 |
|
 |  |
|
|
| |
 | Biologie | Chimie | Didactica | Fizica | Geografie | Informatica |
| Istorie | Literatura | Matematica | Psihologie |
PLATILE ELECTRONICE - FLUXUL SANGUIN AL AFACERILOR ELECTRONICE
A. Sisteme electronice de plati
B. Servicii de plata prin Internet
C. Cerintele de securitate a platilor electronice
A. Sisteme electronice de plati
In domeniul mijloacelor electronice de plata, cercetarile sunt in plina desfasurare. Exista numeroase sisteme in curs de experimentare, altele abia au fost cercetate si supuse analizei. Este normal ca prudenta si securitatea sa fie cuvintele cheie ale acestor demersuri. Vom prezenta in continuare cateva sisteme de plati electronice mai cunoscute, grupate in patru categorii:
v sisteme cu carduri bancare,
v sisteme on-line,
v microplati
v cecuri electronice.
In relatia cu consumatorii - platile electronice similare celor utilizate in POS-urile obisnuite din magazine. Diferenta principala - realizarea integrala a afacerii prin Internet, PC-ul cumparatorului si serverul Web al vanzatorului.
Principiul: Server Web - campuri dintr-un formular de comanda. Consumatorii - browser Web pentru a completa formularul de comanda si pentru a afla informatii privind forma de plata (credit card, bani digitali, cec electronic). Informatiile completate de client - transmise de browser inapoi serverului care le prelucreaza, adaugandu-le unei BD. Software-ul de pe server rezolva tranzactia verificand existenta produsului solicitat in catalogul online al firmei si autorizand transferul de fonduri de la banca, prin Internet sau prin reteaua privata a bancii.
In relatia cu partenerii, firma poate folosi Internetul pentru - retele virtuale private (PVN) prin care sa se realizeze schimbul de numerar, bineinteles in colaborare cu bancile partenere. "Singura" conditie este utilizarea unor retele deschise, scalabile si sigure.
Multe cumparari de bunuri si servicii prin Internet se fac platindu-se cu carduri bancare obisnuite (Visa, MasterCard etc.). Insa tranzactiile cu carduri contin informatii confidentiale privind cardul si informatiile personale ale clientilor, informatii ce pot fi interceptate in timpul transmisiei prin Internet. Fara un soft special, orice persoana care monitorizeaza traficul pe retea poate citi continutul acestor date confidentiale si le poate folosi ulterior Este necesara elaborarea unor standarde specifice sistemelor de plati, care sa permita coordonarea partilor legitime implicate in transfer si folosirea corecta a metodelor de securitate.
MasterCard si Visa au convenit sa consolideze standardele lor de plati electronice intr-unul singur, numit SET (Secure Electronic Transaction). Protocolul SET isi propune sapte obiective de securitate in e-commerce:
a) Sa asigure confidentialitatea instructiunilor de plata si a informatiilor de cerere care sunt transmise odata cu informatiile de plata.
b) Sa garanteze integritatea tuturor datelor transmise.
c) Sa asigure autentificarea cumparatorului precum si faptul ca acesta este utilizatorul legitim al unei marci de card.
d) Sa asigure autentificarea vanzatorului precum si faptul ca acesta accepta tranzactii cu carduri prin relatia sa cu o institutie financiara achizitoare.
e) Sa foloseasca cele mai bune metode de securitate pentru a proteja partile antrenate in comert.
f) Sa fie un protocol care sa nu depinda de mecanismele de securitate ale transportului si care sa nu impiedice folosirea acestora.
g) Sa faciliteze si sa incurajeze interoperabilitatea dintre furnizorii de soft si cei de retea.
Aceste cerinte sunt satisfacute de urmatoarele caracteristici ale acestei specificatii:
Confidentialitatea informatiei - Pentru a facilita si incuraja comertul electronic folosind cartile de credit, este necesara asigurarea detinatorilor de cartele ca informatiile de plata sunt in siguranta. De aceea, contul cumparatorului si informatiile de plata trebuie sa fie securizate atunci cand traverseaza reteaua, impiedicand interceptarea numerelor de cont si datele de expirare de catre persoane neautorizate. Criptarea mesajelor SET asigura confidentialitatea informatiei.
Integritatea datelor - Aceasta specificatie garanteaza ca nu se altereaza continutul mesajelor in timpul transmisiei acestora prin retea. Informatiile de plata trimise de cumparator la vanzator contin informatii de cerere, date personale si instructiuni de plata. Daca una din aceste informatii este modificata, tranzactia nu se va face corect. Protocolul SET foloseste semnatura digitala pentru integritatea datelor.
Autentificarea cumparatorului - Vanzatorul are nevoie de un mijloc de verificare a clientului sau, a faptului ca acesta este utilizatorul legitim al unui numar de cont valid. Un mecanism care face legatura dintre posesorul cartii de credit si un numar de cont specific va reduce incidenta fraudei si, prin urmare, costul total al procesului de plata. SET utilizeaza semnatura digitala si certificatele cumparatorului pentru autentificarea acestuia.
Autentificarea vanzatorului - Aceasta specificatie furnizeaza un mijloc de asigurare a clientului ca furnizorul are o relatie cu o institutie financiara, permitandu-i acestuia sa accepte cartile de credit. SET utilizeaza semnatura digitala si certificatele vanzatorului pentru autentificarea acestuia.
Interoperabilitate - Protocolul SET trebuie sa fie aplicabil pe o varietate de platforme hardware si soft. Orice cumparator trebuie sa poata sa comunice, cu softul sau, cu orice vanzator. Pentru interoperabilitate, SET foloseste formate de mesaje si protocoale specifice.
Cumpararea electronica - Intr-un scenariu tipic de e-commerce, etapele procesului de cumparare sunt urmatoarele:
Cumparatorul poate cauta bunuri si servicii avand mai multe posibilitati:
Foloseste un browser pentru a consulta cataloage online din pagina de Web a vanzatorului;
Consulta un catalog suplimentar aflat pe un CDROM;
Consulta un catalog pe hartie.
Cumparatorul alege bunurile pe care doreste sa le cumpere.
Cumparatorului ii este prezentata o lista a bunurilor, incluzand pretul acestora si pretul total, cu tot cu taxe. Aceasta lista trebuie furnizata electronic de serverul vanzatorului sau de softul de cumparare electronica din calculatorul clientului. Uneori se accepta negocierea pretului.
Cumparatorul alege mijloacele de plata. Sa consideram ca este ales ca mijloc de plata cartela de credit (cardul).
Cumparatorul trimite vanzatorului o cerere impreuna cu instructiunile de plata. In aceasta specificatie, cererea si instructiunile de plata sunt semnate digital de catre cumparatorii care poseda certificate.
Vanzatorul solicita autorizatia de plata a clientului sau de la institutia financiara a acestuia.
Vanzatorul trimite confirmarea cererii.
Vanzatorul trimite bunurile sau indeplineste serviciile solicitate in cerere.
Vanzatorul solicita plata bunurilor si serviciilor de la institutia financiara a cumparatorului.
Criptografia in SET - Pentru a asigura securitatea platilor, SET foloseste perechi de chei RSA pentru a crea semnaturi digitale si pentru secretizare. Prin urmare, fiecare participant in procesul de tranzactionare poseda doua perechi de chei asimetrice: o pereche de chei 'de schimb' - folosita in criptare si decriptare - si o pereche 'de semnatura', pentru crearea si verificarea semnaturii digitale. De mentionat faptul ca rolul cheilor 'de semnatura' este inversat in procesul de semnare digitala unde cheia privata este folosita pentru criptare (semnare), iar cea publica este folosita pentru decriptare (verificare a semnaturii).
Autentificarea
este intarita de utilizarea certificatelor. Inainte ca un destinatar
B sa primeasca un mesaj semnat digital de catre un
emitator A, el vrea sa fie sigur ca detine cheia
publica a lui A si nu a altuia care s-a recomandat drept A prin
retea. O alternativa ar fi ca receptorul B sa primeasca
cheia publica direct de
Protocolul SET introduce o noua aplicatie a semnaturilor digitale, si anume conceptul de semnatura duala. Sa consideram urmatorul scenariu: vanzatorul B trimite o oferta cumparatorului A si o autorizatie bancii sale pentru a transfera banii, daca A accepta oferta. Insa B doreste ca banca sa nu vada termenii ofertei, si nici cumparatorul informatiile sale de cont. In plus, B vrea sa faca o legatura dintre oferta si transfer, astfel incat banii vor fi transferati doar daca A accepta oferta sa. El realizeaza toate acestea semnand digital ambele mesaje intr-o singura operatie care creeaza semnatura duala.
O semnatura duala este generata prin calcularea rezumatelor ambelor mesaje si concatenarea celor doua rezumate. Rezultatului obtinut i se calculeaza, la randul sau, un rezumat si, in cele din urma, acest ultim rezumat este cifrat cu cheia privata de semnatura emitatorului. Trebuie inclus si rezumatul celuilalt mesaj pentru ca oricare din cei doi primitori sa valideze semnatura duala. Un primitor al oricarui mesaj ii poate verifica autenticitatea prin generarea rezumatului acestuia, concatenarea cu rezumatul celuilalt mesaj, si calcularea rezumatului rezultatului concatenarii. Dacs noul rezumat se potriveste cu semnatura duala decriptata, primitorul poate fi sigur de autenticitatea mesajului.
Daca A accepta oferta lui B,
trimite un mesaj bancii indicand acceptul sau si incluzand
rezumatul ofertei, banca poate verifica autenticitatea autorizatiei de
transfer a lui B si se asigura ca acceptul este pentru
aceeasi oferta prin utilizarea rezumatului autorizatiei pe care
l-a primit de
In cadrul protocolului SET, semnatura duala este folosita pentru a face legatura dintre un mesaj de comanda trimis vanzatorului si instructiunile de plata continand informatii de cont trimise achizitorului. Cand vanzatorul trimite o cerere de autorizatie achizitorului, include instructiunile de plata primite de la cumparator si rezumatul informatiilor de comanda. Achizitorul foloseste rezumatul primit de la vanzator si calculeaza rezumatul instructiunilor de plata pentru a verifica semnatura duala.
In prezent, tot mai multe produse de e-commerce implementeaza protocolul SET, ceea ce confera securitate platilor Internet cu card, prin mijloace criptografice.
Fondata in august 1994, firma CyberCash Inc. din SUA propune in aprilie 1995 un mecanism sigur de tranzactii de plata cu carduri, bazat pe un server propriu si oferind servicii client pentru vanzatori. Folosirea serverului CyberCash asigura posibilitatea de trasare si control imediat al tranzactiilor. Pe de alta parte, trecerea prin server face sistemul mai lent si dependent de timpii de raspuns ai acestuia. Aceste lucruri fac CyberCash mai putin confortabil si mai costisitor, in special pentru tranzactiile de plata cu sume mici. Insa cifrarea cu chei publice asigura un nivel inalt de securitate.
CyberCash implementeaza un sistem care realizeaza protectia cardurilor de credit folosite in Internet. Compania - care furnizeaza soft atat pentru vanzatori, cat si pentru cumparatori - opereaza un gateway intre Internet si retelele de autorizare ale principalelor firme ofertante de carduri. Cumparatorul incepe prin a descarca softul specific de portofel, cel care accepta criptarea si prelucrarea tranzactiilor. Ca si portofelul obisnuit, acest portofel-software poate inregistra mai multe carti de credit. Vanzatorul are un software similar. Utilizand un navigator Web, consumatorul selecteaza ce vrea sa cumpere. Serverul vanzatorului trimite 'portofelului-software' o cerere de plata semnata prin care da detalii despre produsele cumparate si transmite tipul cartilor de credit acceptate. 'Portofelul' deschide o fereastra si afiseaza suma si lista cartilor de credit disponibile pentru selectie. 'Portofelul' trimite un mesaj criptat si semnat cu numarul cartii de credit si detalii privind tranzactia si acceptarea platii. Serverul vanzatorului trimite acest mesaj impreuna cu un mesaj propriu semnat si criptat catre Gateway. Aici mesajele sunt decriptate si comparate, iar daca se potrivesc, se trimite o cerere de autorizare conventionala. Reintoarce un raspuns spre vanzatorul care trimite un raspuns 'carte de credit' catre software-ul portofel. Gateway-ul este operat de un agent al bancii colectoare a vanzatorului. In mod similar cu schemele prezentate mai sus s-au dezvoltat si alte protocoale pentru efectuarea platilor electronice, bazate pe alte secvente de mesaje intre aceleasi entitati.
Recent,
firma CyberCash a extins sistemul initial de plata bazat pe
transmisia sigura a cardurilor cu alte facilitati pentru
plati cu bani electronici: Secure Cash/Check si Secure Check, precum
si CyberCoin, folosit pentru valori mici. De asemenea, in stransa
legatura cu CyberCash,
ECash reprezinta un exemplu de sistem electronic de plati, care foloseste posta electronica sau Web-ul pentru implementarea unui concept de portofel virtual. A fost dezvoltat de catre firma DigiCash Co. din Olanda, firma fondata de catre celebrul cercetator al sistemelor criptografice, David Chaum. Prima demonstratie a sistemului a fost facuta in 1994 la prima Conferinta WWW, printr-o legatura Web intre Geneva si Amsterdam. Ulterior a fost implementata de banci din SUA (Mark Twain Bank of Missouri), Finlanda si din alte tari. Este prima solutie totalmente soft pentru platile electronice.
ECash reprezinta un sistem de plati complet anonim, ce foloseste conturi numerice in banci si tehnica semnaturilor oarbe. Tranzactiile se desfasoara intre cumparator si vanzator, care trebuie sa aiba conturi la aceeasi banca. Cumparatorii trebuie sa instiinteze banca cu privire la faptul ca doresc sa transfere bani din conturile lor obisnuite in asa numitul cont eCash Mint. In orice moment, cumparatorul poate interactiona de la distanta, prin calculatorul sau, cu contul Mint si, folosind un client soft, poate retrage de aici fonduri pe discul calculatorului sau. Formatul acestor fonduri este electronic - suite de 0 si 1 protejate criptografic. Ca urmare, discul cumparatorului devine un veritabil 'portofel electronic'. Apoi, se pot executa plati intre persoane individuale sau catre firme, prin intermediul acestor eCash.
Principiul functionarii lui ECash - ECash are un caracter privat: desi banca tine o evidenta a fiecarei retrageri eCash si a fiecarui depozit Mint, este imposibil ca banca sa stabileasca utilizarea ulterioara a lui eCash. Aceasta proprietate se datoreaza folosirii unor criptosisteme cu chei publice RSA, cu o lungime a cheii de 768 biti. Pe langa anonimitatea platilor, eCash asigura si ne-repudierea, adica acea proprietate care permite rezolvarea oricaror dispute intre cumparator si vanzator privind recunoasterea platilor. De asemenea, prin verificare in baza de date a bancii, este impiedicata orice dubla cheltuire a lui eCash.
La fel ca si banii reali (bancnote, monede), banii electronici eCash pot fi retrasi din conturi sau depozitati, pentru a fi tranzactionati. De asemenea, la fel ca in cazul banilor fizici, o persoana poate transfera posesia unui cont eCash unei alte persoane. Insa, spre deosebire de banii conventionali, atunci cand un client plateste unui alt client, banca electronica joaca un rol aparent modest, dar esential.
ECash reprezinta o solutie de plati soft on-line, care consta in interactiunile dintre 3 entitati:
o banca, care emite monede, valideaza monedele existente si schimba monede reale pentru eCash;
o cumparatorii, care au cont in banca, din care pot incarca monede eCash sau in care pot depune monede eCash;
o vanzatorii, care accepta monede ECash in schimbul unor bunuri sau servicii.
ECash este implementat folosind criptografia cu chei publice RSA. Fiecare utilizator are propria-i pereche de chei (publica - E si privata - D). Este nevoie de un soft special pentru gestiunea eCash:
o pentru client un program numit portofel electronic (cyberwallet);
o pentru vanzator un program special eCash.
Retragerea de monede eCash de la banca - Software-ul cyberwallet al clientului calculeaza cate monede digitale si de ce valori sunt necesare pentru a satisface cererea de plata. Apoi, programul genereaza in mod aleator numere de serie pentru aceste monede. Aceste numere sunt suficient de mari (100 de cifre zecimale) pentru ca sa fie foarte mica probabilitatea ca altcineva sa genereze aceleasi valori. Aceste numere de serie sunt apoi facute 'anonime', cu ajutorul tehnicii semnaturilor oarbe. Acest lucru se realizeaza prin multiplicarea lor cu factor aleator. Acesti bani 'anonimi' sunt apoi impachetati intr-un mesaj, semnati digital cu cheia privata a clientului, cifrati cu cheia publica a bancii si apoi trimisi electronic la banca.
Cand banca receptioneaza mesajul, ea verifica semnatura. Apoi suma retrasa poate fi debitata din contul clientului care a semnat cererea. Banca semneaza monedele electronice cu cheia sa privata si le returneaza la client, criptate cu cheia publica a acestuia.
Prin folosirea semnaturii oarbe, se previne ca banca sa poata recunoaste monedele ca venind dintr-un anumit cont. In loc ca banca sa creeze monezi electronice 'albe', calculatorul unui utilizator este cel care creeaza in mod aleator monezile. Apoi ascunde aceste monezi, fiecare intr-o anvelopa digitala speciala, si le trimite pe rand catre banca. Banca retrage la fiecare receptie dolari din contul clientului si construieste validarea digitala a monedei, ca o 'stampila' pe plicul pe care clientul tocmai l-a trimis. Plicul astfel 'stampilat' este returnat catre utilizator. Atunci cand calculatorul utilizatorului va inlatura plicul, va obtine o moneda digitala dupa cum si-a dorit, insa validata de stampila bancii. Dar pentru ca banca nu a vazut moneda ascunsa in plic, aceasta nu va putea spune, atunci cand va receptiona o plata, din partea cui provine aceasta - adica cui apartin acei bani.
Dupa ce clientul primeste banii anonimi semnati de banca, decripteaza mesajul si anuleaza anonimitatea banilor prin impartire la factorul aleator.
NetCash reprezinta un alt exemplu de
sistem electronic de plati de tip on-line. A fost elaborat
Sistemul NetCash consta din urmatoarele entitati:
o cumparatori,
o vanzatori,
o servere de moneda (SM).
O organizatie care doreste sa administreze un server de moneda va trebui sa obtina o aprobare de la o autoritate centrala de certificare. Serverul de moneda va genera o pereche de chei RSA, publica si privata. Cheia publica este apoi certificata prin semnatura autoritatii centrale de certificare. Acest certificat contine un identificator (ID), numele serverului de moneda, cheia publica a serverului de moneda, datele de eliberare si expirare, toate semnate de autoritatea centrala:
Autoritatea-centrala (ID, Nume-SM, ESM , Data-eliberarii, Data-expirarii) .
Monedele electronice eliberate de serverul SM constau in urmatoarele:
o Nume-SM;
o Adresa retea a SM;
o Data-expirarii;
o Numarul de serie;
o Valoarea.
Banii sunt apoi semnati cu cheia privata a serverului SM:
SM (Nume-SM, Adresa-retea-SM , Data-expirarii, Numarul-serie, Valoarea)
SM tine evidenta tuturor seriilor de bani emisi de el. In acest caz, validitatea si dubla cheltuire pot fi verificate de fiecare data cand se face o cumparare sau un schimb de cec. Atunci cand se face verificarea unor bani ce se cheltuiesc, seriile lor sunt sterse din baza de date a SM, iar banii sunt inlocuiti cu alte serii. Un cec electronic poate fi schimbat la un SM cu bani electronici.
Pentru asigurarea anonimitatii platilor, SM nu este autorizat sa memoreze persoanele si adresele lor retea carora le emite bani electronici. Detinatorul unor astfel de monede poate merge apoi la orice alt SM pentru a le schimba, cu altele monede emise de acel SM.
Sisteme de micro-plati
Exista un numar de protocoale de plata in comertul electronic destinate unor tranzactii 'mari', de 5 USD, 10 USD si mai mult. Costul per tranzactie este, de obicei, de cativa centi plus un procent din suma vehiculata. Atunci cand aceste costuri sunt aplicate la tranzactii cu valori mici (50 de centi sau mai putin), costul devine semnificativ in pretul total al tranzactiei. Ca urmare, pentru a obtine efectiv un pret minim pentru anumite bunuri si servicii 'ieftine' ce urmeaza a fi cumparate, vor trebui utilizate noi protocoale.
Exista o serie de servicii on-line, care promoveaza ziare, magazine, referinte de munca si altele, toate avand articole individuale care sunt ieftine daca sunt vandute separat. Avantajul de a cumpara articole individuale ieftine poate face aceste servicii mai atractive utilizatorilor ocazionali ai Internet-ului. Un utilizator care nu agreeaza ideea de a deschide un cont de zece dolari cu un editor de publicatii necunoscut, poate fi dispus sa cheltuiasca cativa centi pentru a cumpara un articol interesant la prima vedere. O aplicatie 'ieftina' frecventa reprezinta plata vizitarii siturilor in Internet.
Sub forma de concept si proiecte experimentale, micro-platile se adreseaza nevoii existentei unei scheme simple, ieftine, care sa poata suporta economic plati foarte mici, cativa dolari, centi si chiar fractiuni de centi. Vom analiza cateva propuneri din aceasta categorie de sisteme electronice de plati.
MilliCent este un protocol simplu si sigur pentru comertul electronic in Internet. A fost creat pentru a accepta tranzactii comerciale in care sunt implicate costuri mai mici de un cent. Este un protocol bazat pe o validare descentralizata a banilor electronici pe serverele vanzatorilor, fara comunicatii aditionale, criptari scumpe sau procesari separate.
Cheia inovatiei MilliCent este aceea de a introduce utilizarea broker-ilor si a scrip-urilor. Broker-ii (cei care vand scrip-uri) au ca sarcina managementul conturilor, facturari, mentinerea functionalitatii conexiunilor si stabilirea de conturi cu vanzatorii. Scrip-ul este moneda digitala, specifica fiecarui vanzator in parte. Vanzatorii au sarcina de a valida local scip-ul pentru a preveni furtul, cum ar fi de exemplu dubla cheltuire din partea clientilor.
O piesa de scrip reprezinta un cont al clientului, care a fost stabilit cu vanzatorul. In orice moment, vanzatorul are de rezolvat scrip-urile (conturile deschise) cu clientii cei mai recenti. Balanta contului este actualizata dupa valoarea scrip-ului. Atunci cand clientul face o cumparatura cu scrip, costul cumparaturii este dedus din scrip-ul total, iar valoarea care ramane, formeaza noul scrip (cu o noua valoare/balanta cont), care este returnat ca rest. Atunci cand clientul a terminat mai multe tranzactii, el poate 'incasa' valoarea ramasa a scrip-ului (inchide contul).
Broker-ii servesc drept conturi intermediare intre clienti si vanzatori. Clientii intra intr-o relatie de lunga durata cu broker-ii, in mare cam in acelasi mod cum s-ar face o intelegere cu o banca, o companie de carduri de credit sau un ISP (furnizor de servicii Internet). Broker-ii cumpara si vand scrip-uri apartinand vanzatorilor, ca un serviciu catre clienti si vanzatori. Serverele de scrip ale broker-ilor au o moneda comuna pentru clienti (folosita pentru cumpararea scrip-ului vanzatorilor) si pentru vanzatori (pentru a returna banii pe scrip-ul nefolosit).
MilliCent reduce costurile pe mai multe cai:
o Costul comunicatiei este redus prin verificarea locala a scrip-ului, pe situl vanzatorului; se elimina astfel costurile comunicatiilor (care sunt absente), costurile pentru aparatura informatica ce ar da o putere de calcul suficienta pentru o derulare normala a unui numar mare de tranzactii; de asemenea, nu este nevoie de servere centralizatoare, de protocoale scumpe etc.
o Costurile criptografice sunt reduse deoarece nu este necesara o schema criptografica puternica si scumpa la valorile foarte mici care sunt tranzactionate. Este nevoie de un cost care sa nu depaseasca valoarea scrip-ului insusi.
o Costurile conturilor sunt reduse prin utilizarea broker-ilor care manuiesc conturile si facturile. Clientii stabilesc conturi cu un broker; broker-ul stabileste propriul sau cont cu vanzatorul. Aceasta separare reduce numarul total de conturi prin eliminarea tuturor combinatiilor client-vanzator.
Modelul de securitate si incredere - Modelul de securitate pentru MilliCent este bazat pe presupunerea ca moneda 'scrip' este folosita pentru plati mici. Oamenii obisnuiti si cei de afaceri trateaza monedele diferit, in functie de valoarea lor; la fel se intampla si in cazul facturilor, cand facturile mici sunt tratate diferit de facturile mari. Ca si atunci cand un om cumpara o bomboana de la un automat si nu are nevoie de o chitanta, el nu are nevoie de chitanta nici atunci cand cumpara un articol utilizand scrip-ul . Daca o persoana nu doreste sa plateasca pentru ceva, renunta si va primi inapoi suma implicata. Daca aceasta suma (moneda) se va pierde, persoana respectiva nu va fi foarte suparata. Se presupune ca un utilizator va avea, la un moment dat, doar cativa dolari sub forma de scrip. Rezulta ca nu este rentabil sa se fure un scrip.
Modelul de incredere MilliCent se bazeaza pe o relatie asimetrica de incredere compusa din trei entitati - clientul, broker-ul si vanzatorul. Broker-ii sunt presupusi ca fiind mult mai de incredere decat vanzatorii, si in final, clientii. Se tinde ca broker-ii sa fie institutii financiare redutabile, mari si bine cunoscute, (cum ar fi Visa, MasterCard, sau bancile) sau un mare furnizor de servicii Internet sau servicii on-line (cum ar fi CompuServe, NETCOM, sau AOL). Se asteapta sa fie multi vanzatori, acoperind un spectru larg de activitati si, de asemenea, un numar mare de clienti, iar relatiile de incredere sa fie la fel ca si in lumea reala.
Trei factori fac frauda broker-ilor in micro-plati sa fie nerentabila:
o programele client si vanzator pot sa analizeze in mod independent scrip-ul si sa mentina balanta contului, deci orice frauda a broker-ului poate fi detectata;
o clientii nu detin, la un moment de timp, multe scripuri - deci broker-ul va trebui sa comita mai multe tranzactii frauduloase pentru a obtine vreun castig, iar acest lucru il face mai usor de depistat;
o reputatia broker-ilor este importanta pentru atragerea clientilor, iar un broker poate sa piarda rapid aceasta reputatie daca exista probleme in tranzactiile clientilor sai. Faptul de a avea multi clienti activi este mult mai valoros pentru un broker decat furtul de scrip din conturi.
Frauda vanzatorului consta in nelivrarea bunului sau serviciului pentru un scrip valid. Daca acest lucru se intampla, clientul se va plange la broker-ul sau, iar broker-ul va renunta la un vanzator care a cauzat mai multe plangeri. Acest act inseamna un mecanism coercitiv, deoarece vanzatorii au nevoie de broker-i pentru a li se facilita desfasurarea afacerilor cu MilliCent. Ca urmare, protocolul MilliCent este intarit pentru a preveni frauda clientilor (falsificarea si dubla cheltuire) si promoveaza detectia indirecta a fraudelor broker-ilor si vanzatorilor.
Securitatea tranzactiilor MilliCent cuprinde urmatoarele aspecte:
o Toate tranzactiile sunt protejate: fiecare tranzactie cere ca clientul sa stie parola asociata scrip-ului. Protocolul nu va trimite niciodata o parola in clar, deci este eliminat riscul ca cineva, tragand cu 'urechea', sa asculte ceva util. Nici o unitate de scrip nu poate fi reutilizata. Fiecare cerere este semnata cu o parola, deci nu exista nici o cale pentru a intercepta si a reutiliza un scrip.
o Tranzactiile cu valoare mica limiteaza valoarea fraudelor: tranzactiile mici cer o securitate ieftina; nu este rentabila folosirea unor resurse computationale scumpe pentru a fura scrip-uri ieftine. In plus, folosirea ilegala a scrip-ului in mai multe actiuni ilegale, pentru a strange mai multi bani, face mult mai probabila depistarea hotului.
Frauda este detectabila si eventual localizabila: detectarea se face atunci cand clientul nu obtine bunul dorit sau atunci cand balanta returnata catre client nu este corecta. Daca un client triseaza, atunci vanzatorul pierde doar costul scrip-ul fals detectabil. Daca vanzatorul triseaza, clientul va raporta problema broker-ului. Atunci cand broker-ul primeste plangeri de la mai multi clienti impotriva unui vanzator, poate localiza cine provoaca frauda si va anula toate intelegerile cu respectivul vanzator. Daca broker-ul triseaza, vanzatorul va primi scrip fals de la mai multi clienti, toti avand legatura cu un singur broker.
Interactiunea dintre Client, Broker si Vanzator - Se prezinta in continuare pasii pentru o sesiune completa MilliCent, incluzand cumpararea de catre broker a scrip-ului vanzatorului.
o Pasul initial se petrece doar o sigura data pe sesiune. Clientul face o conexiune sigura cu broker-ul pentru a obtine un scrip de la broker. Clientul cere un scrip de la broker, de exemplu la inceputul zilei. Broker-ul returneaza scrip-ul broker initial si secretul asociat.
o Al doilea pas se petrece de fiecare data cand clientul nu mai are scrip pentru un vanzator. El contacteaza broker-ul, folosind scrip-ul broker-ului pe care il detine din pasul 1, cerand sa cumpere un scrip vanzator.
o Al treilea pas apare doar daca broker-ul trebuie sa contacteze vanzatorul pentru a cumpara scrip. Daca broker-ul nu are deja scrip de la vanzator, il cumpara. Va cere un scrip de la vanzator, iar acesta i-l va returna impreuna cu secretul asociat.
o In al patrulea pas broker-ul furnizeaza scrip-ul vanzatorului catre client. Broker-ul returneaza la client scrip-ul vanzatorului si restul (in scrip broker).
o In al cincilea pas clientul, utilizand scrip-ul, face o cumparatura de la vanzator. Acesta returneaza restul (in scrip-ul vanzatorului) la client.
Intr-o tranzactie tipica MilliCent, atunci cand clientul are deja scrip-ul vanzatorului, il utilizeaza direct pentru a face o cumparatura. Aici nu mai exista vreun mesaj suplimentar sau interactiune cu broker-ul.
Sistemul de micro-plati
CyberCoin poate realiza in Internet plati de la sume mici de
cativa centi, pana la 10 $, acoperind astfel o zona in care
sistemul ce utilizeaza cartile de credit nu este economic. Vanzatorii de
pe Web ce vand servicii si produse la preturi foarte mici si
doresc sa livreze imediat respectiva marfa, au nevoie de o metoda
de plata diferita de cartelele cu microprocesor, dar
asemanatore cu plata cash ce se efectueaza si in magazine.
Serviciul CyberCoin de
Odata portofelul 'umplut 'cu fonduri, consumatorul poate incepe sa efectueze micro-plati pe situri Web ce sunt inregistrate de CyberCash si detin un program numit CashRegister. Acest soft suporta, de asemenea, si plati cu carti de credit (VISA, MasterCard, American Express si Discover) si cecuri electronice PayNow.
Din perspectiva utilizatorului, protocolul CyberCoin lucreaza asemanator cu un browser de Internet; trebuie aleasa o adresa URL - comanda HTML get. Comerciantul prezinta in pagina sa HTML o adresa de plata (payment URL), impreuna cu pretul afisat. Utilizatorului nu-i ramane decat sa selecteze adresa URL respectiva pentru a achizitiona bunul sau serviciul ales.
Serviciul CyberCoin este implementat utilizand un concept cunoscut sub numele de sesiune CyberCoin. O sesiune indeplineste o singura functie primara: initierea unui sub-cont tranzitoriu, sub contul portofelului, pentru fiecare suma care este cheltuita sau colectata. O sesiune poate semana cu un carnet de cecuri ce contine n cecuri. Fiecare 'cec' poate fi utilizat doar o singura data. Sesiunea se termina atunci cand s-au consumat toate cecurile sau acestea au expirat. Un cec poate fi folosit doar pentru o singura plata sau depozitare.
Pe timpul rularii unei sesiuni, protocolul CyberCoin realizeaza o viteza de procesare optima si un cost redus, prin criptarea mesajelor cu cifrul DES. Initierea se face printr-un schimb al unei chei generate aleator si transportate (anvelopate) intr-un mesaj criptat cu RSA, pe 768 de biti. Fiecare 'cec' de plata utilizeaza o cheie de tranzactie DES unica. Deci prin spargerea cheii dupa sesiune nu se poate obtine nici un profit, deoarece aceasta nu mai este folosita la criptarea altor mesaje.
Plati prin cecuri electronice
Cecurile electronice au fost dezvoltate printr-un proiect al lui FSTC - Financial Services Technology Consortium. FSTC cuprinde aproape 100 de membri, incluzand majoritatea marilor banci, furnizorii tehnologiei pentru industria financiara, universitati si laboratoare de cercetare. Partea tehnica a realizarii proiectului cecului electronic a fost realizata intr-un numar de faze: generarea conceptelor originale, realizarea cercetarilor preliminare, construirea si demonstrarea unui prototip, formularea specificatiilor pentru un sistem pilot si implementarea acestui sistem. In prezent, cecurile electronice incep sa fie utilizate intr-un program pilot cu Departamentul Trezoreriei Statelor Unite care plateste furnizorii Departamentului de Aparare.
Cecurile electronice sunt create pentru a realiza plati si alte functii financiare ale cecurilor pe hartie, prin utilizarea semnaturilor digitale si a mesajelor criptate, pe suportul retelei Internet. Sistemul cecurilor electronice este proiectat pentru a asigura integritatea mesajelor, autenticitatea si nerepudierea proprietatii, toate conditii suficiente pentru a preveni frauda din partea bancilor sau a clientilor lor.
Un cec este un document pe hartie, semnat, care autorizeaza banca sa plateasca o suma de bani din contul celui ce a semnat cecul, dupa o data specificata. Cecurile pe hartie sunt cele mai utilizate instrumente de plata (dupa folosirea banilor cash) in majoritatea statelor occidentale. Acestea au avantajul ca platitorul si cel care incaseaza suma pot fi persoane individuale, mici afaceristi, banci, corporatii, guverne sau orice alt tip de organizatii. Aceste cecuri pot fi transmise direct de la platitor la incasator.
Cecurile electronice (e-cecurile) sunt bazate pe ideea ca documentele electronice pot substitui hartia, iar semnaturile digitale cu chei publice pot substitui semnaturile olografe. Prin urmare, e-cecurile pot inlocui cecurile pe hartie, fara a fi nevoie sa se creeze un nou instrument, inlaturandu-se astfel problemele de legalitate, reglementare si practica comerciala ce pot fi provocate de schimbarea si impunerea unui instrument de plata nou.
Pentru protejarea impotriva furtului si folosirii abuzive a cecului electronic, este utilizat un smart-card. Utilizarea hardului criptografic al cardului ofera semnaturii mai multa confidentialitate. Astfel, cheia privata pentru semnarea cecurilor nu este niciodata transferata catre computerul semnatarului, deci nu este niciodata expusa furtului din respectivul computer conectat in retea. Procesorul smart-cardului numeroteaza automat fiecare cec electronic, atunci cand il semneaza, in ordine, pentru a se asigura unicitatea e-cecurilor si pastreaza o istorie a cecurilor pentru a fi consultata in cazul unei dispute. Smart-cardul este protejat prin introducerea unui cod PIN, cunoscut numai de posesorul cardului.
Semnarea criptografica este suficienta in sistemul cu cecuri electronice ca masura de securitate impotriva fraudelor prin falsificari de mesaje. In afara de acestea, sistemul cu cecuri electronice si nivelul aplicatie criptografica pot fi exportate si utilizate international. Atunci cand este nevoie de confidentialitate intre oricare doua parti, criptarea poate fi folosita la nivelul legatura de date.
Standardele actuale pentru cecuri electronice intre banci sunt ANSI X9.46 si X9.37. Electronic Check Clearing House Organization (ECCHO) a adoptat o serie de reguli pentru clearingul inter-bancar cu cecuri electronice, care sunt considerate a avea statutul de 'instrumente negociabile'.
Semnaturi digitale pe cecuri electronice - Atunci cand este creat un cec electronic, in el este scris un set minim de informatii si cecul este semnat. Odata cu vehicularea e-cecului, alte informatii si alte semnaturi sunt adaugate atunci cand acesta este transmis intre parti. De exemplu, e-cecul trebuie sa fie:
o creat de platitor,
o co-semnat de co-platitor,
o certificat de banca,
o aprobat de incasator (platit),
o co-aprobat de co-incasator,
o depozitat
o platit.
Unele din informatiile aditionale, cum ar fi certificatele si aprobarile, sunt parti permanente ale e-cecului si raman intacte pana in momentul returnarii la platitor. Alte informatii, cum ar fi timpul de intarziere, pot fi asociate e-cecului pentru o perioada a existentei sale si vor fi inlaturate si procesate separat. Acestea cer o structura flexibila a documentului si mecanismelor de semnare. Principalele caracteristici ale mecanismului de semnare sunt:
o Documentul consta dintr-o secventa de blocuri, iar blocurile trebuie sa fie delimitate.
o Semnatura implementeaza algoritmi criptografici si/sau functii hash, si exista blocuri speciale ce se refera la acestea;
o Blocurile semnatura referite prin blocurile nume sau numar serial, refera blocul certificat ce face corespondenta cu cheia publica.
Semnatarul e-cecului poate opta pentru a include alte date personale, cum ar fi nume, adresa, numar de telefon, adresa e-mail etc. Aceste date sunt inregistrate in carnetul de cecuri electronice, la initializare, de catre banca si pot fi schimbate doar dupa ce carnetul respectiv a fost de-protejat, utilizand codul de administrare PIN al bancii. Aceasta metoda de promovare a informatiilor personale nu este la fel de sigura ca atunci cand aceste informatii sunt incluse in certificatul X.509 sau in blocul cont.
Carnetul de cecuri electronice - O semnatura olografa este influentata de miscarea muschilor mainii si de particularitatile biometrice ale semnatarului. Acestea fac foarte dificil pentru un falsificator sa realizeze o semnatura falsa perfecta, chiar daca falsificatorul dispune de un exemplu al semnaturii. In opozitie, o falsificare perfecta a semnaturii criptografice poate fi facuta de catre orice persoana care detine cheia privata a semnatarului de drept. Este foarte greu sa stabilesti, dispunand de o cheie publica, daca un e-cec este autentic sau falsificat. Smart-cardurile ce contin carnete de cecuri electronice sau alte dispozitive hard criptografice sunt utilizate tocmai pentru a ajuta la asigurarea ca o cheie privata este protejata cat mai bine si, in consecinta, semnaturile se realizeaza doar de catre semnatarii legitimi. Aceste dispozitive hard standardizeaza si simplifica generarea cheilor, distributia si utilizarea lor, deci se poate stabili un inalt nivel de incredere.
Distributia carnetelor de cecuri electronice poate diferi considerabil de la o banca la alta; raman insa cerintele de baza care includ:
o Certificatele X.509 semnate de banci si conturile sa corespunda specificatiilor FSML.
o Partea hard si soft a cecurilor electronice sa corespunda cerintelor si specificatiilor API referitoare la carnetele de cecuri electronice.
o Politicile de autoritati de certificare ale bancilor sa corespunda cerintelor si reglementarilor legale.
Unele dintre operatii, cum ar fi initializarea cardului si autoritatea de certificare a bancii, pot fi indeplinite de alte firme, ce actioneaza ca agenti ai bancii.
Serverele bancilor - Serverele de cecuri electronice din banci sunt utilizate pentru receptionarea e-cecurilor de la clienti prin e-mail, procesarea e-cecurilor primite si realizarea unei interfete cu sistemul de mentinere a inregistrarilor despre conturile cec - DDA. Functiile executate in mod tipic de un server de cecuri electronice dintr-o banca, sunt urmatoarele. Acest server primeste de la incasatori e-mail-uri care contin e-cecuri aprobate si depozite. E-cecurile sunt procesate si retinute in baza de date, pana cand sunt platite cu bani cash (clearingul). E-cecurile raman pe server si depozitele sunt trimise la sistemul DDA pentru procesare. E-cecurile problematice sunt returnate catre o statie speciala, pentru o analiza manuala si interventii.
B. Servicii de plata prin Internet
Cele mai cunoscute servicii de plata prin Internet sunt oferite de:
PayPal companie americana, cu sediul in California, in urma unei fuziuni, ea apartine eBay. Organizatia are peste 45 de miliarde de membri cu conturi PayPal, aflati in 56 de tari si efectuand tranzactii de peste 17G USD anual. PayPal este un intermediar care transmite, prin intermediul unui cont propriu de transfer, bani intre conturi aflate oriunde in lume si intre orice participanti: persoane, firme, si, numai in S.U.A., institutii din administratia publica. Singura conditie pe care trebuie sa o indeplineasca membrii este folosirea unui cont de posta electronica. Initierea transferului se face fie de cumparator, fie de catre vanzator (in acest caz, cererea de bani - request money - este similara unei facturi). Comisionul pentru tranzactie este de 0,3 USD, plus 2,2 - 2,9% din suma (in functie de tara), plus taxe de conversie (2,5%), daca este vorba de valute distincte. In cazul unei plati initiate de cumparator, ea se deruleaza dupa cum urmeaza:
cumparatorul, inregistrat
PayPal trimite un mesaj vanzatorului, prin care il anunta ca a primit o suma de bani;
dupa ce PayPal primeste suma de la client, ea este transferata, la cerere, in contul vanzatorului.
Un avantaj important al acestei metode de plata este faptul ca vanzatorul nu vede detaliile cardului de plata al cumparatorului.
2. Yahoo!PayDirect - serviciu asemanator cu PayPal, destinat in special microplatilor (<10USD) intre persoane domiciliate in Statele Unite ale Americii.
3. VeriSign, cunoscutul furnizor californian de servicii de certificare, ofera posibilitatea efectuarii platilor prin intermediul sau pentru site-urile vanzatorilor. In prezent, circa 30% dintre tranzactiile de plata din cadrul comertului electronic nord-american se desfasoara prin VeriSign. Este un intermediar intre site-urile vanzatorilor si marii procesatori de tranzactii din S.U.A., care externalizeaza procesarea cardurilor pentru aproape toate bancile acceptatoare nord-americane. Cel mai reprezentativ serviciu al VeriSign este Payflow Pro, oferit la un pret de circa 250 de USD instalarea, plus un abonament lunar de 80 USD. In schimbul acestor sume, vanzatorii primesc o aplicatie care colecteaza informatiile de plata furnizate de client si le trimit catre VeriSign, care se ocupa apoi de decontare. Avantaje: un serviciu de monitorizare a posibilelor fraude, prin filtrarea ordinelor de plata ale clientilor dupa un grup de 19 criterii (valoare exagerata, numar mare de articole cumparate o singura data etc.) si consultanta oferita incepatorilor in zona comertului pe Internet.
4. Bibit - furnizor olandez de servicii de plata, care se remarca prin numarul mare de monede in care accepta plati (peste 70). Orientat catre platile internationale, ofera vanzatorilor "servicii complete", fiind conectat cu un mare numar de banci din intreaga lume. Printre clientii sai se numara multe nume celebre, cum ar fi Dell, NEC, Expedia sau Yahoo!.
In Romania, incepand cu anul 2004, exista trei mari banci (BCR, Raiffeisen si Banca Tiriac) care ofera vanzatorilor online posibilitatea de a incasa contravaloarea bunurilor platite cu card Visa sau MasterCard. Sistemul este bazat pe 3-D Secure si este oferit sub siglele Verified By Visa si respectiv SecureCode.
C. Cerintele de securitate a platilor electronice
Sistemele de plati electronice raspund acelorasi cerinte ca si sistemele traditionale, pentru a genera un nivel suficient de incredere.
Printre conditiile principale pe care trebuie sa le indeplineasca un sistem de plati electronice se numara:
confidentialitatea (numarul cartii de credit, sau numarul de cont, datele personale ale cumparatorilor);
autenticitatea partenerului, care nu mai poate fi determinata prin contact direct;
integritatea (nealterarea, sub nici o forma si din cauze nejustificate, a bunurilor platite);
autorizare - vanzatorul determina daca solicitantul are fondurile necesare pentru a plati comanda;
asigurarea cumparatorului ca vanzatorul este competent si demn de increderea sa;
caracterul privat al unei vanzari (de exemplu, companie de cercetari vinde un raport de piata, dar nu doreste ca si competitorii sai sa stie ce a vandut). Platile cash au, caracter privat - nu lasa urme (probe) pe hartie, nu exista inregistrari ale identitatii consumatorului legate de un anumit produs, iar chitanta nu dovedeste, singura, ca detinatorul ei este cumparatorul unui bun.
Provocari si solutii in tranzactiile de plata electronica
|
Problema |
Mecanism |
|
Confidentialitate |
Criptare, semnatura electronica |
|
Autenticitate |
Semnatura electronica, criptare, protocoale de autentificare: SET, 3-D Secure, SecureCode |
|
Integritate |
Dificil de asigurat, doar prin recomandari de la alti parteneri ai vanzatorului |
|
Autorizare |
Criptare |
|
Credibilitate |
Licenta de firma, girul altor consumatori, articole din ziare, reviste etc. |
|
Caracter privat |
Criptare |
Exista solutii tehnologice pentru asigurarea asupra securitatii platilor electronice. Apar probleme in legatura cu oportunitatea acestor mecanisme si cu modul lor de folosire. Exemplu, criptarea tuturor informatiilor care trec prin browserul Web al consumatorilor catre serverul Web al vanzatorului mentine confidentialitatea tranzactiei, dar nu este suficienta pentru garantarea autenticitatii sau a caracterului privat (o persoana care monitorizeaza reteaua poate detecta ca exista trafic intre vanzator si cumparator si acest fapt simplu poate fi insemnat in spionajul industrial). Mai mult, vanzatorul nu trebuie sa aiba dreptul sa decripteze toate informatiile transmise de cumparator - cele legate de cartea de credit trebuie, in mod normal, transmise in forma in care au fost primite catre banca.
Pentru realizarea de plati electronice prin Internet, este necesara incheierea unui contract intre vanzatorul de bunuri si banca sa (sau o alta banca acceptatoare, care sa dispuna de un sistem de management de carduri, capabil sa proceseze tranzactii de e-commerce, intern sau externalizat). Contractul cuprinde conditii si prevederi speciale, specifice comertului electronic. Comisionul bancii - mai mare decat in cazul comertului real (circa 3-10% din valoarea tranzactiei, fata de numai 1-3% in cazul comertului real). Contractul cuprinde responsabilitatile ale bancii si comerciantului, ca si modul de desfasurare al disputelor intre cumparator si comerciant, in cazul fraudelor sau al altor exceptii.
Banca va verifica vanzatorul si credibilitatea sa, inainte de a incheia contractul deoarece exista posibilitatea de repudiere a tranzactiei de catre vanzator. Daca acesta nu livreaza bunurile, dar incaseaza banii, banca sa va trebui sa returneze suma incasata cumparatorului. Banca se acopera in fata acestui risc prin comisioane mai mari si perceperea de sume ca garantie de la vanzator.
La finalul fiecarei zile, banca ii va trimite vanzatorului un raport cu comenzile pentru care plata a fost acceptata. Pe baza acestui raport, vanzatorul va face livrarile catre clientii sai. Fisierul este necesar numai atunci cand vanzatorul nu are o baza de date proprie, care se actualizeaza cu produsele de livrat pe masura acceptarii platii de catre consumatori.
Cardurile folosite in comertul pe Internet, in vederea reducerii riscurilor, sunt:
carduri inregistrate de emitent pentru a fi folosite cu un protocol de autentificare;
carduri cu parametri care reduc riscul;
carduri sau conturi virtuale.
Cardurile inregistrate de emitent pentru a fi folosite cu un protocol de autentificare (cum ar fi 3-D Secure sau SET) sunt cele mai sigure.
Cardurile cu risc redus prin parametri urmaresc ca, in caz de frauda, pierderea sa fie cat mai mica. Sumele stocate nu depasesc o valoare maxima (in jur de 100 euro) - cardul este valabil o perioada limitata de timp. Pot fi stabilite si sume limita pentru valoarea unei tranzactii, ca si un plafon pentru numarul de tranzactii care pot fi desfasurate intr-o zi.
Cardurile virtuale - dreptunghiuri de plastic, care servesc la memorarea datelor despre un cont virtual (nume, numar de cont, moneda, data expirarii etc.). Contul virtual retine temporar sumele destinate cumparaturilor pe Internet, incarcate dintr-un alt cont. In Romania - Virtuon al BCR sau Taifun al BancPost.
O metoda este generarea automata a unor pseudo-numere de card. Numerele au o perioada de valabilitate redusa, dupa care sunt sterse si inlocuite cu altele.
Portofelele electronice - e-wallet - programe rezidente in calculatorul clientului - retin datele de identificare si financiare ale acestuia si le "incarca" pe serverul comerciantului la un simplu clic. Dispare necesitatea completarii unor formulare stufoase si incomode. Portofelele pot tine si evidenta a cumparaturilor efectuate de client, memorand "chitantele" electronice primite in urma trimiterii formularelor de comanda. Sistemul informatic al vanzatorului trebuie sa fie compatibil cu aplicatia de tip portofel.
Copyright © 2024 - Toate drepturile rezervate
