Metode za zaščito sistema elektronskega plačila z digitalnim denarjem. Kateri so glavni načini zaščite elektronskega denarja? Sredstva za zaščito elektronskih plačilnih sistemov
Elektronski plačilni sistemi so ena najbolj priljubljenih vrst dela z elektronsko valuto. Vsako leto se vse bolj aktivno razvijajo in zasedajo precej velik delež trga za delo z valuto. Skupaj z njimi se razvijajo tudi tehnologije za zagotavljanje njihove varnosti. Danes noben elektronski plačilni sistem ne more obstajati brez dobrih tehnologij in varnostnih sistemov, ki zagotavljajo varno transakcijo denarnih transakcij. Pravzaprav obstaja veliko elektronskih plačilnih sistemov, pa tudi varnostnih tehnologij. Vsak od njih ima različne principe in tehnologije dela ter svoje prednosti in slabosti. Poleg tega ostajajo nerešena številna teoretična in praktična vprašanja, kar določa relevantnost raziskovalne teme.
Vsak elektronski plačilni sistem uporablja svoje metode, algoritme šifriranja, protokole za prenos podatkov za izvajanje varnih transakcij in prenos podatkov. Nekateri sistemi za prenos šifriranih podatkov uporabljajo algoritem šifriranja RSA in protokol za prenos HTTPs, drugi pa algoritem DES in protokol SSL. Zamisel o pisanju članka temelji na preučevanju in analizi številnih priljubljenih plačilnih sistemov, in sicer varnostnih tehnologij, ki se v njih uporabljajo, in ugotavljanju, katera je najnaprednejša.
Med pisanjem članka so bile izvedene študije plačilnih sistemov, analiza varnosti obstoječih plačilnih sistemov. Štirje plačilni sistemi (Webmoney, Yandex.Money, PauPa1 in E-Port) so bili analizirani po enakih kriterijih. Sistemi so bili ocenjeni z uporabo večnivojskega sistema, ki vključuje ugnezdene parametre. Seveda vsa ta merila veljajo za kroglo varnost informacij. Glavni kriteriji sta dva: tehnična podpora informacijski varnosti plačil ter organizacijska in pravna podpora. Vsak od teh dveh parametrov je bil ocenjen po tritočkovnem sistemu. Ocenjevalna lestvica je prav taka, saj je trenutni razvoj elektronskih plačilnih sistemov pri nas na takšni ravni, da je večino njihovih parametrov mogoče opisati le z besedami »da ali ne«. V skladu s tem, če elektronski plačilni sistem najbolj ustreza kateremu koli parametru, prejme najvišjo oceno (3), če sploh ne odgovori, najmanjšo oceno (0). Če sistem nima tega kriterija v eksplicitni obliki, vendar so z manjkajočim povezane storitve ali zmožnosti, dodelimo vmesno oceno - ena ali dve.
Pri ocenjevanju elektronskih plačilnih sistemov je treba upoštevati, da pod različnimi pogoji vrednost istega parametra ni enaka. Na primer, več storitev, ki bistveno povečajo stopnjo zaščite, lahko uporabnik implementira samo prostovoljno, poleg tega je dragocena že sama prisotnost teh storitev v sistemu. Nihče ni preklical človeškega faktorja in ga nikoli ne bo preklical, zato je treba upoštevati, da je storitev lahko izvedena in nerealizirana.
Tehnična varnost transakcij
To je prvi izmed kriterijev - nabor parametrov, ki zagotavlja, kot že ime pove, tehnično plat zaščite informacij. Do te nastavitve omogočeno: kriptografske metode šifriranja, avtentikacije in dostopa s posebnim strojna oprema(v najbolj primitivnem primeru - z uporabo USB ključev).
Nobena skrivnost ni, da je glavni kriterij za zaščito informacij v tehničnem smislu seveda šifriranje podatkov, natančneje kriptografski algoritmi, s katerimi so implementirani. Znano je tudi, da daljša kot je dolžina ključa, težje ga je dešifrirati in posledično pridobiti dostop do zaupnih informacij. Trije od preizkušenih sistemov uporabljajo dobro znani in splošno spoštovani algoritem RSA: Webmoney, Yandex.Money, PayPal. E-Port uporablja šifriranje SSL različice 3.0.Dejansko se šifriranje izvaja s ključi SSL, ki so unikatni, generirajo se med sejo in se imenujejo sejni ključ. Dolžina SSL ključa v sistemu E-Port se giblje od 40 do 128 bitov, kar je povsem dovolj za sprejemljivo stopnjo varnosti transakcij.
Naslednji parameter v tehnični podpori informacijske varnosti transakcij je avtentikacija, tj. nabor rešitev, ki jih uporabnik potrebuje za dostop do svojih osebnih podatkov. Tukaj je vse preprosto. Sistema Webmoney in Yandex.Money uporabljata dva kriterija za dostop, PayPal in E-Port pa samo enega. V Webmoney morate za dostop do sistema in plačevanje vnesti geslo in poseben ključ Yandex.Money deluje na podoben način: potrebno je geslo in poseben program denarnice. V vseh drugih sistemih je dostop z geslom. Vendar pa mora imeti v sistemu E-Port za delovanje po protokolu SSL spletni strežnik potencialnega odjemalca (in katerega koli drugega člana sistema) posebno digitalno potrdilo, prejeto s strani enega od pooblaščenih podjetij. To potrdilo se uporablja za preverjanje pristnosti odjemalčevega spletnega strežnika. Zaščitni mehanizem certifikatov, ki ga uporablja E-Port, je certificiral RSA Security. Tretji in zadnji parameter v merilih te študije je dostop do sistema s pomočjo posebne strojne opreme, kot so ključki USB.
Kriptografske metode šifriranja
Webmoney in Yandex.Money uporabljata ključ 1024 bitov (zelo visoka številka, skoraj nemogoče je razbiti tak ključ s preprostim naštevanjem), PayPal pa uporablja ključ, ki je dvakrat krajši - 512 bitov. V skladu s tem za prvi dva sistema, po tem kriteriju dobimo maksimalno točko - 3. PayPal, ker uporablja manjši šifrirni ključ, dobi dve točki. Ostaja le, da ocenimo E-Port s tem parametrom.Kljub uporabi protokola SSL v njem in celo dolžini ključa do 128 bitov, je v E-Portu nekaj potencialne ranljivosti: številne starejše različice brskalnikov podpirajo šifriranje s ključi manjše dolžine, zato je možno vdreti v prejete podatke; torej za tiste, ki brskalnik uporabljajo kot odjemalca za plačilni sistem, morate delati z njim Najnovejša različica(seveda to ni vedno priročno in mogoče). Vendar pa lahko v stolpcu "šifriranje" za E-Port nastavite 1,7 točke: sistem si je to oceno zaslužil zaradi uporabe progresivnega protokola PGP za šifriranje e-poštnih sporočil.
Preverjanje pristnosti
Sistema Webmoney in Yandex.Money uporabljata dva kriterija za dostop, PayPal in E-Port pa samo enega. V Webmoney morate za dostop do sistema in plačevanje vnesti geslo in poseben ključ. Yandex.Money deluje na podoben način: potrebno je geslo in poseben program denarnice, v vseh drugih sistemih pa je dostop z geslom. Vendar pa v sistemu E-Port deluje preko protokola SSL, spletnega strežnika potencialne stranke.
Glede na Webmoney in Yandex.Money dobijo po tri točke, PayPal - 0 točk, E-Port - eno.
To je še lažje kot pri prejšnjih možnostih. Od vseh sistemov ima takšno dodatno možnost le Webmoney PayPal, slednji te možnosti ne ponujajo. Tako sta ob upoštevanju utežnega faktorja Webmoney in PayPal za ta parameter prejela 1,5 točke, vse ostalo - nič.
Po ovrednotenju obeh kriterijev je mogoče sešteti rezultate. Glede na vsoto obravnavanih parametrov se je Webmoney izkazal za varnega. Če uporabnik uporablja vse varnostne storitve, ki jih ponuja, lahko ostane praktično neranljiv za goljufe. Drugo mesto je zasedel sistem Yandex.Money, tretje mesto je zasedel PayPal (ta sistem je idealen za pravne osebe zaradi pomembne pravne preglednosti plačil), zadnje mesto pa je prejel sistem E-Port.
Poleg tega, če povzamemo analizo plačilnih sistemov, lahko rečemo, da izbira elektronskega plačilnega sistema ni izvedena glede na en varnostni parameter, četudi je eden najpomembnejših. Elektronski plačilni sistemi se razlikujejo tudi po razpoložljivosti storitev, enostavnosti uporabe - obstaja veliko drugih dejavnikov.
zaključki
Elektronska plačila so naravna stopnja v razvoju telekomunikacij, povpraševanje je veliko v tistih nišah, kjer obstaja polnopravni produkt - digitalni produkt, katerega lastnosti so dobro »prekrite« z lastnostmi spletnega plačevanja: takojšnje plačilo, takojšnja dostava. , preprostost in varnost.
Internetni plačilni sistem je sistem za izvajanje poravnav med finančnimi, poslovnimi organizacijami in uporabniki interneta v procesu nakupa/prodaje blaga in storitev preko interneta. Plačilni sistem vam omogoča, da storitev obdelave naročil ali elektronsko trgovino spremenite v popolno trgovino z vsemi standardnimi atributi: z izbiro izdelka ali storitve na spletnem mestu prodajalca lahko kupec izvede plačilo, ne da bi zapustil računalnik.
V sistemu e-trgovine se plačila izvajajo pod številnimi pogoji:
1. Spoštovanje zaupnosti. Pri plačevanju preko interneta kupec želi, da njegove podatke (na primer številko kreditne kartice) poznajo le organizacije, ki imajo za to zakonsko pravico.
2. Ohranjanje celovitosti informacij. Podatkov o nakupu ne more spreminjati nihče.
3. Preverjanje pristnosti. Kupci in prodajalci morajo biti prepričani, da so vse stranke, ki sodelujejo v transakciji, tiste, za katere se predstavljajo.
4. Plačilno sredstvo. Možnost plačila z vsemi plačilnimi sredstvi, ki so na voljo kupcu.
6. Garancije prodajalca za tveganje. Pri trgovanju na internetu je prodajalec izpostavljen številnim tveganjem, povezanim z zavrnitvijo blaga in slabo vero kupca. Velikost tveganj mora biti dogovorjena s ponudnikom plačilnega sistema in drugimi organizacijami, vključenimi v trgovske verige, s posebnimi pogodbami.
7. Zmanjšajte transakcijske provizije. Provizija za obdelavo transakcij za naročilo in plačilo blaga je seveda vključena v njihov strošek, zato znižanje cene transakcije povečuje konkurenčnost. Pomembno je upoštevati, da je treba transakcijo plačati v vsakem primeru, tudi če kupec zavrne blago.
Vsi ti pogoji morajo biti implementirani v internetnem plačilnem sistemu, ki je v bistvu elektronska različica klasičnih plačilnih sistemov.
Tako so vsi plačilni sistemi razdeljeni na:
Debet (delo z elektronskimi čeki in digitalno gotovino);
Kredit (delo s kreditnimi karticami).
Debetni sistemi
Debetne plačilne sheme so zgrajene podobno kot njihovi prototipi brez povezave: čeki in navadna gotovina. V shemo sta vključeni dve neodvisni strani: izdajatelji in uporabniki. Izdajatelj se razume kot subjekt, ki upravlja plačilni sistem. Izdaja nekatere elektronske enote, ki predstavljajo plačila (na primer denar na bančnih računih). Uporabniki sistema opravljajo dve glavni funkciji. Izvajajo in sprejemajo plačila na internetu z izdanimi elektronskimi artikli.
Elektronski čeki so analogni običajnim papirnim čekom. To so navodila plačnika svoji banki za prenos denarja z njegovega računa na račun prejemnika plačila. Operacija se izvede, ko prejemnik banki predloži ček. Tukaj sta dve glavni razliki. Prvič, pri pisanju papirnega čeka plačnik postavi svoj pravi podpis, v spletni različici pa elektronski podpis. Drugič, sami čeki so izdani elektronsko.
Plačila se izvajajo v več fazah:
1. Plačnik izda elektronski ček, ga podpiše z elektronskim podpisom in pošlje prejemniku. Za večjo zanesljivost in varnost lahko številko tekočega računa kodiramo z javnim ključem banke.
2. Ček je predložen za plačilo plačilnemu sistemu. Nadalje (bodisi tukaj ali v banki, ki služi prejemniku), se izvede ček elektronski podpis.
3. Če je njegova pristnost potrjena, je izdelek dostavljen ali opravljena storitev. Denar se prenese z računa plačnika na račun prejemnika.
Preprostost plačilne sheme (slika 43) je na žalost izravnana s težavami pri njenem izvajanju zaradi dejstva, da sheme preverjanja še niso postale razširjene in da ni certifikacijskih centrov za izvajanje elektronskih podpisov.
Elektronski digitalni podpis (EDS) uporablja sistem šifriranja z javnim ključem. To ustvari zasebni ključ za podpisovanje in javni ključ za preverjanje. Zasebni ključ hrani uporabnik, javni ključ pa je dostopen vsem. Najprimernejši način distribucije javnih ključev je uporaba certifikacijskih centrov. Hrani digitalna potrdila, ki vsebujejo javni ključ in podatke o lastniku. To uporabnika razbremeni obveznosti, da sam razdeli svoj javni ključ. Poleg tega certifikacijski organi zagotavljajo avtentikacijo, da zagotovijo, da nihče ne more ustvariti ključev v imenu druge osebe.
Elektronski denar v celoti simulira pravi denar. Hkrati izdajateljska organizacija - izdajatelj - izda njihove elektronske dvojnike, ki se v različnih sistemih imenujejo drugače (na primer kuponi). Nadalje jih kupijo uporabniki, ki z njimi plačujejo nakupe, nato pa jih prodajalec odkupi od izdajatelja. Pri izdaji je vsaka denarna enota potrjena z elektronskim žigom, ki ga izdajateljska struktura pred unovčenjem preveri.
Ena od lastnosti fizičnega denarja je njegova anonimnost, to je, da ni razvidno, kdo in kdaj ga je uporabil. Nekateri sistemi po analogiji stranki omogočajo, da prejme elektronsko gotovino na tak način, da razmerja med njo in denarjem ni mogoče ugotoviti. To se naredi s shemo slepega podpisa.
Upoštevati je treba tudi, da pri uporabi elektronski denar ni potrebe po avtentikaciji, saj sistem temelji na izdaji denarja v obtok pred uporabo.
Slika 44 prikazuje shemo plačila z elektronskim denarjem.
Mehanizem plačila je naslednji:
1. Kupec vnaprej zamenja pravi denar za elektronski denar. Hranjenje gotovine pri stranki se lahko izvaja na dva načina, kar določa uporabljeni sistem:
Na trdem disku računalnika;
na pametnih karticah.
Različni sistemi ponujajo različne sheme menjave. Nekateri odprejo posebne račune, na katere se nakažejo sredstva z računa kupca v zameno za elektronske bankovce. Nekatere banke lahko same izdajo elektronsko gotovino. Hkrati se izda samo na zahtevo stranke z naknadnim prenosom na računalnik ali kartico te stranke in dvigom denarnega ekvivalenta z njegovega računa. Pri izvajanju slepega podpisa kupec sam izdela elektronske bankovce, jih pošlje v banko, kjer jih ob prejemu pravega denarja na račun overijo s pečatom in pošljejo nazaj stranki.
Poleg udobja takšnega shranjevanja ima tudi slabosti. Poškodba diska ali pametne kartice povzroči nepovratno izgubo elektronskega denarja.
2. Kupec nakaže elektronski denar za nakup na strežnik prodajalca.
3. Denar se predloži izdajatelju, ki preveri njihovo pristnost.
4. Če so elektronski bankovci verodostojni, se račun prodajalca poveča za znesek nakupa, blago pa se odpošlje kupcu oziroma opravi storitev.
Ena od pomembnih značilnosti elektronskega denarja je možnost mikroplačil. To je posledica dejstva, da apoen bankovcev morda ne ustreza pravim kovancem (na primer 37 kopeck).
Tako banke kot nebančne organizacije lahko izdajo elektronsko gotovino. Vendar pa še ni razvita en sistem pretvorbo različnih vrst elektronskega denarja. Zato lahko samo izdajatelji sami unovčijo elektronsko gotovino, ki so jo izdali. Poleg tega uporaba takšnega denarja iz nefinančnih struktur ni zagotovljena s strani države. Vendar pa je zaradi nizkih stroškov transakcije e-gotovina privlačno orodje za plačevanje na internetu.
Kreditni sistemi
Internetni kreditni sistemi so analogi običajnih sistemov, ki delujejo s kreditnimi karticami. Razlika je v izvajanju vseh transakcij preko interneta in posledično v potrebi po dodatni varnosti in avtentikaciji.
Pri plačevanju prek interneta s kreditnimi karticami se ukvarjajo:
1. Kupec. Odjemalec, ki ima računalnik s spletnim brskalnikom in dostopom do interneta.
2. Banka izdajateljica. Tukaj je račun kupca. Banka izdajateljica izdaja kartice in je porok za izpolnitev denarnih obveznosti stranke.
3. Prodajalci. Prodajalci so strežniki e-trgovine, ki vzdržujejo kataloge blaga in storitev ter sprejemajo naročila strank.
4. Banke prevzemnice. Banke, ki služijo trgovcem. Vsak prodajalec ima eno samo banko, pri kateri vodi svoj TRR.
5. Internetni plačilni sistem. Elektronske komponente, ki so posredniki med drugimi udeleženci.
6. Tradicionalni plačilni sistem. Nabor finančnih in tehnoloških sredstev za servisiranje tovrstnih kartic. Med glavnimi nalogami, ki jih rešuje plačilni sistem, so zagotavljanje uporabe kartic kot plačilnega sredstva za blago in storitve, uporaba bančnih storitev, medsebojne poravnave itd. Udeleženci plačilnega sistema so fizične in pravne osebe, ki jih povezujejo razmerja za uporabo kreditnih kartic.
7. Procesni center plačilnega sistema. Organizacija, ki zagotavlja informacijsko in tehnološko interakcijo med udeleženci v tradicionalnem plačilnem sistemu.
8. Poravnalna banka plačilnega sistema. Kreditna institucija, ki v imenu procesnega centra izvaja medsebojne poravnave med udeleženci plačilnega sistema.
Splošna shema plačil v takem sistemu je prikazana na sliki 45.
1. Kupec v elektronski trgovini oblikuje košarico blaga in izbere način plačila »kreditna kartica«.
Preko trgovine, torej se parametri kartice vnesejo neposredno na spletni strani trgovine, nato pa se prenesejo v internetni plačilni sistem (2a);
Na strežniku plačilnega sistema (2b).
Prednosti drugega načina so očitne. V tem primeru podatki o karticah ne ostanejo v trgovini in s tem se zmanjša tveganje, da jih prejmejo tretje osebe ali goljufija s strani prodajalca. V obeh primerih pri prenosu podatkov o kreditni kartici še vedno obstaja možnost, da jih prestrežejo napadalci v omrežju. Da bi to preprečili, so podatki med prenosom šifrirani.
Šifriranje seveda zmanjša možnost prestrezanja podatkov v omrežju, zato se komunikacija kupec/prodajalec, prodajalec/internetni plačilni sistem, kupec/internetni plačilni sistem prednostno izvaja po varnih protokolih. Najpogostejši med njimi sta danes protokol SSL (Secure Sockets Layer) in standard za varne elektronske transakcije SET (Secure Electronic Transaction), ki sta zasnovana tako, da sčasoma nadomestita SSL pri obdelavi transakcij, povezanih s plačili za nakupe s kreditnimi karticami na internetu.
3. Internetni plačilni sistem pošlje zahtevo za avtorizacijo tradicionalnemu plačilnemu sistemu.
4. Naslednji korak je odvisen od tega, ali banka izdajateljica vzdržuje spletno zbirko podatkov (DB) računov. Če je baza podatkov na voljo, procesni center banki izdajateljici pošlje zahtevo za avtorizacijo kartice (glej uvod oz. slovar) (4a) in nato (4b) prejme rezultat. Če takšne baze ni, procesni center sam hrani podatke o stanju na računih imetnikov kartic, stop sezname in izpolnjuje zahteve za avtorizacijo. Te podatke redno posodabljajo banke izdajateljice.
Trgovina opravi storitev ali odpremi izdelek (8a);
Procesni center posreduje podatke o opravljeni transakciji poravnalni banki (8b). Denar s kupčevega računa pri banki izdajateljici se prek poravnalne banke prenese na račun trgovine pri banki prevzemnici.
Za izvedbo takšnih plačil je v večini primerov posebna programsko opremo. Lahko se dostavi kupcu (imenuje se elektronska denarnica), prodajalcu in njegovi servisni banki.
Uvod
1. Elektronski plačilni sistemi in njihova klasifikacija
1.1 Osnovni pojmi
1.2 Klasifikacija elektronskih plačilnih sistemov
1.3 Analiza glavnih elektronskih plačilnih sistemov, ki se uporabljajo v Rusiji
2. Sredstva zaščite elektronskih plačilnih sistemov
2.1 Grožnje, povezane z uporabo elektronskih plačilnih sistemov
2.2 Varnostne tehnologije za elektronske plačilne sisteme
2.3 Analiza tehnologij za skladnost osnovne zahteve na elektronske plačilne sisteme
Zaključek
Bibliografski seznam
UVOD
Visoko specializirana tematika elektronskega plačevanja in elektronskega denarja, ki je bila pred 10 leti malo zanimana, je v zadnjem času postala aktualna ne le za poslovneže, ampak tudi za končne uporabnike. Modne besede "e-poslovanje", "e-poslovanje" verjetno pozna vsak drugi človek, ki vsaj občasno prebira računalniški ali popularni tisk. Opravilo plačevanja na daljavo (prenos denarja na velike razdalje) je iz kategorije posebnih prešlo v vsakdanje. Vendar pa obilica informacij o tem vprašanju prav nič ne prispeva k jasnini v glavah državljanov. Tako zaradi kompleksnosti in konceptualne nerazvitosti problematike elektronskega plačevanja kot tudi zaradi dejstva, da mnogi popularizatorji pogosto delujejo po principu pokvarjenega telefona, je na gospodinjski ravni seveda vsem vse jasno. A tako je, dokler ne pride na vrsto praktični razvoj elektronskega plačevanja. Tu se pokaže nerazumevanje, kako primerna je uporaba elektronskega plačevanja v določenih primerih.
Medtem pa postaja sprejemanje elektronskih plačil vse pomembnejše tako za tiste, ki bodo poslovali z uporabo interneta, kot tudi za tiste, ki bodo nakupovali prek spleta. Ta članek je za oba.
Glavna težava pri obravnavi elektronskih plačilnih sistemov za začetnika je raznolikost njihove zasnove in principov delovanja ter dejstvo, da se kljub zunanji podobnosti izvedbe v njihovih globinah lahko skrivajo precej različni tehnološki in finančni mehanizmi.
Hiter razvoj priljubljenosti svetovnega interneta je povzročil močan zagon za razvoj novih pristopov in rešitev na različnih področjih svetovnega gospodarstva. Novim trendom so podlegli tudi tako konzervativni sistemi, kot so elektronski plačilni sistemi v bankah. To se je odrazilo v nastanku in razvoju novih plačilnih sistemov - elektronskih plačilnih sistemov preko interneta, katerih glavna prednost je, da lahko stranke izvajajo plačila (finančne transakcije) mimo naporne in včasih tehnično zahtevne faze fizičnega prenosa plačilnega naloga. v banko. Za uvedbo teh sistemov so zainteresirane tudi banke in bančne institucije, saj omogočajo večjo hitrost storitev za stranke in zmanjšanje režijskih stroškov za izvajanje plačil.
Elektronski plačilni sistemi krožijo informacije, vključno z zaupnimi informacijami, ki zahtevajo zaščito pred ogledom, spreminjanjem in vsiljevanjem lažnih informacij. Razvoj ustreznih internetno usmerjenih varnostnih tehnologij je trenutno velik izziv. Razlog za to so arhitektura, temeljni viri in tehnologije internetna omrežja osredotočen na organizacijo dostopa ali zbiranja odprte informacije. Vendar pa so se v zadnjem času pojavili pristopi in rešitve, ki kažejo na možnost uporabe standardnih internetnih tehnologij pri gradnji sistemov za varen prenos informacij preko interneta.
Namen RGR je analizirati elektronske plačilne sisteme in razviti priporočila za uporabo vsakega od njih. Na podlagi cilja so oblikovane naslednje faze izvajanja RGR:
1. Določite glavne naloge elektronskih plačilnih sistemov in načela njihovega delovanja, njihove značilnosti.
2. Analizirajte glavne sisteme elektronskih plačil.
3. Analizirati nevarnosti, povezane z uporabo elektronskega denarja.
4. Analizirati načine zaščite pri uporabi elektronskih plačilnih sistemov.
1. ELEKTRONSKI PLAČILNI SISTEMI IN NJIHOVA RAZVRSTITEV
1.1 Osnovni pojmi
Elektronska plačila. Začnimo z dejstvom, da je upravičeno govoriti o nastanku elektronskih plačil kot vrste brezgotovinskega plačila v drugi polovici dvajsetega stoletja. Z drugimi besedami, prenos informacij o plačilih po žicah obstaja že dolgo, vendar je pridobil bistveno novo kakovost, ko so se na obeh koncih žic pojavili računalniki. Informacije so se prenašale s pomočjo teleksa, teletipa, računalniških omrežij, ki so se pojavila v tistem času. Kakovostno nov preskok se je izrazil v tem, da se je bistveno povečala hitrost izvajanja plačil in postala je možna njihova avtomatska obdelava.
Kasneje so se pojavili tudi elektronski ekvivalenti drugih vrst plačil - gotovinska plačila in druga plačilna sredstva (na primer čeki).
Elektronski plačilni sistemi (EPS). Elektronski plačilni sistem imenujemo vsak kompleks posebne strojne opreme in programska orodja omogoča elektronsko plačevanje.
obstajati različne načine in komunikacijske kanale za dostop do EPS. Danes je med temi kanali najbolj razširjen internet. Širjenje EPS se povečuje, dostop do katerega se izvaja s pomočjo mobilni telefon(prek SMS, WAP in drugih protokolov). Drugi načini so redkejši: po modemu, po telefonu s tonskim izbiranjem, po telefonu preko operaterja.
Elektronski denar. Nejasen izraz. Če dobro premislite, kaj se skriva za tem, je lahko razumeti, da je elektronski denar napačno ime za »elektronsko gotovino«, pa tudi za elektronske plačilne sisteme kot take.
Ta nesporazum v terminologiji je posledica svobode prevajanja izrazov iz angleščine. Ker se je elektronsko plačevanje v Rusiji razvijalo veliko počasneje kot v Evropi in Ameriki, smo bili prisiljeni uporabljati trdno zakoreninjene izraze. Seveda imajo takšna imena elektronske gotovine, kot so "digitalna gotovina" (e-cash), "digitalni denar" (digitalni denar), "elektronska gotovina" (digitalna gotovina)2 pravico do življenja.
Na splošno izraz "elektronski denar" ne pomeni nič posebnega, zato se bomo v prihodnje poskušali izogibati njegovi uporabi.
Elektronska gotovina:
To je tehnologija, ki se je pojavila v 90. letih prejšnjega stoletja in omogoča izvajanje elektronskih plačil, ki niso neposredno vezana na prenos denarja z računa na račun pri banki ali drugi finančni organizaciji, torej neposredno med osebami. - končni udeleženci v plačilu. Druga pomembna lastnost elektronske gotovine je anonimnost plačil, ki jo zagotavlja. Avtorizacijski center, ki potrjuje plačilo, nima podatkov o tem, kdo točno in komu je nakazal denar.
Elektronska gotovina je ena izmed vrst elektronskih plačil. Enota elektronske gotovine ni nič drugega kot finančna obveznost izdajatelja (banke ali druge finančne institucije), ki je v bistvu podobna navadni menici. Plačilo z elektronsko gotovino se pojavi tam, kjer je uporaba drugih plačilnih sistemov neprijetna. Dober primer je nepripravljenost kupca, da pri plačilu blaga na internetu posreduje podatke o svoji kreditni kartici.
Ko smo se odločili za terminologijo, lahko preidemo na naslednjo stopnjo našega pogovora - pogovorimo se o klasifikaciji EPS. Ker EPS posreduje pri elektronskih izračunih, temelji delitev EPS na različnih vrstah teh izračunov.
Poleg tega ima pri tem zelo pomembno vlogo programska in/ali strojna tehnologija, na kateri temelji mehanizem EPS.
1.2 Klasifikacija elektronskih plačilnih sistemov
Elektronske plačilne sisteme je mogoče razvrstiti tako glede na posebnosti elektronskih plačil kot tudi glede na specifično tehnologijo, na kateri temelji EPS.
Razvrstitev EPS glede na vrsto elektronskih plačil:
1. Glede na sestavo udeležencev plačila (tabela 1).
Tabela 1
| Vrsta elektronskih plačil | Plačilne stranke | Analog v tradicionalnem sistemu denarnih poravnav | Primer EPS |
| Plačila od banke do banke | Finančne ustanove | brez analogov | |
| B2B plačila | Pravne osebe | Brezgotovinska plačila med organizacijami | |
| S2B plačila | Končni potrošniki blaga in storitev ter pravne osebe – prodajalci | Gotovinska in negotovinska plačila kupca prodajalcu | Posojilo pilot |
| C2C plačila | Posamezniki | Neposredna gotovinska poravnava med posamezniki, poštni, telegrafski prenos |
V prihodnje ne bomo upoštevali tistih EPS, ki so zasnovani za storitve elektronskih poravnav tipa "banka-banka". Takšni sistemi so izjemno kompleksni, v večji meri posegajo v tehnološke vidike delovanja bančnega sistema in najverjetneje niso zanimivi za širše množice naših bralcev.
Poleg tega je treba opozoriti, da obstaja še ena vrsta plačil, ki logično ne sodi v tabelo 1. Po formalnih značilnostih povsem sodi v področje C2B, vendar je kljub temu ni mogoče zagotoviti s pomočjo razširjenega tovrstnega EPS. . Za mikroplačila je značilna izjemno majhna (centi ali delčki centa) vrednost blaga. Najbolj značilen od vseh poljudni članki primer sistema, ki izvaja mikroplačila, je prodaja šal (za cent na kos). Sistemi, kot sta Eaccess in Phonepay, so primerni za mikroplačila.
2. Po vrsti opravljenih operacij (tabela 2).
tabela 2
| Vrsta elektronskih plačil | Kje se uporabljajo | Primer EPS |
| Poslovanje bančnega računa | Sistemi »Client bank« z dostopom prek modema, interneta, mobilnega telefona itd. | Poslovanje bančnega računa Sistema »stranka |
| Prenos denarja brez odprtja bančnega računa | sistemi za prenos denarja računalniška omrežja podobno kot pri poštnih in telegrafskih prenosih | |
| Poslovanje s kartičnimi bančnimi računi | Debetne in kreditne plastične kartice | Cyberplat (Cyberpos) |
| Poslovanje z elektronskimi čeki in drugimi nedenarnimi plačilnimi obveznostmi | Zaprti sistemi medpodjetniških plačil | Cyberplat (Cybercheck) |
| Transakcije z elektronsko (kvazi) gotovino | Izračuni s fizikalnimi posamezniki, elektronski analogi žetonov in predplačniških kartic, ki se uporabljajo kot denarni nadomestki za plačilo blaga |
Treba je opozoriti, da so sistemi "stranka-banka" znani že dolgo. Do bančnega računa lahko dostopate z modemom. V zadnjem desetletju so se pojavile nove priložnosti za upravljanje vašega računa prek interneta prek uporabniku prijaznega spletnega vmesnika. Ta storitev se je imenovala "internet bančništvo" in ni uvedla nič bistveno novega v plačilne sisteme tipa "stranka-banka". Poleg tega obstajajo tudi druge možnosti za dostop do bančnega računa, na primer z uporabo mobilnega telefona (WAP-bančništvo, SMS-bančništvo). V zvezi s tem se v tem članku ne bomo posebej ukvarjali s to vrsto EPS, omenili bomo le, da zdaj v Rusiji približno 100 komercialnih bank ponuja storitve internetnega bančništva z uporabo več kot 10 različnih EPS.
Razvrstitev EPS glede na uporabljeno tehnologijo:
Ena najpomembnejših lastnosti EPS je protivlomna odpornost. Morda je to najbolj obravnavana značilnost takih sistemov. Kot je razvidno iz tabele 3, pri reševanju problema varnosti sistema večina pristopov k izgradnji EPS temelji na tajnosti določene centralne baze podatkov, ki vsebuje kritične informacije. Obenem nekateri k temu dodajajo tajno bazo dodatne stopnje zaščite na podlagi vzdržljivosti strojne opreme.
Načeloma obstajajo druge tehnologije, na podlagi katerih je mogoče zgraditi EPS. Na primer, ne tako dolgo nazaj je bilo v medijih sporočilo o razvoju EPS, ki temelji na diskih CDR, vdelanih v plastično kartico. Vendar podobni sistemi v svetovni praksi niso pogosto uporabljeni, zato se nanje ne bomo osredotočali.
Tabela 3
| tehnologija | Na čem temelji stabilnost sistema? | Primer EPS |
| Sistemi s centralnim strežnikom stranka banka, prenos sredstev | Varnost dostopnih ključev | Telebank (Guta-bank), "Internet Service Bank" (Autobank) |
| Pametne kartice | Strojna odpornost pametne kartice na vdore | Mondex, ACCORD |
| Magnetne kartice in virtualne kreditne kartice | Pomoč, Elite |
|
| praskalke | Tajnost baze podatkov s številkami in kodami praskalnih kartic | E-port, Creditpilot, Webmoney, Paycash, Rapira |
| File/wallet kot program na uporabnikovem računalniku | Kriptografska moč protokola za izmenjavo informacij | |
| Plačan telefonski klic | Tajnost centralne baze podatkov s pin kodami in stabilnost strojne opreme inteligentnega telefonskega omrežja | Dostop, Phonepay |
1.3 Analiza glavnih elektronskih plačilnih sistemov, ki se uporabljajo v Rusiji
Trenutno se na ruskem internetu uporablja precej elektronskih plačilnih sistemov, čeprav niso vsi široko uporabljeni. Značilno je, da so skoraj vsi zahodni plačilni sistemi, ki se uporabljajo v Runetu, vezani na kreditne kartice. Nekateri od njih, kot je PayPal, uradno zavračajo sodelovanje s strankami iz Rusije. Danes se najpogosteje uporabljajo naslednji sistemi:
CyberPlat se nanaša na sisteme mešanega tipa (v smislu katere koli od zgornjih klasifikacij). Pravzaprav lahko rečemo, da so znotraj tega sistema pod eno streho zbrani trije ločeni: klasični sistem "stranka-banka", ki strankam omogoča upravljanje računov, odprtih v bankah, ki sodelujejo v sistemu (11 ruskih bank in 1 latvijska banka). ); sistem CyberCheck, ki omogoča varno plačevanje med pravnimi osebami, povezanimi v sistem; in sistem Internet Acquiring, to je procesiranje plačil s kreditnimi karticami - CyberPos. Med vsemi sistemi za pridobivanje interneta, ki so na voljo na ruskem trgu, CyberPlat zagotavlja obdelavo največjega števila vrst kreditnih kartic, in sicer: Visa, Mastercard/Eurocard, American Express7, Diners Club, JCB, Union Card, skorajšnjo povezavo s STB- kartični sistem je bil najavljen in ACCORD-card/Bashkard. Neuradno so zaposleni v podjetju trdili, da delajo na možnosti povezovanja z drugimi ruskimi kartičnimi sistemi. Poleg naštetega CyberPlat zagotavlja procesiranje scratch kartic plačilnega sistema E-port in napoveduje skorajšnji zagon prehoda s sistemom Paycash.
Trenutno za povečanje stopnje zaščite pred plačili z ukradenimi kreditnimi karticami podjetje razvija specializirano tehnologijo PalPay, ki je sestavljena iz dejstva, da ima prodajalec možnost preveriti, ali ima kupec res dostop do bančnega računa, povezanega z kreditno kartico ali pozna samo njene podatke. Uradno uvedba te tehnologije v delovanje še ni bila objavljena.
Sistem CyberCheck je zelo zanimiv za organizacijo dela s poslovnimi partnerji. Njegova glavna značilnost (v primerjavi s sprejemanjem plačil s kreditnimi karticami) je nezmožnost, da plačnik naknadno zavrne plačilo. Z drugimi besedami, prejem potrdila o plačilu od CyberCheck je prav tako zanesljiv kot prejem takega potrdila od banke, kjer se nahaja račun prodajalca. Zaradi vseh teh funkcij je CyberPlat morda najbolj napreden in zanimiv za prodajalce EPS na ruskem internetu.
Sistem Assist v smislu obdelave plačil s kreditnimi karticami je v mnogih pogledih funkcionalni analog CyberPlat. V Moskvi njene interese zastopa Alfa-Bank. Skupno je v sistem povezanih 5 bank. Internetni podsistem pridobivanja omogoča sprejemanje plačil s karticami Visa, Mastercard/Eurocard, STB-card. S septembrom sprejemanje plačil iz drugih kartičnih sistemov, prijavljenih na strežniku sistema Assist, ni bilo realno zagotovljeno. Po neuradnih informacijah pa bo v kratkem mogoče sprejemati kartice Diners Club, Cirrus Maestro in Visa Electron. Zanimivo je, da tovrstne kartice prevzemna podjetja običajno ne sprejemajo, vendar so te kartice zaradi svoje poceni zelo pogoste. Običajno zavrnitev sprejema debetnih kartic motivirajo varnostni razlogi. Morda se bo ASSIST tej težavi lahko izognil z uporabo protokola SET, katerega podporo je podjetje objavilo ravno pred dnevi. Za razliko od tradicionalnega načina plačevanja s plastičnimi karticami na internetu, ki imetniku kartice omogoča, da zavrne plačilo z nje (charge-back), protokol SET zagotavlja pristnost transakcije, kar bistveno zmanjša tveganje za trgovca.
Način plačevanja, objavljen na spletnem mestu Assist z elektronskimi potrdili, kupljenimi pri internetnem ponudniku, je precej zanimiv, saj ponudnikom odpira nove poslovne linije, vendar ga po dostopnih podatkih zaradi pravnih težav do nedavnega ni nihče dejansko uporabljal. . Kljub temu pa se bo po neuradnih informacijah to stanje kmalu spremenilo - jeseni 2001 bomo morda dočakali prvo praktično uporabo tega načina izračuna.
Poleg kartičnih sistemov CyberPlat in Assist, omenjenih v opisih, obstajajo tudi drugi, ki so bili nekoliko razširjeni na trgu. Discover/NOVUS je široko razširjen v Severni Ameriki in je lahko zanimiv za tiste elektronske trgovine, ki delajo za zahodno občinstvo. Domačih prevzemnikov, ki bi procesirali kartice tega sistema, ne poznamo, obstajajo pa številne ponudbe posrednikov, ki zastopajo interese zahodnih prevzemnikov. Med ruskimi kartičnimi sistemi so po STB in Union Card najbolj opazni na trgu Zolotaya Korona, Sbercard (Sberbank), Universal Card in ICB-card (Promstroybank), pa tudi že omenjena kartica ACCORD / Bashcard. Z "ICB-kartico" skrbi nekaj manjših podjetij prevzemnikov, sprejemanje plačil prek interneta s kartic "Zlata krona" in "Sbercard" pa domnevno zagotavljajo neposredno izdajatelji in/ali z njimi povezana podjetja, in v primeru univerzalne kartice se zdi, da je ne zagotavlja nihče.
Paycash in Webmoney njihovi razvijalci pozicionirajo kot elektronske denarne sisteme, toda ob natančnejšem pregledu lahko le Paycash upravičeno zahteva tak status.
Razvoj Paycash je začela Tauride Bank, vendar so druge banke trenutno povezane s sistemom, na primer Guta-Bank.
S tehnološkega vidika Paycash zagotavlja skoraj popolno imitacijo gotovinskega plačevanja. Iz ene elektronske denarnice (specializiranega programa, ki ga stranka namesti na svoj računalnik) se denar lahko prenese v drugo, pri čemer je zagotovljena anonimnost plačila v razmerju do banke. Sistem je v Rusiji postal precej razširjen in trenutno poskuša vstopiti na svetovni trg.
Ozko grlo Paycasha je postopek prenosa denarja v elektronsko denarnico. Do pred kratkim edina potČe želite to narediti, je bilo iti v poslovalnico banke in nakazati denar na račun sistema. Res je, obstajale so alternative - za uporabnike sistema Guta-bank Telebank je bilo mogoče prenesti denar z računa v Guta-bank, ne da bi zapustili dom, toda v nekaterih primerih jih je očitno lažje nakazati neposredno na račun prodajalca - elektronske trgovine brez uporabe Paycasha kot posrednika. Možno je bilo tudi nakazilo denarja prek Western Uniona ali poštnega/telegrafskega nakazila, vendar je bila privlačnost te poti omejena z visoko stopnjo provizije. Za prebivalce Sankt Peterburga obstaja zelo eksotična priložnost - poklicati kurirja za denar na dom. Super, a žal ne živimo vsi v severni prestolnici.
Še vedno manjka možnost prenosa denarja na Paycash s kreditnih kartic. To je posledica dejstva, da podjetja, ki podpirajo delo kartičnih sistemov, svojim strankam zagotavljajo možnost tako imenovanega "vračila" - zavrnitev plačila "za nazaj". "Charge Back" je mehanizem, ki ščiti lastnika kreditne kartice pred goljufi, ki lahko uporabijo njene podatke. V primeru takšne zavrnitve breme dokazovanja, da je bilo blago dejansko dostavljeno pravemu imetniku kartice in da je treba plačilo izvesti, nosi trgovec. Toda v primeru Paycasha je takšen dokaz v bistvu nemogoč – iz očitnih razlogov. Zgoraj omenjeni prehod s CyberPlatom, ki je v razvoju, je prav tako zasnovan za rešitev te težave.
Za zdaj, da ga izvezem ozko grlo v sistemu je PayCash naredil dve dokaj smiselni potezi - izdajo predplačniških praskalk in zagotavljanje sprejemanja plačil prek sistema nakazil Contact, katerega tečaji so bistveno nižji od poštnih (2,2 % proti 8 %).
Sistem Webmoney je eden od "pionirjev" na trgu elektronskih plačil v Rusiji. Trenutno je mednarodna. Po nekaterih poročilih ima Webmoney predstavnike ne le v državah - republikah nekdanje ZSSR, ampak tudi v tujini. Sistemski operater je avtonomna nekomercialna organizacija "VM-center".
Način delovanja Webmoneyja je zelo podoben delu z elektronsko gotovino, le skrbna in skrbna analiza nam omogoča, da se prepričamo, da dejansko Webmoney ne zagotavlja popolne anonimnosti plačil, to je, da niso zaprta od samih lastnikov sistema. . Vendar pa je praksa Webmoney pokazala, da je ta lastnost precej koristna, saj v nekaterih primerih omogoča boj proti goljufijam. Poleg tega "VM-Center" kot ločena plačljiva storitev ponuja certificiranje pravne in fizične osebe, ki mu seveda odvzame anonimnost v odnosu do drugih udeležencev v sistemu. Ta priložnost je potrebna predvsem za tiste, ki želijo organizirati pošteno elektronsko trgovino in nameravajo potencialne kupce prepričati o njihovi zanesljivosti. Webmoney vam omogoča odpiranje računov in prenos sredstev v dveh valutah: rubljih in dolarjih.
Za dostop do sistema se uporablja program "elektronska denarnica". Dodatne funkcije sistema so prenos kratkih sporočil iz denarnice v denarnico ter kreditne transakcije med lastniki denarnice. Le malokdo pa bo po našem mnenju pristal na posojanje anonimnim osebam prek interneta, ki v primeru nevračila ne morejo prisilno izterjati posojila.
Za razliko od Paycasha je Webmoney sprva omogočal tako prenos običajne gotovine v denarnico kot tudi izplačilo vsebine denarnic brez dolgočasnih postopkov izpolnjevanja plačilnih nalogov na banki, a na s pravnega vidika precej čuden način. Na splošno je pravna podpora Webmoneyja v smislu njegovega dela z organizacijami dolgo časa povzročila veliko kritik.
To je bil razlog, zakaj so si končni uporabniki aktivno nameščali »denarnice«, mnoge e-trgovine pa so zavračale uporabo tega EPS. Res je, trenutno se je to stanje nekoliko izboljšalo, aktivni tržni položaj lastnikov Webmoneyja pa vodi v dejstvo, da se podoba sistema nenehno izboljšuje. Eden od zanimive lastnosti Ta marketinška strategija je bila, da so skoraj takoj po vstopu na trg vsi dobili priložnost zaslužiti v tem sistemu (nekateri se morda spomnijo projekta Nails in njegovega kasnejšega razvoja - visiting.ru). Tako kot Paycash tudi Webmoney izdaja predplačniške praskalne kartice, namenjene polaganju denarja v sistem.
Dva sistema, ki temeljita na scratch karticah: E-port (Autocard-holding) in CreditPilot (Creditpilot.com) sta kot brata dvojčka. Oba predvidevata, da bo kupec najprej kupil praskalko s skrivno kodo nekje v širši distribucijski mreži ali z naročilom kurirja na dom, nato pa bo s to kodo začel plačevati na internetu v trgovinah, ki sprejemajo plačila. teh sistemov. E-port dodatno ponuja možnost izdelave »virtualnih« praskalk z nakazilom denarja na račun podjetja preko banke ali preko sistema »Webmoney«.
Sistem Rapida, ki je začel delovati septembra 2001, tako kot prejšnja dva, ponuja polog denarja na račun uporabnika s praskalnimi karticami ali plačilo pri banki članici sistema. Dodatno je bila napovedana možnost dela v načinu "Stranka-Banka" in nakazila denarja na račune pravnih oseb, ki niso udeleženci v sistemu, kot tudi posameznikov brez odprtja bančnega računa. Dostop do sistema je omogočen ne samo prek interneta, ampak tudi po telefonu, s tonskim izbiranjem. Na splošno je sistem videti tehnološko napreden in zelo zanimiv, vendar je od njegovega zagona še premalo časa, da bi lahko govorili o perspektivnosti.
EPS, ki omogočajo plačilo na enak način, kot se plačuje za medkrajevne klice (navsezadnje na podlagi računa telefonskega podjetja), so se prvič pojavili v ZDA in so bili namenjeni plačevanju dostopa do pornografskih virov. . Vendar zaradi sistematičnega goljufivega ravnanja številnih lastnikov tovrstni sistemi med kupci niso pridobili na priljubljenosti, prodajalci pa z njimi niso bili posebej zadovoljni, saj so ti sistemi poskušali močno odložiti plačila.
Dve domači izvedbi tega koncepta - Phonepay in Eaccess - sta na samem začetku svoje poti. Oba sistema predpostavljata, da mora stranka za izvedbo plačila poklicati določeno medkrajevno številko v kodi 8-809 (ki jo je očitno zagotovilo podjetje MTU-inform), nato pa bo nekaj ključnih informacij mu narekuje robot, v primeru Eaccess je to koda PIN, ki se uporablja za dostop do plačljivega informacijskega vira, v primeru Phonepaya pa je to univerzalni "digitalni kovanec", sestavljen iz 12 števk enega od pet denominacij, ki so trdo kodirane v sistemu -dostop se še postopoma razvija in povečuje število trgovin, povezanih s sistemom, Phonepay pa v svoj sistem ni povezal niti ene trgovine, ki ne pripada razvijalcem.
Po mojem mnenju imajo takšni sistemi v Rusiji precej določene možnosti, povezane z enostavnostjo dostopa do njih s strani končnega uporabnika, vendar bo njihov obseg omejen na prodajo informacijskih virov. Zaradi velike zamude pri prejemanju plačil (sistem jih bo prenesel v trgovino šele, ko kupec plača telefonski račun) je trgovanje z opredmetenimi sredstvi s temi EPS precej nedonosno.
Na koncu je treba omeniti še eno vrsto EPS - specializirane prenosne sisteme med posamezniki, ki tekmujejo s tradicionalnimi poštnimi in telegrafskimi prenosi. To nišo so najprej zasedli tuji sistemi, kot sta Western Union in Money Gram. V primerjavi s tradicionalnimi prenosi zagotavljajo hitrejša in varnejša plačila. Hkrati imajo številne pomembne pomanjkljivosti, od katerih je glavna visoka cena njihovih storitev, ki dosežejo do 10% zneska prenosa. Druga moteča stvar je, da teh sistemov ni mogoče zakonito uporabljati za sistematično sprejemanje plačil za blago. Vendar pa je za tiste, ki želijo le poslati denar sorodnikom in prijateljem, smiselno biti pozorni na te sisteme, pa tudi na njihove domače dvojnike (Anelik in Contact). Zaenkrat jim niti Paycash niti Webmoney ne moreta konkurirati, saj nekje v Avstraliji ali Nemčiji do gotovine ni mogoče priti s potegom iz elektronske denarnice. EPS Rapida napoveduje takšno možnost, vendar zaenkrat na spletnem mestu ni podrobnosti, geografije pisarn sistema pa ni mogoče primerjati s sistemi, ki so že na trgu.
Lastniki elektronskih trgovin bi morali očitno najprej razmišljati o sprejemanju denarja s kreditnih kartic in elektronskih gotovinskih sistemov - Webmoney in Paycash. Kar zadeva kombinacijo potrošniških lastnosti, po našem mnenju noben sistem za sprejemanje plačil s kreditnimi karticami na ruskem trgu ne more konkurirati CyberPlatu. Vsi drugi sistemi so predmet neobvezne uporabe, še posebej, če se spomnite, da istega E-porta ni treba namestiti ločeno, saj njegove kartice servisira CyberPlat.
2. SREDSTVA ZAŠČITE ELEKTRONSKIH PLAČILNIH SISTEMOV
2.1 Grožnje, povezane z uporabo elektronskih plačilnih sistemov
Razmislite možne grožnje destruktivna dejanja napadalca v zvezi s tem sistemom. Če želite to narediti, razmislite o glavnih ciljih napada napadalca. Glavni predmet napada napadalca so finančna sredstva oziroma njihovi elektronski nadomestki (nadomestki) – plačilni nalogi, ki krožijo v plačilnem sistemu. V zvezi s temi orodji lahko napadalec zasleduje naslednje cilje:
1. Kraja sredstev.
2. Vnos ponarejenih sredstev (kršitev finančnega ravnovesja sistema).
3. Kršitev delovanja sistema ( tehnična grožnja).
Navedeni predmeti in cilji napada so abstraktne narave in ne omogočajo analize in razvoja potrebnih ukrepov za zaščito informacij, zato tabela 4 podaja specifikacijo predmetov in ciljev uničujočih učinkov napadalca.
Tabela 4 Model možnih destruktivnih dejanj napadalca
| Objekt vpliva | Namen vpliva | Možni mehanizmi za izvedbo vpliva. |
| HTML strani na spletnem strežniku banke | Zamenjava z namenom pridobitve podatkov, ki jih stranka vnese v plačilni nalog. | Napad na strežnik in zamenjava strani na strežniku. Zamenjava strani v prometu. Napad na naročnikov računalnik in zamenjava strani na naročniku |
| Strani z informacijami o odjemalcih na strežniku | Pridobivanje podatkov o plačilih stranke(-e) | Napad na strežnik. Napad na promet. Napad na odjemalčev računalnik. |
| Podatki o plačilnem nalogu, ki jih stranka vnese v obrazec | Pridobivanje podatkov, ki jih stranka vnese v plačilni nalog. | Napad na odjemalčev računalnik (virusi ipd.). Napad na ta navodila, ko so poslana skozi promet. Napad na strežnik. |
| Zasebni podatki o stranki, ki se nahajajo na strankinem računalniku in niso povezani z elektronskim plačilnim sistemom | Pridobivanje zaupnih podatkov stranke. Spreminjanje podatkov o stranki. Onemogočanje odjemalčevega računalnika. | Cel kompleks znani napadi na računalnik, povezan z internetom. Dodatni napadi, ki se pojavijo kot posledica uporabe mehanizmov plačilnega sistema. |
| Informacije o bančnem procesnem centru. | Razkritje in spreminjanje informacij centra za obdelavo in lokalno omrežje kozarec. | Napad na lokalno omrežje, povezano z internetom. |
Iz te tabele sledijo osnovne zahteve, ki jih mora izpolnjevati vsak sistem elektronskega plačevanja preko interneta:
Prvič, sistem mora zagotoviti zaščito podatkov o plačilnih nalogih pred nepooblaščenimi spremembami in modifikacijami.
Drugič, sistem ne sme povečati zmožnosti napadalca, da organizira napade na odjemalčev računalnik.
Tretjič, sistem mora zagotoviti zaščito podatkov, ki se nahajajo na strežniku, pred nepooblaščenim branjem in spreminjanjem.
Četrtič, sistem mora zagotavljati oziroma podpirati sistem za zaščito lokalnega omrežja banke pred izpostavljenostjo iz globalnega omrežja.
Med razvojem posebnih sistemov za zaščito elektronskih plačilnih informacij, ta model in zahteve je treba podrobneje opredeliti. Vendar za trenutno predstavitev takšne podrobnosti niso potrebne.
2.2 Varnostne tehnologije za elektronske plačilne sisteme
Nekaj časa je razvoj WWW zaviralo dejstvo, da so html strani, ki so osnova WWW, statično besedilo, tj. z njihovo pomočjo je težko organizirati interaktivno izmenjavo informacij med uporabnikom in strežnikom. Razvijalci so predlagali številne načine za razširitev zmožnosti HTML v tej smeri, od katerih mnogi niso bili široko sprejeti. Ena najzmogljivejših rešitev, ki je pomenila novo stopnjo v razvoju interneta, je bil Sunov predlog uporabe javanskih programčkov kot interaktivnih komponent, povezanih s stranmi HTML.
Java applet je program, ki je napisan v programskem jeziku Java in preveden v posebne bajtne kode, ki so kode nekega virtualnega računalnika - Java stroja - in se razlikujejo od kod procesorjev Intel. Programčki gostujejo na strežniku v spletu in se prenesejo na uporabnikov računalnik vsakič, ko se dostopa do strani HTML, ki vsebuje klic tega programčka.
Za izvajanje kod programčkov standardni brskalnik vključuje izvedbo stroja Java, ki interpretira bajtne kode v strojna navodila Intelove (ali druge) družine procesorjev. Zmogljivosti, ki so del tehnologije programčkov Java, po eni strani omogočajo razvoj močnih uporabniški vmesniki, organizirajo dostop do vseh omrežnih virov po URL-ju, enostavno je uporabljati protokole TCP / IP, FTP itd., po drugi strani pa onemogočajo neposreden dostop do računalniških virov. Na primer, programčki nimajo dostopa do datotečni sistem računalnik in povezane naprave.
Podobna rešitev za razširitev zmogljivosti WWW je Microsoftova tehnologija Active X. Najpomembnejša razlika med to tehnologijo in Javo je v tem, da so komponente (analogi programčkov) programi v kodah. procesor Intel in da imajo te komponente dostop do vseh računalniških virov ter vmesnikov in storitev Windows.
Drug manj pogost pristop k izboljšavi WWW je Netscapeov vtičnik za tehnologijo Netscape Navigator. Prav ta tehnologija se zdi najbolj optimalna osnova za izgradnjo sistemov informacijske varnosti za elektronsko plačevanje prek interneta. Za nadaljnjo predstavitev razmislimo, kako ta tehnologija rešuje problem zaščite informacij spletnega strežnika.
Predpostavimo, da obstaja nek spletni strežnik in skrbnik ta strežnik potrebno je omejiti dostop do nekega dela informacijskega polja strežnika, tj. organizirati tako, da imajo nekateri uporabniki dostop do nekaterih informacij, drugi pa ne.
Trenutno je predlaganih več pristopov k reševanju tega problema, zlasti veliko OS, pod nadzorom katerega delujejo internetni strežniki, zahtevajo geslo za dostop do nekaterih njihovih območij, tj. zahtevajo avtentikacijo. Ta pristop ima dve pomembni pomanjkljivosti: prvič, podatki so shranjeni na samem strežniku v odprti obliki, in drugič, podatki se v odprti obliki tudi prenašajo po omrežju. Tako ima napadalec možnost organizirati dva napada: na sam strežnik (ugibanje gesla, obhod gesla itd.) in napad na promet. Dejstva o izvajanju takšnih napadov so splošno znana internetni skupnosti.
Drug dobro znan pristop k reševanju problema informacijske varnosti je pristop, ki temelji na tehnologiji SSL (Secure Sockets Layer). Pri uporabi SSL se med odjemalcem in strežnikom vzpostavi varen komunikacijski kanal, po katerem se prenašajo podatki, t.j. problem prenosa podatkov v jasnem besedilu po omrežju se lahko šteje za relativno rešen. Glavna težava SSL je v izgradnji ključnega sistema in nadzoru nad njim. Kar zadeva problem shranjevanja podatkov na strežniku v odprti obliki, ostaja nerešen.
Druga pomembna pomanjkljivost zgoraj opisanih pristopov je potreba po njihovi podpori s programske strani tako strežnika kot omrežnega odjemalca, kar ni vedno mogoče in priročno. Še posebej v sistemih, ki so usmerjeni v množično in neorganizirano stranko.
Pristop, ki ga predlaga avtor, temelji na zaščiti neposredno html strani, ki so glavni nosilec informacij na internetu. Bistvo zaščite je v tem, da so datoteke, ki vsebujejo HTML strani, shranjene na strežniku v šifrirani obliki. Hkrati je ključ, na katerem so šifrirani, znan samo osebi, ki ga je šifrirala (skrbniku) in odjemalcem (na splošno je problem izgradnje sistema ključev rešen na enak način kot v primeru transparentnih šifriranje datotek).
Odjemalci dostopajo do varnih informacij prek tehnologije Netscape Plug-in for Netscape. Ti moduli so programi, natančneje komponente programske opreme, ki so povezane z določenimi vrstami datotek v standardu MIME. MIME je mednarodni standard, ki določa formate datotek na internetu. Na primer, obstajajo naslednje vrste datotek: besedilo/html, besedilo/ravnina, slika/jpg, slika/bmp itd. Poleg tega standard določa mehanizem nastavitve vrste po meri datoteke, ki jih lahko definirajo in uporabljajo neodvisni razvijalci.
Uporabljajo se torej vtičniki, ki so povezani z določenimi vrstami datotek MIME. Povezava je v tem, da ko uporabnik dostopa do datotek ustrezne vrste, brskalnik zažene vtičnik, povezan z njim, in ta modul izvede vsa dejanja za vizualizacijo podatkov datoteke in obdelavo uporabnikovih dejanj s temi datotekami.
Najbolj znani Plug-in moduli so moduli, ki predvajajo video posnetke v formatu avi. Ogled teh datotek ni vključen v običajne zmožnosti brskalnikov, vendar si lahko z namestitvijo ustreznega vtičnika preprosto ogledate te datoteke v brskalniku.
Nadalje so vse šifrirane datoteke v skladu z uveljavljenim mednarodnim standardom opredeljene kot datoteke tipa MIME. "aplikacija/x-shp". Nato se v skladu s tehnologijo in protokoli Netscape razvije vtičnik, ki se poveže s to vrsto datoteke. Ta modul naredi dve stvari: prvič, zahteva geslo in ID uporabnika, in drugič, opravi nalogo dešifriranja in prikaza datoteke v oknu brskalnika. Ta modul je nameščen v skladu z običajnim vrstnim redom, ki ga je določil Netscape, v brskalnikih vseh odjemalskih računalnikov.
V tej pripravljalni fazi dela je sistem pripravljen za delovanje. Med delovanjem odjemalci dostopajo do šifriranih html strani na svojem standardnem naslovu (URL). Brskalnik določi vrsto teh strani in samodejno zažene modul, ki smo ga razvili, ter mu posreduje vsebino šifrirane datoteke. Modul avtentikira odjemalca in po uspešnem zaključku dešifrira in prikaže vsebino strani.
Pri izvajanju tega celotnega postopka ima stranka občutek "transparentne" enkripcije strani, saj je vse zgoraj opisano delovanje sistema skrito njegovim očem. Hkrati so ohranjene vse standardne funkcije, ki so vgrajene v html strani, kot je uporaba slik, programčkov Java, skript CGI.
Preprosto je videti, da ta pristop rešuje številne težave z varnostjo informacij, saj v odprti obliki le na računalnikih odjemalcev, podatki se po omrežju prenašajo v šifrirani obliki. Napadalec, ki si prizadeva za pridobitev informacij, lahko izvede samo napad na določenega uporabnika in noben sistem za zaščito podatkov strežnika ne more zaščititi pred tem napadom.
Trenutno je avtor razvil dva sistema informacijske varnosti, ki temeljita na predlaganem pristopu za brskalnika Netscape Navigator (3.x) in Netscape Communicator 4.x. Med predhodno testiranje Ugotovljeno je bilo, da lahko razviti sistemi normalno delujejo pod nadzorom MExplorerja, vendar ne v vseh primerih.
Pomembno je omeniti, da te različice sistemov ne šifrirajo predmetov, povezanih s stranjo HTML: slik, skriptnih programčkov itd.
Sistem 1 nudi zaščito (šifriranje) dejanskih html strani kot ene same entitete. Ustvarite stran, jo šifrirate in kopirate na strežnik. Ko dostopate do šifrirane strani, se ta samodejno dešifrira in prikaže v posebnem oknu. Podpora varnostnega sistema s strani strežniške programske opreme ni potrebna. Vsa dela na šifriranju in dešifriranju se izvajajo na delovni postaji naročnika. Ta sistem je univerzalna, tj. ni odvisen od strukture in namena strani.
Sistem 2 ponuja drugačen pristop k zaščiti. Ta sistem omogoča prikaz zaščitenih informacij v določenem delu vaše strani. Informacije so v šifrirani datoteki (ne nujno v formatu html) na strežniku. Ko greste na svojo stran, zaščitni sistem samodejno dostopa do te datoteke, prebere podatke iz nje in jih prikaže v določenem delu strani. Ta pristop vam omogoča doseganje največje učinkovitosti in estetske lepote z minimalno vsestranskostjo. Tisti. sistem se izkaže za osredotočen na določen namen.
Ta pristop je mogoče uporabiti tudi pri izgradnji elektronskih plačilnih sistemov preko interneta. V tem primeru se ob dostopu do določene strani spletnega strežnika zažene modul Plug-in, ki uporabniku prikaže obrazec plačilnega naloga. Ko ga stranka izpolni, modul šifrira podatke o plačilu in jih pošlje strežniku. Hkrati lahko od uporabnika zahteva elektronski podpis. Poleg tega je šifrirne ključe in podpise mogoče brati s katerega koli medija: disket, elektronskih tablic, pametnih kartic itd.
2.3 Analiza tehnologij za skladnost z osnovnimi zahtevami za elektronske plačilne sisteme
Zgoraj smo opisali tri tehnologije, ki jih je mogoče uporabiti pri izgradnji plačilnih sistemov prek interneta: to je tehnologija, ki temelji na programčkih Java, komponentah Active-X in vtičnikih. Imenujmo jih tehnologije J, AX oziroma P.
Upoštevajte zahtevo, da se zmožnost napadalca za napad na računalnik ne poveča. Če želite to narediti, analizirajmo eno od možnih vrst napadov - zamenjavo ustreznih zaščitnih modulov odjemalca s strani napadalca. V primeru tehnologije J so to programčki, v primeru AX potopne komponente, v primeru P so to vtičniki. Očitno je, da ima napadalec možnost zamenjati zaščitne module neposredno na odjemalčevem računalniku. Mehanizmi za izvedbo tega napada presegajo obseg te analize, vendar je treba opozoriti, da izvedba tega napada ni odvisna od obravnavane zaščitne tehnologije. In stopnja varnosti vsake tehnologije je enaka, tj. vsi so enako ranljivi za ta napad.
Najbolj ranljiva točka tehnologij J in AX z vidika zamenjave je njihov prenos iz interneta. Na tej točki lahko napadalec izvede zamenjavo. Poleg tega, če napadalec uspe zamenjati te module na bančnem strežniku, potem dobi dostop do vseh informacij plačilnega sistema, ki krožijo po internetu.
Pri tehnologiji P ni nevarnosti zamenjave, saj se modul ne nalaga iz omrežja – je trajno shranjen na računalniku odjemalca.
Posledice spoofinga so različne: v primeru J-tehnologije lahko napadalec ukrade le podatke, ki jih vnese odjemalec (kar je resna grožnja), v primeru Active-X in Plug-in pa lahko napadalec pridobi vse informacije, do katerih ima dostop odjemalec, ki se izvaja v računalniku.
Avtor trenutno ne pozna posebnih načinov izvajanja napadov ponarejanja programčkov Java. Očitno se ti napadi slabo razvijajo, saj posledične priložnosti za krajo informacij praktično ni. Toda napadi na komponente Active-X so zelo razširjeni in dobro znani.
Upoštevajte zahtevo po zaščiti informacij, ki krožijo v elektronskem plačilnem sistemu prek interneta. Očitno je v tem primeru tehnologija J slabša od P in AX v eni zelo pomembni zadevi. Vsi mehanizmi za zaščito informacij temeljijo na šifriranju oziroma elektronskem podpisu, vsi ustrezni algoritmi pa na kriptografskih transformacijah, ki zahtevajo vnos ključnih elementov. Trenutno je dolžina ključnih elementov približno 32-128 bajtov, zato je skoraj nemogoče zahtevati, da jih uporabnik vnese s tipkovnico. Postavlja se vprašanje, kako jih vpisati? Ker imata tehnologiji P in AX dostop do računalniških virov, je rešitev tega problema očitna in znana – ključi se berejo iz lokalnih datotek, disket, tablic ali pametnih kartic. Toda v primeru tehnologije J je takšen vnos nemogoč, kar pomeni, da morate bodisi zahtevati od odjemalca vnos dolgega zaporedja nesmiselnih informacij bodisi z zmanjševanjem dolžine ključnih elementov zmanjšati moč kriptografskih transformacij in , posledično zmanjšajo zanesljivost zaščitnih mehanizmov. Poleg tega je to zmanjšanje zelo pomembno.
Upoštevajte zahtevo, da mora elektronski plačilni sistem organizirati zaščito podatkov, ki se nahajajo na strežniku, pred nepooblaščenim branjem in spreminjanjem. Ta zahteva izhaja iz dejstva, da sistem vključuje namestitev zaupnih informacij, namenjenih uporabniku, na strežnik. Na primer seznam plačilnih nalogov, ki jih je poslal z opombo o rezultatih obdelave.
V primeru tehnologije P so podatki predstavljeni v obliki html strani, ki so šifrirane in postavljene na strežnik. Vsa dejanja se izvajajo v skladu z zgoraj opisanim algoritmom (šifriranje html strani).
V primeru tehnologij J in AX se lahko te informacije v neki strukturirani obliki postavijo v datoteko na strežniku, komponente ali programčki pa morajo izvajati operacije branja podatkov in vizualizacije. Vse to na splošno vodi do povečanja skupne velikosti programčkov in komponent ter posledično do zmanjšanja hitrosti prenosa ustreznih strani.
Z vidika te zahteve zmaga tehnologija P zaradi večje izdelovalnosti, tj. manj stroškov za razvoj in večja odpornost na zamenjavo komponent, ko gredo skozi omrežje.
Zadnja zahteva za zaščito bančnega lokalnega omrežja je izpolnjena s kompetentno izgradnjo sistema požarnih zidov (požarnih zidov) in ni odvisna od obravnavanih tehnologij.
Tako je bilo zgoraj navedeno predhodno primerjalna analiza tehnologij J, AX in P, iz katerih izhaja, da je treba tehnologijo J uporabiti, če je vzdrževanje stopnje varnosti računalnika odjemalca veliko pomembnejše od moči kriptografskih transformacij, ki se uporabljajo v elektronskih plačilnih sistemih.
Tehnologija P se zdi najbolj optimalna tehnološka rešitev, na kateri temeljijo varnostni sistemi plačilnih informacij, saj združuje moč standardna aplikacija Win32 in zaščita pred napadi preko interneta. Praktično in komercialno izvajanje projektov, ki uporabljajo to tehnologijo, izvaja na primer podjetje Russian Financial Communications.
Kar se tiče tehnologije AX, se zdi, da je njena uporaba neučinkovita in nestabilna za zlonamerne napade.
ZAKLJUČEK
Elektronski denar vse bolj postaja naša vsakodnevna realnost, s katero je vsaj malo treba računati. Seveda nihče v naslednjih petdesetih letih (verjetno) ne bo preklical običajnega denarja. Nezmožnost upravljanja z elektronskim denarjem in zamuda priložnosti, ki jih le-ta prinaša s seboj, pa pomeni okoli sebe prostovoljno postaviti »železno zaveso«, ki se je v zadnjih petnajstih letih tako težko razmaknila. Veliko velikih podjetij ponuja plačilo za svoje storitve in blago prek elektronskih plačil. Za potrošnika to prihrani veliko časa.
Brezplačna programska oprema za odpiranje vaše elektronske denarnice in za celotno delo z denarjem je maksimalno prilagojena množičnim računalnikom in po malo vaje povprečnemu uporabniku ne povzroča težav. Naš čas je čas računalnikov, interneta in elektronskega poslovanja. Ljudje, ki imajo znanje na teh področjih in ustrezna sredstva, dosegajo izjemne uspehe. Elektronski denar je denar, ki postaja vsak dan bolj razširjen in odpira vse več priložnosti za osebo, ki ima dostop do omrežja.
Namen računskega in grafičnega dela je bil izpolnjen in rešene so naslednje naloge:
1. Določene so glavne naloge elektronskih plačilnih sistemov in načela njihovega delovanja, njihove značilnosti.
2. Analizirani so glavni sistemi elektronskih plačil.
3. Analiziral nevarnosti, povezane z uporabo elektronskega denarja.
4. Analiziral načine zaščite pri uporabi elektronskih plačilnih sistemov.
REFERENCE
1. Antonov N.G., Pessel M.A. Denarni obtok, kredit in banke. -M .: Finstatinform, 2005, str. 179-185.
2. Portfelj banke - 3. - M .: Somintek, 2005, str. 288-328.
3. Mihajlov D.M. Mednarodna plačila in garancije. Moskva: FBK-PRESS, 2008, str. 20-66.
4. Polyakov V.P., Moskovkina L.A. Zgradba in funkcije centralnih bank. Tuje izkušnje: Učbenik. - M.: INFRA-M, 2006.
5. Gaikovich Yu.V., Pershin A.S. Varnost elektronskih bančnih sistemov. - M: Združena Evropa, 2004
6. Demin V.S. itd. Avtomatizirani bančni sistemi. - M: Menatep-Inform, 2007
7. Krysin V.A. Poslovna varnost. - M: Finance in statistika, 2006
8. Linkov I.I. et al Informacijski oddelki v komercialnih strukturah: kako preživeti in uspeti. - M: NIT, 2008
9. Titorenko G.A. in drugo Informatizacija bančništva. - M: Finstatinform, 2007
10. Tushnolobov I.B., Urusov D.P., Yartsev V.I. Porazdeljena omrežja. - Sankt Peterburg: Peter, 2008
12. Aglitsky I. Stanje in možnosti informacijske podpore ruskih bank. - Bančne tehnologije, 2007 št. 1.
mentorstvo
Potrebujete pomoč pri učenju teme?
Naši strokovnjaki vam bodo svetovali ali nudili storitve mentorstva o temah, ki vas zanimajo.
Oddajte prijavo navedite temo prav zdaj, da izveste o možnosti pridobitve posvetovanja.
3. Zaščita elektronskih plačil
Vprašanje bančne varnosti je še posebej pereče, saj bančni podatki, prvič, predstavlja pravi denar, in drugič, vpliva na zaupne interese velikega števila bančnih strank.
Velikost trga e-trgovine v letu 2000
| Obseg in značilnosti trga | Ocena, USD |
| Skupni stroški vseh nakupov internetnih izdelkov | 4,5-6 milijard |
| Skupna vrednost vseh nakupov na povprečnega kupca | 600-800 |
| Povprečni stroški pridobitve na internetno transakcijo | 25-35 |
| Skupni obseg transakcij-pridobitev preko interneta | 130-200 milijonov |
| Delež nakupov izdelkov preko spleta | 60-70% |
| Delež nakupov dostavljenega blaga | 30-40% |
Splošna shema delovanja elektronskih plačilnih sistemov
Banka, ki je sklenila pogodbo s sistemom in pridobila ustrezno licenco, lahko nastopa v dveh vlogah - kot izdajatelj plačilnih sredstev tega sistema, ki jih sprejemajo za plačilo vse druge sodelujoče banke, in kot banka prevzemnica, ki servisira podjetja, ki sprejemajo plačila. plačilnih sredstev tega sistema, ki so jih izdali drugi izdajatelji, in sprejemajo ta plačilna sredstva za izplačilo v svojih poslovalnicah.
Postopek plačila je zelo preprost. Najprej mora blagajnik podjetja preveriti pristnost kartice glede na ustrezne znake.
Pri plačilu mora podjetje podatke o kartici stranke prenesti na poseben ček s kopirnim strojem - imprinterjem, v ček vpisati znesek, za katerega je bil opravljen nakup ali storitev, in prejeti podpis stranke.
Tako sestavljen ček se imenuje slip. Zaradi varnega izvajanja transakcij plačilni sistem priporoča nižje meje zneskov za različne regije in vrste poslovanja, ki se lahko uporabljajo za nepooblaščene poravnave. V primeru prekoračitve limita ali če obstaja dvom o identiteti stranke, je podjetje dolžno izvesti postopek avtorizacije.
Ne da bi se spuščali v tehnične vidike postopka, poudarjamo, da podjetje med avtorizacijo dejansko dobi dostop do informacij o stanju na računu stranke in tako dobi možnost ugotoviti lastništvo kartice s strani stranke in njeno plačilno sposobnost. v višini zneska transakcije. En izvod slip ostane v podjetju, drugi se prenese na stranko, tretji se dostavi banki prevzemnici in je podlaga za vračilo zneska plačila podjetju z računa stranke.
V zadnjih letih so postali zelo priljubljeni POS-terminali, pri uporabi katerih ni treba izpolnjevati položnic. Podatki o kartici se preberejo z magnetnega traku na čitalniku, vgrajenem v POS-terminal, znesek transakcije se vnese s tipkovnico, terminal pa preko vgrajenega modema zaprosi za avtorizacijo pri ustreznem plačilnem sistemu. V tem primeru se uporabljajo tehnične zmogljivosti procesnega centra, katerega storitve trgovcu zagotavlja banka. V tem primeru podjetje poroča banki s kopijo gotovinskega traku z vzorcem podpisa stranke in paketnimi datotekami, ki jih terminal ustvari ob koncu delovnega dne.
V zadnjih letih se vse več pozornosti posveča bančni sistemi, ki uporabljajo mikroprocesorske kartice.
Navzven se ti nosilci informacij ne razlikujejo od običajnih kartic, razen po pomnilniškem čipu ali mikroprocesorju, ki je prispajkan v notranjost kartice, in kontaktnih ploščah, nameščenih na njeni površini.
Bistvena razlika med temi karticami in vsemi naštetimi je v tem, da neposredno prenašajo podatke o stanju na računu stranke, saj so same tranzitni račun. Jasno je, da mora biti vsaka sprejemna točka takšnih kartic opremljena s posebnim POS-terminalom (z čitalnikom čipov).
Da bi stranka lahko uporabljala kartico, jo mora prenesti s svojega računa na bančnem terminalu. Vse transakcije se izvajajo v načinu OFF-LINE med dialogom kartica - terminal ali kartica stranke - kartica trgovca.
Takšen sistem je skoraj popolnoma varen zaradi visoke stopnje zaščite čipov in sheme polne debetne poravnave. Poleg tega, čeprav je sama kartica bistveno dražja od običajne, se sistem v procesu delovanja izkaže za še cenejšega zaradi dejstva, da se obremenitev telekomunikacij ne uporablja v načinu OFF-LINE.
Elektronska plačila s plastičnimi bančnimi karticami različne vrste predstavljajo dovolj fleksibilen in univerzalen poravnalni mehanizem v verigi »Banka 1 - Komitent - Podjetje - Banka 2« in medbančne poravnave tipa »Banka 1 - ... - Banka N«. Vendar pa so zaradi vsestranskosti teh plačilnih instrumentov še posebej privlačne tarče za goljufije. Letna izguba zaradi zlorab je impresiven znesek, čeprav razmeroma majhen v primerjavi s celotnim prometom.
Varnostnega sistema in njegovega razvoja ni mogoče obravnavati ločeno od metod nezakonitega poslovanja s plastičnimi karticami, ki jih lahko razdelimo na 5 glavnih vrst kaznivih dejanj.
1. Poslovanje s ponarejenimi karticami.
Tovrstne goljufije predstavljajo največji delež izgub plačilnega sistema. Zaradi visoke tehnične in tehnološke varnosti pravih kartic se lastno izdelane kartice v zadnjem času redko uporabljajo in jih je mogoče prepoznati z najpreprostejšo diagnostiko.
Praviloma se za ponarejanje uporabljajo prazne ukradene kartice, na katerih so navedeni podatki o banki in stranki. Ker so tehnično visoko opremljeni, lahko kriminalci celo nalepijo podatke na magnetni trak kartice ali jih kopirajo, z eno besedo, izvajajo ponaredke na visoki ravni.
Storilci takšnih dejanj so praviloma organizirane kriminalne združbe, ki se včasih zarotijo z zaposlenimi v bankah izdajateljicah, ki imajo dostop do podatkov o računih strank in postopku za izvajanje transakcij. Ob spoštovanju mednarodne kriminalne skupnosti je treba opozoriti, da so se ponarejene kartice v Rusiji pojavile skoraj sočasno z začetkom razvoja tega sektorja bančnega trga.
2. Operacije z ukradenimi/izgubljenimi karticami.
Večjo škodo na ukradeni kartici je mogoče povzročiti le, če prevarant pozna strankino kodo PIN. Nato postane mogoče prek mreže elektronskih blagajn - bankomatov dvigniti velik znesek z računa stranke, preden ima banka izdajateljica ukradeno kartico čas, da jo uvrsti na elektronski stop list (seznam neveljavnih kartic).
3. Večkratno plačilo storitev in blaga za zneske, ki ne presegajo "spodnje meje" in za katere ni potrebna avtorizacija. Za izvedbo plačil mora kriminalec le ponarediti podpis stranke. Vendar s to shemo najbolj privlačen predmet zlorabe postane nedostopen - gotovina. Ta kategorija vključuje kazniva dejanja z ukradenimi karticami med prenosom s strani banke izdajateljice svojim strankam po pošti.
4. Goljufije s poštnimi/telefonskimi naročili.
Tovrstno kaznivo dejanje se je pojavilo v povezavi z razvojem storitve dostave blaga in storitev po pošti ali telefonskem naročilu naročnika. Kriminalec, ki pozna številko kreditne kartice svoje žrtve, jo lahko navede na obrazcu za naročilo in po prejemu naloga za naslov začasnega prebivališča izgine.
5. Večkratni dvigi z računa.
Ta kazniva dejanja običajno storijo delavci pravna oseba, ki sprejema plačilo od stranke za blago in storitve s kreditno kartico, in se izvaja z izdajo več potrdil o plačilu za eno dejstvo plačila. Na podlagi predloženih čekov se na račun podjetja nakaže več denarja, kot znaša nabavna vrednost prodanega blaga ali opravljenih storitev. Vendar pa je kriminalec po številnih transakcijah prisiljen zapreti ali zapustiti podjetje.
Da bi se izognili takšnim dejanjem, uporabnikom kartice svetujemo, da so pri transakcijah (tudi pri manjših zneskih) bolj pozorni na podpisane dokumente.
Metode, ki jih uporabljajo varnostni oddelki, lahko razdelimo v dve glavni kategoriji. Prva in morda najpomembnejša raven je povezana s tehnično varnostjo same plastične kartice. Zdaj lahko z gotovostjo trdimo, da je s tehnološkega vidika kartica bolje zaščitena kot bankovci in jo je skoraj nemogoče izdelati sami brez uporabe sofisticiranih tehnologij.
Kartice katerega koli plačilnega sistema izpolnjujejo strogo določene standarde. Kartica ima standardni obrazec. Identifikacijska številka banke v sistemu (koda BIN) in številka računa stranke v banki, njeno ime in priimek, rok veljavnosti kartice so vtisnjeni in nameščeni na strogo določenih mestih na sprednji strani kartice. Obstaja tudi simbol plačilnega sistema, izdelan na holografski način. Zadnje štiri števke številke kartice so vtisnjene (embosirane) neposredno na holografskem simbolu, zaradi česar ni mogoče kopirati holograma ali ponovno vtisniti kode brez uničenja simbola.
Na hrbtni strani kartice je magnetni trak in območje z vzorcem podpisa lastnika. Na magnetnem traku so v strogo določenih položajih in z uporabo kriptografskih algoritmov zabeleženi podatki o samem plačilnem sistemu, varnostne oznake, simboli, ki preprečujejo kopiranje informacij, in podatki, natisnjeni na sprednji strani kartice, so podvojeni. Območje vzorca lastnikovega podpisa ima poseben premaz. Ob najmanjšem poskusu brisanja ali posredovanja podpisa se premaz uniči in pojavi se substrat druge barve z varnostnimi simboli plačilnega sistema.
Preostala površina kartice je v celoti na razpolago banki izdajateljici in je poljubno sestavljena s simboli banke, njenim oglaševanjem in informacijami, potrebnimi za stranke. Sama kartica je zaščitena z znaki, ki so vidni le pod ultravijolično svetlobo.
Ukrepi tehnične zaščite vključujejo tudi zaščito bančnih komunikacij, bančnih omrežij pred nezakonitimi vdori, okvarami in drugimi zunanjimi vplivi, ki vodijo do uhajanja ali celo uničenja informacij. Zaščita se izvaja programsko in strojno ter je certificirana s strani pooblaščenih organizacij plačilnega sistema.
Druga kategorija zaščitnih ukrepov vključuje ukrepe za preprečevanje uhajanja informacij iz bančnih oddelkov, ki se ukvarjajo s plastičnimi karticami. Glavno načelo je jasna razmejitev nalog zaposlenih in v skladu s tem omejitev dostopa do tajnih podatkov v obsegu, ki ne presega minimuma, potrebnega za delo.
Ti ukrepi zmanjšujejo tveganje in možnost dogovarjanja med kriminalci in zaposlenimi. Z zaposlenimi izvajamo tematske seminarje za izpopolnjevanje. Plačilni sistemi redno distribuirajo varnostne biltene, v katerih objavljajo uradna gradiva in statistične podatke o kaznivih dejanjih s karticami, poročajo o znakih kriminalcev in znakih lažnih kartic, ki so prišle v nezakonit promet. Prek biltenov se usposablja osebje ter organizirajo preventivni in posebni dogodki za zmanjševanje kriminalitete.
Posebna pozornost je namenjena kadrovski selekciji zaposlenih v oddelku. Vse varnostne zadeve so v pristojnosti posebnega varnostnika. Med preventivnimi ukrepi zavzema najpomembnejše mesto delo s strankami, namenjeno dvigu kulturne ravni ravnanja s »plastičnim denarjem«. Skrbno in skrbno ravnanje s kartico bistveno zmanjša verjetnost, da postanete žrtev kaznivega dejanja.
Analiza kršitev v sistemu elektronskih poravnav in plačil
V strokovnih krogih je dobro znano, da je bil hiter padec Norveške v drugi svetovni vojni v veliki meri posledica dejstva, da so šifre britanske kraljeve mornarice razbili nemški kriptografi, ki so uporabljali povsem enake metode, kot jih je uporabljala enota Royal Navy Room 40 proti Nemčiji v prejšnji vojni.
Od druge svetovne vojne se nad vladno uporabo kriptografije spusti tančica skrivnosti. To ni presenetljivo, pa ne le zaradi hladne vojne, ampak tudi zaradi nepripravljenosti birokratov (v katerikoli organizaciji) priznati svoje napake.
Oglejmo si nekaj načinov, kako so bile prevare na bankomatih dejansko storjene. Cilj je analizirati zamisli oblikovalcev, usmerjene v teoretično neranljivost njihovega izdelka, in se iz tega, kar se je zgodilo, potegniti.
Začnimo z nekaj preprostimi primeri, ki prikazujejo več vrst prevar, ki jih je mogoče izvesti brez večjih tehničnih popravkov, pa tudi bančne postopke, ki so omogočili, da so se zgodile.
Znano je, da mora magnetni trak na kartici kupca vsebovati samo številko njegovega računa, osebno identifikacijsko številko (PIN) pa dobimo tako, da šifriramo številko računa in iz rezultata vzamemo štiri števke. Tako mora biti bankomat sposoben izvesti postopek šifriranja ali kako drugače izvesti preverjanje PIN-a (npr. z interaktivno poizvedbo).
Pred kratkim je kronsko sodišče v Winchestru v Angliji obsodilo dva kriminalca, ki sta uporabila preprosto, a učinkovito shemo. Stali so v vrstah na bankomatih, kukali PIN kode strank, pobirali kartice, ki jih je bankomat zavrnil, in z njih prepisovali številke računov na prazne kartice, ki so jih uporabljali za ropanje računov strank.
Ta trik so uporabili (in poročali) pred nekaj leti v newyorški banki. Krivec je bil odpuščeni tehnik bankomata, ki mu je uspelo ukrasti 80.000 dolarjev, preden ga je banka, potem ko je območje napolnila z varnostnim osebjem, ujela pri dejanju.
Ti napadi so bili uspešni, ker so banke številko računa stranke v celoti natisnile na bančno kartico, poleg tega pa na magnetnem traku ni bilo kriptografske redundance. Človek bi mislil, da se bo lekcija newyorške banke naučila, a ne.
Druga vrsta tehničnega napada temelji na dejstvu, da v številnih omrežjih bankomatov sporočila niso šifrirana in se postopki preverjanja pristnosti ne izvedejo, ko je transakcija avtorizirana. To pomeni, da lahko napadalec posname odgovor banke bankomatu »Dovoljujem plačilo« in se nato pomika po zapisu, dokler bankomat ni prazen. Te tehnike, znane kot evisceracija, ne uporabljajo samo zunanji napadalci. Znan je primer, ko so bančni operaterji s sostorilci uporabili napravo za nadzor omrežja, da so bankomate "iztrebili".
Testne transakcije so še en vir težav
Za eno vrsto bankomata je bilo za preizkusno izdajo desetih bankovcev uporabljeno štirinajstmestno zaporedje tipk. Neka banka je to zaporedje natisnila v priročniku za uporabo oddaljenih bankomatov. Tri leta pozneje se je nenadoma začelo izginjanje denarja. Nadaljevali so, dokler vse banke, ki uporabljajo tovrstne bankomate, niso vključile programskih popravkov, ki so prepovedovali testno transakcijo.
Najhitrejšo rast kažejo goljufije z uporabo lažnih terminalov za zbiranje računov strank in PIN kod. Tovrstni napadi so bili prvič opisani v ZDA leta 1988. Goljufi so izdelali stroj, ki sprejme katero koli kartico in razdeli škatlico cigaret. Ta izum so postavili v trgovino, PIN kode in podatke z magnetnih kartic pa so prenašali preko modema. Trik se je razširil po vsem svetu.
Tehniki tudi kradejo denar strankam, saj vedo, da bodo njihove pritožbe verjetno prezrte. V banki na Škotskem je inženir službe za pomoč uporabnikom priključil računalnik na bankomat in zabeležil številke računov strank in kode PIN. Nato je ponarejal kartice in ukradel denar z računov. In spet so se stranke pritoževale na prazne stene. Zaradi te prakse je banko javno kritiziral eden najvišjih pravnih uradnikov na Škotskem.
Namen uporabe štirimestne kode PIN je, da če nekdo najde ali ukrade bančno kartico druge osebe, obstaja ena proti deset tisoč možnosti, da po naključju ugane kodo. Če so dovoljeni le trije poskusi vnosa PIN-a, potem je možnost dviga denarja z ukradene kartice manjša od ena proti tri tisoč. Vendar pa je nekaterim bankam uspelo zmanjšati navedeno raznolikost za štirimestno številko.
Nekatere banke ne sledijo shemi pridobivanja kode PIN s kriptografsko pretvorbo številke računa, temveč z uporabo naključno izbrane kode PIN (ali strankam omogočijo izbiro) in jo nato kriptografsko pretvorijo, da si jo zapomnijo. Poleg tega, da omogoča stranki, da izbere PIN, ki ga je enostavno uganiti, ta pristop vodi do nekaterih tehničnih pasti.
Nekatere banke hranijo šifrirano vrednost PIN. To pomeni, da lahko programer pridobi šifrirano vrednost lastnega PIN-a in v bazi podatkov išče vse druge račune z istim PIN-om.
Ena velika britanska banka je celo zabeležila šifrirano vrednost kode PIN na magnetni trak kartice. Petnajst let je trajalo, da je kriminalna združba ugotovila, da je možno zamenjati številko računa na magnetnem traku lastne kartice in jo nato s svojo kodo PIN uporabiti za krajo z nekega računa.
Zaradi tega je v sistemu VISA priporočljivo, da banke pred šifriranjem združijo številko računa stranke z njihovim PIN-om. Vendar tega ne počnejo vse banke.
Bolj sofisticirani napadi so bili doslej posledica enostavne izvedbe in napak pri delovanju. Poklicni varnostni raziskovalci so takšne zmote ponavadi videli kot nezanimive in so se zato osredotočili na napade, ki temeljijo na razvoju subtilnejših tehničnih napak. Tudi bančništvo ima številne varnostne ranljivosti.
Čeprav so napadi na bančne sisteme, ki temeljijo na visokih tehnologijah, redki, so zanimivi z javnega vidika, saj so vladne pobude, kot so merila za ocenjevanje tehnologije informacijske varnosti EU (ITSEC), namenjene razvoju niza izdelkov, ki so certificirani za biti brez znanih tehničnih napak. Predlogi, na katerih temelji ta program, so, da bodo izvajanje in tehnološki postopki ustreznih izdelkov v bistvu brez napak in da napad zahteva tehnično usposabljanje, primerljivo s tistim vladnih varnostnih agencij. Očitno je ta pristop bolj primeren za vojaške sisteme kot za civilne.
Da bi razumeli, kako se izvajajo bolj sofisticirani napadi, si je treba podrobneje ogledati bančni varnostni sistem.
Težave, povezane z varnostnimi moduli
Niso vsi varnostni produkti enako visoke kakovosti in redke banke imajo usposobljene strokovnjake, ki bi razlikovali dobre produkte od povprečnih.
V resnični praksi obstaja nekaj težav z izdelki za šifriranje, zlasti s starim varnostnim modulom IBM 3848 ali moduli, ki so trenutno priporočeni za bančne organizacije.
Če banka nima strojnih varnostnih modulov, bo funkcija šifriranja PIN kode implementirana v programski opremi z ustreznimi nezaželenimi posledicami. Programska oprema varnostnega modula ima lahko prekinitvene točke za odpravljanje napak programskih izdelkov s strani inženirjev proizvajalca. Na to dejstvo so opozorili, ko so v eni od bank sprejeli odločitev o vključitvi v omrežje in sistemski inženir proizvajalca ni mogel zagotoviti delovanja zahtevanega prehoda. Da bi opravil delo, je uporabil enega od teh trikov, da iz sistema izvleče kode PIN. Obstoj takih prelomnih točk onemogoča ustvarjanje zanesljivih postopkov za upravljanje varnostnih modulov.
Nekateri proizvajalci varnostnih modulov sami omogočajo takšne napade. Uporabljena je na primer metoda generiranja delovnih ključev glede na čas dneva in posledično je dejansko uporabljenih le 20 ključnih bitov, namesto pričakovanih 56. Tako po teoriji verjetnosti za vsakih 1000 generiranih ključev, dva se bosta ujemala.
To omogoča subtilno zlorabo, pri kateri napadalec manipulira s komunikacijo banke, tako da se transakcije enega terminala nadomestijo s transakcijami drugega.
Programerji ene banke se sploh niso obremenjevali s težavami, povezanimi z vnosom ključev strank v šifrirne programe. Preprosto nastavijo kazalce na ključne vrednosti v pomnilniškem območju, ki je ob zagonu sistema vedno nastavljeno na nič. rezultat ta odločitev je bilo, da sta realni in testni sistem uporabljala ista ključna področja shranjevanja. Tehniki banke so ugotovili, da lahko pridobijo PIN-e strank na opremi za testiranje. Več jih je kontaktiralo lokalne kriminalce, da bi izbrali kode PIN za ukradene bančne kartice. Ko je vodja varnosti banke razkril, kaj se dogaja, je umrl v prometni nesreči (lokalna policija pa je "izgubila" vse relevantne materiale). Banka se ni trudila, da bi svojim strankam poslala nove kartice.
Eden glavnih namenov varnostnih modulov je preprečiti programerjem in osebju z dostopom do računalnikov, da bi pridobili ključne bančne podatke. Vendar pa tajnost, ki jo zagotavljajo elektronske komponente varnostnih modulov, pogosto ne zdrži poskusov kriptografskega prodora.
Varnostni moduli imajo lastne glavne ključe za notranjo uporabo in te ključe je treba hraniti na določenem mestu. Varnostna kopija ključa se pogosto vzdržuje v lahko berljivi obliki, na primer v pomnilniku PROM, ključ pa je mogoče občasno prebrati, na primer pri prenosu nadzora nad nizom ključev območja in terminala iz enega varnostnega modula. drugemu. V takšnih primerih je banka popolnoma prepuščena na milost in nemilost strokovnjakov v procesu izvajanja tega posla.
Problemi, povezani s tehnologijami oblikovanja
Na kratko se pogovorimo o tehnologiji oblikovanja bankomatov. Pri starejših modelih je bila koda za šifrirne programe nameščena na napačnem mestu - v krmilni napravi in ne v samem modulu. Krmilna naprava naj bi bila postavljena v neposredni bližini modula na določenem območju. Toda veliko število bankomatov trenutno ni v neposredni bližini bančne stavbe. Na eni univerzi v Združenem kraljestvu je bil bankomat v kampusu in je pošiljal nešifrirane številke računov in kode PIN telefonska linija v nadzorno enoto poslovalnice, ki se je nahajala več kilometrov stran od mesta. Kdor ni bil preveč len za uporabo prisluškovalne naprave za telefonsko linijo, je lahko ponaredil kartice na tisoče.
Tudi v primerih, ko se kupi eden najboljših produktov, je veliko primerov, ko napačna izvedba ali nedomišljeni tehnološki postopki vodijo banko v težave. Večina varnostnih modulov vrne vrsto povratnih kod za vsako transakcijo. Nekateri od njih, kot je "napaka paritete ključa", dajejo opozorilo, da programer eksperimentira z dejanskim uporabljenim modulom. Vendar se le malo bank trudi napisati gonilnik naprave, ki je potreben za prestrezanje teh opozoril in ustrezno ukrepanje.
Znano je, da banke celoten ali delni sistem dobave bankomatov oddajajo podizvajalcem podjetjem, ki "zagotavljajo povezane storitve" in tem podjetjem prenašajo kode PIN.
Obstajajo tudi primeri, ko sta si kode PIN delili dve ali več bank. Tudi če vse bančno osebje velja za zaupanja vredno, zunanja podjetja morda ne bodo vzdrževala varnostnih politik, ki so specifične za banke. Osebje teh podjetij ni vedno ustrezno preverjeno, verjetno je premalo plačano, radovedno in lahkomiselno, kar lahko privede do načrtovanja in izvajanja goljufij.
V središču številnih opisanih managerskih napak je nerazvitost psihološkega dela projekta. Poslovalnice in računalniški centri banke morajo pri opravljanju delovnega dne upoštevati standardne postopke, vendar se bodo verjetno dosledno izvajali samo tisti kontrolni postopki, katerih namen je očiten. Na primer, delitev ključev sefa v poslovalnici med vodjo in računovodjo je dobro razumljena: oba ščiti pred tem, da bi ju njuna družina vzela za talca. Kriptografski ključi niso pogosto zapakirani v uporabniku prijazno obliko in zato verjetno ne bodo pravilno uporabljeni. Delni odgovor bi lahko bile naprave, ki dejansko spominjajo na ključe (v podobi kriptografskih ključev vžigalnikov jedrskega orožja).
O izboljšanju operativnih postopkov bi se dalo veliko pisati, a če je cilj preprečiti, da bi kakršen koli kriptografski ključ padel v roke nekomu, ki ima tehnično možnost zlorabe, potem je treba v priročnikih in izobraževanjih zastaviti natančen cilj. Načelo »varnosti skozi nejasnost« pogosto povzroči več škode kot koristi.
Distribucija ključev
Posebno težavo za bančne poslovalnice predstavlja razdeljevanje ključev. Kot veste, teorija zahteva, da vsak od obeh bankirjev vnese drugo ključno komponento, tako da njuna kombinacija da glavni ključ terminala. Koda PIN, šifrirana na glavnem ključu terminala, se pošlje bankomatu med prvo transakcijo po vzdrževanju.
Če tehnik bankomata dobi obe komponenti ključa, lahko dešifrira PIN in ponaredi kartice. V praksi se zgodi, da vodje poslovalnic, ki hranijo ključe, skoraj z veseljem izročijo inženirju, saj nočejo stati ob bankomatu, medtem ko ga servisirajo. Poleg tega vnos tipke terminala pomeni uporabo tipkovnice, kar se starejšim menedžerjem zdi pod njihovim dostojanstvom.
Napačno upravljanje ključev je običajna praksa. Znan je primer, ko sta bila oba mikrovezja z glavnimi ključi predana inženirju servisnega osebja. Čeprav so v teoriji obstajali postopki dvojnega nadzora, je varnostno osebje predalo čipe, saj so bili uporabljeni zadnji ključi in nihče ni vedel, kaj storiti. Inženir ni mogel samo kovati kart. Lahko bi odšel s ključi in ustavil vse operacije bančnih bankomatov.
Zanimivo je dejstvo, da so ključi pogosteje shranjeni v odprtih datotekah kot v zaščitenih. To ne velja le za ključe bankomatov, temveč tudi za ključe medbančnih poravnalnih sistemov, kot je SWIFT, v katerih se izvajajo milijarde vredne transakcije. Inicializacijske ključe, kot so terminalski ključi in conski ključi, bi bilo pametno uporabiti samo enkrat in jih nato uničiti.
Kriptoanalitične grožnje
Kriptoanalitiki so verjetno najmanjša grožnja za bančne sisteme, vendar jih ni mogoče popolnoma zanemariti. Nekatere banke (vključno z velikimi in slavnimi) še vedno uporabljajo domače kriptografske algoritme iz let pred DES. V enem podatkovnem omrežju so bili podatkovni bloki preprosto "premešani" z dodajanjem konstante. Ta metoda ni bila kritizirana pet let, kljub dejstvu, da je omrežje uporabljalo več kot 40 bank. Poleg tega vsi strokovnjaki za zavarovanje, revizijo in varnost teh bank očitno preberejo specifikacije sistema.
Tudi če je uporabljen "spoštljiv" algoritem, je lahko implementiran z neustreznimi parametri. Nekatere banke so na primer implementirale algoritem RSA z dolžino ključa od 100 do 400 bitov, kljub temu, da mora biti dolžina ključa vsaj 500 bitov, da se zagotovi zahtevana raven varnosti.
Ključ lahko najdete tudi s surovo silo, tako da preizkusite vse možne šifrirne ključe, dokler ne najdete ključa, ki uporablja določeno banko.
Protokoli, ki se uporabljajo v mednarodnih omrežjih za šifriranje operativnih ključev s conskimi ključi, olajšajo napad na conski ključ na ta način. Če je bil conski ključ enkrat odprt, je mogoče dešifrirati vse kode PlN, ki jih banka pošlje ali prejme po omrežju. Nedavna študija kanadske banke je pokazala, da bi tovrstni napad na DES stal približno 30.000 GBP na conski ključ. Posledično so za tako kaznivo dejanje sredstva organiziranega kriminala povsem zadostna in bi takšno kaznivo dejanje lahko izvedel dovolj premožen posameznik.
Verjetno so bili specializirani računalniki, potrebni za iskanje ključev, ustvarjeni v posebnih službah nekaterih držav, vključno s tistimi v državah, ki so zdaj v kaosu. Zato obstaja določeno tveganje, da bi imetniki te opreme to opremo uporabili za lastno korist.
Vsi sistemi, majhni in veliki, vsebujejo hrošče in so nagnjeni k napakam operaterja. Bančni sistemi niso izjema in tega se zaveda vsak, ki je delal v industrijski proizvodnji. Sistemi poravnave podružnic ponavadi postajajo večji in bolj zapleteni, s številnimi medsebojno povezanimi moduli, ki se razvijajo skozi desetletja. Nekatere transakcije bodo neizogibno izvedene nepravilno: bremenitev se lahko podvoji ali pa se račun nepravilno spremeni.
Ta položaj ni nov za finančne nadzornike velikih podjetij, ki imajo posebno osebje za usklajevanje bančnih računov. Ko pride do napačne obremenitve, ti uradniki zahtevajo ustrezne dokumente za analizo in, če dokumenti manjkajo, prejmejo od banke povračilo nepravilnega plačila.
Vendar stranke bankomatov nimajo te možnosti za unovčenje spornih plačil. Večina bankirjev zunaj ZDA preprosto pravi, da v njihovih sistemih ni napak.
Takšna politika prinaša določena pravna in administrativna tveganja. Prvič, ustvarja možnost zlorabe, saj je goljufija zarotniška. Drugič, vodi do preveč zapletenih dokazov za stranko, kar je bil razlog za poenostavitev postopka na ameriških sodiščih. Tretjič, to je moralna škoda, povezana s posrednim spodbujanjem bančnih uslužbencev h kraji, ki temelji na vedenju, da jih verjetno ne bodo ujeli. Četrtič, gre za ideološko hibo, saj zaradi pomanjkanja centralizirane evidence škodnih zahtevkov strank ni možnosti ustrezno organiziranega nadzora nad primeri goljufij.
Vpliv izgub na bankomatih na poslovanje je težko natančno oceniti. V Združenem kraljestvu je minister za finance (minister, odgovoren za ureditev bančništva) junija 1992 izjavil, da takšne napake vplivajo na vsaj dva od treh milijonov dnevnih transakcij. Vendar pa je bila pod pritiskom nedavnih sodnih postopkov ta številka najprej spremenjena na 1 napačno transakcijo na 250.000, nato na 1 na 100.000 in končno na 1 na 34.000.
Ker stranke, ki vložijo pritožbo, bančni uslužbenci običajno zavrnejo in večina ljudi preprosto ne more opaziti enkratnega dviga z računa, je najbolj realna predpostavka, da je približno 1 napačna transakcija na 10.000. Če torej povprečna stranka uporablja bankomat enkrat na teden že 50 let, lahko pričakujemo, da bo vsaka četrta stranka v življenju imela težave z uporabo bankomata.
Načrtovalci kriptografskih sistemov so v slabšem položaju zaradi pomanjkanja informacij o tem, kako se sistemske napake pojavljajo v praksi, namesto o tem, kako bi se lahko zgodile v teoriji. Ta pomanjkljivost povratne informacije vodi do uporabe napačnega modela groženj. Oblikovalci se osredotočajo na to, kaj v sistemu lahko vodi do zloma, namesto da bi se osredotočali na tisto, kar bi običajno povzročilo napake. Mnogi izdelki so tako zapleteni in zapleteni, da se le redko uporabljajo pravilno. Posledica tega je dejstvo, da je večina napak povezanih z implementacijo in vzdrževanjem sistema. Poseben rezultat je bil val goljufij na bankomatih, ki niso privedle le do finančnih izgub, ampak tudi do sodnih zmot in zmanjšanega zaupanja v bančni sistem.
Eden od primerov implementacije kriptografskih metod je sistem kriptografske zaščite informacij z uporabo digitalnega podpisa EXCELLENCE.
Programski kriptografski sistem EXCELLENCE je zasnovan za zaščito informacij, ki se obdelujejo, shranjujejo in prenašajo med IBM-združljivimi osebnimi računalniki z uporabo kriptografskega šifriranja, digitalnega podpisa in funkcij avtentikacije.
Sistem izvaja kriptografske algoritme, ki ustrezajo državnim standardom: šifriranje - GOST 28147-89. Digitalni podpis temelji na algoritmu RSA.
Sistem ključev z močno avtentikacijo in certifikacijo ključev temelji na široko uporabljenem v mednarodni praksi: protokolu X.509 in principu javne distribucije ključev RSA.
Sistem vsebuje kriptografske funkcije za obdelavo informacij na ravni datoteke:
in kriptografske funkcije za delo s ključi:
Vsak naročnik omrežja ima svoj tajni in javni ključ. Tajni ključ vsakega uporabnika je zapisan na njegovi individualni ključni disketi ali individualni elektronski kartici. Tajnost naročnikovega ključa zagotavlja zaščito zanj šifriranih informacij in onemogočanje ponarejanja njegovega digitalnega podpisa.
Sistem podpira dve vrsti ključnih medijev:
Vsak naročnik omrežja ima datoteko-katalog javnih ključev vseh naročnikov sistema, zaščiten pred nepooblaščenimi spremembami, skupaj z njihovimi imeni. Vsak naročnik je dolžan svoj tajni ključ hraniti v tajnosti.
Funkcionalno je sistem EXCELLENCE izveden kot programski modul excell_s.exe in deluje pod MS DOS 3.30 in novejšimi. Parametri za izvajanje funkcij so posredovani v obrazcu ukazna vrstica DOS. Poleg tega je priložena grafična lupina vmesnika. Program samodejno prepozna in podpira 32-bitne operacije procesorja Intel386/486/Pentium.
Za vgradnjo v druge programski sistemi implementirana je različica sistema EXCELLENCE, ki vsebuje glavne kriptografske funkcije za delo s podatki v RAM-u v naslednjih načinih: pomnilnik - pomnilnik; spomin - datoteka; datoteka je pomnilnik.
Napoved za začetek XXI stoletja
Delež vodstva banke, ki bo sprejelo učinkovite ukrepe za rešitev problema informacijske varnosti, naj bi se povečal na 40-80%. Glavna težava bo vzdrževalno (vključno z bivšim) osebje (od 40 % do 95 % primerov), glavne vrste groženj pa bodo nepooblaščen dostop (UAS) in virusi (do 100 % bank bo izpostavljenih virusnim napadom). ).
Najpomembnejši ukrep za zagotavljanje informacijske varnosti bo najvišja strokovnost storitev informacijske varnosti. Za to banke bodo morale porabiti do 30 % svojih dobičkov za informacijsko varnost.
Kljub vsem zgoraj naštetim ukrepom je absolutna rešitev problema informacijske varnosti nemogoča. Pri tem je učinkovitost sistema informacijske varnosti banke v celoti določena z višino sredstev, vloženih vanj, in strokovnostjo službe za informacijsko varnost, možnost kršitve sistema informacijske varnosti banke pa je v celoti določena s stroški premagovanje sistema zaščite in usposobljenosti goljufov. (V tuji praksi velja, da je sistem zaščite smiselno »razbiti«, če stroški premagovanja ne presegajo 25 % cene varovane informacije).
V 4. poglavju so obravnavane značilnosti pristopa k zaščiti sistemov elektronskega bančništva. Posebnost teh sistemov je posebna oblika elektronske izmenjave podatkov - elektronska plačila, brez katere ne more obstajati nobena sodobna banka.
Elektronska izmenjava podatkov (EDI) je izmenjava poslovnih, komercialnih, finančnih elektronskih dokumentov med računalniki. Na primer naročila, plačilna navodila, pogodbene ponudbe, računi, potrdila itd.
OED zagotavlja operativno interakcijo trgovinskih partnerjev (kupcev, dobaviteljev, preprodajalcev itd.) v vseh fazah priprave trgovinske transakcije, sklenitve pogodbe in izvedbe dobave. Na stopnji plačila pogodbe in prenosa sredstev lahko EOS povzroči elektronsko izmenjavo finančnih dokumentov. To ustvarja učinkovito okolje za trgovanje in plačilni promet:
* Trgovske partnerje je mogoče seznaniti s ponudbami blaga in storitev, izbrati potreben izdelek / storitev, razjasniti komercialne pogoje (stroški in čas dostave, trgovinski popusti, garancijske in servisne obveznosti) v realnem času;
* Naročanje blaga/storitev ali zahtevanje pogodbene ponudbe v realnem času;
* Operativni nadzor dostave blaga, prejem spremnih dokumentov po e-pošti (računi, fakture, sestavni deli itd.);
* Potrditev opravljene dobave blaga/storitev, izstavitev in plačilo računov;
* Opravljanje bančnega kreditnega in plačilnega prometa. Prednosti OED vključujejo:
* Zmanjšanje stroškov transakcij zaradi prehoda na brezpapirno tehnologijo. Strokovnjaki ocenjujejo, da stroški obdelave in vzdrževanja papirnih evidenc znašajo 3–8 % skupnih stroškov komercialnega poslovanja in dostave blaga. Dobiček od uporabe EOS je na primer v ameriški avtomobilski industriji ocenjen na več kot 200 dolarjev na izdelan avtomobil;
* Povečanje hitrosti izračuna in prometa denarja;
* Izboljšanje udobja izračunov.
Obstajata dve ključni strategiji za razvoj EGP:
1. OED se uporablja kot konkurenčna prednost, ki omogoča tesnejše sodelovanje s partnerji. Ta strategija je sprejeta v velikih organizacijah in se imenuje razširjeni pristop podjetja.
2. OED se uporablja v nekaterih specifičnih industrijskih projektih ali v pobudah združenj gospodarskih in drugih organizacij za povečanje učinkovitosti njihove interakcije.
Banke v Združenih državah in zahodni Evropi so že spoznale svojo ključno vlogo pri širjenju EIA in spoznale pomembne koristi, ki izhajajo iz tesnejšega sodelovanja s poslovnimi in osebnimi partnerji. OED pomaga bankam pri zagotavljanju storitev strankam, zlasti malim, tistim, ki si jih prej niso mogli privoščiti zaradi visokih stroškov.
Glavna ovira za široko razširjanje EOS je raznolikost predstavitev dokumentov pri izmenjavi le-teh prek komunikacijskih kanalov. Da bi premagali to oviro, so različne organizacije razvile standarde za predstavitev dokumentov v sistemih EOS za različne industrije:
QDTI - Splošna trgovinska izmenjava (Evropa, mednarodna trgovina);
MDSND - National Automated Clearing House Association (ZDA, Nacionalno združenje avtomatiziranih klirinških hiš);
TDCC - Koordinacijski odbor za transportne podatke;
VICS - Prostovoljni medpanožni komunikacijski standard (ZDA, Voluntary Interindustry Communication Standard);
WINS - Standardi informacijskega omrežja skladišč informacijsko omrežje skladišča).
Oktobra 1993 je mednarodna skupina UN/ECE objavila prvo različico standarda EDIFACT. Razvit nabor skladenjskih pravil in komercialnih podatkovnih elementov je bil formaliziran v obliki dveh standardov ISO:
ISO 7372 - Trade Data Element Directory (Imenik komercialnih podatkovnih elementov);
ISO 9735 - EDIFACT - Sintaksna pravila na ravni aplikacije.
Poseben primer EOD so elektronska plačila - izmenjava finančnih dokumentov med strankami in bankami, med bankami in drugimi finančnimi in komercialnimi organizacijami.
Bistvo koncepta elektronskega plačevanja je v tem, da so sporočila, poslana po komunikacijskih linijah, pravilno izvedena in poslana, osnova za izvedbo enega ali več bančnih poslov. Za izvajanje teh operacij načeloma niso potrebni nobeni papirni dokumenti (čeprav jih je mogoče izdati). Z drugimi besedami, sporočilo, poslano po komunikacijskih linijah, nosi informacijo, da je pošiljatelj opravil nekaj operacij na svojem računu, zlasti na korespondenčnem računu banke prejemnice (ki je lahko klirinški center), in da mora prejemnik opraviti operacije, določene v sporočilu. Na podlagi takega sporočila lahko pošiljate ali prejemate denar, odprete posojilo, plačate nakup ali storitev ter opravite katero koli drugo bančno poslovanje. Takšna sporočila imenujemo elektronski denar, izvrševanje bančnih poslov na podlagi pošiljanja ali prejemanja tovrstnih sporočil pa elektronska plačila. Seveda je potreben celoten proces elektronskega plačevanja zanesljiva zaščita. V nasprotnem primeru se bodo banka in njene stranke soočile z resnimi težavami.
Elektronska plačila se uporabljajo za medbančne, trgovinske in osebne poravnave.
Medbančne in trgovinske poravnave se izvajajo med organizacijami (pravnimi osebami), zato jih včasih imenujemo tudi podjetja. Poravnave, ki vključujejo posamezne stranke, se imenujejo osebne.
Večina večjih tatvin v bančnih sistemih je neposredno ali posredno povezana z elektronskimi plačilnimi sistemi.
Na poti do oblikovanja elektronskih plačilnih sistemov, zlasti globalnih, ki pokrivajo veliko število finančnih institucij in njihovih strank v različnih državah, je veliko ovir. Glavni so:
1. Pomanjkanje enotnih standardov poslovanja in storitev, kar bistveno otežuje oblikovanje enotnih bančnih sistemov. Vsaka večja banka si prizadeva ustvariti lastno mrežo ETO, kar povečuje stroške njenega delovanja in vzdrževanja. Podvojeni sistemi otežujejo njihovo uporabo, povzročajo medsebojne motnje in omejujejo zmožnost strank.
2. Povečanje mobilnosti denarne mase, ki vodi v povečanje možnosti finančnih špekulacij, širi tok "tavajočega kapitala". Ta denar je sposoben v kratkem času spremeniti razmere na trgu, jih destabilizirati.
3. Napake in izpadi strojne in programske opreme pri izvajanju finančnih poravnav, ki lahko povzročijo resne zaplete pri nadaljnjih poravnavah in izgubo zaupanja strank v banko, predvsem zaradi tesne prepletenosti bančnih vezi (a neke vrste "širjenje napak"). Hkrati se bistveno povečata vloga in odgovornost operaterjev in administracije sistema, ki neposredno nadzorujejo procesiranje informacij.
Tega se mora zavedati vsaka organizacija, ki želi postati stranka kateregakoli elektronskega plačilnega sistema ali organizirati svoj sistem.
Za zanesljivo delovanje mora biti elektronski plačilni sistem dobro zaščiten.
Trgovinske poravnave potekajo med različnimi trgovskimi organizacijami. Banke sodelujejo pri teh izračunih kot posredniki pri prenosu denarja z računa plačilne organizacije na račun prejemne organizacije.
Trgovinska poravnava je ključnega pomena za splošni uspeh programa elektronskega plačevanja. Obseg finančnih transakcij različnih podjetij običajno predstavlja pomemben del celotnega obsega bančnega poslovanja.
Vrste trgovinskih poravnav se med različnimi organizacijami zelo razlikujejo, vendar se pri njihovem izvajanju vedno obdelujeta dve vrsti informacij: plačilna sporočila in pomožne informacije (statistika, povzetki, obvestila). Za finančne ustanove so seveda najbolj zanimivi podatki o plačilnih sporočilih - številke računov, zneski, stanje itd. Za trgovske organizacije sta obe vrsti informacij enako pomembni - prva daje namig o finančnem stanju, druga - pomaga pri odločanju in razvoju politike.
Najpogosteje uporabljeni trgovinski poravnavi sta naslednji dve vrsti:
* Neposredni depozit.
Pomen tovrstnega plačila je v tem, da organizacija banki naroči, da določene vrste plačil za svoje zaposlene ali stranke izvede samodejno, z uporabo vnaprej pripravljenih magnetnih medijev ali posebnih sporočil. Pogoji za izvedbo tovrstnih izračunov so vnaprej dogovorjeni (vir financiranja, znesek ipd.). Uporabljajo se predvsem za redna plačila (plačila različnih vrst zavarovanj, odplačila kreditov, plač ipd.). V organizacijskem smislu je neposreden depozit ugodnejši od na primer plačil s čeki.
Od leta 1989 se je število zaposlenih, ki uporabljajo neposredne depozite, podvojilo na 25 % vseh. Več kot 7 milijonov Američanov danes prejema plačo v obliki neposrednih depozitov. Za banke neposredni depozit ponuja naslednje ugodnosti:
Zmanjšanje obsega nalog, povezanih z obdelavo papirnih dokumentov, in posledično prihranek znatnih zneskov;
Povečanje števila depozitov, saj je treba 100% obsega plačil opraviti na depozit.
Poleg bank imajo korist tudi lastniki in zaposleni; povečanje udobja in zmanjšanje stroškov.
* Izračuni z uporabo EOS.
Podatki tukaj so fakture, fakture, izjave o komponentah itd.
Implementacija EGP zahteva implementacijo naslednjega sklopa osnovnih storitev:
e-pošta X.400;
Prenos datoteke;
Komunikacija od točke do točke;
Dostop do baz podatkov v on-line načinu;
poštni predal;
Transformacija standardov podajanja informacij.
Primeri trenutno obstoječih sistemov trgovinskih poravnav z uporabo EOS so:
National Bank in Royal Bank (Kanada) se povezujeta s svojimi strankami in partnerji prek IBM-ovega informacijskega omrežja;
Bank of Scotland Transcontinental Automated Payment Service (TAPS), ustanovljena leta 1986, povezuje Bank of Scotland s strankami in partnerji v 15 državah prek korespondenčnih bank in avtomatiziranih klirinških hiš.
Elektronske medbančne poravnave so večinoma dveh vrst:
* Klirinške poravnave z uporabo zmogljivega računalniškega sistema posredniške banke (klirinške banke) in korespondenčnih računov bank, ki sodelujejo pri poravnavah s to banko. Sistem temelji na pobotu medsebojnih denarnih terjatev in obveznosti pravnih oseb z naknadnim prenosom stanja. Kliring se veliko uporablja tudi na borznih in blagovnih borzah, kjer poteka pobot medsebojnih terjatev udeležencev v poslih prek klirinške hiše ali posebnega elektronskega klirinškega sistema.
Medbančne klirinške poravnave se izvajajo prek posebnih klirinških hiš, poslovnih bank, med poslovalnicami in poslovalnicami ene banke - preko centrale. V številnih državah naloge klirinških hiš opravljajo centralne banke. Avtomatizirane klirinške hiše (ACP) zagotavljajo storitve za izmenjavo sredstev med finančnimi institucijami. Plačilne transakcije so v osnovi debetne ali kreditne. Članice sistema AKP so finančne institucije, ki so članice združenja AKP. Združenje je ustanovljeno z namenom razvoja pravil, postopkov in standardov za izvajanje elektronskih plačil znotraj geografske regije. Treba je opozoriti, da AKP ni nič drugega kot mehanizem za pretok sredstev in spremljajočih informacij. Sami ne opravljajo plačilnih storitev. ACP so bili ustvarjeni kot dopolnitev sistemov za obdelavo papirnih finančnih dokumentov. Prvi ACP se je pojavil v Kaliforniji leta 1972, trenutno je v ZDA 48 ACP. Leta 1978 je bilo ustanovljeno Združenje nacionalnih avtomatiziranih klirinških hiš (NACHA), ki je združilo vseh 48 omrežij držav AKP na osnovi sodelovanja.
Obseg in narava poslovanja se nenehno širita. ACP začnejo izvajati poslovne poravnave in elektronske izmenjave podatkov. Po treh letih prizadevanj različnih bank in podjetij je bil ustvarjen sistem CTP (Corporate Trade Payment), namenjen avtomatski obdelavi dobropisov in bremenitev. Po mnenju strokovnjakov se bo v bližnji prihodnosti nadaljeval trend širjenja funkcij AKP.
* Neposredne poravnave, pri katerih dve banki neposredno komunicirata druga z drugo prek računov loro nostro, po možnosti s sodelovanjem tretje osebe v organizacijski ali podporni vlogi. Seveda mora biti obseg medsebojnih transakcij dovolj velik, da upraviči stroške organizacije takšnega poravnalnega sistema. Običajno tak sistem združuje več bank, medtem ko lahko vsak par neposredno komunicira med seboj, mimo posrednikov. Vendar pa je v tem primeru potreben nadzorni center, ki se ukvarja z varovanjem medsebojno povezanih bank (razdeljevanje ključev, upravljanje, nadzor delovanja in registracija dogodkov).
Takih sistemov je na svetu kar nekaj - od majhnih, ki povezujejo več bank ali poslovalnic, do ogromnih mednarodnih, ki povezujejo na tisoče udeležencev. Najbolj znan sistem tega razreda je SWIFT.
V zadnjem času se je pojavila tretja vrsta elektronskega plačila - obdelava elektronskih čekov (elektronsko okrnitev čekov), katere bistvo je zaustaviti pot pošiljanja papirnega čeka do finančne institucije, v kateri je bil predložen. Po potrebi njegov elektronski dvojnik »potuje« naprej v obliki posebnega sporočila. Posredovanje in unovčenje elektronskega čeka se izvede s pomočjo ACP.
Leta 1990 je NACHA objavila prvo fazo testiranja nacionalnega eksperimentalnega programa, imenovanega "Electronic Check Truncation". Njegov cilj je zmanjšati stroške obdelave ogromne količine papirnatih čekov.
Pošiljanje denarja z uporabo elektronskega plačilnega sistema vključuje naslednje korake (postopek se lahko razlikuje glede na posebne pogoje in sam sistem):
1. Določen račun v sistemu prve banke se zmanjša za zahtevani znesek.
2. Korespondenčni račun druge banke v prvi se poveča za enak znesek.
3. Iz prve banke v drugo se pošlje sporočilo z informacijami o izvedenih dejanjih (identifikatorji računa, znesek, datum, pogoji itd.); hkrati pa mora biti posredovano sporočilo ustrezno zaščiteno pred ponarejanjem: šifrirano, digitalno podpisano in s kontrolnimi polji itd.
4. Zahtevani znesek se bremeni s korespondenčnega računa prve banke v drugo.
5. Določen račun v drugi banki se poveča za zahtevani znesek.
6. Druga banka prvi banki pošlje obvestilo o opravljenih popravkih računa; tudi to sporočilo mora biti zaščiteno pred ponarejanjem na podoben način kot plačilno sporočilo.
7. Protokol izmenjave je fiksen za oba naročnika in po možnosti za tretjo osebo (v nadzornem centru omrežja), da se preprečijo konflikti.
Na poti prenosa sporočil so lahko posredniki - klirinški centri, banke posrednice pri prenosu informacij itd. Glavna težava takšnih izračunov je zaupanje v vašega partnerja, to je, da mora biti vsak od naročnikov prepričan, da bo njegov dopisnik izvedel vsa potrebna dejanja.
Za širitev uporabe elektronskih plačil se izvaja standardizacija elektronskega prikaza finančnih dokumentov. Začelo se je v 70. letih kot del dveh organizacij:
1) ANSI (Ameriški nacionalni inštitut za standarde) je objavil ANSI X9.2-1080, (Specifikacija sporočila izmenjave za izmenjavo sporočil debetnih in kreditnih kartic med finančnimi institucijami). Leta 1988 je podoben standard sprejel ISO in ga poimenoval ISO 8583 (Bank Card Originated Messages Interchange Message Specifications – Content for Financial Transactions);
2) SWIFT (Society for Worldwide Interbank Financial Telecommunications) je razvil vrsto standardov za medbančna sporočila.
V skladu s standardom ISO 8583 vsebuje finančni dokument številne podatkovne elemente (rekvizite), ki se nahajajo v določenih poljih sporočila ali elektronskega dokumenta (elektronska kreditna kartica, sporočilo X.400 ali dokument v sintaksi EDIFACT). . Vsakemu podatkovnemu elementu (ED) je dodeljena lastna edinstvena številka. Podatkovni element je lahko obvezen (to je vključen v vsako sporočilo te vrste) ali neobvezen (v nekaterih sporočilih ga morda ni).
Bitna lestvica določa sestavo sporočila (tistih ED, ki so v njem prisotni). Če je neka cifra bitne skale nastavljena na ena, to pomeni, da je v sporočilu prisoten ustrezni ED. Zahvaljujoč temu načinu kodiranja sporočil se zmanjša skupna dolžina sporočila, doseže se fleksibilnost pri predstavitvi sporočil s številnimi ED, v elektronski dokument standardne strukture pa je mogoče vključiti nove ED in vrste sporočil.
Obstaja več načinov elektronskega medbančnega plačevanja. Razmislite o dveh: plačilo s čekom (plačilo po opravljeni storitvi) in plačilo z akreditivom (plačilo za pričakovano storitev). Podobno organizacijo imajo tudi drugi načini, kot je plačilo s plačilnimi nalogi ali položnicami.
Plačilo s čekom temelji na papirju ali drugem dokumentu, ki izkazuje identiteto plačnika. Ta dokument je podlaga za prenos zneska, navedenega na čeku, z računa lastnika na račun vlagatelja. Plačilo s čekom vključuje naslednje korake:
Prejem čeka;
Predložitev čeka banki;
Zahteva za prenos z računa imetnika čeka na račun izdajatelja;
Denarna transakcija;
Obvestilo o plačilu.
Glavne pomanjkljivosti takšnih plačil so potreba po pomožnem dokumentu (ček), ki ga je enostavno ponarediti, pa tudi veliko časa, porabljenega za izvedbo plačila (do nekaj dni).
Zato je v zadnjih letih takšna vrsta plačila, kot je plačilo z akreditivom, postala pogostejša. Vključuje naslednje korake:
Obvestilo banke s strani stranke o odobritvi posojila;
Obvestilo banke upravičenca o odobritvi posojila in prenosu denarja;
Obvestilo prejemnika o prejemu posojila.
Ta sistem vam omogoča izvedbo plačil v zelo kratkem času. Obvestilo o izposoji lahko pošljete po (elektronski) pošti, disketah, magnetnih trakovih.
Vsaka od zgoraj navedenih vrst plačil ima svoje prednosti in slabosti. Čeki so najbolj primerni za plačilo majhnih zneskov, pa tudi za občasna plačila. V teh primerih zamuda pri plačilu ni zelo velika, uporaba kredita pa neustrezna. Akreditivne poravnave se običajno uporabljajo za redna plačila in za znatne zneske. V teh primerih odsotnost klirinške zamude prihrani veliko časa in denarja s skrajšanjem obdobja prometa. Skupna pomanjkljivost teh dveh metod je potreba po stroških organizacije zanesljivega sistema elektronskih plačil.
