Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Visa: от e-commerce – к u-commerce

(Нет голосов)

12.04.2005 Количество просмотров 609 просмотров

U-commerce – в трех шагах от универсальности
Широкое распространение, которое получила за последние годы технология трехдоменной аутентификации 3D-Secure среди участников мирового рынка финансовых услуг, сделало Всемирную сеть по-настоящему безопасной транспортной средой для различного рода Интернет-платежей. Масштабное продвижение международными платежными системами аутентификационных программ, базирующихся на 3D-Secure, как Verified by Visa (Visa International) и MasterCard Secure Code (MasterCard International), позволило привлечь в сегмент e-commerce многомиллионную аудиторию держателей международных банковских карт. Это не только значительно расширило базу пользователей виртуальных магазинов и других онлайновых сервисов, но и одновременно дало возможность банкам – членам платежных систем повысить прибыльность своих карточных программ за счет выхода на новый перспективный рынок.

В то же время наряду с Интернет-коммерцией в связи с бурным развитием мобильных устройств и мобильной связи все большую популярность получает так называемая мобильная коммерция, подразумевающая использование мобильных устройств связи для дистанционной оплаты тех или иных товаров и сервисов.

Количество абонентов сотовой связи в России, как и во всем мире, стремительно растет. Только в России, по последним данным, абонентами мобильной связи являются около 74 млн. человек. На этом фоне не вызывает сомнения, что финансовые услуги, предоставляемые при помощи мобильной связи, будут широко востребованы на отечественном и мировом рынках.

Справедливость этого утверждения подтверждает и тот факт, что сегодня многие банки уже предлагают своим клиентам сервис “мобильного банкинга”. Как правило, речь идет о предоставлении таких информационных услуг, как проверка баланса счета, получение списка совершенных транзакций, доступ к котировкам и курсам валют. В ряде регионов уже действуют проекты, в рамках которых клиентам банков предоставляется и возможность осуществления финансовых транзакций с помощью мобильного телефона. Однако подавляющее большинство этих проектов являются локальными, однобанковскими проектами, которые построены на базе закрытых решений и стандартов. Взаимоотношения их участников строятся по замкнутой схеме: клиент – банк – мобильный оператор. Отсутствие межбанковской аутентификации и, как следствие, межбанковской инфраструктуры, локальность замкнутых решений являются основными недостатками данных решений и не позволяют считать их полноценными системами “мобильного банка”. Между тем именно механизмы аутентификации при проведении финансовых транзакций являются основой развития “универсальной коммерции” (u-commerce), и ситуация на этом рынке непосредственно зависит от степени практичности и распространения этих механизмов.

Использование мобильного телефона в качестве универсального инструмента для аутентификации держателя платежной карты при осуществлении финансовых транзакций выглядит сегодня одним из наиболее перспективных направлений развития дистанционных банковских каналов для розничных сервисов. В то же время при практической реализации проектов, в рамках которой телефон держателя используется как некий генератор аутентификационных паролей, отношения участников подобной системы до последнего времени строились следующим образом: банк самостоятельно заключает соответствующий договор с мобильным оператором и подключается каким-либо образом к его технологической инфраструктуре для выстраивания мобильного канала связи со своими клиентами.

При такой модели и банку, и мобильному оператору приходится сталкиваться с рядом серьезных технологических и нормативных проблем. Одна из них заключается в том, что однобанковская модель требует технологического подключения банка к инфраструктуре мобильного оператора, например, к его SMS-центру. Очевидно, что сценарий не только затратен для банка (в особенности если речь идет о необходимости подключения к целому ряду операторов), но и весьма неудобен для самого мобильного оператора, вынужденного выстраивать в рамках своей налаженной системы интерфейсы с целым рядом сторонних бизнес-структур, желающих самостоятельно участвовать в проектах мобильного банкинга и имеющих самые разные технологические особенности и запросы.

Аналогичная проблема лежит в области выстраивания договорных отношений между участниками такого проекта. И для банка, и особенно для мобильного оператора большую сложность представляет необходимость заключения и отслеживания большого количества разнородных договоров, выходящих за рамки основной деятельности подписантов.

Справедливости ради нельзя не отметить, что одновременно с однобанковскими системами как в России, так и во всем мире развиваются многобанковские системы мобильных платежей, имеющие гораздо больше перспектив и постепенно завоевывающие все большую популярность среди клиентов. Вероятно, наиболее ярким примером такой системы может служить японская система мобильных платежей DoCoMo i-mode, которая в 2004 г. начала масштабную экспансию на рынок Западной Европы. Однако при всей привлекательности подобных решений, избежавших большинства перечисленных проблем однобанковских проектов, и их нынешнем успехе на отдельных рынках, у них есть один важный общий недостаток – все эти системы представляют собой локальные замкнутые платежные решения того или иного масштаба. Иными словами, пользователи их сервисов не имеют возможности использовать свой мобильный телефон для проведения платежей вне пределов конкретной страны или региона, входящего в сферу деятельности его системы. Принимая во внимание нынешние глобальные процессы интеграции мировой экономики, можно предположить, что этот недостаток со временем может иметь негативные последствия для дальнейшего развития таких локальных систем мобильных платежей.

Мобильный банк на международной платформе
Универсальная коммерция, одной из важнейших составляющих которой являются мобильные платежные системы, не может быть по-настоящему полноценным сегментом мирового рынка без возможности проведения трансграничных транзакций. При этом очевидно, что открытость и универсальность той или иной системы дистанционных платежей, без которых невозможно ее скольконибудь широкое распространение в глобальном масштабе, должны базироваться, соответственно, на использовании открытых технических, технологических и бизнес-стандартов, а также единых и общеизвестных системных принципов. В целом проведение финансовых транзакций в открытых сетях, идет ли речь об использовании в качестве транспортной среды Интернета или GSM-сети, должно удовлетворять следующим основным принципам:

• Безопасность обработки, хранения и передачи информации, обусловливающая необходимость наличия надежных механизмов идентификации и аутентификации участников сделки, гарантии целостности и конфиденциальность передаваемой информации.
• Возможность развития масштабируемой инфраструктуры как единой технологической платформы для использования в различных коммуникационных средах.
• Удовлетворение требований существующих открытых стандартов и технологических решений, а также совместимость на всех уровнях продуктов и решений различных производителей и операторов.
• Унификация правил взаимодействия участников системы при проведении транзакций с использованием средств удаленного доступа к счету в различных коммуникационных средах на глобальном уровне.

Логично предположить, что обеспечить соответствие системы мобильных платежей всем перечисленным требованиям на сегодняшний день может лишь построение ее на базе уже существующей трансконтинентальной межбанковской структуры, изначально базирующейся на открытых стандартах, обладающей глобальной эквайринговой инфраструктурой и имеющей огромное количество банков-участников по всему миру. Иными словами, речь идет о международных платежных системах.

В феврале нынешнего года Visa International приступила к реализации на российском рынке уникального по своему масштабу и используемым технологиям проекта “Мобильный Банк – Verified by Visa” в области мобильной коммерции, призванного впоследствии охватить территорию целого ряда стран СНГ. Системным интегратором и разработчиком систем поддержки удаленных банковских транзакций в открытых телекоммуникационных сетях с использованием механизмов аутентификации на основе сертифицированных Visa International компонентов спецификации 3D-Secure v.1.0.2. выступила российская компания Intervale.

Как отметила президент Visa CEMEA Энн Кобб (Anne Cobb), данный проект отражает стратегию Visa International в области электронной и мобильной коммерции, направленную на дальнейшее развитие технологий аутентификации удаленных клиентов с использованием международного стандарта 3D-Secure и Visa Authenticated Payment Program.

Тот факт, что инициатива в данном случае принадлежит именно Visa International, вполне закономерен. Еще несколько лет назад, проводя последовательную политику развития технологий аутентификации удаленных клиентов для борьбы с мошенничеством в Интернете, Visa International предложила использовать технологию 3D-Secure. Базирующаяся на ней программа платежной системы Verified by Visa сейчас реализуется во всем мире.

Благодаря применению современных механизмов строгой многофакторной взаимной аутентификации предлагаемая технология обеспечивает максимальную безопасность и конфиденциальность предоставляемых услуг. В свою очередь, универсальность данной технологии и возможность ее работы в различных транспортных средах позволили специалистам Visa International применить ее в мобильной коммерции.

Выбор платежной системой страновых рынков для реализации не имеющего аналогов в мире проекта системы мобильных платежей также далеко не случаен, поскольку Россия и страны СНГ в целом традиционно занимают в CEMEA ведущие позиции в переходе на новые платежные технологии.

Комментируя данную инициативу, старший вице-президент Visa CEMEA и глава российского представительства Visa International Лу Наумовский отметил, что главная задача Visa International на данном этапе – “заложить основы функционирования рынка мобильной коммерции на базе открытых стандартов и существующей платежной инфраструктуры”.

бильный Банк — Verified by Visa”, впервые реализуется в рамках международной платежной системы. Речь идет о внедрении на рынках России и СНГ технологии, которой суждено изменить представление о безопасности удаленных финансовых транзакций и стать одним из глобальных стандартов мобильной коммерции.

“Мобильный Банк – Verified by Visa” – проект по-настоящему уникальный, поскольку его реализация позволит создать единое унифицированное межбанковское решение в области мобильной коммерции. Благодаря данному решению владельцы карт Visa смогут использовать сотовые телефоны для совершения безопасных платежей за товары и услуги в режиме on-line. Преимущество данного проекта перед существующими сегодня локальными закрытыми решениями в данной области заключается прежде всего в использовании безопасных механизмов аутентификации клиента на основе STK- или J2ME-технологий и спецификаций 3D-Secure, принятых по всему миру.

По замыслу организаторов, результаты и практический опыт, полученные в ходе реализации данного проекта в странах СНГ, позволят создать единое межбанковское решение в области мобильной коммерции, которое в дальнейшем будет предложено всем владельцам карт Visa для осуществления безопасных и надежных мобильных платежей.

Однако прежде чем перейти к подробному рассмотрению особенностей проекта “Мобильный Банк – Verified by Visa”, опирающегося на существующие международные стандарты в области безопасной обработки удаленных финансовых операций, и прежде всего на программу VbyV, тестирование которого началось в I квартале нынешнего года на российском рынке, следует кратко проанализировать суть самой технологии 3D-Secure.

3D-Secure: краеугольный камень аутентификации
Первое полномасштабное описание технологии трехдоменной аутентификации 3D-Secure (3D-Secure Introduction Ver.1.0, 13 августа 2001г.) было представлено компанией Visa International вниманию мирового банковского сообщества в 2001г. Эта технология была избавлена от недостатков, которые помешали широкому развитию ряда других известных решений по обеспечению безопасности Интернет-платежей (например, протокола SET), и именно на ее базе впоследствии была создана система онлайновой аутентификации держателей карт Visa – Verified by Visa (VbV). В настоящее время в ее рамках действуют более 10 тыс. банков-членов Visa International и более 50 тыс. предприятий электронной коммерции.

Поскольку VbV является фактически краеугольным камнем нового проекта платежной системы “Мобильный Банк – Verified by Visa”, попытаемся кратко рассмотреть основные технологические особенности работы этой системы трехдоменной аутентификации держателей банковских карт.

Лежащая в ее основе технология 3D-Secure носит определение “трехдоменной”, поскольку, как и в случае обработки обычной платежной транзакции, в проведении Интернет-платежа по системе VbV принимают участие три стороны – банк-эмитент, банк-эквайер и платежная система, которая обеспечивает взаимодействие участников транзакции.

Для проведения Интернет-платежей в рамках 3D-Secure держатель банковской карты должен пройти процедуру регистрации (Enrollment) в своем банке-эмитенте. После регистрации и получения необходимого для проведения безопасных платежей пароля владелец карты готов к совершению покупок в Интернет-магазинах по технологии 3D-Secure.

Следует отметить, что со стороны банка-эмитента в обработке транзакции принимает участие специальный сервер – Access Control Server, отвечающий за аутентификацию держателей карт.

В свою очередь, на стороне банкаэквайера установлен Merchant Plug-in, который инициирует аутентификационный запрос.

Рис.1 Схема обработки Интернет-платежа по технологии 3D-Secure

Схема обработки Интернет-платежа по технологии 3D-Secure выглядит следующим образом (см. рис. 1):

1. Пользователь банковской карты формирует корзину заказа на Интернет-сайте магазина, вводит реквизиты карты и инициирует процедуру платежа.

2. Интернет-магазин, используя компонент Merchant Plug-in, установленный на сервере банка-эквайера, пересылает авторизационный запрос на возможность проведения аутентификации специального формата в Visa Directory Server. Visa Directory Server проверяет, зарегистрирован ли данный номер карты на участие в программе Verified by Visa (т. е. прошел ли держатель карты процедуру регистрации). При этом Visa Directory не обладает данными о самом секретном пароле, а может лишь определить, обладает ли им держатель карты, инициировавший транзакцию, отправив запрос на Access Control Server банка-эмитента.

3. После того как Merchant Plug-in получает ответ от Visa Directory о том, что данный владелец карты может совершать платеж по технологии 3DSecure, Интернет-магазин отправляет запрос на аутентификацию на Access Control Server банка-эмитента через Интернет-браузер пользователя.

4. Владелец карты маршрутизируется на Access Control Server банка-эмитента, где вводит пароль.

5. Access Control Server отправляет утвердительный или отрицательный авторизационный ответ на Merchant Plug-in и одновременно сохраняет данные о результате проведения аутентификации на Authentication History Server – сервер платежной системы, на котором хранятся данные о всех транзакциях, проведенных по технологии 3D-Secure. Впоследствии эти данные могут использоваться банками-участниками при решении претензий клиентов, а также при проведении арбитража спорных операций.

6. Merchant Plug-in принимает ответ Access Control Server и в случае утвердительного ответа банка-эмитента отправляет авторизационный запрос на хост банка-эквайера.

7. Далее обработка авторизационного запроса происходит по стандартной схеме через сеть платежной системы VisaNet.

С технологической точки зрения схема работы системы VbV и взаимоотношений ее участников достаточно проста и прозрачна. Обмен данными между участниками транзакции осуществляется через серверы платежной системы, которая также отвечает за маршрутизацию авторизационных запросов. Пользователь вводит на стороне банка-эквайера только стандартные реквизиты карты (достаточно ввода полного номера карты), а аутентификация осуществляется на сервере банка-эмитента. При этом используется стандартное программное обеспечение, установленное на стороне владельца карты, – Интернетбраузеры Microsoft, Netscape, Opera и т.д. С другой стороны, правила платежной системы четко разделяют ответственность каждой из сторон за корректное проведение операции.

Для проведения сертификации на использование технологии 3D-Secure банкам-участникам достаточно настроить свои модули (банку-эквайеру – Merchant Plug-in, банку-эмитенту – Enrollment Server и Access Control Server) на корректную работу в рамках VbV и провести обмен тестовыми транзакциями с серверами платежной системы. Именно простота и открытость технологии способствовали ее широкому распространению во всем мире в весьма короткие сроки.

Мобильная эволюция трехдоменного стандарта
Итак, именно универсальность технологии 3D-Secure и возможность ее работы в различных транспортных средах позволили специалистам Visa International применить VbV в мобильной коммерции.

Как следует из самого названия проекта – “Мобильный Банк – Verified by Visa”, технология мобильных платежей при помощи карт Visa базируется на апробированной и широко распространенной среди участников мирового карточного рынка технологии 3D-Secure. По сути, функциональные модули, отвечающие за проведение мобильного платежа, являются надстройкой над обычной системой проведения аутентификации по технологии 3D-Secure. Не ставя перед собой задачи детально рассмотреть технологические подробности данного проекта, отметим лишь, что приведенная схема Mobile 3x3-Domain (см. рис. 2) наглядно отражает разделение ответственности (вертикальные домены) и технологий участников в различных коммуникационных средах (горизонтальные домены). На схеме показана интеграция традиционных технологий (представленных на ее нижнем уровне) и инновационных решений платежной системы в области u-commerce (верхний уровень схемы).

Рис.2 Концепция Mobile 3x3-Domain

При этом на стороне банка-эквайера и банка-эмитента установлены специальные модули Mobile Access Point (MAP), которые поддерживают соответствующие интерфейсы друг с другом и с Mobile Interchange Directory (MID) – компонентом, расположенным в домене платежной системы и отвечающим за маршрутизацию запросов между банковскими доменами.

После того как Mobile Access Point банка-эмитента получает от Mobile Interchange Directory запрос на проведение аутентификации, он проверяет информацию от клиента и передает на Mobile Interchange Directory информацию о пользователе и номер его карты. Далее Mobile Interchange Directory передает эти данные в виде сообщения определенного формата на Mobile Access Point банка-эквайера, который инициализирует стандартную транзакцию по протоколу 3DSecure. Для проведения аутентификации клиента Access Control Server банка-эмитента через Mobile Access Point пересылает запрос Mobile Interchange Directory, который маршрутизирует его на мобильный телефон клиента. После успешного завершения авторизации Mobile Access Point также формирует соответствующее сообщение для клиента и переправляет его через Mobile Access Point на Mobile Interchange Directory, который производит дальнейшую маршрутизацию.

Таким образом, в технологической инфраструктуре “Мобильный Банк – Verified by Visa” сохранены все преимущества применения протокола 3D-Secure и использования открытой технологической платформы.

Отдельного рассмотрения заслуживает приложение, размещенное на SIM-карте клиента и отвечающее за инициализацию операции и за дальнейшее получение запросов от Mobile Interchange Directory. Оно является ключевым компонентом в данном проекте, позволяя использовать мобильный телефон не только как средство осуществления платежей, но и как устройство для аутентификации держателя карты (например, с помощью генерации динамических паролей).

Как уже отмечалось ранее, разработчиком этого апплета выступила компания Intervale. Апплет не требует персонализации и загружается в SIM-карту непосредственно ее производителем. В приложении прописано несколько сценариев проведения платежа в зависимости от его назначения. Банк-эмитент может дистанционно добавлять своим клиентам новые сервисы по мере их разработки и генерировать новые сценарии. Более того, используя предлагаемые механизмы аутентификации, клиент может использовать свой телефон для оплаты покупок во всех точках приема платежей по технологии VbV, в частности, в обычных Интернет-магазинах. Приложение полностью соответствует спецификации GlobalPlatform.

Примечательно, что помимо STKапплета участники проекта смогут использовать альтернативное решение для подключения к системе новых клиентов – путем загрузки платежного J2ME-приложения в прошивку самого мобильного телефона. В настоящий момент Visa International ведет соответствующие переговоры с ведущими производителями устройств мобильной связи.

Уникальность проекта “Мобильный Банк – Verified by Visa” заключается в том, что все решения являются открытыми и могут осуществляться на межбанковском уровне. Проект объединяет весь комплекс услуг банка-эмитента (информационные клиентские услуги, платежные услуги, аутентификационные услуги) и банка-эквайера (оплата за товары и услуги) с использованием мобильного телефона держателя банковской карты. Основной целью данной инициативы является разработка и предоставление платежной системой своим банкам-членам инфраструктуры для новых видов бизнес-транзакций при максимальном сохранении традиционных платежных технологий и отношений как между держателями карт и эмитентом, так и между торгово-сервисными предприятиями и эквайером.

Следует также отметить, что впервые в качестве полноценного участника проекта “Мобильный Банк – Verified by Visa” рассматривается мобильный оператор. Отношения с последним выстраиваются Visa International напрямую, что избавляет и оператора, и банки-члены платежной системы от необходимости самостоятельно заключать каждый раз соответствующие договоры друг с другом и согласовывать протокол взаимодействия.

В целом технологическая открытость проекта “Мобильный Банк – Verified by Visa”, обусловленная использованием международных стандартов 3D-Secure и GlobalPlatform, поддерживаемых ведущими платежными системами, является одним из его основных преимуществ и одновременно выступает гарантом его повсеместного распространения в будущем среди участников как российского, так и мирового карточного рынка.

Помимо банков-членов Visa International и мобильных операторов, в проекте могут участвовать процессинговые компании, Интернет-магазины, принимающие к оплате карты Visa, а также широкий ряд компанийразработчиков финансового программного обеспечения по спецификациям международных платежных систем и поставщиков аппаратных серверных платформ.

Так, например, в начале апреля 2005 г. компания Hewlett-Packard сертифицировала программные компоненты, лежащие в основе технологической инфраструктуры проекта “Мобильный Банк – Verified by Visa”, для использования на базе отказоустойчивых решений HP NonStop (Tandem). Таким образом, перечень серверных платформ, поддерживающих программные компоненты проекта “Мобильный Банк – Verified by Visa”, пополнился одним из наиболее широко распространенных на российском и мировом рынке аппаратных решений.

Универсальная открытость
Как уже отмечалось, среди многочисленных технологических преимуществ нового проекта Visa International основными являются универсальность и открытость. И если универсальность уже была проиллюстрирована в рамках данной статьи на примере развития технологии VbV от электронной до мобильной коммерции, что, по сути, является первым шагом к развитию u-commerce, то преимущества открытости заключаются прежде всего в том, что фактически все поставщики аппаратно-программных решений могут адаптировать свои продукты для работы с 3D-Secure, благодаря чему банки-участники проекта со своей стороны получают возможность выбирать среди продукции различных разработчиков наиболее подходящие им решения.

В настоящее время платежная система ведет переговоры и с различными производителями SIM-карт об адаптации их продукции к поддержке сервисов, предлагаемых в рамках проекта “Мобильный Банк – Verified by Visa”. С поставщиками серверных платформ аналогичная работа была проведена заблаговременно. В результате компоненты системы могут работать практически на всех существующих серверных решениях: Windows- и Unix-серверах, а с апреля 2005 г. – и на отказоустойчивых серверах HP NonStop.

С точки зрения участников проекта, важным достоинством проекта “Мобильный Банк – Verified by Visa” является и легкость подключения к данному сервису новых банков. Так, банку – члену платежной системы, сертифицированному на применение 3D-Secure, достаточно установить у себя Mobile Access Point. Задачи по маршрутизации запросов, а также по предоставлению транспортной среды для мобильных сообщений от клиента берет на себя платежная система. Подключение к системе мобильных платежей также не потребует какихлибо дополнительных шагов и со стороны торгово-сервисного предприятия, использующего VbV, – для работы в рамках “Мобильного Банка – Verified by Visa” ему достаточно иметь Merchant Server Plug-in.

В свое время развитие технологии 3D-Secure было стимулировано прежде всего возникновением новых бизнес-задач у банков-членов Visa International, которая, в свою очередь, традиционно стремилась своевременно предоставить необходимый технологический инструментарий для получения дополнительных доходов кредитно-финансовыми организациями. Следует отметить, что процесс перехода на 3D-Secure происходит во всем мире достаточно высокими темпами. При этом сами банки активно реализуют такого рода проекты в ответ на растущие запросы своих клиентов. Российский карточный рынок не является исключением, и поэтому тот факт, что тестирование “Мобильного Банка – Verified by Visa” началось именно в нашей стране, во многом выглядит знаковым.

Очевидно, что применение строгой многофакторной аутентификации с использованием телефона для универсальной коммерции связано с решением целого ряда глобальных по своей сути задач, основной из которых является отработка бизнес-модели и технологии мобильных платежей с использованием апплета, размещенного на SIM-карте мобильного телефона, для всех участников проекта. Однако уже сегодня есть все основания ожидать, что нынешний пилотный проект, целью которого является отработка бизнес-модели и технологии мобильных платежей, в том числе выработка определенных стандартов аутентификации в GSM-среде, станет одной из наиболее успешных инициатив Visa International как на российском рынке, так и на рынке CEMEA и мировом рынке в целом.

Полный текст статьи читайте в журнале «ПЛАС» № 4 (104) ’2005 стр. 2


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… первую в мире действующую систему дистанционного банковского обслуживания для юрлиц запустил в Великобритании в 1983 г. Bank of Scotland (для компаний, входящих в National Building Society), причем в системе для приема и отправки дистанционных распоряжений по счетам использовались тогда… телефон и телевизор?