Безопасность платежей в интернете
Новые представления о пространстве и времени, рожденные теорией относительности Эйнштейна, развитие наших представлений о материи (квантовая теория поля, элементарные частицы, полупроводники, сверхтекучесть, сверхпроводимость и т. п.), появление ядерной физики (от первых представлений об атоме Резерфорда и Бора, до расщепления и синтеза атомного ядра и управляемых термоядерных реакций), полеты человека в космос и развитие космонавтики, компьютеризация общества — все это символы прошедшего XX века. За одно столетие человечество совершило в своем развитии беспрецедентный по значимости шаг вперед.
Успехи в науке привели к тому, что XX век стал веком автоматизации в самых разных областях человеческой деятельности (наука, промышленность, финансовая активность, быт и т. п.). Примером внедрения автоматизации могут служить разнообразные системы управления, созданные человеком для обеспечения надежного контроля и управления функционированием как отдельных технических устройств, так и целых отраслей промышленности.
Автоматизация коснулась широких слоев населения планеты. Сегодня на многих предприятиях для повышения эффективности работы сотрудников внедрены локальные сети персональных компьютеров, позволяющие широко использовать системы электронной почты, электронного документооборота, юридические и бухгалтерские консультационные системы и многое, многое другое.
Успешное широкомасштабное внедрение средств автоматизации стало возможным только благодаря появлению электронных вычислительных машин (ЭВМ). Компьютер наряду с ядерной физикой и космонавтикой стал одним из главных символов прошедшего века. Влияние последствий появления вычислительных машин на развитие человеческого общества переоценить невозможно.
Компьютер впервые позволил человеку обрабатывать колоссальные объемы информации в течение коротких интервалов времени. Переход «количества» в «качество» не заставил себя долго ждать. На страницах этой книги невозможно даже перечислить всего, что стало возможным благодаря появлению ЭВМ.
Не ставя себе задачу рассказать о всех победах, одержанных человеком благодаря появлению компьютера, отметим лишь два достаточно экзотических открытия — расшифровку генома человека и доказательство великой теоремы Ферма (проблемы теории чисел, стоявшей перед математиками в течение нескольких веков), — сделать которые без использования компьютера было бы весьма затруднительно.
Бурное развитие вычислительной техники, вылившееся в появление компьютеров различной производительности и назначения (от высокопроизводительных мэйнфреймов до микропроцессоров на пластиковых картах), в свою очередь стимулировало развитие систем передачи цифровой информации, объединяющих различные вычислительные средства в мощные комплексы обработки информации. Системы передачи информации прошли эволюцию от специализированных систем, позволяющих с помощью специальных протоколов подключить к центральному компьютеру его удаленные терминалы до распределенных высокопроизводительных сетей, использующих для подключения пользователей самые разнообразные, но стандартные технологии и протоколы передачи информации. По своему назначению это были сети общего доступа или корпоративные сети. Кульминацией развития сетей общего доступа стал Интернет.
Обмен информацией по каналам связи в коллективных многопользовательских системах в свою очередь потребовал решения задачи обеспечения защиты информации от несанкционированного доступа. Это стимулировало развитие криптографических методов. В 70-е годы человечество взяло на вооружение открытые стандарты шифрования информации, что было единственно возможным решением проблемы обеспечения защиты информации в больших информационных системах.
Развитие перечисленных ранее технологий происходило разными способами и разными темпами. В то же время оно имело общие черты, отражающие общие для всех технологий тенденции. О двух тенденциях хочется сказать особо.
Первая — это стандартизация используемых технических средств (аппаратных и программных). Наличие общепринятых стандартов является единственным известным человечеству способом обеспечения совместимости средств различных производителей. Нужно сказать, что люди неплохо научились решать эту задачу, придерживаясь простого правила — сначала стандарт, а потом на его основе производство.
Вторая тенденция — индивидуализация или, иначе, персонализация различных технических средств. Технологии развиваются таким образом, чтобы новые технические средства могли войти в арсенал каждого человека. Персональные компьютеры, мобильные телефоны, Интернет — все это средства, предназначенные для индивидуального применения.
Среди достижений ушедшего века Интернет является одним из наиболее значимых. Широкое внедрение Интернета не могло не отразиться на развитии электронных форм бизнеса (e-business), одной из которых является электронная коммерция. Таким образом, электронная коммерция стала порождением самых современных технологий прошедшего столетия.
Многие крупные компании уже давно прибегают к помощи электронной коммерции (electronic commerce, или e-commerce) при проведении деловых операций. Электронный обмен данными (electronic data interchange, EDI) по частным компьютерным сетям начался в 60-х годах. Почти с того же времени банки начали успешно использовать телекоммуникационные сети для электронного перевода денежных средств (electronic funds transfer, EFT).
Системы электронной коммерции на базе протоколов EDI (ANSI X.12, EDIFACT) использовались крупными компаниями (например, такими, как General Electric, General Motors) для организации закупок комплектующих, запчастей, сырья у своих партнеров-поставщиков (системы e-procurement, или электронного снабжения). При этом обмен информацией производился через корпоративные телекоммуникационные сети этих компаний.
Системы, построенные на основе протоколов EDI, не получили широкого распространения в силу своей дороговизны. Они оказались доступными для использования только крупным компаниям.
С появлением Интернета ситуация в электронной коммерции изменилась коренным образом. У каждого пользователя персонального компьютера появилась возможность за относительно небольшие деньги получить доступ к практически любому информационному ресурсу, что полностью изменило представление об электронной коммерции. С ростом популярности Интернета и появлением новых технологий электронная коммерция вошла в жизнь многих больших и малых торговых фирм, а также частных лиц.
Электронная коммерция знаменует собой третий этап развития Интернета (бизнес в Интернете начинался с услуг Internet Service Provider, далее сменился обеспечением информационного наполнения Интернета и сегодня в значительной степени представлен различными системами электронной коммерции). При этом ее развитие не является монотонно возрастающей функцией времени. Бум в электронной коммерции, отмеченный летом 2000 г., уже к концу того же года сменился массой пессимистических сообщений, связанных с закрытием или сокращением персонала целого ряда Интернет-магазинов и Интернеткомпаний.
Такое развитие событий не следует драматизировать, вынося электронной коммерции смертный приговор, как это иногда делается в прессе. Оно характерно для начального этапа развития любого бизнеса, когда новая технология берется на вооружение, и в тех случаях, когда она бизнесу не очень нужна. В результате часть пионеров, не продумавших до конца необходимость использования электронной коммерции для решения своих задач, была вынуждена сойти с дистанции.
Электронная коммерция считается одним из видов электронного бизнеса. В соответствии с документами ООН, бизнес признается электронным, если хотя бы две его составляющие из четырех (производство товара или услуги, маркетинг, доставка товаров и расчеты) осуществляются с помощью Интернета. Поэтому в такой интерпретации обычно полагают, что покупка относится к электронной коммерции, если как минимум маркетинг (организация спроса) и расчеты производятся средствами Интернета.
Более узкая трактовка понятия «электронная коммерция» характеризует системы безналичных расчетов на основе пластиковых карт. В этом случае операция покупки считается электронной, если реквизиты карты передаются торговому предприятию или его агенту через Интернет. При этом товар может предлагаться на продажу без помощи Интернета, например через журнальные каталоги.
И все-таки наиболее популярная трактовка электронной коммерции состоит в следующем. Под электронной коммерцией подразумевается продажа товаров, при которой как минимум организация спроса на товары осуществляется через Интернет. При этом способ оплаты не имеет значения: расчеты за покупку могут совершаться даже наличными.
В настоящей книге будут использоваться два последних определения платежных систем. При этом, когда речь идет о безопасности расчетов, используется определение, введенное международными платежными системами, а в случаях, когда приводится статистика по объемам электронного бизнеса, — последнее определение.
Сегодня рынок электронной коммерции в зависимости от того, кем являются покупатель и продавец, принято делить по нескольким секторам:
- Business-to-Business (когда покупателем и продавцом являются юридические лица); сегодня это наиболее крупный сектор электронной коммерции, занимающий около 80 % всего рынка;
- Business-to-Consumer (в отличие от предыдущей схемы покупателем в этом случае является физическое лицо); на этот сектор приходится практически вся оставшаяся часть ЭК;
- Consumer-to-Consumer (покупателем и продавцом в этом случае являются физические лица; типичный пример — аукционы);
- Business-within-Business (когда роль покупателя и продавца играют различные подразделения одной и той же компании);
- Business-to-Government (выполнение заказов для правительственных учреждений). Электронная коммерция начиналась с операций купли-продажи и перечисления денежных средств по компьютерным сетям. В ее основе лежала традиционная коммерция. При этом использование электронных сетей добавляло электронной коммерции гибкости в решении задач организации спроса и расчетов, а также в отдельных случаях и доставки товаров.
Сегодня цели электронной коммерции с точки зрения бизнеса расширились. Они включают в себя не только деловые операции, прямо связанные с куплей-продажей товаров и услуг для непосредственного извлечения прибыли. Электронная коммерция подразумевает и поддержку извлечения прибыли: например, создание спроса на товары и услуги, организацию послепродажной поддержки и обслуживания клиентов, а также повышение эффективности взаимодействия между деловыми партнерами.
Оперируя цифровой информацией в компьютерных сетях, электронная коммерция предлагает бизнесу принципиально новые возможности: например облегчает сотрудничество деловых групп. Если такие группы представляют собой подразделения одной компании, то они могут обмениваться информацией при планировании маркетинговой стратегии. Электронная коммерция поможет в совместной работе над новыми товарами или услугами, даст возможность фирмам улучшить связи с потребителями.
Коммерческая деятельность через электронные сети снимает ряд физических ограничений, естественных для работы обычных предприятий торговли и сервиса. Компьютерные системы в Интернете способны обеспечивать поддержку клиентов 24 часа в сутки, семь дней в неделю.
Заказы на продукцию могут приниматься в любое время и из любого места нашей планеты. Развитию электронной коммерции в немалой степени способствовало отсутствие таможенных ограничений. Еще в 1996 г. специализированная комиссия ООН опубликовала «Акт о беспошлинной электронной торговле и международном торговом праве». С 1998 г. беспошлинную электронную торговлю ведут страны Европейского Союза и США. В мае того же года решение о введении беспошлинной торговли приняла Всемирная Торговая Организация, членом которой готовится стать Россия.
Электронная коммерция предлагает новые формы организации предприятия и ведения бизнеса. Примером может служить фактически символ электронного бизнеса — книготорговая фирма Amazon из Сиэтла. Не имея традиционных магазинов с прилавками, она продает всю продукцию через Интернет и напрямую координирует доставку товаров от издателей к покупателям.
Другой пример новой формы организации бизнеса — компания Software.net. Вся продукция этой компании — коммерческое программное обеспечение, находится на том же компьютере, который используется для приема заказов через Интернет.
В результате оборотные фонды компаний Amazon и Software.net полностью цифровые. Ключевым вопросом любой коммерческой сделки является способ ее оплаты. При широком разнообразии механизмов оплаты, как существующих, так и разрабатываемых, эта часть электронной коммерции наиболее подвижна и чувствительна к изменениям. Покупатели могут использовать пластиковые карты, электронные чеки, цифровую наличность, смарт-карты и т. п.
В настоящей книге в основном рассматривается способ оплаты по пластиковым картам, являющийся на сегодняшний день наиболее универсальным и хорошо апробированным методом безналичной оплаты товаров и услуг.
Ожидается, что позиции этого способа оплаты только укрепятся по мере распространения микропроцессорных карт, осуществляемого сегодня всеми крупнейшими международными платежными системами. Микропроцессорные карты обладают рядом существенных преимуществ по сравнению с другими средствами оплаты. К числу таких преимуществ в первую очередь следует отнести высокую защищенность операций от мошенничества благодаря применению криптографических методов, реализуемых картой, а также наличие широкого набора терминальных устройств, в которых покупатель может совершить операцию электронной коммерции с помощью микропроцессорной карты (персональный компьютер, GSM-телефон, приставка для телевизионного приемника Set-Top-Box).
Значение микропроцессорных карт для развития электронной коммерции возрастает с ростом рынка этих карт. Крупнейшие платежные системы еще в 1996 г. признали стандарт EMV и объявили о миграции всех своих карточных продуктов с магнитной полосой на смарт-карты, поддерживающие этот стандарт. Протоколы, разработанные для электронной коммерции, учитывают этот факт и позволяют эффективно использовать EMV-карты в электронной коммерции.
В свою очередь и стандарты в области микропроцессорных карт развиваются в направлении учета требований электронной коммерции. Так в 1999 г. в версии v.3.1.1 стандарта EMV были опубликованы спецификации Chip Electronic Commerce, а в последней версии 4.0 того же стандарта, принятой в июне 2000 г., приводится определение процедуры, позволяющей объединить выполнение команды Generate AC (команда генерации криптограммы) и динамической аутентификации карты (Dynamic Data Authentication). Новая процедура весьма полезна для реализации мобильной и телевизионной коммерции.
На конгрессе GSM World Congress, прошедшем в феврале 2001 г. в Каннах, впервые была продемонстрирована транзакция мобильной коммерции, выполненная по карте, поддерживающей стандарт EMV. Карта была создана компанией Oberthur и содержала два приложения: M/Chip Lite (версия стандарта EMV международных платежных систем Europay/MasterCard) и приложение SIM GSM. Транзакция была выполнена с помощью телефона Motorola Timeport GSM. EMV-приложение использовалось для расчетов за электронную покупку, а приложение SIM GSM — для выполнения стандартных функций, оговоренных в протоколе мобильной связи GSM.
Относительно недавно появился международный стандарт на электронный кошелек CEPS (Common Electronic Purse Standard). Электронные кошельки, поддерживающие этот стандарт, а также уже получившие распространение электронные кошельки Mondex, GeldKarte, Proton, VISA Cash, несомненно, со временем займут свою нишу в электронной коммерции.
Вполне возможно, что уже в ближайшие годы появятся новые методы оплаты. В частности, весьма перспективным представляется быстро развивающийся способ оплаты товаров небольшой стоимости с помощью микроденег (microcash) или электронной наличности. Сегодня на слуху системы электронной наличности eCash, DigiCash, Web Money Transfer, PayCash, CyberCash и другие.
Электронная коммерция развивается на наших глазах. Хотя еще не исчерпаны все возможности, обеспечиваемые текущим уровнем технологического развития, новые сетевые технологии и прикладные программы могут появиться уже завтра. Здесь в первую очередь следует отметить появление новых средств доступа в Интернет, повышающих возможности клиентов. К таким средствам доступа относятся устройства Set-Top-Box, предназначенные для организации интерактивного телевидения, мобильные телефоны стандарта GSM, карманные персональные компьютеры (Personal Digital Assistant).
Ожидается, что в ближайшем будущем мобильный телефон станет самым распространенным средством проведения операции покупки в электронной коммерции. По данным некоторых исследований уже в 2004 г. с помощью мобильной коммерции (часто для обозначения мобильной коммерции используется термин m-comrnerce) будет совершаться около 40 % электронных покупок.
Значительное внимание уделяется и развитию телевизионной коммерции (t-commerce). Телевизор остается самым массовым и привычным электронным устройством, находящимся в распоряжении человека. Новые формы цифрового телевидения позволяют эффективно использовать его и для решения задач финансового рынка, в частности, электронного бэнкинга и электронной коммерции. Сегодня устройства управления Set-Top-Box от компаний Расе, Philips, Pioneer и Sony уже прошли сертификацию на совместимость со стандартом ЕМ V по уровню Type Approval Level I. Об использовании микропроцессорных карт в электронной коммерции в этой книге будет рассказано подробно.
Настоящая книга посвящена главным образом одному аспекту электронной коммерции — расчетам. Эта часть электронной коммерции является наиболее сложной и фундаментальной. От качества организации расчетов (особенно от обеспечения их безопасности) зависит успех любого бизнеса, основанного на технологии электронной коммерции в целом.
Первоначально в планы автора входило дополнительно рассказать о построении Интернет-магазинов и организации Интернет-коммерции в целом. По мере работы над книгой стало понятно, что перечисленные аспекты должны стать темой отдельной книги. Слишком обширной и специфической по содержанию оказалась главная тема — безопасность электронной коммерции.
В книге рассмотрены все известные на сегодняшний день протоколы электронной коммерции, включая SET, 3D SET, SSL, 3D SSL, 3D Secure, технологию виртуальных номеров карт (Proxy Numbers). Обсуждаются достоинства и недостатки рассмотренных протоколов. Проводится их сравнение.
Несмотря на то что спецификации протокола Secure Electronic Transaction общедоступны, в книге, пожалуй, впервые на русском языке приводится достаточно подробное описание процедур получения сертификатов и совершения электронных покупок с комментариями, поясняющими необходимость тех или иных шагов алгоритмов протокола.
Для того чтобы читатель смог полностью разобраться с основными принципами, лежащими в основе протоколов безопасной коммерции, автор в отдельной главе постарался дать общее представление о современной прикладной криптографии. Автор надеется, что это поможет читателю оценить качество отдельных протоколов с точки зрения обеспечиваемой ими безопасности и экономии потребляемых вычислительных ресурсов.
Помимо описания протоколов Интернет-коммерции и обсуждения их достоинств и недостатков, читатель сможет познакомиться с правилами международных платежных систем, относящимися к электронной коммерции. Не остались без внимания и вопросы стандартизации в области электронной коммерции, а также правовые аспекты этого бизнеса.
Автор также посчитал необходимым дать в начале книги краткий обзор рынка Интернет-коммерции, а также рассказал о главных факторах, оказывающих влияние на эту технологию. Это было важно сделать не только для того, чтобы дать представление читателю о текущем состоянии дел в электронной коммерции. Необходимо также понять, в каком направлении будет развиваться эта технология. От правильного понимания тенденций развития электронной коммерции зависит успех технического и технологического обеспечения этой новой формы ведения бизнеса.