Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Вчера, сегодня и завтра технологий электронной коммерции

(Нет голосов)

11.07.2006 Количество просмотров 1623 просмотра

E-commerce набирает обороты Сегодня мировой рынок электронной коммерции (ЭК) продолжает набирать обороты: например, в Европе более 10% объема всех розничных покупок, оплаченных с использованием банковских карт, совершено в онлайновых магазинах. По прогнозам MasterCard Worldwide, уже к 2008 г. этот показатель возрастет до 24%, а в совокупности операции Card Not Present (CNP-операции), включающие в себя, помимо Интернет-транзакций, Mail Order/Telephone Order операции (MO/TO-транзакции) и рекуррентные платежи, займут к этому времени около 40% общего объема продаж с использованием карт.






По данным Национальной ассоциации участников электронной торговли (НАУЭТ), по итогам 2005г. объем российского рынка электронной торговли составил 4,47 млрд. долл. США, продемонстрировав годовой рост в 38%.

При этом сектор В2С, в котором, как правило, для оплаты товаров используются платежные карты, НАУЭТ оценивает двумя разными показателями. Так, по данным, полученным от ряда Интернет-магазинов, в 2005 г. в Рунете было продано товаров и услуг на 1 млрд. долл., что на 51% больше, чем в 2004г. Согласно же результатам, базирующимся на данных опроса 3850 посетителей Интернет-кафе Cafemax, проведенного НАУЭТ, годовой объем продаж всех российских Интернет-магазинов в 2005г. оценивается не менее чем в 2,6 млрд. долл. В то же время необходимо признать, что до настоящего времени для проведения онлайновых покупок банковские карты в России используются крайне редко. Точными данными по объему безналичных покупок с использованием карт через Интернет автор настоящей статьи не располагает, однако, по некоторым оценкам, доля таких покупок составляет считаные проценты. При этом в недалеком будущем, по мнению автора, следует ожидать того, что ситуация с популярностью использования карт изменится – очевидно, что онлайновые магазины хотят получать гарантию оплаты своих товаров до начала реализации заказа.

Возможность совершить покупки заочно (без присутствия покупателя в торговом предприятии) всегда являлась привлекательной как для покупателя, так и для продавца. Покупателя привлекает удобство оплаты покупки (не выходя из дома, в любое время суток, в спокойном режиме, без очереди и т. п.), продавца – главным образом возможность круглосуточной рекламы своего товара широкой аудитории потенциальных покупателей и снижение накладных расходов на организацию торговли.

В то же время очевидно, что CNP-операции относятся к классу транзакций повышенного риска. Действительно, для успешного проведения такой операции в большинстве случаев достаточно знать лишь общие реквизиты карты (номер и срок действия). Ни подпись держателя карты как средство его аутентификации, ни средства аутентификации самой карты (голограмма, микропечать, секретные символы, изображения на передней панели карты в ультрафиолетовом свете и т. п.) в этом случае не используются. Поэтому, разрешив CNP-операции и принимая во внимание связанные с ними риски, платежные системы в то же время наложили ограничения на способ реализации данных транзакций и изменили распределение ответственности между участниками таких операций. Так, все CNP-транзакции должны были проводиться в режиме реального времени и только по кредитным картам (правда, не все платежные системы могут до настоящего времени надежно контролировать последнее ограничение); ответственность за возможное мошенничество по CNP-транзакции возлагалась на обслуживающий банк, который, в свою очередь, перекладывал ее на обслуживаемый магазин. Иными словами, держателю карты достаточно было отказаться от проведения CNP-транзакции, чтобы банк-эмитент получил от банка-эквайера денежные средства по онлайновой операции в пользу держателя своей карты.

Однако даже при столь высоком уровне риска интерес к онлайновой торговле на мировом рынке не уменьшается, так как риски потерь оказались ниже получаемых от ведения электронной торговли преимуществ.

Основной составляющей CNP-торговли является электронная коммерция (ЭК), на которую к 2008 г. будет приходиться 60% всех CNP-операций. Однако многие выводы, которые автор статьи делает ниже, могут быть расширены и на другие виды CNP-операций, в частности, MO/TOтранзакции и рекуррентные платежи. Развитие ЭК привело к появлению двух главных видов угрозы безопасности карточных операций: мошенничеству, связанному с неавторизованным использованием реквизитов реальной чужой карты для оплаты онлайновых покупок, и краже реквизитов карт из баз данных процессинговых систем Интернет-магазинов. Похищенные реквизиты карт используются в операциях той же ЭК или для фальсификации карт, используемых в обычных магазинах. Для подделки карт украденные в Интернет-магазинах данные используются реже, поскольку они не содержат всей информации, записанной на магнитной полосе (в частности, значений CVV/CVC), а потому могут применяться только для фальсификации кредитных карт с целью использования последних для проведения подлимитных операций в традиционных торговых точках. В последнее время возросло число краж персональных данных через Интернет методом так называемого фишинга (phising), который, однако, относится скорее к психологическому способу выманивания конфиденциальной информации о клиенте, и поэтому в рамках настоящей статьи подробно не рассматривается.

Платежные системы с самого начала в полной мере осознавали угрозы, связанные с использованием карт в рамках ЭК, и потому уже давно приступили к разработке контрмер по уменьшению их влияния на безопасность карточных операций. Данные меры можно условно разделить на следующие составляющие: • разработка протокола проведения операций ЭК, позволяющего обеспечить высокий уровень безопасности; • формулирование требований к процессинговым системам онлайновых магазинов и процессоров третьей стороны, позволяющих уменьшить вероятность кражи из них данных о карточных реквизитах; • разработка и распространение среди обслуживающих банков методических документов, формализующих наиболее успешные и доказавшие свою эффективность методы борьбы с карточным мошенничеством в онлайновых магазинах; • организационно-юридические меры, позволяющие, в том числе, штрафовать банки, неспособные обеспечить необходимый уровень защиты карточных операций в обслуживаемых магазинах.








В данной статье автор приводит краткий обзор текущего состояния дел по первым двум пунктам из приведенного списка, поскольку именно перечисленные в этих пунктах меры оказывают наиболее серьезное влияние на безопасность платежей в Интернете.

Свою деятельность по повышению безопасности Интернет-транзакций платежные системы начали с разработки надежного единого протокола проведения операций ЭК. В соответствии с требованиями, предъявляемыми к такому протоколу, последний должен обеспечивать: • взаимную аутентификацию участников Интернет-транзакции (покупателя – торгового предприятия, торгового предприятия – его банка-эквайера, покупателя – банка-эквайера); • конфиденциальность реквизитов платежной карты (номера, срока действия, CVC2/CVV2 и т.п.), используемых при проведении Интернет-транзакции, для торгового предприятия; • невозможность отказа от проведенной транзакции для всех ее участников. Спецификации протокола Secure Electronic Transaction (SET), удовлетворяющего всем перечисленным требованиям, были впервые опубликованы в 1996 г., а в 1997г. он был утвержден в качестве отраслевого стандарта и признан всеми ведущими платежными системами основным способом борьбы с фродом.

До появления SET банки использовали протокол SSL (Secure Socket Layer), позволяющий обеспечить конфиденциальность и целостность данных, которыми обменивались Интернет-магазин и держатель карты, а также выполнить условную аутентификацию торгового предприятия, подтверждающую только тот факт, что URL Интернет-магазина соответствует данным обязательного элемента common data сертификата открытого ключа магазина. Для сравнения – полноценной можно считать такую аутентификацию, при которой торговое предприятие имеет сертификат, выданный либо обслуживающим его банком-эквайером, либо центром сертификации платежной системы, при выдаче которого используются процедуры проверки подлинности торгового предприятия. Это означает, что магазин, в котором держатель карты приобретает товар, имеет соглашение с банком, авторизованным на обслуживание торговых предприятий платежной системой, сертификат открытого ключа которой изначально имеется в распоряжении покупателя.

Протокол SSL, разработанный компанией Netscape, является составной частью всех известных Интернет-браузеров и Web-серверов. Данный факт в совокупности с высокой производительностью протокола (асимметричные алгоритмы шифрования используются только на этапе установления защищенной сессии, для защиты информационного обмена от несанкционированного доступа используются только симметричные алгоритмы) и его реализацией между транспортным и сеансовым уровнями ЭМВОС (Эталонной Модели Взаимодействия Открытых Систем), что делает протокол независимым от протоколов прикладного уровня, обеспечил SSL чрезвычайную популярность при решении задач защиты информации в среде Интернет.

Недостатки протокола SSL в приложении к Интернет-транзакциям заключаются в упоминавшейся ранее условной аутентификации онлайнового магазина, отсутствии аутентификации держателя карты, доступности данных о реквизитах карты для магазина, а также в отсутствии механизма, обеспечивающего невозможность отказа от проведенной операции ее участниками (цифровая подпись в SSL не поддерживается).

Протокол SET был лишен всех присущих SSL недостатков, а с технологической точки зрения представлял собой идеальное средство для платежей в Интернете. В основе протокола лежит многоуровневая инфраструктура PKI (Public Key Infrastructure), обеспечивающая не только взаимную аутентификацию всех участников транзакции, но и невозможность отказа от выполненной операции любым из них. В случае использования участниками транзакции протокола SET мошенник, помимо реквизитов платежной карты, должен владеть закрытым ключом держателя карты и сертификатом соответствующего ему открытого ключа для успешного проведения онлайновой покупки. Торговому предприятию, в свою очередь, информация о реквизитах карты недоступна. И, наконец, онлайновый магазин и держатель карты получают подтверждения факта совершения транзакции, заверенные, соответственно, подписями держателя карты и магазина, что делает невозможным отказ от результатов операции ни одним из участников транзакции ЭК. Подробнее с достоинствами протокола SET можно ознакомиться в книге автора этой статьи “Безопасность платежей в Интернете”*. С другой стороны, уже к 2000г. участникам рынка ЭК стало понятно, что высокая стоимость аппаратно-программного решения для протокола SET (от 600 тыс. долл. США до 1,5 млн. долл.), отсутствие инфраструктуры по сертификации держателей карт, а также сложность самой реализации протокола обрекают протокол SET на вымирание. Сложность реализации протокола, в частности, проявлялась в определенных усилиях, которые должны были предпринять держатели карт, в частности, установить на своих компьютерах специальное приложение, поддерживающее SET, а также провести процедуру генерации сертификатов своих открытых ключей. Массовый клиент не был готов к таким сложностям, и платежные системы предприняли попытку замены протокола SET протоколом 3D SET.

Главное отличие последнего протокола от предшественника состояло в том, что на PC держателя карты вместо специального приложения (Wallet), на инсталляцию которого уходило до 20 мин. и порядка 4–6 звонков в help-desk банка-эмитента, устанавливалось специальное приложение – тонкий клиент сервера эмитента, которое в нужный момент выполнения транзакции переключало магазин на сервер эмитента. Именно сервер банка-эмитента играет роль держателя карты при обработке транзакции в соответствии с протоколом 3D SET, включая генерацию и сертификацию пары асимметричных ключей держателя карты. Однако прежде чем выполнять за держателя карты его функции, предписанные протоколом SET, сервер эмитента производил аутентификацию держателя карты способом, определенным банкомэмитентом (например, с помощью пароля). Но и попытка упрощения протокола SET ни к чему не привела – решение попрежнему оставалось дорогим и трудновнедряемым. В результате в конце 1990-х годов платежные системы приступили к поиску альтернативы протоколу SET. В 2001г. Visa International выпустила на рынок протокол 3D Secure, который сегодня является основным протоколом проведения операций в области ЭК всех ведущих международных платежных систем, а также стал единственной компонентой программ Verified by Visa (VbV) и MasterCard Secure Code.

3D Secure существенно проще с точки зрения реализации и дешевле по стоимости внедрения (около 200 тыс. долл. за полное решение по эмиссии и эквайрингу карт в Интернете). При его использовании не требуется установки дополнительного программного обеспечения на PC держателя, клиенту достаточно зарегистрироваться на сайте банка-эмитента (Enrollment Server). В ходе процедуры регистрации держатель в общем случае получает специальный пароль для аутентификации сервером эмитента (Access Control Server) и придумывает специальное сообщение (Personal Assurance Message), используемое для аутентификации держателем карты сервера эмитента. Инфраструктура ключей PKI, используемая в рамках протокола 3D Secure, гораздо проще аналогичной инфраструктуры, применяемой в SET.

Какое-то время Visa International обеспечивала совместимость SET с протоколом 3D Secure, и держатель карты, поддерживающий протокол 3D SET, мог обслуживаться в торговой точке, поддерживающей 3D Secure. Но потом о протоколе SET забыли окончательно, и сервер SET Coexistence Server, обеспечивающий совместимость протоколов, был выведен платежной системой из эксплуатации. Основными свойствами протокола 3D Secure являются надежная аутентификация держателя карты ее эмитентом в соответствии с алгоритмом, определенным эмитентом (чаще всего по паролю), а также невозможность отказа от транзакции. При этом аутентификация онлайнового магазина держателем карты не производится (возможна аутентификация торгового предприятия по паролю сервером директории платежной системы – Directory Server), и данные о реквизитах карты не являются прозрачными для торгового предприятия. В результате, по оценкам экспертов, при использовании протокола 3D Secure вероятность мошенничества при выполнении операции ЭК снижается примерно на 80%!


Сравнительный анализ протокола 3D Secure с протоколом-эталоном 3D SET обобщен в таблице 1.

Тем не менее протокол 3D Secure обладает одним существенным недостатком: изза большого количества переключений (redirects) держателя карты в ходе выполнения транзакции время обработки Интернет-покупки существенно возрастает. Как видно из таблицы 2, протокол 3D Secure получил значительное распространение с точки зрения приема карт, т. е. среди банков-эквайеров и торговых точек, но все еще мало популярен с точки зрения его поддержки эмитентами.

Например, в Европе, по данным MasterCard Worldwide, сертификацию на использование протокола 3D Secure прошли 274 эмитента, в результате 44,7 млн. держателей карт этой платежной системы получили возможность воспользоваться этим методом платежей в Интернете. При этом число зарегистрированных на участие в программе 3D Secure держателей карт к 31 мая 2006г. составило 11,8 млн., удвоившись за прошедший календарный год. Сложившуюся ситуацию, как считают эксперты, обусловливают следующие факты. Так, достаточно высокая активность поддержки протокола 3D Secure со стороны банков-эквайеров и онлайновых магазинов связана с тем, что платежные системы приняли так называемый Merchant Only Liability Shift, в соответствии с которым при поддержке магазином протокола 3D Secure эмитент теряет возможность отказа от платежа по причине непризнания операции держателем карты. Что касается поддержки протокола 3D Secure банками-эмитентами, то в Северной Америке Merchant Only Liability Shift усиливается требованием того, что эмитент, разрешающий своим держателям карт выполнять операции ЭК, обязан поддерживать протокол 3D Secure.

Однако даже с учетом этого факта активность эмитентов остается невысокой. По данным таблицы 1, данный протокол обработки транзакций ЭК поддерживают менее 15% эмитентов и еще меньшая доля держателей карт. Пассивность держателей карт в участии в программе безопасных платежей связана с тем, что зачастую потери клиентов от мошеннических карточных операций оплачиваются их банками (например, в США и Великобритании), а также с тем, что от держателя требуются некоторые личные усилия для регистрации в программе 3D Secure. Чтобы избавить держателя от необходимости регистрации в программе безопасных платежей, платежные системы разработали программы Chip Authentication Program (CAP, MasterCard) и Token Based Authentication (TBA, Visa), позволяющие держателям микропроцессорных карт получать с их помощью одноразовые пароли для аутентификации при выполнении CNPтранзакций**. Для того чтобы воспользоваться этим способом аутентификации, держатель также должен обладать персональным ридером микропроцессорных карт, стоимость которого при крупных партиях продаж составляет порядка 5–10 евро. Сегодня, с точки зрения платежных систем, данный способ двухфакторной аутентификации держателя является наиболее перспективным для использования в протоколе 3D Secure (в рамках единой спецификации Common Payment Application платежных систем Visa International и MasterCard WorldWide был даже разработан специальный профиль обработки транзакции, предназначенной для аутентификации держателя карты). Кроме того, он удобен для держателя карты, и при его применении можно обойтись без аутентификации сервера эмитента Access Control Server, поскольку получаемый пароль является одноразовым и компрометация такого пароля ничего мошеннику не дает. Подробнее о принципах работы этого способа аутентификации можно прочитать в параграфе 6.1.3 книги “Микропроцессорные карты стандарта EMV”***.

Недавно MasterCard WorldWide объявила о двух новых инициативах в области CAP: о разработке специальных персонализированных устройств, совмещающих в себе ридер и карту, а также об использовании клиентами банков на своих J2MEсовместимых телефонах или КПК предустанавливаемого мидлета, способного вычислять значение одноразового пароля.

Из-за того что протокол 3D Secure не получил необходимого уровня распространения, многие банки-эквайеры применяют в своих системах дополнительные процедуры проверки при обработке транзакций ЭК. К последним относятся:

• проверка IP-адреса держателя карты, по которому ему доставляются отчеты о карточных операциях (Address Verification System, или AVS);

• предоставление значений CVV2/CVC2 для проверки эмитенту;

• проверка количества транзакций, выполненных с данного IP-адреса (IP Address Frequency Check);

• контроль количества транзакций, выполненных по карте в течение определенного промежутка времени (Card Number Frequency Check);

• проверка на совпадение страны адреса доставки товаров со страной, резидентом которой является банк-эмитент карточки (Country Match). Страна, резидентом которой является банк, определяется по значению идентификационного номера банка (Bank Identification Number или BIN);

• проверка IP-адреса (или сетки адресов), с которого была инициирована транзакция, на предмет его нахождения в черном списке (Block IP Address);

• проверка местоположения держателя карты (по IP-адресу его Интернет-провайдера) с географией доставки товаров (Geolocation);

• отсев карт по некоторым БИНам банков (Block Bank BINs);

• отсев транзакций, поступающих с анонимных прокси-серверов (Block Proxy);

• отсев транзакций, при совершении которых были указаны адреса электронной почты из доменов определенных категорий, например, предлагающих услуги бесплатной электронной почты (Block Proxy);

• проверка номера карты на его присутствие в черном списке (Negative Database);

• использование открытых ресурсов, хранящих черные списки реквизитов мошеннических карт (например, CyberSource Negative Database and Scoring System, SharedGlobal Negative Database and Scoring System), а также осуществляющих аутентификацию держателя карты по номеру его телефона (MyVirtualCard).

Первые две проверки из приведенного выше списка рекомендуются платежными системами. Так, Visa International считает, что использование проверки CVV2 уменьшает вероятность фрода более чем на 60%. Сегодня платежные системы предпринимают шаги к тому, чтобы обязать эмитентов проверять полученные из авторизационных запросов значения CVC2/CVV2, в своих процессинговых системах, а высокорискованные торговые предприятия (например, онлайновые казино) – вставлять в авторизационные запросы значения этих криптовеличин.

Исследования консалтинговой компании ClearCommerce (США) относительно оценки эффективности использования системы AVS показали, что только 40% транзакций успешно проходят эту проверку, при том, что, как показывает практика, доля мошеннических транзакций на мировом рынке в целом в среднем не превышает 1%. С другой стороны, при использовании AVS успешно преодолевают эту защиту 35% мошеннических операций.

Кроме перечисленных проверок, онлайновые магазины иногда обращают внимание на следующие факторы, повышающие вероятность мошенничества:

• клиент впервые обслуживается в магазине;

• размер транзакции выше обычного для магазина значения;

• заказ состоит из большого количества одинаковых предметов;

• транзакции выполняются по картам с похожими номерами;

• адрес доставки заказа для покупок, совершенных по разным картам, один и тот же;

• проведение нескольких транзакций по одной карте в течение короткого интервала времени;

• несколько транзакций, выполненных по различным картам с одним адресом доставки выписок (billing address), но с разными адресами доставки товаров;

• клиент хочет оплатить транзакцию более чем одной картой.

У магазина (особенно MO/TO-магазина) могут быть и другие причины для сомнения, например, нерешительность держателя карты в предоставлении персональных данных, требование к срочности выполнения заказа, странный адрес доставки, незаинтересованность клиента в выборе свойств товара (например, цвета, размера) и т.д.

Другой упоминавшийся ранее аспект проблемы мошенничества для CNP-транзакций – кража данных о реквизитах карт с серверов главным образом онлайновых магазинов. Несмотря на запрет платежных систем, банки-эквайеры и торговые предприятия продолжают хранить в своих системах значения CVC2/CVV2, данные магнитной полосы карты, используемые в AVS адреса, зашифрованные ПИН-блоки. Онлайновые магазины оставляют в своих БД доступные им данные: номер карты, срок действия, иногда CVV2/CVC2 и адрес, используемый в системе AVS.

В результате при взломе сайтов онлайновых магазинов происходит компрометация данных карт различных эмитентов. При этом аналогичным атакам подвергаются и гораздо более защищенные серверы процессинговых компаний, деятельность которых включает в себя обслуживание Интернет-операций. Так, самым показательным является случай взлома базы данных процессора CardSystems Solutions в мае 2005г., в результате чего были потенциально скомпрометированы 40 млн. карт.

Для повышения уровня защиты информации, хранящейся на серверах онлайновых магазинов, ведущие платежные системы в течение нескольких последних лет требовали от своих банков-членов участия в программах Visa Account Information Security и MasterCard Site Data Protection. Последние, в свою очередь, обязывают банки контролировать обслуживаемые ими онлайновые магазины в плане выполнения ряда обязательных условий обеспечения безопасности, к которым относятся:

• поддержка на сервере торгового предприятия средств защиты сетевого доступа (Firewall);

• шифрование конфиденциальных данных при их хранении и передаче; • использование актуальных антивирусных программ;

• своевременное применение “заплат безопасности” в используемом программном обеспечении;

• использование процедур разграничения доступа к серверам и данным; • выполнение постоянных аудитов систем безопасности онлайновых магазинов.

В конце 2004г. Visa International и MasterCard International привели свои требования к общему знаменателю в рамках принятого ими стандарта Plastic Card Industry Data Security Standard (PCI DSS).

Последний включает в себя 12 общих требований, которые должны удовлетворяться информационными системами любого (в том числе онлайнового) магазина или третьестороннего процессора: 1. Для защиты сетевого доступа к серверам, хранящим карточную информацию, необходимо использовать специализированные аппаратно-программные средства Firewall. Настройки Firewall, определяющие разрешенный сетевой трафик, должны постоянно контролироваться. 2. Нельзя применять для ввода паролей и других параметров безопасности какиелибо значения по умолчанию. Как пример для иллюстрации – использование дефолтных значений параметров протокола WEP, применяемого для обеспечения безопасности беспроводной радиосвязи WiFi, при использовании стандарта IEEE 802.11b приводит к тому, что большинство устройств этого стандарта на данный момент не поддерживают необходимого уровня безопасности. 3. Хранимые данные карты должны быть защищены (с помощью шифрования, хэширования или усечения хранимой информации). В системах торговых предприятий не должна храниться информация (даже в зашифрованном виде), используемая для аутентификации держателя карты (например, значения PVV, вторая дорожка магнитной полосы карты и т. п.). 4. Передаваемые по сети данные держателя карты должны быть надежно зашифрованы (допускается использование симметричных алгоритмов 3DES с ключом не менее 112 битов, AES с длиной ключа 256 битов и асимметричного алгоритма RSA с длиной ключа 1024 бита). 5. Необходимо использовать и регулярно обновлять антивирусное ПО. 6. Необходимо уделять внимание обнаружению и устранению уязвимостей в используемом магазином ПО (вовремя использовать его модификации, устраняющие обнаруженные уязвимости, установить процесс тестирования разработанного своими силами ПО на предмет обнаружения уязвимостей, использовать лучшие практики разработки нового ПО и т. п.). 7. Использовать ограничение доступа сотрудников торгового предприятия только к функциям и информации, необходимым им по роду деятельности. 8. Каждый пользователь процессинговой системы магазина должен иметь уникальный идентификатор, используемый для его аутентификации внутри системы. Уникальность идентификатора позволяет не только обеспечить разграничение доступа в системе, но и отследить действия всех сотрудников в информационной системе магазина. 9. Физический доступ сотрудников магазина к серверам, хранящим БД реквизитов карт, должен быть ограничен. Это позволяет избежать возможности записи информации на внешние носители, замены и кражи оборудования, хранящего чувствительную информацию. Кроме того, следует ограничить их физический доступ к телекоммуникационным ресурсам, через которые возможен доступ к серверам (в частности, к точкам доступа беспроводной связи). 10. Необходимо выполнять мониторинг доступа к БД реквизитов карт, используя механизмы логирования активности пользователей системы, связанной с доступом в систему, попытками аутентификации и т. п. 11. Необходимо регулярно проводить аудит и тестирование систем безопасности магазина. 12. Необходимо поддерживать политику безопасности внутри компании, четко определяющую для каждого сотрудника онлайнового магазина требования, предъявляемые к нему с точки зрения поддержания безопасности системы магазина в целом.

В уже упоминавшейся книге “Безопасность платежей в Интернете” автором доказывается следующее утверждение: при ограниченных затратах на создание процессинговой системы для нескольких торгово-сервисных предприятий (ТСП) эффективнее инвестировать средства в повышение безопасности центрального сервера третьестороннего процессора, чем сервера каждого ТСП в отдельности. При этом, как правило, отмечается некий синергетический эффект, нарастающий по мере возрастания количества ТСП, работающих в системе. Поэтому схема, при которой несколько ТСП обслуживается одним сервером, получает на практике широкое распространение. В зависимости от потенциальной угрозы доступа к информации по картам, хранящейся в информационных системах магазинов и третьесторонних процессоров, платежные системы делят магазины и процессоры на четыре уровня. Кроме того, платежными системами определяются три типа мероприятий, проводимых для оценки уровня соответствия магазина стандарту PCI DSS: • аудит безопасности, проводимый непосредственно в торговом предприятии; • самооценка системы безопасности магазина/процессора по вопроснику, предлагаемому платежной системой; • сетевое сканирование доступа к карточным данным. Аудиты безопасности и сетевое сканирование выполняют специально сертифицированные для этих целей платежными системами компании. В частности, в России Visa International выбрала для этого компанию “Информзащита”. Определение уровней потенциальной угрозы и действия, требуемые для торгово-сервисного предприятия /процессора каждого уровня, приведены в таблицах 3 и 4.

Для расчетов за покупки в Интернете, помимо банковских карт, используются альтернативные технологии. Так, в России довольно широкое распространение получила электронная наличность. Идея электронных наличных появилась более 10 лет назад. В 1980-х гг. голландец Давид Шаум (David Chaum), после своего переезда в США именуемый на англо-американский манер Дэвидом Чомом, получил патенты на разработанные им криптографические алгоритмы “слепой подписи”, которые закладывали фундамент для альтернативы всем существовавшим системам платежей. Протоколы Чома позволяют создавать виртуальные электронные монеты, которые могли бы циркулировать подобно деньгам в онлайновой среде, никоим образом не раскрывая личности своих хозяев.

Идея электронных наличных очень проста. Система оперирует электронными монетами, каждая из которых представляет собой файл-обязательство эмитента системы, подписанное его цифровой подписью. Клиент обращается к эмитенту, отдает ему некоторое количество реальных денег и получает взамен некоторый файл-монету, который подтверждает тот факт, что эмитент должен клиенту соответствующую сумму денег. При наличии авторитетного эмитента такой файл ничем не хуже обычных денег. Более того, схема электронных наличных обладает грандиозным преимуществом перед обычными деньгами: осуществляя платеж, файл-монету можно передать по Интернету (или на дискете), и получатель может обналичить его у того же эмитента или его доверенного лица.

Продолжателями идей Чома в России стали платежные схемы WebMoney и PayCash. В то же время после появления микропроцессорных банковских карт перспективы дальнейшего развития систем, использующих электронную наличность, автор статьи оценивает невысоко. Дело в том, что наиболее устойчивая рыночная ниша для использования электронной наличности – платежи на небольшие суммы – в обозримом будущем будет покрыта офлайновыми платежами в Интернете с использованием микропроцессорных карт (когда-нибудь CNP-транзакции можно будет совершать в офлайновом режиме). Что касается другого преимущества электронных наличных – анонимности платежей, то после терактов 11 сентября 2001г. отношение к подобным платежам в мире серьезно изменилось, и правительства большинства стран выступили сторонниками персонифицированных платежей.

Еще один существенный недостаток электронной наличности – отсутствие стандартизации технологии расчетов.

В данной статье автор не рассматривает подробно еще две популярные когда-то инициативы платежных систем – виртуальные карты и протокол SPA/UCAF, еще недавно предлагавшийся MasterCard в рамках программы MasterCard Secure Code. Протокол SPA/UCAF, при аналогичном уровне обеспечиваемой им безопасности, имел массу преимуществ по сравнению с 3D Secure: был проще с точки зрения реализации в онлайновом магазине, не требовал наличия инфраструктуры PKI, требовал гораздо меньше “переключений” держателя карты в ходе выполнения транзакции. Однако в отличие от 3D Secure для использования SPA/UCAF держателю карты было необходимо установить на своем компьютере специальное ПО, что усложняло внедрение протокола. В результате последний был выведен из использования в программе MasterCard Secure Code.

Резюмируя вышесказанное, можно сделать следующие выводы. Активное развитие технологий ЭК на мировом рынке в течение более чем 10 лет привело к определенным успехам в области повышения безопасности безналичных расчетов по онлайновым покупкам. Так, по сравнению с 2000г. в 2005году уровень фрода в ЭК уменьшился с 57 до 30 базисных пунктов (что пока еще примерно в 4 раза выше, чем в среднем в карточной отрасли). Такое снижение стало возможным главным образом за счет применения систем мониторинга операций онлайновыми магазинами и банками-эквайерами, внедрения проверки величин CVC2/CVV2, использования системы AVS.

Однако широкомасштабного внедрения надежного протокола электронной коммерции, каким на сегодняшний день международными платежными системами признан протокол 3D Secure, до сих пор не произошло. И это несмотря на то, что проведенный анализ свидетельствует о том, что использование этого протокола позволило бы уменьшить уровень фрода до 5–7 базисных пунктов. С другой стороны, ни для кого не секрет, что банковские карты с магнитной полосой изначально признавались небезопасным средством для выполнения операций ЭК.

По мнению автора данной статьи, ситуация коренным образом изменится после того как банкам-участникам платежных систем удастся осуществить широкое внедрение чиповых карт EMV-стандарта. Пока этого знакового события не произошло, следует признать, что микропроцессорные карты, став мощным инструментом борьбы с мошенничеством по поддельным, украденным/потерянным картам, до сих пор практически никак не влияют на уровень фрода в электронной коммерции.

В то же время вычислительные возможности чиповых карт растут. Фактически микропроцессорная карта становится безопасной универсальной мобильной аппаратно-программной платформой, широко используемой для аутентификации держателя и хранения его конфиденциальных данных. В результате уже в течение нескольких ближайших лет можно ожидать появления новых видов средств для общения с микропроцессорной картой (контактных и бесконтактных ридеров, работающих не только на основе стандартов ISO 7816 и ISO 14443, но и с помощью протоколов USB, TCP/IP и т. п.), инкорпорированных с персональными компьютерами. Таким образом, держатель сможет использовать карту для сетевого контакта с сервером онлайнового магазина. В этом случае через Интернет можно будет выполнять операцию покупки на основе протокола EMV, как если бы карта вводилась в ридер обычного POS-терминала. К сожалению, сегодня такие ридеры еще не созданы. Однако уже имеются персональные ридеры, используемые для аутентификации держателя карты по схемам CAP/TBA. В рамках выполнения операций ЭК эти схемы становятся составной частью протокола 3D Secure (аутентификация держателя карты в домене эмитента).

Кроме того, персональные ридеры можно использовать для выполнения транзакции ЭК не по трехдоменной схеме 3D Secure, а по схеме, принятой при выполнении обычной покупки. Так, после подтверждения клиентом выбранных для покупки товаров онлайновый магазин запрашивает клиента о способе оплаты. Клиент подтверждает свою способность поддержать протокол DCAP (Direct Chip Authentication Program, так мы условно назовем предлагаемый протокол) и в ответ получает от онлайнового магазина форму, в которой должен указать одноразовый пароль. Этот пароль генерируется тем же способом, что и сейчас (двухфакторная аутентификация с использованием персонального ридера и микропроцессорной карты), и, следовательно, является функцией от криптограммы Application Authentication Cryptogram, вычисленной картой. Онлайновый магазин может предварительно проверить на сервере директории платежной системы факт поддержки эмитентом карты протокола DCAP.

Одноразовый пароль передается банку-эмитенту в авторизационном запросе в качестве элемента данных CAVV (Cardholder Authentication Verification Value в терминологии VISA)/AAV (Accountholder Authentication Value в терминологии MasterCard), который уже поддерживается банками и сетями в рамках протокола 3D Secure. Эмитент проверяет пароль, аутентифицируя держателя карты. Таким образом, операция в этом случае выполняется в той же последовательности, что и обычная покупка по карте (число переключений и, значит, время выполнения транзакции сокращаются), при этом в описанной схеме не нужны ни сервер эмитента (Access Control Server), ни сервер для регистрации держателя карты (Enrollment Server). Другими словами, при использовании протокола DCAP проблема непопулярности 3D Secure на стороне эмитента будет в значительной степени преодолена. Кроме того, как уже упоминалось, протокол DCAP – это естественный способ выполнения операции с использованием микропроцессорной карты при развитости средств коммуникаций чипа карты.

Описанную выше схему DCAP можно формализовать в рамках модели протокола 3D Secure, практически не меняя программное обеспечение онлайнового магазина (Merchant Plug-In), используемое для реализации протокола 3D Secure. Эта тема, заслуживающая отдельного разговора, будет освещена автором в рамках одной из следующих публикаций журнала “ПЛАС”.

 


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… первую в мире действующую систему дистанционного банковского обслуживания для юрлиц запустил в Великобритании в 1983 г. Bank of Scotland (для компаний, входящих в National Building Society), причем в системе для приема и отправки дистанционных распоряжений по счетам использовались тогда… телефон и телевизор?