Na podlagi vseh značilnosti potrošnikov po našem mnenju noben od sistemov, ki so na voljo na ruskem trgu za sprejemanje plačil s kreditnimi karticami, ne more konkurirati CyberPlatu. Vsi drugi sistemi so predmet neobvezne uporabe, še posebej, če se spomnite, da istega E-porta ni treba namestiti ločeno, saj njegove kartice servisira CyberPlat.
2. ZAŠČITNA SREDSTVA ZA ELEKTRONSKE PLAČILNE SISTEME
2.1 Grožnje, povezane z uporabo elektronskih plačilnih sistemov
Razmislimo možne grožnje destruktivna dejanja napadalca v zvezi s tem sistemom. Da bi to naredili, si poglejmo glavne cilje napadalčevega napada. Glavna tarča napadalca so finančna sredstva oziroma njihovi elektronski nadomestki (nadomestki) – plačilni nalogi, ki krožijo v plačilnem sistemu. V zvezi s temi orodji lahko napadalec zasleduje naslednje cilje:
1. Kraja finančnih sredstev.
2. Vnos ponarejenih finančnih sredstev (kršitev finančnega ravnovesja sistema).
3. Okvara sistema ( tehnična grožnja).
Navedeni predmeti in cilji napada so abstraktne narave in ne omogočajo analize in razvoja potrebnih ukrepov za zaščito informacij, zato tabela 4 podaja specifikacijo objektov in ciljev uničujočih učinkov napadalca.
Tabela 4 Model možnih destruktivnih dejanj napadalca
| Objekt vpliva | Namen vpliva | Možni mehanizmi za izvedbo vpliva. |
| HTML strani na spletnem strežniku banke | Zamenjava z namenom pridobitve podatkov, ki jih stranka vnese v plačilni nalog. | Napad na strežnik in zamenjava strani na strežniku. Zamenjava strani v prometu. Napad na naročnikov računalnik in zamenjava strankinih strani |
| Strani z informacijami o odjemalcih na strežniku | Pridobivanje informacij o plačilih strank | Napad na strežnik. Napad na promet. Napad na odjemalčev računalnik. |
| Podatki o plačilnem nalogu, ki jih stranka vnese v obrazec | Prejem podatkov, ki jih stranka vnese v plačilni nalog. | Napad na odjemalčev računalnik (virusi itd.). Napad na ta navodila, ko so poslana skozi promet. Napad na strežnik. |
| Zasebni podatki o stranki, ki se nahajajo na strankinem računalniku in niso povezani z elektronskim plačilnim sistemom | Pridobivanje zaupnih podatkov o stranki. Spreminjanje podatkov o stranki. Onemogočanje odjemalčevega računalnika. | Cel kompleks znani napadi na računalnik, povezan z internetom. Dodatni napadi, ki nastanejo kot posledica uporabe mehanizmov plačilnega sistema. |
| Informacije iz procesnega centra banke. | Razkritje in spreminjanje informacij o centru za obdelavo in lokalno omrežje kozarec. | Napad na lokalno omrežje, povezano z internetom. |
Ta tabela prikazuje osnovne zahteve, ki jih mora izpolnjevati vsak elektronski plačilni sistem prek interneta:
Prvič, sistem mora zagotoviti zaščito podatkov o plačilnih nalogih pred nepooblaščenimi spremembami in modifikacijami.
Drugič, sistem ne sme povečati zmožnosti napadalca, da organizira napade na odjemalčev računalnik.
Tretjič, sistem mora zaščititi podatke, ki se nahajajo na strežniku, pred nepooblaščenim branjem in spreminjanjem.
Četrtič, sistem mora zagotavljati oziroma podpirati sistem za zaščito lokalnega omrežja banke pred vplivi iz globalnega omrežja.
Med razvojem posebnih sistemov za zaščito informacij o elektronskih plačilih, ta model in zahteve morajo biti predmet nadaljnjih podrobnosti. Vendar te podrobnosti niso potrebne za trenutno predstavitev.
2.2 Tehnologije za zaščito elektronskih plačilnih sistemov
Razvoj WWW je nekaj časa zaviralo dejstvo, da so html strani, ki so osnova WWW, statično besedilo, tj. z njihovo pomočjo je težko organizirati interaktivno izmenjavo informacij med uporabnikom in strežnikom. Razvijalci so predlagali veliko načinov za razširitev zmožnosti HTML v tej smeri, od katerih mnogi niso bili nikoli razširjeni. Ena najzmogljivejših rešitev, ki je predstavljala novo stopnjo v razvoju interneta, je bil Sunov predlog uporabe Java appletov kot interaktivnih komponent, povezanih s stranmi HTML.
Java applet je program, ki je napisan v programskem jeziku Java in preveden v posebne bajtne kode, ki so kode nekega virtualnega računalnika - Java stroja - in se razlikujejo od kod procesorjev družine Intel. Programčki gostujejo na strežniku v internetu in se prenesejo na uporabnikov računalnik vsakič, ko se dostopa do strani HTML, ki vsebuje klic tega programčka.
Za izvajanje kode programčka standardni brskalnik vključuje izvedbo mehanizma Java, ki interpretira bajtne kode v strojna navodila družine procesorjev Intel (ali druge družine procesorjev). Zmogljivosti, ki so del tehnologije programčkov Java, vam po eni strani omogočajo razvoj močnih uporabniški vmesniki, organizirajo dostop do poljubnih omrežnih virov prek URL-ja, enostavno uporabljajo protokole TCP/IP, FTP itd., po drugi strani pa onemogočajo neposreden dostop do računalniških virov. Na primer, programčki nimajo dostopa do datotečni sistem računalnik in povezane naprave.
Podobna rešitev za razširitev zmogljivosti WWW je Microsoftova tehnologija - Active X. Najpomembnejša razlika med to tehnologijo in Javo je v tem, da so komponente (analogi programčkov) programi v kodi. procesor Intel in dejstvo, da imajo te komponente dostop do vseh računalniških virov ter vmesnikov in storitev Windows.
Drug manj pogost pristop k razširitvi zmogljivosti WWW je Netscapeov vtičnik za tehnologijo Netscape Navigator. Prav ta tehnologija se zdi najbolj optimalna osnova za izgradnjo sistemov informacijske varnosti za elektronsko plačevanje prek interneta. Za nadaljnjo razpravo si poglejmo, kako ta tehnologija rešuje problem zaščite informacij spletnega strežnika.
Predpostavimo, da obstaja nek spletni strežnik in skrbnik tega strežnika potrebno je omejiti dostop do nekega dela informacijskega polja strežnika, tj. organizirati tako, da imajo nekateri uporabniki dostop do nekaterih informacij, drugi pa ne.
Trenutno je predlaganih več pristopov za rešitev tega problema, zlasti veliko OS, pod katerimi delujejo internetni strežniki, zahtevajo geslo za dostop do nekaterih svojih območij, tj. zahtevajo avtentikacijo. Ta pristop ima dve pomembni pomanjkljivosti: prvič, podatki so shranjeni na samem strežniku v čistem besedilu, in drugič, podatki se prenašajo po omrežju tudi v čistem besedilu. Tako ima napadalec možnost organizirati dva napada: na sam strežnik (ugibanje gesla, obhod gesla itd.) in napad na promet. Dejstva o takih napadih so v internetni skupnosti splošno znana.
Drug dobro poznan pristop k reševanju problematike informacijske varnosti je pristop, ki temelji na tehnologiji SSL (Secure Sockets Layer). Pri uporabi SSL se med odjemalcem in strežnikom vzpostavi varen komunikacijski kanal, preko katerega se prenašajo podatki, t.j. Problem prenosa podatkov v jasnem besedilu po omrežju lahko štejemo za relativno rešen. Glavna težava pri SSL je izgradnja sistema ključev in nadzor nad njim. Kar zadeva problem shranjevanja podatkov na strežniku v čistem besedilu, ostaja nerešen.
Druga pomembna pomanjkljivost zgoraj opisanih pristopov je potreba po njihovi podpori s strani strežniške in omrežne odjemalske programske opreme, kar ni vedno mogoče ali priročno. Še posebej v sistemih, namenjenih množičnim in neorganiziranim strankam.
Pristop, ki ga predlaga avtor, temelji na zaščiti samih html strani, ki so glavni nosilec informacij na internetu. Bistvo zaščite je, da se datoteke, ki vsebujejo HTML strani, shranijo na strežnik v šifrirani obliki. V tem primeru je ključ, s katerim so šifrirani, znan le tisti, ki ga je šifriral (administrator) in odjemalci (v splošnem je problem izgradnje sistema ključev rešen na enak način kot v primeru transparentne datoteke šifriranje).
Stranke dostopajo do varnih informacij z uporabo Netscapeovega vtičnika za tehnologijo Netscape. Ti moduli so programi, natančneje komponente programske opreme, ki so povezane z določenimi vrstami datotek v standardu MIME. MIME je mednarodni standard, ki določa formate datotek na internetu. Na primer, obstajajo naslednje vrste datotek: besedilo/html, besedilo/ravnina, slika/jpg, slika/bmp itd. Poleg tega standard določa mehanizem nastavitve vrste po meri datoteke, ki jih lahko definirajo in uporabljajo neodvisni razvijalci.
Torej se uporabljajo vtičniki, ki so povezani z določenimi vrstami datotek MIME. Povezava je v tem, da ko uporabnik dostopa do datotek ustrezne vrste, brskalnik zažene z njim povezan vtičnik in ta modul izvede vsa dejanja za vizualizacijo podatkov datoteke in obdelavo uporabnikovih dejanj s temi datotekami.
Med najbolj znane vtičnike spadajo moduli, ki predvajajo videe v formatu avi. Ogled teh datotek ni vključen v standardne zmožnosti brskalnikov, vendar si lahko z namestitvijo ustreznega vtičnika preprosto ogledate te datoteke v brskalniku.
Nadalje so vse šifrirane datoteke opredeljene kot datoteke tipa MIME v skladu z uveljavljenim mednarodnim standardom. "aplikacija/x-shp". Nato se razvije vtičnik z uporabo tehnologije in protokolov Netscape za povezavo z vrsto datoteke. Ta modul opravlja dve funkciji: prvič, zahteva geslo in ID uporabnika, in drugič, dešifrira in izpiše datoteko v okno brskalnika. Ta modul je nameščen v skladu s standardnim vrstnim redom, ki ga je določil Netscape v brskalnikih vseh odjemalskih računalnikov.
Na tej točki je pripravljalna faza dela zaključena in sistem je pripravljen za delovanje. Med delovanjem odjemalci dostopajo do šifriranih strani HTML s svojim standardnim naslovom (URL). Brskalnik določi vrsto teh strani in samodejno zažene modul, ki smo ga razvili, ter vanj prenese vsebino šifrirane datoteke. Modul avtentikira odjemalca in po uspešnem zaključku dešifrira in prikaže vsebino strani.
Pri izvajanju tega celotnega postopka stranka dobi občutek "transparentnega" šifriranja strani, saj je celotno delo zgoraj opisanega sistema skrito njegovim očem. Hkrati so ohranjene vse standardne lastnosti strani html, kot je uporaba slik, programčkov Java, skriptov CGI.
Preprosto je videti, da ta pristop rešuje številne težave z varnostjo informacij, ker v odprti obliki se nahaja samo na računalnikih odjemalcev, podatki se po omrežju prenašajo v šifrirani obliki. Napadalec, ki zasleduje cilj pridobivanja informacij, lahko izvede samo napad na določenega uporabnika in noben sistem informacijske varnosti strežnika ne more zaščititi pred tem napadom.
Trenutno je avtor razvil dva informacijsko varnostna sistema, ki temeljita na predlaganem pristopu za brskalnik Netscape Navigator (3.x) in Netscape Communicator 4.x. Med predtest Ugotovljeno je bilo, da lahko razviti sistemi normalno delujejo pod nadzorom MExplorerja, vendar ne v vseh primerih.
Pomembno je omeniti, da te različice sistemov ne šifrirajo predmetov, povezanih s stranjo HTML: slik, skriptnih programčkov itd.
Sistem 1 ponuja zaščito (šifriranje) dejanskih html strani kot enega samega objekta. Ustvarite stran in jo nato šifrirate ter kopirate na strežnik. Ko dostopate do šifrirane strani, se ta samodejno dešifrira in prikaže v posebnem oknu. Strežniška programska oprema ne zahteva podpore varnostnega sistema. Vsa dela šifriranja in dešifriranja se izvajajo na odjemalčevi delovni postaji. Ta sistem je univerzalna, tj. ni odvisen od strukture in namena strani.
Sistem 2 ponuja drugačen pristop k zaščiti. Ta sistem zagotavlja, da so zaščitene informacije prikazane v določenem delu vaše strani. Informacije so v šifrirani datoteki (ne nujno v formatu html) na strežniku. Ko greste na svojo stran, varnostni sistem samodejno dostopa do te datoteke, prebere podatke iz nje in jih prikaže v določenem delu strani. Ta pristop vam omogoča doseganje največje učinkovitosti in estetske lepote z minimalno vsestranskostjo. Tisti. izkaže se, da je sistem usmerjen v določen namen.
Ta pristop je mogoče uporabiti tudi pri izgradnji elektronskih plačilnih sistemov preko interneta. V tem primeru se ob dostopu do določene strani spletnega strežnika zažene modul Plug-in, ki uporabniku prikaže obrazec plačilnega naloga. Ko ga stranka izpolni, modul šifrira podatke o plačilu in jih pošlje strežniku. Hkrati lahko od uporabnika zahteva elektronski podpis. Poleg tega je ključe za šifriranje in podpisovanje mogoče prebrati s katerega koli medija: disket, elektronskih tablic, pametnih kartic itd.
2.3 Analiza tehnologij za izpolnjevanje osnovnih zahtev za elektronske plačilne sisteme
Zgoraj smo opisali tri tehnologije, ki jih je mogoče uporabiti za izgradnjo plačilnih sistemov prek interneta: to je tehnologija, ki temelji na programčkih Java, komponentah Active-X in vtičnikih. Imenujmo jih tehnologije J, AX oziroma P.
Upoštevajte zahtevo, da se zmožnost napadalca za napad na računalnik ne sme povečati. Če želite to narediti, analizirajmo eno od možnih vrst napadov - zamenjavo ustreznih zaščitnih modulov odjemalca z napadalcem. V primeru tehnologije J so to programčki, v primeru AX potopne komponente, v primeru P so to vtični moduli. Očitno je, da ima napadalec možnost zamenjati zaščitne module neposredno na odjemalčevem računalniku. Mehanizmi za izvedbo tega napada so izven obsega te analize, vendar je treba opozoriti, da izvedba tega napada ni odvisna od zadevne zaščitne tehnologije. In raven varnosti vsake tehnologije je enaka, tj. vsi so enako nestabilni za ta napad.
Najbolj ranljiva točka v tehnologijah J in AX z vidika zamenjave je njihov prenos iz interneta. V tem trenutku lahko napadalec izvede zamenjavo. Poleg tega, če napadalec uspe zamenjati te module na bančnem strežniku, dobi dostop do vseh količin informacij o plačilnem sistemu, ki krožijo po internetu.
V primeru tehnologije P ni nevarnosti zamenjave, saj modul ni prenesen iz omrežja - trajno je shranjen na računalniku odjemalca.
Posledice zamenjave so različne: v primeru J-tehnologije lahko napadalec ukrade le podatke, ki jih vnese odjemalec (kar je resna grožnja), v primeru Active-X in Plug-in pa lahko pridobiti vse informacije, do katerih ima dostop odjemalec, ki se izvaja na računalniku.
Avtor trenutno ne pozna posebnih metod za izvajanje napadov ponarejanja programčkov Java. Očitno se ti napadi slabo razvijajo, saj posledične priložnosti za krajo informacij praktično ni. Toda napadi na komponente Active-X so zelo razširjeni in dobro znani.
Razmislimo o zahtevi po zaščiti informacij, ki krožijo v elektronskem plačilnem sistemu prek interneta. Očitno je, da je v tem primeru tehnologija J slabša od P in AX v enem zelo pomembnem vprašanju. Vsi mehanizmi informacijske varnosti temeljijo na šifriranju oziroma elektronskem podpisu, vsi ustrezni algoritmi pa na kriptografskih transformacijah, ki zahtevajo vnos ključnih elementov. Trenutno je dolžina ključnih elementov reda 32-128 bajtov, zato je zahteva, da jih uporabnik vnese s tipkovnice, skoraj nemogoča. Postavlja se vprašanje: kako jih vnesti? Ker imata tehnologiji P in AX dostop do računalniških virov, je rešitev tega problema očitna in znana – ključi se berejo iz lokalnih datotek, disket, tablic ali pametnih kartic. Toda v primeru tehnologije J je takšen vnos nemogoč, kar pomeni, da morate bodisi zahtevati od odjemalca, da vnese dolgo zaporedje nesmiselnih informacij, ali pa z zmanjšanjem dolžine ključnih elementov zmanjšati moč kriptografskih transformacij in s tem zmanjšati zanesljivost varnostnih mehanizmov. Poleg tega je to zmanjšanje zelo pomembno.
Razmislimo o zahtevi, da mora elektronski plačilni sistem organizirati zaščito podatkov, ki se nahajajo na strežniku, pred nepooblaščenim branjem in spreminjanjem. Ta zahteva izhaja iz dejstva, da sistem vključuje namestitev zaupnih informacij, namenjenih uporabniku, na strežnik. Na primer seznam plačilnih nalogov, ki so mu bili poslani z opombo o rezultatih obdelave.
V primeru tehnologije P so te informacije predstavljene v obliki strani HTML, ki so šifrirane in postavljene na strežnik. Vsa dejanja se izvajajo v skladu z zgoraj opisanim algoritmom (šifriranje strani HTML).
V primeru tehnologij J in AX se lahko te informacije v neki strukturirani obliki postavijo v datoteko na strežniku, komponente ali programčki pa morajo izvesti operacije za branje in vizualizacijo podatkov. Vse to na splošno vodi do povečanja skupne velikosti programčkov in komponent ter posledično do zmanjšanja hitrosti nalaganja ustreznih strani.
Z vidika te zahteve zmaga tehnologija P zaradi večje izdelovalnosti, tj. manjše stroške razvoja in večjo odpornost na zamenjavo komponent, ko te prehajajo skozi omrežje.
Zadnja zahteva za zaščito bančnega lokalnega omrežja je izpolnjena s kompetentno izgradnjo sistema požarnih zidov (požarnih zidov) in ni odvisna od zadevnih tehnologij.
Tako je bilo zgoraj navedeno izvedeno predhodno primerjalna analiza tehnologije J, AX in P, iz katerih izhaja, da je treba tehnologijo J uporabiti, če je vzdrževanje stopnje varnosti računalnika naročnika bistveno pomembnejše od moči kriptografskih transformacij, ki se uporabljajo v elektronskih plačilnih sistemih.
Tehnologija P se zdi najbolj optimalna tehnološka rešitev, ki je podlaga za varnostne sisteme plačilnih informacij, saj združuje moč standardna aplikacija Win32 in zaščita pred napadi preko interneta. Praktično in komercialno izvajanje projektov, ki uporabljajo to tehnologijo, izvaja na primer podjetje Russian Financial Communications.
Kar se tiče tehnologije AX, se zdi, da je njena uporaba neučinkovita in nestabilna za napade vsiljivcev.
ZAKLJUČEK
Elektronski denar vse bolj očitno začenja postajati naša vsakdanja realnost, ki jo je treba vsaj upoštevati. Seveda navadnega denarja v naslednjih petdesetih letih (verjetno) ne bo nihče ukinil. Nezmožnost upravljanja z elektronskim denarjem in zamuda priložnosti, ki jih le-ta prinaša s seboj, pa pomeni prostovoljno dvigovanje »železne zavese« okoli sebe, ki se je v zadnjih petnajstih letih tako težko premaknila. Veliko velikih podjetij ponuja plačilo svojih storitev in blaga prek elektronskih plačil. To potrošniku prihrani veliko časa.
Brezplačna programska oprema za odpiranje vaše elektronske denarnice in za celotno delo z denarjem je maksimalno prilagojena množičnim računalnikom in po malo vaje povprečnemu uporabniku ne povzroča težav. Naš čas je čas računalnikov, interneta in elektronskega poslovanja. Ljudje, ki imajo znanje s teh področij in ustrezna orodja, dosegajo izjemne uspehe. Elektronski denar je denar, ki je iz dneva v dan bolj razširjen in človeku, ki ima dostop do interneta, odpira vedno več možnosti.
Namen računskega in grafičnega dela je bil izpolniti in rešiti naslednje naloge:
1. Določene so glavne naloge elektronskih plačilnih sistemov in načela njihovega delovanja, njihove značilnosti.
2. Analizirani so glavni elektronski plačilni sistemi.
3. Analizirane so nevarnosti, povezane z uporabo elektronskega denarja.
4. Analizirani so načini zaščite pri uporabi elektronskih plačilnih sistemov.
BIBLIOGRAFSKI SEZNAM
1. Antonov N.G., Pessel M.A. Denarni obtok, kredit in banke. -M .: Finstatinform, 2005, str. 179-185.
2. Bančni portfelj - 3. -M .: Somintek, 2005, str. 288-328.
3. Mihajlov D.M. Mednarodna plačila in garancije. M.: FBK-PRESS, 2008, str. 20-66.
4. Polyakov V.P., Moskovkina L.A. Zgradba in funkcije centralnih bank. Tuje izkušnje: Učbenik. - M.: INFRA-M, 2006.
5. Gaikovich Yu.V., Pershin A.S. Varnost elektronskih bančnih sistemov. - M: Združena Evropa, 2004
6. Demin V.S. in drugi Avtomatizirani bančni sistemi. - M: Menatep-Inform, 2007
7. Krysin V.A. Poslovna varnost. - M: Finance in statistika, 2006
8. Linkov I.I. in drugi Informacijski deli v komercialnih strukturah: kako preživeti in uspeti. - M: NIT, 2008
9. Titorenko G.A. in drugi Informatizacija bančnih dejavnosti. - M: Finstatinform, 2007
10. Tushnolobov I.B., Urusov D.P., Yartsev V.I. Porazdeljena omrežja. - Sankt Peterburg: Peter, 2008
12. Aglitsky I. Stanje in možnosti informacijske podpore za ruske banke. - Bančne tehnologije, 2007 št. 1.
mentorstvo
Potrebujete pomoč pri študiju teme?
Naši strokovnjaki vam bodo svetovali ali nudili storitve mentorstva o temah, ki vas zanimajo.
Oddajte prijavo navedite temo prav zdaj, da izveste o možnosti pridobitve posvetovanja.
3. Zaščita elektronskih plačil
Problem bančne varnosti je še posebej pereč, saj bančne informacije, prvič, predstavlja pravi denar, in drugič, vpliva na zaupne interese velikega števila bančnih strank.
Velikost trga e-trgovine leta 2000
| Velikost in značilnosti trga | Ocena, dolarji |
| Skupni stroški vseh nakupov internetnih izdelkov | 4,5-6 milijard |
| Skupni stroški vseh nakupov na povprečnega kupca | 600-800 |
| Stroški povprečnega nakupa na internetno transakcijo | 25-35 |
| Celoten obseg internetnih nakupnih transakcij | 130-200 milijonov |
| Delež spletnih nakupov izdelkov | 60-70% |
| Delež nakupov dostavljenega blaga | 30-40% |
Splošna shema delovanja elektronskih plačilnih sistemov
Banka, ki je s sistemom sklenila pogodbo in prejela ustrezno licenco, lahko nastopa v dveh vlogah - kot izdajatelj plačilnih instrumentov tega sistema, ki jih sprejemajo v plačilo vse druge sodelujoče banke, in kot banka prevzemnica, ki servisira podjetja, ki sprejema za plačilo plačilne instrumente tega sistema, ki so jih izdali drugi izdajatelji, in sprejema ta plačilna sredstva za unovčenje v svojih poslovalnicah.
Postopek sprejema plačila je precej preprost. Najprej mora blagajnik podjetja preveriti pristnost kartice z ustreznimi značilnostmi.
Pri plačilu mora podjetje s kopirnim strojem – imprinterjem prenesti podatke o kartici stranke na poseben ček, v ček vpisati znesek, za katerega je bil opravljen nakup ali storitev, ter pridobiti podpis stranke.
Tako izdan ček se imenuje slip. Zaradi varnega izvajanja transakcij plačilni sistem priporoča nižje omejitve zneskov za različne regije in vrste poslovanja, za katere je možno plačevanje brez avtorizacije. Če je limit presežen ali če obstaja dvom o identiteti stranke, je podjetje dolžno izvesti postopek avtorizacije.
Ne da bi se spuščali v tehnične vidike postopka, poudarjamo, da podjetje med avtorizacijo dejansko pridobi dostop do podatkov o stanju na računu stranke in tako dobi možnost ugotoviti lastništvo kartice s strani stranke in njeno plačilno sposobnost. v znesku transakcije. En izvod položnice ostane podjetju, drugi se prenese na stranko, tretji se dostavi banki prevzemnici in je podlaga za vračilo zneska plačila podjetju z računa stranke.
V zadnjih letih so postali zelo priljubljeni POS terminali, na katerih ni potrebno izpolnjevati položnic. Podatki kartice se preberejo z magnetnega traku na čitalniku, vgrajenem v POS terminal, s tipkovnico se vnese znesek transakcije, terminal pa preko vgrajenega modema zaprosi za avtorizacijo pri ustreznem plačilnem sistemu. V tem primeru se uporabljajo tehnične zmogljivosti procesnega centra, katerega storitve trgovcu zagotavlja banka. V tem primeru podjetje poroča banki s kopijo traku blagajne z vzorcem podpisa stranke in paketnimi datotekami, ki jih terminal ustvari ob koncu delovnega dne.
V zadnjih letih se vse več pozornosti posveča bančni sistemi, ki uporabljajo mikroprocesorske kartice.
Navzven se ti pomnilniški mediji ne razlikujejo od navadnih kartic, razen pomnilniškega čipa ali mikroprocesorja, ki je prispajkan v notranjost kartice, in cvetnih listov kontaktne plošče, prikazanih na njeni površini.
Bistvena razlika med temi karticami in vsemi naštetimi je v tem, da neposredno prenašajo podatke o stanju računa stranke, saj so same tranzitni račun. Jasno je, da mora biti vsako prevzemno mesto za tovrstne kartice opremljeno s posebnim POS terminalom (z čitalnikom čipov).
Da bi stranka lahko uporabljala kartico, jo mora na bančnem terminalu naložiti s svojega računa. Vse transakcije se izvajajo v načinu OFF-LINE med dialogom kartica - terminal ali kartica stranke - kartica trgovca.
Takšen sistem je skoraj popolnoma varen zaradi visoke stopnje varnosti čipa in polne debetne sheme plačevanja. Poleg tega, čeprav je sama kartica bistveno dražja od običajne, se sistem med delovanjem izkaže še cenejši zaradi dejstva, da način OFF-LINE ne izkorišča telekomunikacijske obremenitve.
Elektronska plačila s plastičnimi bančnimi karticami različne vrste predstavljajo dokaj prilagodljiv in univerzalen mehanizem za poravnave v verigi "Banka 1 - Stranka - Podjetje - Banka 2" in medbančne poravnave tipa "Banka 1 - ... - Banka N". Vendar pa so zaradi vsestranskosti teh plačilnih instrumentov še posebej privlačna tarča goljufij. Letni stroški izgub, povezanih z zlorabo, znašajo znaten znesek, čeprav relativno majhen v primerjavi s celotnim prometom.
Varnostnega sistema in njegovega razvoja ni mogoče obravnavati ločeno od metod nezakonitega poslovanja s plastičnimi karticami, ki jih lahko razdelimo na 5 glavnih vrst kaznivih dejanj.
1. Poslovanje s ponarejenimi karticami.
Tovrstne goljufije predstavljajo največji delež izgub plačilnega sistema. Zaradi visoke tehnične in tehnološke varnosti pravih kartic se domače kartice v zadnjem času redko uporabljajo in jih je mogoče prepoznati s preprosto diagnostiko.
Za ponarejanje se praviloma uporabljajo praznine ukradenih kartic, na katere so naneseni podatki banke in stranke. Ker so tehnično visoko opremljeni, lahko kriminalci celo zapišejo podatke na magnetni trak kartice ali ga kopirajo, z eno besedo, izvedejo ponarejanje na visoki ravni.
Storilci takšnih dejanj so praviloma organizirane kriminalne združbe, ki včasih sodelujejo z zaposlenimi v bankah izdajateljicah, ki imajo dostop do informacij o računih strank in transakcijskih postopkih. Ob spoštovanju mednarodne kriminalne skupnosti je treba opozoriti, da so se ponarejene kartice v Rusiji pojavile skoraj sočasno z začetkom razvoja tega sektorja bančnega trga.
2. Transakcije z ukradenimi/izgubljenimi karticami.
Z ukradeno kartico je možno povzročiti večjo škodo le, če prevarant pozna kodo PIN stranke. Nato postane mogoče dvigniti velik znesek z računa stranke prek mreže elektronskih blagajn - bankomatov, preden ima banka izdajateljica ukradene kartice čas, da jo uvrsti na elektronski stop listo (seznam neveljavnih kartic).
3. Večkratna plačila storitev in blaga za zneske, ki ne presegajo "spodnje meje" in za katere ni potrebna avtorizacija. Za izvedbo plačil mora kriminalec le ponarediti podpis stranke. Vendar s to shemo najbolj privlačen predmet zlorabe postane nedostopen - gotovina. Ta kategorija vključuje kazniva dejanja, ki vključujejo kraje kartic, medtem ko jih je banka izdajateljica poslala svojim strankam po pošti.
4. Prevare z naročili po pošti/telefonu.
Ta vrsta kaznivih dejanj se je pojavila v povezavi z razvojem storitve dostave blaga in storitev po pošti ali telefonskem naročilu naročnika. Kriminalec, ki pozna številko kreditne kartice svoje žrtve, jo lahko navede na obrazcu za naročilo in po prejemu naročila v kraju začasnega prebivališča pobegne.
5. Večkratni dvigi z računa.
Ta kazniva dejanja običajno storijo zaposleni pravna oseba, ki sprejema plačilo od stranke za blago in storitve s kreditno kartico in se izvede z izdajo več plačilnih čekov za eno plačilo. Na podlagi predloženih čekov se na račun podjetja nakaže več denarja, kot znašajo stroški prodanega blaga ali opravljene storitve. Vendar pa je kriminalec po opravljenih številnih transakcijah prisiljen zapreti ali zapustiti podjetje.
Da bi se izognili takšnim dejanjem, uporabnikom kartice svetujemo, da so pri transakcijah (tudi pri manjših zneskih) bolj pozorni na podpisane dokumente.
Metode, ki jih uporabljajo varnostni oddelki, lahko razdelimo v dve glavni kategoriji. Prva in morda najpomembnejša raven je povezana s tehnično varnostjo same plastične kartice. Zdaj lahko z gotovostjo trdimo, da je s tehnološkega vidika kartica bolje zaščitena kot bankovci in jo je skoraj nemogoče izdelati sami brez uporabe sofisticiranih tehnologij.
Kartice katerega koli plačilnega sistema izpolnjujejo strogo določene standarde. Zemljevid ima standardno obliko. Identifikacijska številka banke v sistemu (koda BIN) in številka bančnega računa komitenta, njegovo ime in priimek, rok veljavnosti kartice so vtisnjeni in nameščeni na strogo določenih mestih na sprednji strani kartice. Obstaja tudi simbol plačilnega sistema, narejen na holografski način. Zadnje štiri števke številke kartice so vtisnjene (reliefno stisnjene) neposredno na holografski simbol, zaradi česar je nemogoče kopirati hologram ali ponovno vtisniti kodo, ne da bi uničili simbol.
Na zadnji strani kartice je magnetni trak in območje z vzorcem podpisa lastnika. Podatki o samem plačilnem sistemu, zaščitne oznake, simboli, ki preprečujejo kopiranje informacij, so na magnetnem traku zabeleženi na strogo določenih mestih in s pomočjo kriptografskih algoritmov, informacije, natisnjene na sprednji strani kartice, pa se podvajajo. Območje vzorca lastnikovega podpisa ima poseben premaz. Ob najmanjšem poskusu brisanja ali posredovanja podpisa se premaz uniči in pojavi se substrat druge barve z varnostnimi simboli plačilnega sistema.
Preostala površina kartice je v celoti v razpolaganju banke izdajateljice in je poljubno okrašena s simboli banke, njenimi oglasi in informacijami, ki so potrebne za stranke. Sama kartica je zaščitena z znaki, ki so vidni le pod ultravijolično svetlobo.
Ukrepi tehnične zaščite vključujejo tudi zaščito bančnih komunikacij, bančnih omrežij pred nezakonitimi vdori, okvarami in drugimi zunanjimi vplivi, ki vodijo do uhajanja ali celo uničenja informacij. Zaščita se izvaja programsko in strojno ter je certificirana s strani pooblaščenih organizacij plačilnih sistemov.
Druga kategorija zaščitnih ukrepov vključuje ukrepe za preprečevanje uhajanja informacij iz bančnih oddelkov za delo s plastičnimi karticami. Glavno načelo je jasna razmejitev službenih pristojnosti zaposlenih in v skladu s tem omejitev dostopa do tajnih podatkov v obsegu, ki ne presega minimalno potrebnega dela.
Ti ukrepi zmanjšujejo tveganje in možnost dogovarjanja kriminalcev z zaposlenimi. Za zaposlene organiziramo tematske seminarje za izboljšanje znanja. Plačilni sistemi redno distribuirajo varnostne biltene, v katerih objavljajo uradna gradiva in statistike o kartičnih kaznivih dejanjih, poročajo o znakih kriminalcev in znakih ponarejenih kartic, ki so prišle v nezakonit promet. Prek biltenov se usposablja osebje ter organizirajo preventivne in posebne dejavnosti za zmanjševanje kriminalitete.
Posebno pozornost namenjamo kadrovski selekciji zaposlenih v oddelku. Vse varnostne zadeve so v pristojnosti posebnega varnostnika. Med preventivnimi ukrepi je najpomembnejše delo s strankami, namenjeno dvigu kulturne ravni ravnanja s »plastičnim denarjem«. Skrbno in skrbno ravnanje s kartico bistveno zmanjša verjetnost, da postanete žrtev kaznivega dejanja.
Analiza kršitev v sistemu elektronske poravnave in plačil
Med strokovnjaki je dobro znano, da je bil hiter padec Norveške v drugi svetovni vojni v veliki meri posledica dejstva, da so šifre britanske kraljeve mornarice razbili nemški kriptografi, ki so uporabili popolnoma enake metode, kot so jih strokovnjaki iz sobe 40 kraljeve mornarice uporabili proti Nemčiji v prejšnjem vojna.
Od druge svetovne vojne je nad vladno uporabo kriptografije odstrta tančica skrivnosti. To ni presenetljivo in ni le posledica hladne vojne, temveč tudi nepripravljenosti birokratov (v kateri koli organizaciji) priznati svoje napake.
Oglejmo si nekaj načinov, kako so bile goljufije na bankomatih dejansko storjene. Cilj je analizirati zamisli oblikovalcev, usmerjene v teoretično neranljivost njihovega izdelka, in se iz tega, kar se je zgodilo, naučiti.
Začnimo z nekaj preprostimi primeri, ki prikazujejo več vrst goljufij, ki jih je mogoče izvesti brez večjih tehničnih zvijač, pa tudi bančne postopke, ki omogočajo, da se zgodijo.
Znano je, da mora magnetni trak na kartici kupca vsebovati le številko njegovega računa, osebno identifikacijsko številko (PIN) pa dobimo tako, da šifriramo številko računa in iz rezultata vzamemo štiri števke. Tako mora biti bankomat sposoben izvesti šifriranje ali kako drugače izvesti preverjanje PIN-a (npr. interaktivno poizvedovanje).
Prestolno sodišče v Winchestru v Angliji je nedavno obsodilo dva kriminalca, ki sta uporabila preprosto, a učinkovito shemo. Stali so v vrstah na bankomatih, pregledovali PIN kode strank, pobirali kartice, ki jih je bankomat zavrnil, in z njih prepisovali številke računov na prazne kartice, s katerimi so komitentom ropali račune.
Ta trik so pred nekaj leti uporabili (in poročali) v newyorški banki. Storilec je bil odpuščeni tehnik bankomata in uspel mu je ukrasti 80.000 dolarjev, preden ga je banka, ki je imela varnostno službo na območju, ujela pri dejanju.
Ti napadi so bili uspešni, ker so banke na bančno kartico natisnile celotno številko računa stranke, poleg tega pa na magnetnem traku ni bilo kriptografske redundance. Mislili bi, da se bo lekcija newyorške banke naučila, a ne.
Druga vrsta tehničnega napada temelji na dejstvu, da mnoga omrežja bankomatov ne šifrirajo sporočil in ne izvajajo postopkov avtentikacije pri avtorizaciji transakcije. To pomeni, da lahko napadalec posname odgovor banke bankomatu »Avtoriziram plačilo« in nato predvaja posnetek, dokler bankomat ni prazen. Te tehnike, znane kot "evisceracija", ne uporabljajo samo zunanji napadalci. Znan je primer, ko so bančni operaterji uporabili napravo za nadzor omrežja, da so skupaj s sostorilci »iztrebili« bankomate.
Testne transakcije so še en vir težav
Za eno vrsto bankomata je bilo uporabljeno štirinajstmestno zaporedje tipk za preizkus izdaje desetih bankovcev. Neka banka je to zaporedje natisnila v svojem priročniku za uporabo oddaljenih bankomatov. Tri leta pozneje je denar nenadoma začel izginjati. Nadaljevali so, dokler vse banke, ki uporabljajo tovrstne bankomate, niso omogočile popravkov programske opreme, da bi preprečile testno transakcijo.
Najhitreje rastoče prevare so tiste, ki vključujejo uporabo lažnih terminalov za zbiranje računov strank in PIN kod. Napadi te vrste so bili prvič opisani v ZDA leta 1988. Goljufi so izdelali stroj, ki sprejme katero koli kartico in razdeli škatlico cigaret. Ta izum so postavili v trgovino, PIN kode in podatke z magnetnih kartic pa so prenašali preko modema. Trik se je razširil po vsem svetu.
Tehniki strankam tudi kradejo denar, saj vedo, da bodo njihove pritožbe verjetno prezrte. V eni banki na Škotskem je inženir službe za pomoč uporabnikom priključil računalnik na bankomat in zabeležil številke računov in kode PIN strank. Nato je ponarejal kartice in ukradel denar z računov. Spet so se stranke pritoževale na prazne stene. Banko je zaradi te prakse javno kritiziral eden od najvišjih škotskih pravnih uradnikov.
Namen uporabe štirimestne kode PIN je, da če nekdo najde ali ukrade bančno kartico druge osebe, obstaja ena proti deset tisoč možnosti, da naključno ugane kodo. Če so dovoljeni le trije poskusi vnosa PIN-a, potem je verjetnost dviga denarja z ukradene kartice manjša od ena proti tri tisoč. Vendar pa je nekaterim bankam uspelo zmanjšati raznolikost, ki jo zagotavljajo štiri številke.
Nekatere banke ne sledijo vzorcu pridobivanja kode PIN s kriptografsko pretvorbo številke računa, ampak uporabljajo naključno izbrano kodo PIN (ali omogočajo strankam, da jo izberejo) in jo nato kriptotransformirajo, da si jo zapomnijo. Poleg tega, da omogoča stranki, da izbere kodo PIN, ki jo je enostavno uganiti, ta pristop prinaša nekatere tehnične pasti.
Nekatere banke hranijo šifrirano vrednost PIN. To pomeni, da lahko programer pridobi šifrirano vrednost lastnega PIN-a in v bazi podatkov išče vse druge račune z istim PIN-om.
Ena velika britanska banka je celo zapisala šifrirano kodo PIN na magnetni trak kartice. Kriminalna skupnost je potrebovala petnajst let, da je ugotovila, da lahko zamenja številko računa na magnetnem traku lastne kartice in jo nato uporabi s svojim PIN-om za krajo z računa.
Iz tega razloga sistem VISA priporoča, da banke pred šifriranjem združijo številko računa stranke z njihovim PIN-om. Vendar tega ne počnejo vse banke.
Bolj sofisticirani napadi so bili doslej povezani s preprostimi napakami pri izvajanju in delovanju. Poklicni varnostni raziskovalci so takšne zmote ponavadi videli kot nezanimive in so se zato osredotočili na napade, ki temeljijo na bolj subtilnih tehničnih napakah. Bančništvo ima tudi številne varnostne pomanjkljivosti.
Čeprav so visokotehnološki napadi na bančne sisteme redki, so zanimivi z javnega vidika, saj so vladne pobude, kot so EU merila za ocenjevanje informacijske varnostne tehnologije (ITSEC), namenjene razvoju niza izdelkov, ki so certificirani glede na znane tehnične napake. Predlogi, na katerih temelji ta program, so, da bodo postopki izvajanja in obdelave zadevnih izdelkov v bistvu brez napak in da napad zahteva tehnično usposabljanje, primerljivo s tistim osebja vladne varnostne agencije. Očitno je ta pristop bolj primeren za vojaške sisteme kot za civilne.
Da bi razumeli, kako se izvajajo bolj sofisticirani napadi, si je treba podrobneje ogledati bančno varnost.
Težave v zvezi z varnostnimi moduli
Niso vsi varnostni produkti enake kakovosti in malo bank ima usposobljene strokovnjake za razlikovanje dobrih produktov od povprečnih.
V resnični praksi obstaja nekaj težav s proizvodi za šifriranje, zlasti s starim varnostnim modulom IBM 3848 ali moduli, ki so trenutno priporočeni za bančne organizacije.
Če banka nima strojno implementiranih varnostnih modulov, bo funkcija šifriranja PIN kode implementirana programsko z ustreznimi nezaželenimi posledicami. Programska oprema varnostnega modula ima lahko prekinitvene točke za odpravljanje napak programskih izdelkov s strani inženirjev proizvajalca. Na to dejstvo so opozorili, ko se je ena od bank odločila, da ga vključi v omrežje, sistemski inženir proizvajalca pa ni mogel zagotoviti delovanja zahtevanega prehoda. Da bi opravil delo, je uporabil enega od teh trikov za pridobivanje kod PIN iz sistema. Obstoj takih prelomnih točk onemogoča ustvarjanje zanesljivih postopkov za upravljanje varnostnih modulov.
Nekateri proizvajalci varnostnih modulov sami omogočajo takšne napade. Na primer, metoda se uporablja za generiranje delovnih ključev glede na čas dneva in posledično se dejansko uporabi samo 20 ključnih bitov namesto pričakovanih 56. Tako je po teoriji verjetnosti za vsakih 1000 generiranih ključev dva se bosta ujemala.
To omogoča nekatere subtilne zlorabe, pri katerih napadalec manipulira z bančno komunikacijo, tako da se transakcije z enega terminala nadomestijo s transakcijami z drugega.
Programerji ene banke se sploh niso ukvarjali s težavami, povezanimi z vnašanjem ključev strank v programe za šifriranje. Preprosto so namestili kazalce na ključne vrednosti v pomnilniško območje, ki se ob zagonu sistema vedno ponastavi na nič. Rezultat ta odločitev se je izkazalo, da pravi in testni sistemi uporabljali iste ključne prostore za shranjevanje. Tehniki banke so ugotovili, da lahko pridobijo kode PIN strank na testni opremi. Več jih je kontaktiralo lokalne kriminalce, da bi izbrali kode PIN za ukradene bančne kartice. Ko je varnostnik banke razkril, kaj se dogaja, je umrl v prometni nesreči (lokalna policija pa je "izgubila" vse relevantno gradivo). Banka se ni trudila, da bi svojim strankam poslala nove kartice.
Eden glavnih namenov varnostnih modulov je preprečiti programerjem in osebju, ki dostopa do računalnikov, pridobitev ključnih bančnih informacij. Vendar pa tajnost, ki jo zagotavljajo elektronske komponente varnostnih modulov, pogosto ne zdrži poskusov kriptografskega prodora.
Varnostni moduli imajo lastne glavne ključe za notranjo uporabo in te ključe je treba hraniti na določenem mestu. Varnostna kopija ključa se pogosto vzdržuje v lahko berljivi obliki, kot je PROM, in ključ je mogoče občasno prebrati, na primer ko se nadzor niza ključev območja in terminala prenese iz enega varnostnega modula v drugo. V takšnih primerih je banka popolnoma prepuščena na milost in nemilost strokovnjakov v procesu izvajanja tega posla.
Težave, povezane s tehnologijami oblikovanja
Na kratko se pogovorimo o tehnologiji oblikovanja bankomatov. Pri starejših modelih se je programska koda za šifriranje nahajala na napačnem mestu - v krmilni napravi in ne v samem modulu. Krmilna naprava naj bi bila postavljena v neposredni bližini modula na določenem območju. Toda veliko število bankomatov trenutno ni v neposredni bližini bančne stavbe. Na eni univerzi v Združenem kraljestvu je bil bankomat v kampusu in je pošiljal nešifrirane številke računov in kode PIN telefonska linija na nadzorno enoto podružnice, ki se je nahajala nekaj milj od mesta. Vsakdo, ki bi se potrudil uporabiti napravo za prisluškovanje telefonski liniji, bi lahko ponaredil na tisoče kartic.
Tudi v primerih, ko je kupljen eden najboljših produktov, obstaja veliko možnosti, pri katerih nepravilna izvedba ali nedomišljeni tehnološki postopki banki povzročijo težave. Večina varnostnih modulov vrne vrsto povratnih kod za vsako transakcijo. Nekateri od njih, kot je "napaka paritete ključa", dajejo opozorilo, da programer eksperimentira z modulom, ki se dejansko uporablja. Vendar se le malo bank trudi napisati gonilnik naprave, potreben za prestrezanje teh opozoril in ustrezno ukrepanje.
Obstajajo primeri, ko so banke sklenile podizvajalske pogodbe za celoten ali delni sistem bankomatov s podjetji, ki "zagotavljajo sorodne storitve" in tem podjetjem prenesle kode PIN.
Obstajajo tudi primeri, ko sta si kode PIN delili dve ali več bank. Tudi če vse bančno osebje velja za zaupanja vredno, zunanja podjetja morda ne bodo vzdrževala varnostnih politik, specifičnih za banko. Osebje v teh podjetjih ni vedno ustrezno preverjeno, verjetno je premalo plačano, radovedno in lahkomiselno, kar lahko privede do zasnove in izvedbe goljufij.
Veliko opisanih napak pri upravljanju temelji na nerazvitosti psihološkega dela projekta. Bančne poslovalnice in računalniški centri bi morali pri opravljanju delovnega dne upoštevati standardne postopke, vendar bodo verjetno dosledno upoštevani le tisti kontrolni postopki, katerih namen je jasen. Na primer, delitev ključev sefa v poslovalnici med vodjo in računovodjo je dobro razumljena: oba ščiti pred tem, da bi njuni družini vzeli talca. Kriptografski ključi niso pogosto zapakirani v uporabniku prijazno obliko in zato verjetno ne bodo pravilno uporabljeni. Delni odgovor bi lahko bile naprave, ki dejansko spominjajo na ključe (po vzoru kriptografskih ključev varovalk jedrskega orožja).
Veliko bi lahko pisali o izboljšanju operativnih postopkov, a če je cilj preprečiti, da bi kakršen koli kriptografski ključ padel v roke nekomu, ki ima tehnično možnost, da ga zlorabi, potem mora obstajati jasen cilj v priročnikih in tečajih usposabljanja. Načelo »varnost z nejasnostjo« pogosto povzroči več škode kot koristi.
Distribucija ključev
Posebno težavo za bančne poslovalnice predstavlja razdeljevanje ključev. Kot veste, teorija zahteva, da vsak od obeh bankirjev vnese svojo ključno komponento, tako da njuna kombinacija da glavni ključ terminala. Koda PIN, šifrirana na glavnem ključu terminala, se bankomatu pošlje med prvo transakcijo po vzdrževanju.
Če tehnik bankomata prejme obe ključni komponenti, lahko dešifrira PIN in ponareja kartice. V praksi vodje poslovalnic, ki imajo ključe, jih skoraj z veseljem predajo inženirju, saj ne želijo stati ob bankomatu med servisiranjem. Poleg tega vnos terminalske tipke pomeni uporabo tipkovnice, kar se starejšim menedžerjem zdi pod njihovim dostojanstvom.
Napačno upravljanje ključev je običajna praksa. Znan je primer, ko je inženir iz vzdrževalca dobil obe mikrovezji z glavnimi ključi. Čeprav so v teoriji obstajali postopki dvojnega nadzora, so varnostniki predali čipe, ker so bili uporabljeni zadnji ključi in nihče ni vedel, kaj storiti. Inženir bi lahko naredil več kot le ponarejal karte. Lahko bi odšel s ključi in ustavil vse operacije bančnih bankomatov.
Ni nezanimivo, da so ključi pogosteje shranjeni v odprtih datotekah kot v zaščitenih. To ne velja samo za ključe bankomatov, ampak tudi za ključe za sisteme poravnave med bankami, kot je SWIFT, ki obravnavajo transakcije v vrednosti milijard. Inicializacijske ključe, kot so terminalski ključi in conski ključi, bi bilo pametno uporabiti samo enkrat in jih nato uničiti.
Kriptoanalitične grožnje
Kriptoanalitiki verjetno predstavljajo najmanjšo grožnjo za bančne sisteme, vendar jih ni mogoče popolnoma zanemariti. Nekatere banke (vključno z velikimi in znanimi) še vedno uporabljajo domače kriptografske algoritme, ustvarjene v letih pred DES. V enem podatkovnem omrežju so bili bloki podatkov preprosto "premešani" z dodajanjem konstante. Ta metoda ni bila kritizirana pet let, kljub dejstvu, da je omrežje uporabljalo več kot 40 bank. Poleg tega so očitno vsi zavarovalniški, revizijski in varnostni strokovnjaki teh bank prebrali specifikacije sistema.
Tudi če je uporabljen »spoštljiv« algoritem, je lahko implementiran z neustreznimi parametri. Nekatere banke so na primer implementirale algoritem RSA z dolžino ključa od 100 do 400 bitov, čeprav mora biti dolžina ključa vsaj 500 bitov, da se zagotovi zahtevana raven varnosti.
Ključ lahko najdete tudi s surovo silo, tako da preizkusite vse možne šifrirne ključe, dokler ne najdete ključa, ki ga uporablja določena banka.
Protokoli, ki se uporabljajo v mednarodnih omrežjih za šifriranje delovnih ključev s conskimi ključi, olajšajo napad na conski ključ na ta način. Če je bil conski ključ enkrat odprt, je mogoče dešifrirati vse kode PlN, ki jih banka pošlje ali prejme po omrežju. Nedavna študija strokovnjakov kanadske banke je pokazala, da bi tovrstni napad na DES stal okoli 30.000 GBP na conski ključ. Posledično so sredstva organiziranega kriminala povsem zadostna za takšno kaznivo dejanje, takšno kaznivo dejanje pa bi lahko izvedel dovolj premožen posameznik.
Verjetno so bili specializirani računalniki, potrebni za iskanje ključev, ustvarjeni v obveščevalnih službah nekaterih držav, tudi v državah, ki so zdaj v stanju kaosa. Posledično obstaja določeno tveganje, da bi jo lahko skrbniki te opreme uporabili za lastno korist.
Vsi sistemi, majhni in veliki, vsebujejo programske napake in so podvrženi človeškim napakam. Bančni sistemi niso izjema in tega se zaveda vsak, ki je delal v industrijski proizvodnji. Sistemi poravnave podružnic ponavadi postajajo večji in bolj zapleteni, s številnimi medsebojno povezanimi moduli, ki so se razvijali skozi desetletja. Nekatere transakcije bodo neizogibno izvedene nepravilno: bremenitve se lahko podvojijo ali račun nepravilno spremenjen.
To stanje ni novo za finančne nadzornike velikih podjetij, ki imajo posebno osebje za usklajevanje bančnih računov. Ko se pojavi napačna obremenitev, ti zaposleni zahtevajo ustrezno dokumentacijo v pregled in v primeru manjkajoče dokumentacije prejmejo od banke povračilo nepravilnega plačila.
Vendar stranke bankomatov nimajo te možnosti za poplačilo spornih plačil. Večina bankirjev zunaj ZDA preprosto pravi, da v njihovih sistemih ni hroščev.
Takšna politika vodi v določena pravna in administrativna tveganja. Prvič, ustvarja možnost zlorabe, saj je goljufija skrita. Drugič, to vodi do dokazov, ki so za stranko preveč zapleteni, kar je bil razlog za poenostavitev postopka na ameriških sodiščih. Tretjič, tu je moralni hazard, povezan s posrednim spodbujanjem bančnih uslužbencev h kraji na podlagi zavedanja, da jih verjetno ne bodo ujeli. Četrtič, gre za ideološko hibo, saj zaradi pomanjkanja centraliziranega evidentiranja zahtevkov strank ni možnosti ustrezno organiziranega nadzora nad primeri goljufij.
Vpliv na poslovno dejavnost, povezan z izgubami bankomatov, je težko natančno oceniti. V Združenem kraljestvu je minister za finance (minister, odgovoren za ureditev bančništva) junija 1992 izjavil, da takšne napake vplivajo na vsaj dve transakciji od treh milijonov, opravljenih vsak dan. Vendar pa je bila pod nedavnim pritiskom sodnih sporov ta številka najprej spremenjena na 1 od 250.000 napačnih transakcij, nato 1 od 100.000 in končno 1 od 34.000.
Ker bančni uslužbenci običajno zavrnejo stranke, ki se pritožijo, in večina ljudi preprosto ne more opaziti enkratnega dviga z računa, je najboljša domneva, da se zgodi približno 1 od 10.000 nepravilnih transakcij. Bankomat enkrat na teden že 50 let lahko pričakujemo, da bo ena od štirih strank v življenju imela težave z uporabo bankomatov.
Načrtovalci kriptografskih sistemov so v slabšem položaju zaradi pomanjkanja informacij o tem, kako se sistemske napake pojavljajo v praksi in ne o tem, kako bi se lahko zgodile v teoriji. Ta pomanjkljivost povratne informacije vodi do uporabe nepravilnega modela grožnje. Načrtovalci se osredotočajo na to, kaj v sistemu lahko povzroči napako, namesto da bi se osredotočili na tisto, kar običajno povzroča napake. Številni izdelki so tako zapleteni in zapleteni, da se le redko uporabljajo pravilno. Posledica tega je dejstvo, da je največ napak povezanih z implementacijo in vzdrževanjem sistema. Poseben rezultat je bil val goljufij na bankomatih, ki niso privedle le do finančnih izgub, ampak tudi do sodnih zmot in zmanjšanega zaupanja v bančni sistem.
Eden od primerov implementacije kriptografskih metod je sistem kriptografske zaščite informacij z uporabo digitalnega podpisa EXCELLENCE.
Programski kriptografski sistem EXCELLENCE je zasnovan za zaščito informacij, ki se obdelujejo, shranjujejo in prenašajo med IBM-združljivimi osebnimi računalniki z uporabo kriptografskega šifriranja, digitalnega podpisa in funkcij avtentikacije.
Sistem izvaja kriptografske algoritme, ki so v skladu z državnimi standardi: šifriranje - GOST 28147-89. Digitalni podpis temelji na algoritmu RSA.
Sistem ključev s strogo avtentikacijo in certifikacijo ključev je zgrajen na protokolu X.509 in principu odprte distribucije ključev RSA, ki se pogosto uporabljata v mednarodni praksi.
Sistem vsebuje kriptografske funkcije za obdelavo informacij na ravni datoteke:
in kriptografske funkcije za delo s ključi:
Vsak naročnik omrežja ima svoj zasebni in javni ključ. Skrivni ključ vsakega uporabnika se zapiše na njegovo individualno ključno disketo ali posamezno elektronsko kartico. Tajnost naročnikovega ključa zagotavlja zaščito zanj šifriranih informacij in nemožnost ponarejanja njegovega digitalnega podpisa.
Sistem podpira dve vrsti nosilcev ključnih informacij:
Vsak naročnik omrežja ima imenik datotek javnih ključev vseh naročnikov sistema, zaščiten pred nepooblaščenim spreminjanjem, skupaj z njihovimi imeni. Vsak naročnik je dolžan varovati svoj zasebni ključ v tajnosti.
Funkcionalno je sistem EXCELLENCE implementiran v obliki programskega modula excell_s.exe in deluje na operacijskem sistemu MS DOS 3.30 in višjem. Parametri za izvajanje funkcij so posredovani v obrazcu ukazna vrstica DOS. Poleg tega je priložen grafični vmesnik. Program samodejno prepozna in podpira 32-bitne operacije na procesorju Intel386/486/Pentium.
Za vgradnjo v druge programski sistemi implementirana je različica sistema EXCELLENCE, ki vsebuje osnovne kriptografske funkcije za delo s podatki v RAM-u v naslednjih načinih: pomnilnik - pomnilnik; spomin - datoteka; datoteka - pomnilnik.
Napoved za začetek 21. stoletja
Delež vodstva banke, ki bo sprejelo učinkovite ukrepe za rešitev problema informacijske varnosti, naj bi se povečal na 40-80%. Glavna težava bo servisno (vključno z bivšim) osebje (od 40 % do 95 % primerov), glavne vrste groženj pa bodo nepooblaščen dostop (UNA) in virusi (do 100 % bank bo podvrženih virusnim napadom). ).
Najpomembnejši ukrep za zagotavljanje informacijske varnosti bo najvišja strokovnost storitev informacijske varnosti. Za to banke bodo morale porabiti do 30 % dobička za informacijsko varnost.
Kljub vsem zgoraj naštetim ukrepom je absolutna rešitev problema informacijske varnosti nemogoča. Pri tem je učinkovitost sistema informacijske varnosti banke v celoti odvisna od višine vloženih sredstev in strokovnosti službe informacijske varnosti, možnost kršitve sistema informacijske varnosti banke pa v celoti odvisna od stroškov premagovanje varnostnega sistema in kvalifikacije goljufov. (V tuji praksi velja, da je smiselno »vdirati« v varnostni sistem, če stroški premagovanja ne presegajo 25 % vrednosti varovanih informacij).
V četrtem poglavju so bile preučene značilnosti pristopa k zaščiti elektronskih bančnih sistemov. Posebnost teh sistemov je posebna oblika elektronske izmenjave podatkov - elektronska plačila, brez katere ne more obstajati nobena sodobna banka.
Elektronska izmenjava podatkov (EDE) je izmenjava poslovnih, komercialnih in finančnih elektronskih dokumentov med računalniki. Na primer naročila, plačilna navodila, predlogi pogodb, računi, potrdila itd.
EOD zagotavlja hitro interakcijo med trgovinskimi partnerji (strankami, dobavitelji, prodajalci itd.) v vseh fazah priprave trgovinskega posla, sklenitve pogodbe in izvedbe dobave. V fazi plačila pogodbe in prenosa sredstev lahko EDI vodi do elektronske izmenjave finančnih dokumentov. To ustvarja učinkovito okolje za trgovanje in plačilni promet:
* Trgovske partnerje je mogoče v realnem času seznaniti s ponudbo blaga in storitev, izbrati želeni izdelek/storitev, razjasniti komercialne pogoje (stroški in dobavni roki, trgovinski popusti, garancijske in servisne obveznosti);
* Naročanje blaga/storitev ali zahtevanje predloga pogodbe v realnem času;
* Operativni nadzor dostave blaga, prejem spremnih dokumentov (računi, fakture, seznami komponent itd.) po elektronski pošti;
* Potrditev zaključka dobave blaga/storitev, izstavitev in plačilo računov;
* Izvajanje bančnega kreditnega in plačilnega prometa. Prednosti OED vključujejo:
* Zmanjšanje stroškov poslovanja s prehodom na brezpapirno tehnologijo. Strokovnjaki ocenjujejo stroške obdelave in vzdrževanja papirne dokumentacije na 3-8 % skupnih stroškov komercialnih transakcij in dostave blaga. Korist od uporabe EED je na primer v ameriški avtomobilski industriji ocenjena na več kot 200 dolarjev na izdelan avtomobil;
* Povečanje hitrosti poravnave in prometa denarja;
* Povečanje udobja izračunov.
Obstajata dve ključni strategiji za razvoj EED:
1. EOD se uporablja kot konkurenčna prednost, ki omogoča tesnejše sodelovanje s partnerji. To strategijo so sprejele velike organizacije in se imenuje razširjeni podjetniški pristop.
2. EDI se uporablja v nekaterih specifičnih industrijskih projektih ali v pobudah združenj komercialnih in drugih organizacij za povečanje učinkovitosti njihove interakcije.
Banke v Združenih državah Amerike in Zahodni Evropi so že prepoznale svojo ključno vlogo pri širjenju EDI in pomembne koristi, ki izhajajo iz tesnejšega sodelovanja s poslovnimi in osebnimi partnerji. OED pomaga bankam pri zagotavljanju storitev strankam, zlasti malim, ki si jih prej niso mogle privoščiti zaradi visokih stroškov.
Glavna ovira za široko razširjanje EDI je raznolikost predstavitev dokumentov pri izmenjavi prek komunikacijskih kanalov. Da bi premagali to oviro, so različne organizacije razvile standarde za oddajo dokumentov v sistemih EED za različne industrije:
QDTI - Splošna trgovinska izmenjava (Evropa, mednarodna trgovina);
MDSND - National Automated Clearing House Association (ZDA, Nacionalno združenje avtomatiziranih klirinških hiš);
TDCC - Koordinacijski odbor za transportne podatke;
VICS - Prostovoljni medpanožni komunikacijski standard (ZDA, Voluntary Interindustry Communication Standard);
WINS - Standardi informacijskega omrežja skladišč informacijsko omrežje blagovna skladišča).
Oktobra 1993 je mednarodna skupina UN/ECE objavila prvo različico standarda EDIFACT. Razvit nabor skladenjskih pravil in komercialnih podatkovnih elementov je bil formaliziran v obliki dveh standardov ISO:
ISO 7372 – imenik trgovinskih podatkovnih elementov;
ISO 9735 - EDIFACT - Sintaksna pravila na ravni aplikacije.
Poseben primer EOD so elektronska plačila - izmenjava finančnih dokumentov med strankami in bankami, med bankami in drugimi finančnimi in komercialnimi organizacijami.
Bistvo koncepta elektronskega plačevanja je, da so sporočila, poslana po komunikacijskih linijah, pravilno izvedena in poslana, osnova za izvedbo enega ali več bančnih poslov. Za izvajanje teh operacij načeloma niso potrebni papirni dokumenti (čeprav se lahko izdajo). Z drugimi besedami, sporočilo, poslano po komunikacijskih linijah, nosi informacijo, da je pošiljatelj opravil nekaj operacij na svojem računu, zlasti na korespondenčnem računu banke prejemnice (ki je lahko klirinški center), in da mora prejemnik opraviti operacije, določene v sporočilu. Na podlagi takega sporočila lahko pošiljate ali prejemate denar, odprete posojilo, plačate nakup ali storitev ter opravite katero koli drugo bančni posel. Takšna sporočila imenujemo elektronski denar, izvrševanje bančnih operacij na podlagi pošiljanja ali prejemanja tovrstnih sporočil pa elektronska plačila. Seveda zahteva celoten postopek elektronskega plačevanja zanesljiva zaščita. V nasprotnem primeru bodo banko in njene komitente čakale resne težave.
Elektronska plačila se uporabljajo za medbančna, trgovinska in osebna plačila.
Medbančne in trgovinske poravnave potekajo med organizacijami (pravnimi osebami), zato jih včasih imenujemo tudi korporativne. Poravnave, ki vključujejo posamezne stranke, se imenujejo osebne.
Večina večjih tatvin v bančnih sistemih je neposredno ali posredno povezana z elektronskimi plačilnimi sistemi.
Obstaja veliko ovir za ustvarjanje elektronskih plačilnih sistemov, zlasti globalnih, ki pokrivajo veliko število finančnih institucij in njihovih strank v različnih državah. Glavni so:
1. Pomanjkanje enotnih standardov poslovanja in storitev, kar bistveno otežuje oblikovanje enotnih bančnih sistemov. Vsaka velika banka si prizadeva ustvariti lastno mrežo EOD, kar povečuje stroške njenega delovanja in vzdrževanja. Podvojeni sistemi otežujejo njihovo uporabo, povzročajo medsebojne motnje in omejujejo zmožnosti strank.
2. Povečana mobilnost denarne ponudbe, ki vodi v povečanje možnosti finančnih špekulacij, širi tokove »tavajočega kapitala«. Ta denar lahko v kratkem času spremeni razmere na trgu in ga destabilizira.
3. Izpadi in izpadi tehničnih orodij ter programske napake pri finančnih poravnavah, ki lahko povzročijo resne zaplete pri nadaljnjih poravnavah in izgubo zaupanja komitentov v banko, predvsem zaradi tesne prepletenosti bančnih vezi (nekakšne "širjenja napake"). Hkrati se bistveno povečujeta vloga in odgovornost sistemskih operaterjev in administracije, ki neposredno upravljajo obdelavo informacij.
Tega se mora zavedati vsaka organizacija, ki želi postati stranka kateregakoli elektronskega plačilnega sistema ali organizirati svoj sistem.
Za zanesljivo delovanje mora biti elektronski plačilni sistem dobro zaščiten.
Trgovinske poravnave potekajo med različnimi trgovskimi organizacijami. Banke sodelujejo pri teh poravnavah kot posredniki pri prenosu denarja z računa plačilne organizacije na račun organizacije prejemnice.
Poravnava trgovca je izjemno pomembna za splošni uspeh programa elektronskih plačil. Obseg finančnih transakcij različnih podjetij običajno predstavlja pomemben del celotnega obsega bančnih transakcij.
Vrste trgovinskih poravnav se za različne organizacije zelo razlikujejo, vendar se pri izvajanju vedno obdelujeta dve vrsti informacij: plačilna sporočila in pomožne (statistika, poročila, obvestila). Za finančne organizacije so seveda največ zanimanja podatki iz plačilnih sporočil – številke računov, zneski, stanje itd. Za trgovske organizacije sta obe vrsti informacij enako pomembni – prva daje namig o finančnem stanju, druga pomaga pri odločanju in razvoju politike.
Najpogostejše vrste trgovalnih poravnav so:
* Neposredni depozit.
Pomen te vrste poravnave je, da organizacija naroči banki, da določene vrste plačil svojim zaposlenim ali strankam izvede samodejno, z uporabo vnaprej pripravljenih magnetnih medijev ali posebnih sporočil. Pogoji za izvedbo tovrstnih izplačil so vnaprej dogovorjeni (vir financiranja, znesek ipd.). Uporabljajo se predvsem za redna plačila (plačila raznih zavarovanj, odplačila kreditov, plač ipd.). Z institucionalnega vidika je neposredni depozit primernejši od na primer plačil s čeki.
Od leta 1989 se je število zaposlenih, ki uporabljajo neposredne depozite, podvojilo na 25 % vseh. Več kot 7 milijonov Američanov danes prejema svoje plače prek neposrednega depozita. Za banke neposredni depozit ponuja naslednje ugodnosti:
Zmanjšanje obsega nalog, povezanih z obdelavo papirnih dokumentov, in posledično prihranek znatnih zneskov;
Povečanje števila depozitov, saj je treba položiti 100% obsega plačil.
Poleg bank imajo koristi tako lastniki kot delavci; udobje se poveča in stroški zmanjšajo.
* Izračuni z uporabo OED.
Tukaj so podatki računi, fakture, sestavni listi itd.
Za implementacijo EDI je potreben naslednji niz osnovnih storitev:
E-pošta po standardu X.400;
Prenos datoteke;
Komunikacija od točke do točke;
On-line dostop do baz podatkov;
poštni predal;
Transformacija standardov podajanja informacij.
Primeri trenutno obstoječih sistemov poravnave trgovanja, ki uporabljajo EDI, vključujejo:
National Bank in Royal Bank (Kanada) sta povezani s svojimi strankami in partnerji prek IBM-ovega informacijskega omrežja;
Bank of Scotland Transcontinental Automated Payment Service (TAPS), ustanovljena leta 1986, povezuje Bank of Scotland s strankami in partnerji v 15 državah prek korespondenčnih bank in avtomatiziranih klirinških hiš.
Elektronske medbančne poravnave so večinoma dveh vrst:
* Klirinške poravnave z uporabo zmogljivega računalniškega sistema posredniške banke (klirinške banke) in korespondenčnih računov bank, ki sodelujejo pri poravnavah v tej banki. Sistem temelji na pobotu medsebojnih denarnih terjatev in obveznosti pravnih oseb z naknadnim prenosom stanja. Kliring se veliko uporablja tudi na borznih in blagovnih borzah, kjer se poravnava medsebojnih terjatev udeležencev transakcij izvaja prek klirinške hiše ali posebnega elektronskega klirinškega sistema.
Medbančne klirinške poravnave se izvajajo prek posebnih klirinških hiš, poslovnih bank, med poslovalnicami in poslovalnicami ene banke - preko centrale. V številnih državah naloge klirinških hiš opravljajo centralne banke. Avtomatizirane klirinške hiše (ACH) zagotavljajo storitve za izmenjavo sredstev med finančnimi institucijami. Plačilne transakcije so večinoma omejene na obremenitve ali dobroimetje. Člani sistema AKP so finančne institucije, ki so članice Združenja AKP. Združenje je ustanovljeno z namenom razvijanja pravil, postopkov in standardov za izvajanje elektronskih plačil znotraj geografske regije. Treba je opozoriti, da ACP ni nič drugega kot mehanizem za premikanje sredstev in spremljajočih informacij. Sami ne izvajajo plačilnih storitev. ACP so bili ustvarjeni kot dopolnitev sistemov za obdelavo papirnih finančnih dokumentov. Prvi samodejni menjalnik se je pojavil v Kaliforniji leta 1972; trenutno v ZDA deluje 48 avtomatskih menjalnikov. Leta 1978 je bilo ustanovljeno združenje National Automated Clearing House Association (NACHA), ki je združilo vseh 48 omrežij ACH na osnovi sodelovanja.
Obseg in narava poslovanja se nenehno širita. ACP začenjajo izvajati poslovne poravnave in transakcije elektronske izmenjave podatkov. Po treh letih prizadevanj različnih bank in podjetij je bil ustvarjen sistem CTP (Corporate Trade Payment) za samodejno obdelavo kreditov in bremenitev. Po mnenju strokovnjakov se bo trend širitve funkcij samodejnega menjalnika nadaljeval tudi v bližnji prihodnosti.
* Neposredne poravnave, pri katerih dve banki neposredno komunicirata druga z drugo z uporabo računov loro nostro, po možnosti s sodelovanjem tretje osebe, ki ima organizacijsko ali podporno vlogo. Seveda mora biti obseg medsebojnih transakcij dovolj velik, da upraviči stroške organizacije takšnega poravnalnega sistema. Običajno tak sistem združuje več bank in vsak par lahko neposredno komunicira med seboj, mimo posrednikov. Vendar pa je v tem primeru potreben nadzorni center, ki se ukvarja z varovanjem medsebojno povezanih bank (razdeljevanje ključev, upravljanje, nadzor delovanja in registracija dogodkov).
Takšnih sistemov je na svetu kar nekaj - od majhnih, ki povezujejo več bank ali poslovalnic, do ogromnih mednarodnih, ki povezujejo na tisoče udeležencev. Najbolj znan sistem tega razreda je SWIFT.
V zadnjem času se je pojavila še tretja vrsta elektronskega plačevanja - elektronsko prirezovanje čekov, katerega bistvo je zaustaviti pot pošiljanja papirnega čeka do finančne institucije, kjer je bil predložen. Po potrebi njegov elektronski analog »potuje« naprej v obliki posebnega sporočila. Posredovanje in vračilo elektronskega čeka se izvede s pomočjo ACH.
Leta 1990 je NACHA objavila prvo fazo testiranja nacionalnega pilotnega programa "Electronic Check Truncation". Njegov cilj je zmanjšati stroške obdelave velikih količin papirnatih čekov.
Pošiljanje denarja z elektronskim plačilnim sistemom vključuje naslednje korake (odvisno od posebnih pogojev in samega sistema se lahko vrstni red razlikuje):
1. Določen račun v sistemu prve banke se zmanjša za zahtevani znesek.
2. Za enak znesek se poveča korespondenčni račun druge banke v prvi.
3. Prva banka drugi banki pošlje sporočilo z informacijami o izvedenih dejanjih (identifikatorji računa, znesek, datum, pogoji itd.); v tem primeru mora biti poslano sporočilo ustrezno zaščiteno pred ponarejanjem: šifrirano, opremljeno z digitalnim podpisom in kontrolnimi polji itd.
4. Zahtevani znesek se bremeni s korespondenčnega računa prve banke v drugo.
5. Določen račun v drugi banki se poveča za zahtevani znesek.
6. Druga banka prvi pošlje obvestilo o opravljenih popravkih računa; tudi to sporočilo mora biti zaščiteno pred posegi na podoben način kot pri zaščiti plačilnega sporočila.
7. Protokol izmenjave se zabeleži za oba naročnika in po možnosti za tretjo osebo (v nadzornem centru omrežja), da se preprečijo konflikti.
Na poti prenosa sporočil so lahko posredniki - klirinški centri, banke posrednice pri prenosu informacij itd. Glavna težava takšnih izračunov je zaupanje v partnerja, to je, da mora biti vsak naročnik prepričan, da bo njegov dopisnik izvedel vsa potrebna dejanja.
Za širitev uporabe elektronskih plačil se izvaja standardizacija elektronskega prikaza finančnih dokumentov. Začelo se je v 70-ih v okviru dveh organizacij:
1) ANSI (Ameriški nacionalni inštitut za standarde) je objavil ANSI X9.2-1080, (Specifikacija sporočila izmenjave za izmenjavo sporočil debetnih in kreditnih kartic med finančnimi institucijami). Leta 1988 je podoben standard sprejel ISO in ga poimenoval ISO 8583 (Bank Card Originated Messages Interchange Message Specifications – Content for Financial Transactions);
2) SWIFT (Society for Worldwide Interbank Financial Telecommunications) je razvil vrsto standardov za medbančna sporočila.
V skladu s standardom ISO 8583 vsebuje finančni dokument več podatkovnih elementov (podrobnosti), ki se nahajajo v določenih poljih sporočila ali elektronskega dokumenta (elektronska kreditna kartica, sporočilo v formatu X.400 ali dokument v sintaksi EDIFACT). Vsakemu podatkovnemu elementu (ED) je dodeljena lastna edinstvena številka. Podatkovni element je lahko obvezen (to je vključen v vsako sporočilo te vrste) ali neobvezen (v nekaterih sporočilih ga morda ni).
Bitna lestvica določa sestavo sporočila (tistih ED, ki so v njem prisotni). Če je določena cifra bitne lestvice nastavljena na ena, to pomeni, da je v sporočilu prisoten ustrezni ED. Zahvaljujoč tej metodi kodiranja sporočil se zmanjša skupna dolžina sporočila, doseže se fleksibilnost pri predstavitvi sporočil s številnimi ED-ji in je zagotovljena možnost vključitve novih ED-jev in vrst sporočil v elektronski dokument standardne strukture.
Obstaja več načinov za elektronska medbančna plačila. Razmislimo o dveh: plačilo s čekom (plačilo po opravljeni storitvi) in plačilo z akreditivom (plačilo za pričakovano storitev). Podobno organizirani so tudi drugi načini, kot je plačilo prek plačilnih zahtevkov ali plačilnih nalogov.
Plačilo s čekom temelji na papirnem ali drugem dokumentu, ki vsebuje identifikacijo plačnika. Ta dokument je podlaga za prenos zneska, navedenega na čeku, z računa lastnika na račun prinosnika. Plačilo s čekom vključuje naslednje korake:
Prejem čeka;
Predložitev čeka banki;
Zahtevek za prenos z računa imetnika čeka na račun izdajatelja;
Denarna transakcija;
Obvestilo o plačilu.
Glavne pomanjkljivosti takšnih plačil so potreba po pomožnem dokumentu (ček), ki ga je mogoče enostavno ponarediti, pa tudi precejšen čas, potreben za izvedbo plačila (do nekaj dni).
Zato je v zadnjem času vse bolj razširjena ta vrsta plačila, kot je plačilo z akreditivom. Vključuje naslednje korake:
Obvestilo banke s strani stranke o odobritvi posojila;
Obvestilo banke prejemnika o dajanju posojila in prenosu denarja;
Obveščanje prejemnika o prejemu posojila.
Ta sistem vam omogoča izvedbo plačil v zelo kratkem času. Obvestilo o posojilu lahko pošljete po (elektronski) pošti, disketah, magnetnih trakovih.
Vsaka od zgoraj obravnavanih vrst plačil ima svoje prednosti in slabosti. Čeki so najbolj primerni za plačilo majhnih zneskov, pa tudi za neredna plačila. V teh primerih zamuda pri plačilu ni zelo velika, uporaba kredita pa neustrezna. Plačila z uporabo akreditiva se običajno uporabljajo za redna plačila in za znatne zneske. V teh primerih vam odsotnost klirinške zamude omogoča, da prihranite veliko časa in denarja s skrajšanjem obdobja obračanja denarja. Skupna pomanjkljivost teh dveh metod je potreba po porabi denarja za organizacijo zanesljivega elektronskega plačilnega sistema.
