Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

SET-приложения для электронной коммерции

(Нет голосов)

20.05.1997 Количество просмотров 868 просмотров

Пик интереса к спецификациям SET, содержащим описания протоколов финансовых транзакций в сети Internet, пожалуй, пришелся на первые шесть месяцев с момента появления их второй по счету версии (февраль 1996 г.). Потом и журналисты из профессиональных изданий, и представители средств массовой информации несколько поостыли в своем рвении, что легко объяснимо - обычно с момента выхода спецификаций до создания соответствующего им программного обеспечения проходит немало времени, и появление SET-совместимых продуктов на рынке ожидалось не ранее середины 1997 г. Ожидания не оправдались. SET-совместимое решение для поддержки операций с кредитными карточками в среде Internet было представлено на суд потребителей уже в третьем квартале 1996 г.

Здесь, однако, сразу следует оговориться, что спецификации SET описывают транзакцию в открытых сетях не из «из конца в конец», а касаются лишь определенных этапов ее выполнения.

Процесс покупки товаров или услуг  может быть разделен на несколько стадий (см. табл. 1).

Таблица 1

Стадия

Описание

1

Держатель карточки просматривает “он-лайн” каталоги на World-Wide-Web странице предприятия, “оф-лайн” каталоги на дисках CD-ROM или каталоги, отпечатанные типографским способом

2

Держатель карточки выбирает предмет покупки

3

Держатель карточки заполняет счет, содержащий список покупок с ценами и итоговую сумму платежа, включающую стоимость доставки и взимаемые налоги. Бланк счета может быть прислан с сервера предприятия или создан на компьютере держателя карточки.

4

Держатель карточки выбирает средство платежа

SET включает случаи, когда платеж выполняется с помощью карточек

5

Держатель карточки посылает предприятию заполненный счет и сообщение о способе оплаты. Счет и инструкции платежа подписываются ЭЦП держателя карточки.

6

Предприятие отправляет запрос авторизации банку-эмитенту

7

Предприятие получает ответ от эмитента

8

Предприятие  организует доставку покупок или предоставляет оплаченные услуги

9

Предприятие запрашивает платеж

 

Спецификации SET регламентируют последовательность выполнения 5, 6, 7 и 9 стадий.

Кроме того, спецификации предусматривают определенную свободу выбора опций для всех участников транзакции, в особенности в сфере взаимодействия предприятия и обслуживающего банка (точно так же, как и в традиционных технологиях безналичных расчетов с использованием пластиковых карточек). Это обусловлено прежде всего разнообразием эксплуатируемых в настоящее время хост-систем обслуживающих банков, невозможностью одновременного усовершенствования таких хост-систем, необходимостью включения предприятий, держателей карточек и обслуживающих банков, применяющих различные варианты программного обеспечения, в единую стандартную систему, а также желанием использования в транзакциях SET существующей финансовой инфраструктуры.

В частности, правилами SET предусматривается выдача цифровых сертификатов держателям карточек. Но одновременно это требует поддержания стоп-листов таких сертификатов (certificatesrevocationslist), разработки средств их блокирования и разблокирования и т. д., а также проведения комплекса организационных мер по распространению сертификатов среди держателей карточек. Поэтому выдача электронного сертификата держателям карточек выполняется по усмотрению эмитента, то есть возможны транзакции как на базе электронной подписи клиента (cardholdersigned), так и без нее (sertless). В первом случае транзакция выполняется в четыре этапа, во втором - в шесть (добавляется процесс взаимной аутентификации предприятия и держателя карточки).

Во-вторых, предприятия торговой сети с установленным программным обеспечением для «бессертификатных» транзакций должны иметь возможность обслуживать держателей карточек, использующих сертификаты, и наоборот, держатели карточек, не имеющие сертификата, должны иметь возможность рассчитываться за покупки в предприятиях, работающих с сертификатами.

В-третьих, сбор завершенных транзакций может выполняться как в режиме реального времени, так и в пакетном режиме (точно так же, как и в традиционных системах пластиковых карточек) во время Internet-сеанса либо обычным способом - по коммутируемым или выделенным линиям.

В четвертых, спецификации SET описывают процессы авторизации, сбора транзакций и т. д. только для кредитных карточек. Использование дебетовых карточек, «электронных кошельков», дорожных и банковских чеков правилами не регламентируется, хотя, по прогнозам экспертов, эти платежные средства несомненно, будут широко использоваться в качестве платежного средства в среде Internet.

Все эти обстоятельства не могли не найти своего отражения при создании соответствующих программных продуктов. В частности, они легли в основу концепции поэтапной разработки SET-совместимого продукта компании Verifone.

Являясь мировым лидером в области автоматизации платежных систем на базе пластиковых карточек, компания Verifone не могла обойти своим вниманием такое направление бизнеса, как разработку приложений электронной коммерции в Internet. В этих целях в компании было образовано специальное подразделение - Verifone Internet Commerce Division, в задачи которого входили создание Internet-систем, не уступающих по своей функциональности традиционным решениям компании для обслуживания платежей с использованием пластиковых карточек в предприятиях торговой сети.

Разработанное в 3 квартале 1996 г. решение включает программные продукты для всех участников транзакций в сети - финансовых институтов, предприятий торговли и сервиса, процессинговых компаний, клиентов. Для клиентов было разработано специальное приложение vWALLET™, для предприятий - программное обеспечение vPOS™, для процессинговых центров - программный продукт vGATE™.

«Электронный бумажник» VerifonevWALLET

«Электронный бумажник» предназначен для хранения конфиденциальной информации (номеров кредитных карточек, пары ключей - открытого и закрытого, цифрового сертификата). На одном компьютере может быть несколько «электронных бумажников», доступ к каждому из которых защищается паролем. Первоначально «электронный бумажник» был разработан для SET-транзакций на базе международных кредитных карточек. В дальнейшем его применение может быть расширено на дебетовые карточки, электронные чеки и «электронные наличные». Отслеживание расходов клиентов в Internet осуществляется с помощью встроенной программы Менеджера чеков, который хранит информацию о проведенных операциях (в том числе «цифровые слипы» виртуальных предприятий) и имеет набор фильтров, необходимых для экспорта данных в популярные программы управления расходами.

Программное обеспечение для Internet-предприятий vPOS

В составе программного обеспечения vPOS имеется встроенный набор средств просмотра информации о проведенных транзакциях, проведения инвентаризации и генерации разнообразных отчетов по продажам. В качестве средства просмотра используется стандартный WEB-броузер типа InternetExplorer, NetscapeNavigator, Oracle PowerBrowser.

Программа vPOS направляет транзакции непосредственно в финансовый интститут, и авторизация операций выполняется в режиме реального времени. В системе разрешены все типы транзакций (credits, reversals, voids account inquiries). В то же время, интерфейс админитстратора может быть использован для установки ограничений на любые типы транзакции, если они требуют получения разрешения непосредственно от администратора предприятия.

Программа работает под управлением WindowsNT с различными типами WEB-серверов, в том числе - Microsoft Merchant Server.

Одним из вариантов организации присутствия магазина в сети является создание специального сервера предприятия с помощью программы Microsoft Merchant Server. Установив дополнительно программное обеспечение vPOS, предприятие получает возможность еще до заключения договора с реальным обслуживающим банком проводить транзакции в тестовом режиме через специальный шлюз. После заключения договора с обслуживающим банком и открытия счета предприятие может легко перейти к реальной работе с клиентами через Internet.

Программным решением, достаточным для начала проведения операций в сети Internet, являются пакеты Microsoft Merchant Server и VeriFone vPOS. Microsoft Merchant Server позволяет организовать присутствие магазина в Internet, управление магазином и обработку платежей в «он-лайн» режиме, а vPOS - интегрировать в страницы магазина функцию приема оплаты за товары. Установка платежных функций включает создание специальной страницы для ввода клиентом детальной информации о транзакции, а также инструментарий для тестирования платежных функций.

Для того, чтобы приступить к обслуживанию платежей в сети Internet, предприятие должно заключить соответствующее соглашение с обслуживающим банком  и получить у банка идентификатор и цифровые сертификаты. В настоящее время список обслуживающих банков и компаний, использующих программное обеспечение Verifone для обработки платежей в среде Internet, ограничивается банками Citibank, WellsFargoBank, RoyalBankofCanada, BankofAmerica, компаниями NovusServices и FirsUSAPaymentech, но зато все они являются очень сильными обслуживающими банками.

Операция покупки (то есть выбора товара и его оплаты) складывается из следующих стадий:

1. Клиент выбирает товары (услуги) в виртуальном магазине, созданном в сети Internet с помощью Microsoft Merchant Server.

2. Для подтверждения выбора клиент нажимает кнопку «Оплата» (Pay).

3. Для передачи конфиденциальной информации, включающей номер карточки и срок ее действия, программному продукту vPOS для авторизации используется WWW-броузер  со встроенными средствами шифрования по  технологии SSL. Запрос авторизации шифруется и подписывается средствами vPOS и пересылается обслуживающему банку.

4. Авторизационный запрос проходит через платежный сервер обслуживающего банка, где дешифруется и проходит проверку на подлинность. Далее на основе существующей финансовой инфраструктуры и принятых в системе правил формируется авторизационный ответ.

5. Получив ответ с платежного сервера, обслуживающий банк шифрует и подписывает его и пересылает назад предприятию.

6. Если авторизация получена, программное обеспечение vPOS формирует цифровой чек и пересылает его клиенту.

Программное обеспечение vPOS может работать в двух режимах - оперативном и административном. В оперативном режиме выполняется отправка транзакций, в административном - просмотр журнала транзакций, генерация отчетов по продажам, ежедневная выверка транзакций и т. д.

Программное обеспечение vGATEInternetGateway для организации платежных серверов

Программное обеспечение vGATEInternetGateway предназначено для организации платежных серверов - аналога процессинговых компаний в традиционных системах на базе пластиковых карточек. С помощью vGateSET-сообщения принимаются с WEB-серверов предприятий и конвертируются в сообщения формата ISO8183 для последующей передачи центру авторизации через существующую систему телекоммуникаций.

По сравнению с используемыми до настоящего времени вариантами, когда информация, полученная из Internet-сообщения, отправлялась в центр авторизации по факсу или вручную вводилась с клавиатуры POS-терминала, предложенное решение, безусловно, является шагом вперед. Однако (и это признают сами разработчики системы) при использовании этого решения остаются актуальными два типа угроз благополучию предприятия и собственно держателя карточки.

Во-первых, вследствие отсутствия в транзакционном сообщении электронной подписи держателя карточки (при работе в режиме serttless) такие транзакции оказываются подобны транзакциям типа «заказ по почте/по телефону» (МОТО) со всеми вытекающими отсюда для последствиями предприятия.

Во-вторых, поскольку информация в системе vPOS некоторое время находится в незашифрованном виде (с момента ее расшифровки до момента ее преобразования в сообщение формата ISO8183 и пересылки в хост-систему центра авторизации), существует угроза атаки на конфиденциальную информацию именно в этот промежуток времени.

Поэтому разработчики системы настоятельно рекомендуют предприятиям использовать дополнительные средства защиты линий коммуникаций и т. д.

Разработки компании Verifone для приложений электронной коммерции охватывают только область отношений клиент-обслуживающий банк-платежный сервер. Между тем, клиентов (и в первую очередь банки) интересуют законченные решения, что не могут не осознавать работающие в этой сфере компании.

В 1997 году на этом рынке образовались два конкурирующих между собой альянса, которые заслуживают особого внимания. Первый объединяет компании Hewlett-Packard, Verifone и Microsoft, второй - компании Tandem/Interval и IBM. Обе группы объявили о своем намерении создать законченные решения для проведения коммерческих операций в открытых сетях с использованием банковских карточек., охватывающие все этапы выполнения транзакций, а также вопросы выпуска электронных сертификатов всех уровней, поддержки и рассылки стоп-листов, программное обеспечение для виртуального магазина и т. д. Достижения этих и других компаний в сфере создания систем для электронной коммерции мы постараемся осветить в последующих номерах нашего журнала.n

Врезка

Весна-лето 1997 г. ознаменовались тремя важными событиями в развитии систем электронной коммерции.

Первое - ассоциации VisaInternational и MasterCardInternational объявили о выборе компаний для генерации и управления корневыми сертификатами платежных систем. Такими компаниями стали Sertco и SPYRUS. Решение обеих платежных ассоциаций поддержали компании AmericanExpress, DinersClub и Novus.

Второе - 31 мая 1997 г. ассоциации компании VisaInternational и MasterCardInternational опубликовали версию 1.0 промышленного стандарта SET, включающую бизнес-требования, технические спецификации и руководство по эксплуатации.

Третье - ассоциации VisaInternational и MasterCardInternational объявили о создании органа сертификации программного обеспечения для проведения SET-транзакций. Его функции будет выполнять SAIC@Youservice - подразделение корпорации ScienceApplicationInternationalCorporation (SAIC).

Проверка предлагаемых компаниями решений проводится на предмет соответствия DraftReferensceImplementation (DRI) и совместимость и в будущем должна гарантировать полную совместимость сертифицированного программного обеспечения, созданного различными производителями.

В первую очередь испытаниям подверглись решения компаний Cost, GlobeSet (Interval), RSA, VeriSign, GTE и IBM.

Тестирование на соответствие DRI будет проводиться по следующему алгоритму:

1. Разработчики программного обеспечения направляют заявку на тестирование в компанию SAIC (SAIC@Yourservice).

2. Разработчики загружают с www-сервера компании SAIC набор тестовых сообщений (50 сообщений) и сертификаты. В настоящее время о своем желании принять участие в тестировании сообщили более 300 компаний.

3. Результат обработки всех сообщений выгружается на сервер SAIC.

4. SAIC изучает результат и определяет, соответствуют ли форматы сообщений и переданные данные DRI. В случае несоответствия сотрудники компании анализируют причины возможных ошибок и дают рекомендации по их устранению.

5. Если тестирование пройдено успешно, компания SAIC@Yourservice информирует об этом международные платежные ассоциации, которые обновляют «Список сертифицированных поставщиков SET-решений».

Тестирование на совместимость необходимо для обеспечения взаимодействия между DRI-совместимыми продуктами различных компаний.Поскольку промышленный стандарт SET 1.0 был опубликован совсем недавно, алгоритм тестирования на совместимость находится в процессе разработки.

Cертификациябудет проводиться независимой третьей стороной по окончании тестирования на соответствие и совместимость. На сертификацию предоставляются по отдельности все SET-компоненты, инструкции по работе с продуктом, контрольный лист испытаний на соответствие и дискета с сертификатом, а также оплачиваются расходы на сертификацию. Алгоритм и сроки проведения сертификации находятся в стадии согласования.

Таблица 1

Список поставщиков SET-решений*

Компания-поставщик

SET-компонент

Тестирование на соответствие DRI

Тестирование на совместимость

Сертификация

COST Computer Security Technology AB

ПО держателя карточки

*

-

-

 

ПО торговой точки

*

-

-

 

ПО платежного сервера

*

-

-

 

ПО органа сертификации

-

-

-

GlobeSET (Interval)

ПО держателя карточки

*

-

-

 

ПО торговой точки

*

-

-

 

ПО платежного сервера

*

-

-

 

ПО органа сертификации

-

-

-

GTE Cybertrust

ПО держателя карточки

-

-

-

 

ПО торговой точки

-

-

-

 

ПО платежного сервера

-

-

-

 

ПО органа сертификации

*

-

-

IBM Corporation

ПО держателя карточки

*

-

-

 

ПО торговой точки

*

-

-

 

ПО платежного сервера

*

-

-

 

ПО органа сертификации

-

-

-

RSA Data Security

ПО держателя карточки

*

-

-

 

ПО торговой точки

*

-

-

 

ПО платежного сервера

*

-

-

 

ПО органа сертификации

-

-

-

Terisa Systems

ПО держателя карточки

*

-

-

 

ПО торговой точки

*

-

-

 

ПО платежного сервера

*

-

-

 

ПО органа сертификации

-

-

-

VeriSign

ПО держателя карточки

-

-

-

 

ПО торговой точки

-

-

-

 

ПО платежного сервера

-

-

-

 

ПО органа сертификации

*

-

-

* На 14 апреля 1997 г.


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… деньги из раковин на Соломоновых островах отличаются устойчивостью к любым финансовым кризисам? Если население отдаленных островов используют раковины в качестве расчетной единицы, то в более цивилизованных местах архипелага такие деньги используются как надежный запас на черный день, в то время как расчеты ведутся «обычными» деньгами. Недостаток у них один – недолговечность: раковины хрупкие, часто ломаются. Из-за этого денежная масса остается стабильной и не нарастает, что позволяет поддерживать постоянный курс.