Безопасность платежей

Аспекты повышения безопасности

безопасность

Как уже отмечалось ранее, сегодня большинство систем ЭК используют протокол SSL. Уровень защиты, обеспечиваемый SSL, таков, что аутентификация владельца карты не производится вообще, а аутентификация электронного торгового предприятия может быть признана с серьезными оговорками. Эффективность ранее обсуждавшихся методов повышения безопасности проведения электронных покупок с использованием протокола SSL (применение различных негатив-файлов, проверка CVV2/CVC2, VISA AVS) является весьма ограниченной. (далее…)

Этапы работы банка с торговым предприятием

Банк

Этап 1. Рассмотрение заявки на регистрацию электронного торгового предприятия и заключение договора.

На данном этапе банк получает от ТП комплект документов, включающий в себя:

  • нотариально заверенные копии учредительных документов и Устава, свидетельств о регистрации в МРП и постановке на учет в налоговых органах, а также лицензий/разрешений ТП на заявленные виды деятельности;
  • ксерокопии паспортов руководства ТП (директор, главный бухгалтер) и основных учредителей (в случае наличия в составе учредителей физических лиц), а также ксерокопии трудовых книжек вышеуказанных лиц;
  • бухгалтерский баланс с отметкой инспекции МНС;
  • анкету ТП, заверенную руководством ТП. (далее…)

Виртуальные карты

Виртуальные карты

Идея виртуальной карты основана на том, что во время проведения CNP-транзакции пластиковая карта как физический объект не применяется. Используются лишь реквизиты карты, и совсем необязательно, чтобы они были нанесены на пластик. Поэтому можно выделить отдельные предназначенные специально для ЭК номера карт с сопутствующими им реквизитами и «привязать» к таким виртуальным картам счета с небольшим остатком. В этом случае клиент будет застрахован от крупных потерь, связанных с риском мошенничества в ЭК.

Таким образом, смысл виртуальной карты заключается в том, чтобы психологически «раскрепостить» клиента при совершении электронных покупок. Действительно, карта, которой пользуется покупатель, связана с небольшим по размеру счетом, и потому весь риск покупателя ограничен потерей средств на этом счете. (далее…)

Виртуальные номера карт

виртуальная карта

Идея виртуальной карты получила развитие в технологии виртуального номера карты (используются также термины pseudo card number и proxy card number). Суть этой технологии заключается в том, что при заполнении формы торгового предприятия во время операции ЭК владелец карты вместо реального номера карты сообщает Интернет-магазину некоторый случайный номер. После того как транзакция поступает в систему эмитента для авторизации, производится обратное преобразование виртуального номера карты в реальный номер. В результате при выполнении операций ЭК реальный номер карты никогда не передается в платежную сеть и остается в системе эмитента. Таким образом, вероятность компрометации реальных номеров карт, а также вероятность успешного совершения транзакции ЭК мошенником становятся близкими к нулю. (далее…)

Решения по расчетам пластиковыми картами

расчетам пластиковыми картами

О некоторых других схемах проведения транзакций ЭК, повышающих безопасность платежей, говорилось ранее. Безусловный интерес представляет идея применения ПИН2, реализованная для банков-участников платежной системы STB CARD. Идея проста в реализации и эффективна с точки зрения защиты электронных платежей от мошенников.

Об идее системы банка First Virtual также уже коротко говорилось здесь. Суть идеи состоит в том, чтобы вместо реального номера карты ее владелец при инициализации транзакции ЭК представлял некоторый код, называемый VirtualPIN, которой, в свою очередь, на платежном сервере First Virtual заменяется на реальный номер карты. В результате ТП не видит реального номера карты и не хранит его в своих БД, что понижает шансы мошенников на успех. Кроме того, даже если мошенникам удастся украсть БД VirtualPIN, это не будет иметь для эмитентов карт столь серьезного значения, поскольку эту БД можно просто обновить — перевыпускать карты клиентам не понадобится. Более того, обновление БД VirtualPIN целесообразно для повышения безопасности электронных платежей. (далее…)

Системы электронной наличности

электронная наличность

Идея электронных наличных появилась более 10 лет назад. В 1980-х годах голландец Давид Шаум (David Chaum, после переезда в США чаще именуемый на англо-американский манер Дэвидом Чомом) получил патенты на разработанные им криптографические алгоритмы «слепой подписи», которые закладывали фундамент для альтернативы всем существовавшим системам платежей. Протоколы Чома позволяли создавать виртуальные электронные монеты, которые могли циркулировать подобно деньгам в онлайновой среде, абсолютно никак не раскрывая личности своих хозяев.

Сначала в Нидерландах, а потом и в США Чом основал компанию DigiCash, предназначенную для распространения технологии электронной наличности. В 1995 г. были запущены первые реальные проекты, когда систему электронных наличных лицензировал американский банк Mark Twain, а также несколько крупных банков и компаний в Европе, Австралии и Японии. Сама идея электронных наличных очень проста. Система электронных наличных оперирует электронными монетками, каждая из которых представляет собой файл-обязательство эмитента системы, подписанное цифровой подписью эмитента. Клиент обращается к эмитенту, отдает ему некоторое количество реальных денег и получает взамен некоторый файл-монету, который подтверждает тот факт, что эмитент должен клиенту соответствующую сумму денег. При наличии авторитетного эмитента такой файл ничем не хуже обычных денег. Более того, схема электронных наличных обладает грандиозным преимуществом перед обычными деньгами. Файл-монету можно передать по Интернету (или другим способом, например на дискете), осуществляя платеж, и получатель может обналичить его у того же эмитента или его доверенного лица. (далее…)

Системы, не использующие пластиковые карты

система без пластиковых карт

Другой тип системы ЭК, в общем случае не использующий для расчетов пластиковые карты, иллюстрирует система Earthport. В основе системы находится сервер Earthport, выполняющий функцию многопользовательского электронного бумажника.

В самом начале работы через систему Earthport клиент должен зарегистрироваться на сервере Earthport и открыть на нем свой бумажник. Пользователь в защищенной сессии предоставляет серверу информацию о себе, включая имя, адрес, телефон, а также средства расчета за покупку. В качестве средств расчета может быть либо номер счета в банке, либо реквизиты пластиковой карты. (далее…)

Правила международных платежных систем

платежные системы

CNP-транзакции рассматриваются в платежных системах как транзакции повышенного риска. В связи с этим все CNP-транзакции выполняются только в режиме реального времени (значение величины floor limit, определяющей верхний размер транзакции, которая может быть проведена в режиме off-line, для CNP-транзакций определено равным нулю).

По правилам международных платежных систем обслуживающие банки имеют право на обслуживание ТП, расположенных в его зоне Area of Use, которая определена лицензией, выданной данному банку платежной системой. При этом адрес ТП определяется по адресу, указанному в договоре между обслуживающим банком и ТП.

В соответствии с теми же правилами обслуживающие банки имеют право обслуживать торговые предприятия, расположенные вне зоны Area of Use, но только по транзакциям владельцев карт, чьи банки-эмитенты расположены в зоне Area of Use обслуживающего банка. (далее…)

Стандарты в области электронной коммерции

Стандарт

Мы уже писали о таких стандартах в области протоколов ЭК, как SET, 3D SET, 3D SSL, 3D Secure. Помимо стандартов, определяющих авторизационно-расчетную часть общего процесса ЭК, появляются стандарты, описывающие процессы сбора данных в области торговли и обмена данным между ТП и клиентом. Так, в июне 1999 г. такими лидерами в области ЭК, как America Online, American Express, Compaq, CyberCash, IBM, MasterCard, Microsoft, SETCo, Sun Microsystems, Transactor Networks, Trintech и VISA USA, был объявлен стандарт ECML (Electronic Commerce Modelling Language). Это открытый стандарт, позволяющий любой торговой организации принять и обработать данные от электронного бумажника. Он также позволяет владельцу бумажника быстро заполнить поля бланка своими данными (имя, адрес, реквизиты карты и т. п.) и автоматически передает введенные данные в ТП. Пользователю бумажника для этого достаточно выбрать функцию autofill (автоматическое заполнение). Такой подход принято называть One Click Shopping. Клиенту достаточно выбрать только логотип платежной системы, заполнение остальной части формы автоматически производится электронным бумажником. (далее…)

Правовые аспекты использования

Правовые аспекты

Некоторые вопросы, связанные с правовым обеспечением электронной коммерции, уже обсуждались при рассмотрении проблем защиты информации от несанкционированного доступа и использования электронной наличности для расчетов за электронные покупки.

Сегодня существует ряд юридических проблем, затрудняющих использование Интернет-коммерции. Во-первых, до 1 января 2001 г. существовал юридический казус, связанный с тем, что в соответствии с законом «О банках и банковской деятельности» операции с пластиковыми карточками не отнесены к банковским, а значит, могут подпадать под налогообложение. И только юридические ухищрения, связанные с возможностью расширительного толкования банковских операций на основе некоторых прецедентов, дают возможность вывести их из-под налогообложения. (далее…)

Вверх