17 августа 2012, 16:17
Количество просмотров 742

Электронные платёжные системы, использующие Internet и средства WWW

Электронные платёжные системы, использующие Internet и средства WWW

Глобальная компьютерная сеть Internet, служа­щая основой для передачи различных сообщений, в последнее время вызывает значительный интерес как у разработчиков информационных банковских технологий, так и у ведущих телекоммуникацион­ных компаний. Этот интерес не случаен, посколь­ку Internet не знает границ и компания, предлага­ющая товары и услуги в этой сети, получает пря­мой доступ к миллионам потребителей и бизнес­менов независимо от страны и, следовательно, широчайшие рынки сбыта своей продукции.

В то же время, специфика сети - открытость и большая протяженность - становится препятстви­ем на пути ее широкого использования в качест­ве магистрали для передачи финансовых транзак­ций. Основная трудность - обеспечение безопас­ности и конфиденциальности передаваемой фи­нансовой информации в условиях доступности со­общений, циркулирующих по сети, для миллио­нов ее абонентов. Очевидно, что ключевую роль

в определении правил передачи финансовых со­общений по открытым сетям должны сыграть ме­ждународные платежные системы Visa International, MasterCard International и Еurорау International в альянсе с крупнейшими телекомму­никационными компаниями и разработчиками программного обеспечения.

Еurорау International

Весной 1995 г. ассоциация Еurорау International объявила о совместных с корпораци­ей IBM планах разработки системы, которая обеспечит держателям карточек-«электронных кошельков» возможность приобретать товары, ус­луги и информацию, помещая карточку в картридер, связанный с персональным компьтером, те­лефоном или телевизором. После того, как Еurорау International перейдет на микропроцес­сорные карточки, для покупок в сети Internet можно будет также использовать и обычные де­бетовые и кредитные карточки. «Сегодня, когда информация о платежах, передаваемая по сети Internet, недостаточно защищена, Еurорау International планирует пойти навстречу огромно­му спросу на электронные покупки. Это возмож­ность привлекать десятки миллионов покупателей и обрабатывать миллиарды транзакций, связывая наивысшую степень безопасности платежей и за­щиту от мошенничества, обеспечиваемую микро­процессорными карточками-продуктами платеж­ной ассоциации с открытым протоколом плате­жей IBM1», - отметил бывший директор Еurорау International Рон Вильяме (Ron Willyams).

VISA International и MasterCard International

Жан Локарт (Gene Locart), генеральный дире­ктор компании MasterCard International, заявил, что необходимо разработать и ввести единый стандарт на платежи по карточкам, осуществля­емые в сети Internet. Эд Иенсон (Ed Jenson), пре­зидент и директор ассоциации Visa International,

По разным оценкам, сеть Internet насчитывает около 40 млн. пользователей. Система объединяет более 40 тыс. отдельных компьютерных сетей. Каждые 30 минут к Internet подключается новая сеть, каждый месяц - 1 млн. пользователей. По оценкам экспертов, к 2000 г. общее число пользователей сети превысит 100 млн. человек.

В настоящее время около 20 тыс. коммерсантов совершают в сети Internet сделки, оборот по которым приближается к 200 млн. долларов США. Специалисты агенства Forester Research считают, что к 2000 г. оборот электронной торговли в сети Internet достигнет 10 млрд. долларов США.

1          Протокол 1КР был разработан компанией IBM для обеспечения безопасности транзакций, совершаемых в сети Woirld Wide Web, и предложен Кон­сорциуму World Wide Web & Internet Engineering Task Force и Консрорциуму финансовых услуг с целью рассмотрения его как промышленного стан­дарта для обеспечения безопасности электронных покупок.

сказал, что конфиденциальность держателей кар­точек и предприятий торговой сети - необходи­мое условие для развития нового рынка. Основа этой конфиденциальности - безопасность тран­закций в безопасной среде.

Конкуренция, издавна существующая между Ассоциациями, проявилась и в этой сфере. Ра­боты по созданию единой методики обеспече­ния безопасности электронных платежей по бан­ковским карточкам, совершаемых в открытых сетях, Visa International и MasterCard International начали проводить независимо друг от друга, за­ключив соглашения с компаниями Microsoft и Netscape Communications. 23 июня 1995 г. было объявлено, что Visa и MasterCard, основываясь на результатах, полученных в сотрудничестве с этими компаниями, объединяют усилия для раз­работки совместных спецификаций для финансо­вых транзакций в киберпространстве. Однако 27 сентября 1995 г. союз дал трещину. Ассоци­ация Visa International опубликовала некоторые результаты разработки систем шифрования дан­ных для транзакций в кибернетическом про­странстве, несмотря на заявление MasterCard International о том, что проект не закончен. Опубликованный материал, к сожалению, не со­держал исходного кода программы технологии обеспечения безопасности транзакций (STT -Secure Transaction Technology). Это послужило поводом для высказывания ассоциацией MasterCard International предположения о воз­можной несовместимости приложений, написан­ных по материалам публикации, и работы MasterCard над созданием собственной версии спецификаций были возобновлены. 3 октября 1995 г. был обнародован протокол SEPP, разра-

ботанный MasterCard International в содружестве с компаниями Netscape и IBM.

При отсутствии единой спецификации пред­приятиям, предлагающим товары и услуги в сети' Internet, пришлось бы поддерживать оба протоко­ла. Поэтому для развития электронной торговли в сети Internet принципиально важно наличие еди­ной спецификации. Видимо, это обстоятельство побудило ассоциации Visa International и Mas­terCard International продолжить работу над об­щим стандартом, сочетающем в себе преимуще­ства и STT, и SEPP. Предварительный вариант сов­местных спецификаций SET2 (Secure Electronic Transaction) был разработан в середине февраля 1996 г. Во втором квартале 1996 г. обе платеж­ные системы приступили к независимому тестиро­ванию спецификаций.

Министерство международной торговли и про­мышленности Японии (MITI) разработало програм­му Smart Commerce Japan, предусматривающую развитие электронных платежей по банковским карточкам, совершаемых в открытых сетях типа Internet.

Ожидается, что спецификации будут предло­жены для широкого применения в конце 1996 г. после доработки и утверждения окончательного варианта. Тем не менее, уже в марте 1996 г. ком­пания American Express Travel Related Services при­няла решение использовать спецификации SET для «он-лайн» транзакций в сети Internet по всем видам расчетных карточек American Express и карточкам Optima.

В конце июля 1996 г. компания Verisign объявила о заключении контракта с ас­социацией Visa International, в соответствии с которым компания предоставит банкам-членам платежной ассоциации технологию совершения финансовых операций в откры­тых сетях на базе SET-спецификаций. На осень 1996 г. намечено тестирование этой технологии, в котором примут участие несколько банков-членов Visa International. Ес­ли тестирование окажется успешным, клиенты смогут воспользоваться новой услугой начиная с 1 января 1997 г. Проект, запланированный Visa International на начало 1997 в Японии, является ча­стью этой программы. В проекте примут участие консорциум Toshiba и крупнейшие предприятия розничной торговли Японии. В рамках проекта предусматривается выпуск 35 тыс. ЕМV-совместимых микропроцессорных карточек, которые будут выдаваться в комплекте с компактными устройствами для считывания информации с карточек. Кар­точки будут использоваться как обычные карточки Visa, а также для оплаты покупок в сети Internet через персональные компьютеры или через специальные интерактивные киоски, размещаемые в местах, наиболее часто посещаемых клиентами.

 

Разработки международных платежных ассо­циаций существенно отличаются от ранних кон­цепций совершения покупок в сети Internet, кото­рые были неудобны и небезопасны в силу того,

2          Спецификации SET определяют правило информационного обмена между покупателем и продавцом.

что пользователь должен был вручную вводить конфиденциальную финансовую информацию (на­пример, номер карточки) в персональный компь­ютер. Тем не менее, они сыграли свою роль в развитии рынка электронных платежей через Internet и в настоящее время продолжают ис­пользоваться достаточно широким кругом про­давцов и покупателей для совершения сделок. В этой статье представлен обзор шести наиболее распространенных технологий, разработанных компаниями CyberCash, Digicash, First DATA/Netscape, First Vitual, Open Market, Wave Systems.

Хотя каждая из представленных ниже техноло­гий имеет свои характерные особенности, область применения, сильные и слабые стороны, тем не ме­нее, все они базируются на единой концепции dig­ital cash - оцифрованного эквивалента чеков, банк­нот и монет. В каждой из технологий в осуществ­лении платежных транзакций принимают участие три стороны3: клиент платит, предприятие торговой сети принимает платеж, банк производит необхо­димые операции со счетом, Различия заключают­ся в способе реализации, последовательности и механизмах взаимодействия всех трех сторон.

Системы, основанные

на использовании дебетовых карточек

DigiCash

Клиент приобретает e-cash «монеты» (tokens) для «электронного бумажника» в банке, имею­щем лицензию на использование технологии DigiCash. За e-cash клиент может расплачиваться как со счета, так и e-cash, полученными от дру­гого лица.

Когда предприятие хочет получить оплату за товары (услуги), его сервер через сеть Internet вы­зывает программное обеспечение клиента. Клиен­ту направляется требование об оплате, которое появляется на экране его компьютера. Клиент ав­торизует платеж , после чего программное обес­печение клиента отправляет «монеты» предпри­ятию. Предприятие пересылает полученные «мо­неты» через платежный сервер DigiCash банку-эмитенту. Банк проверяет номера «монет» и под­пись (шифр), переводит средства на счет предпри­ятия и отправляет предприятию подтверждение. Все платежи окончательны, и предприятие не обязано вести учет транзакций.

Wave Systems

Технология Wave Meter базируется на уста­новке внутри компьютера специальной микросхе­мы. Загрузка средств в память микросхемы осу-

ществляется после запуска программы связи с си­стемой Wave Systems и ввода информации о кар­точке. Микропроцессор микросхемы фиксирует все проводимые операции, то есть фактически ве­дет журнал транзакций.

Когда клиент инициирует транзакцию, ПО пе­редает ее для обработки микропроцессору, ко­торый восстанавливает секретный ключ и списы­вает средства с суммы, хранящейся в памяти ми­кросхемы. Процесс загрузки и расшифровки мо­жет быть скрыт от пользователя.

При обращении клиента за дальнейшим кре­дитом микропроцессор Wave Meter выгружает информацию о прошедших платежах и передает ее системе Wave Systems, которая производит расчеты с предприятием торговли.

Технология Wave Meter может быть использо­вана для продажи информации, лицензий, а так­же для расшифровки информации, поступающей в зашифрованном виде, например, на CD-ROM. Но в целом, эта система не выдерживает сопер­ничества с центральными платежными серверами.

Безопасность и конфиденциальность информации

Безопасность. Наиболее распространенный способ защитить информацию - попросить поль­зователя ввести пароль. Новое поколение про­грамм просмотра информации в WWW позволя­ет зашифровать сообщение (в том числе пароль), прежде чем передавать его по сети. Однако да­же зашифрованный пароль не обеспечивает пол­ную безопасность, если используется более одно­го раза. Поэтому предлагается использовать спе­циальные карманные устройства, генерирующие уникальные пароли.

Конфиденциальность. Многие клиенты пола­гают, что электронные финансовые транзакции должны быть анонимны в той же степени, что и операции, проводимые клиентом с наличными. Анонимность может быть достигнута при исполь­зовании современных криптографических техноло­гий в системах электронных платежей.

Системы, основанные

на предоставлении кредита

CyberCash

CyberCash играет в схеме виртуальных плате­жей, выполняемых в сети Internet, роль процессин-говой компании, а также поставщика специализи­рованного программного обеспечения клиенту, банку и предприятию торговой сети.

3          В операциях платежа между мастными лицами участники действуют одновременно как клиенты и предприятия сети. Для клиента существует возможность автоматической авторизации.

Сравнение основных характеристик DigiCash и WaveMeter

Таблица 1

Наименование

 

DigiCash

 

Wave Meter

 

Программное обеспечение клиента

 

Свободно распространяется. Одинаковое для клиента и предприятия торговой сети

 

Специальное ПО Wave Meter для обеспечения дешифрования и измерения

 

Программное обеспечение предприятия торговой сети

 

Свободно распространяется. Одинаковое для клиента и предприятия торговой сети

 

Специальное ПО Wave Meter для обеспечения дешифрования и измерения

i

 

Осуществление платежей небольшого объема

 

Да

 

Плата за транзакцию с клиента не взимается

 

Ведение подсчетов

 

Подсчеты не производятся. Ведение учета можно обеспечить сбором квитанций и проверкой номеров выкупленных банкнот

 

Продукт, основанный на использовании сервера NetWare, может собирать платежи со всех пользователей локальной сети с индивидуальными расходными лимитами

 

Стоимость транзакции

 

Плата за транзакцию от клиентов и предприятий устанавливается банками, которые покупают у Digicash лицензии

 

Wave Systems взимает с торговых точек от 20 до 40% годового дохода

 

Риск для клиента и предприятия

 

Потерянные или неисправные E-cash не могут быть восстановлены, поскольку перемещение банкнот не фиксируется. В случае присвоения ключа эмитента все банкноты в обращении становятся недействительными

 

Ответственность поделена между предприятием и клиентом. Если машина выйдет из строя перед тем, как клиент клиент использовал кредит от Wave Meter, пострадает клиент

 

Специальное оборудование

 

Нет

 

На сервере или локальном компьютере должна быть установлена плата Wave Meter

 

Область применения

 

Продажа информации, перевод платежей, транзакции небольшого объема5

 

Продажа информации, оплачиваемой до использования, а также игр на CD-ROMs, программных продуктов, лицензий

 

Безопасность и конфиденциальность

Таблица 2

DigiCash

 

Wave Meter

 

Клиент может оставаться анонимным для предприятия (за исключением IP адреса); клиент создает банкноты со случайным номером и номиналом, и банк подписывает их. Принимая банкноты, банк проверяет подлинность подписи, а также номер. Ни банк, ни предприятие не знают, кто купил конкретную банкноту, но клиент может узнать у банка, кто ее сдал

 

В системе. Wave Systems сохраняется детальная информация о транзакциях, которая может быть предоставлена предприятию торговой сети

 

CyberCash предлагает три метода проведения платежей:

- по кредитным карточкам (в перспективе - по дебетовым);

- наличными CyberCash;

- микроплатежи «монетами».

Платежи по кредитным карточкам

Клиент связывается с предприятием торговой сети, запуская специальную программу просмот­ра (WWW броузер). После нажатия клиентом кнопки «RPAYS» сервер предприятия посылает со­общение, запускающее программу CyberCash клиента, а также запрос на оплату (в виде неза­полненной формы слипа). В окне CyberCash клиента появляется меню для выяснения, проводить ли авторизацию по дебетовой карточке или по кредитной (в настоящее время реализован вари­ант только для кредитных карточек). Клиент зано­сит в форму номер кредитной карточки, подписы­вает и шифрует форму и пересылает ее на пла­тежный сервер. Оттуда информация передается для авторизации процессору кредитных карточек. Платежный сервер подписывает и шифрует ответ процессора и направляет его программному обеспечению клиента, которое пересылает этот ответ предприятию. Таким образом, предприятие получает оплату от процессора кредитных карто­чек переводом средств на счет предприятия в об­служивающем банке.

4          Правительства некоторых стран предполагают, что e-cash могут быть использованы для спекуляций.

 

First Virtual

Система. изначально была разработана для обслуживания продажи информации и программ­ных продуктов. Она выглядит достаточно привле­кательной для предприятий торговой сети, по­скольку для ее использования не требуется спе­циальное оборудование, наличие инфраструктуры и открытие специального счета. При этом плата за вступление в систему для предприятий торго­вой сети составляет всего 10 долларов США.

Предприятие инициирует транзакцию, предла­гая клиенту ввести в специальную форму неза­шифрованный пароль. Программа предприятия пересылает сообщение, содержащее пароль и описание транзакции, на платежный сервер First Virtual. Сервер пересылает клиенту запрос авто­ризации по электронной почте. Клиент может разрешить или запретить оплату, а также заявить о мошенничестве. Если клиент дал отрицательный ответ, он не платит, но высокий процент отказов ведет к отключению клиента от обслуживания. При ответе «мошенничество» клиент не платит, но счет блокируется до выяснения обстоятельств и получения клиентом нового пароля.

В случае положительного ответа клиент дол­жен связаться с автоматическим телефонным цен­тром для подписи заполненной формы (своего ро­да голосовая авторизация и код подтверждения). Заполненная и подписанная форма возвращается на платежный сервер First Virtual, откуда пересы­лается на сервер предприятия торговой сети.

Клиент может оплачивать счета по кредитной карточке или через АСН-транзакции, которые ав­торизуются при пересылке слипа. Предприятие получает перевод на банковский счет через АСН.

Open Market

Компания Open Market видит свою роль в вы­полнении чисто процессинговых функций, которые

могут осуществляться с помощью платежного сервера Open Market. Разработанная технология основана на средствах WWW и поддерживает HTTP-стандарт.

В каждой транзакции клиент обменивается сообщениями с платежным сервером. Транзак­ция начинается с «выставления счета на опла­ту», то есть с момента отправки с сервера тор­говой точки зашифрованного HTML документа, содержащего кнопку вызова «реквизитов пла­тежного поручения». «Реквизиты» включают ад­рес платежного сервера, описание транзакции, название торговой точки, цену и подпись, за­шифрованную секретным ключом. При нажатии кнопки вызова «платежное поручение» пересы­лается сначала на платежный сервер. После ау­тентификации клиента платежный сервер выпол­няет авторизацию платежа. Результат авториза­ции вместе с инструкцией по контакту с серве­ром предприятия торговой сети направляется на компьютер клиента. Далее клиент связывает­ся с сервером предприятия торговой сети и пе­ресылает ему авторизованное «платежное пору­чение». АСН переводит платежи на счет торго­вой точки.

First Data

Предприятие создает HTML-форму, содержа­щую информацию о транзакции, и пересылает ее клиенту. Клиент заносит в форму номер карточки, шифрует форму встроенными средствами про­граммы поиска Netscape и возвращает предпри­ятию. Полученная информация по выделенным ка­налам передается в процессинговый центр First Data для авторизации (как и обычная транзак­ция). После того, как платеж авторизуется, тран­закция завершается. Предприятие получает обыч­ный перевод на счет от First Data.

Таблица 3

Сравнение основных характеристик CyberCash, Open Market, First Data, First Virtual

Наименование

 

CyberCash

 

Open Market

 

First Data/Netscape

 

First Virtual

 

Программное обеспечение клиента

 

Свободно распространяемое, рабочая станция типа «WWW - броузер»

 

Свободно рас­пространяемое, рабочая станция с программой просмотра

 

NetScape WWW - броузер с шифратором

 

Специальное ПО

не требуется. Используется WWW-browser и e-mail с First Virtual6

 

Программное обеспечение предприятия

 

Свободно распространяемое; библиотека для создания и разбора CyberCash сообщений7

 

ПО для создания платежных URLs8 для пересылки на платежный сервер; НИР-сервер

 

Необходим сервер Netscape Commerce и ПО для интерфейса с First Data9

 

Сервер должен поддерживать большое число протоколов коммуникации

 

Для операций со счетом клиент дозванивается до автоматического телефонного центра, который принимает инфомацию о кредитной карточке.

7    Сервер предприятия вызывает библиотеку для запроса на совершение платежа.

8     URL-указатели постоянных ресурсов, или «реквизиты для платежных поручений».

Далее предприятия должны соединяться с процессинговым центром по выделенным каналам.

Наименование

 

CyberCash

 

Open Market

 

First Data/Netscape

 

First Virtual

 

Проведение платежей небольшого объема

 

Да

 

Сбор мелких транзакций в пакеты по 35 долларов США и взимание платы за эти пакеты

 

Нет

 

Нет

 

Ведение подсчетов

 

Вся аутентификация, предварительные расчеты, совокупные платежи должны осуществляться на сервере предприятия. CyberCash выполняет только окончательные платежи

 

Предполагается обеспечить прямые переводы средств между счетами предприятий

 

Осуществляется с помощью дополнительных модулей, устанавливаемых на сервере Netscape

 

Нет

 

Стоимость транзакции

 

Фиксированная плата за транзакцию. Авторизация по кредитным карточкам - 5 центов плюс Processing Fee 20 центов + 2% от суммы; за дебетовую транзакцию - 30 центов

 

Для предприятий торговой сети -3% от суммы транзакций + 20 центов + оговоренные комиссионные

 

Стоимость эквивалентна существующей комиссии за процессинг (Processing Fee) для случая «карточка не присутствует» (no-show)

 

С предприятия -2% + 29 центов за транзакцию

 

Риск для клиента и пред­приятия

 

Всю ответственность несет клиент.10 По правилам для транзакций типа «карточка не присутствует» (no-show), например, при продаже по телефону, предприятие ответственно за фальшивые транзакции по кредитным карточкам

 

Всю ответственность несет предприятие

 

Всю ответственность несет предприятие

 

Всю ответст венность несет предприятие"

 

Область применения

 

Продажа по каталогу, операции удаленного управления счетом. Плохо приспособлено для продажи информации

 

Продажа товаров и услуг

 

Продажа по каталогу

 

Продажа программного обеспечения, информации

 

Недостатки

 

Клиент вынужден заполнять слип для каждой транзакции и отказываться от выгод подписки и промежуточных платежей

 

Клиент вынужден взаимодействовать с платежным сервером для каждой транзакции

 

Высокая стоимость для предприятий, недостаточное обеспечение безопасности для клиентов

 

Схема платежей не определена, механизм подписывания ненадежен

 

Таблица 4

Безопасность и конфиденциальность

CyberCash

 

Open Market

 

First Data/Netscape

 

First Virtual

 

Пользователь получает доступ к ключу шифрования с помощью пароля при запуске ПО. Банк клиента получает детальную информацию по каждой транзакции, но клиент может оставаться анонимным для предприятия (за исключением IP адреса); клиент может также оставаться полностью анонимным

 

Запрашивает пароль и другую информацию по рекомендации дешифрующего устройства броузера. Open Market использует S-HTTP шифрователь. Open Market возвращает информацию по каждой транзакции, но клиент может остаться анонимным для предприятия (за исключением IP адреса)

 

Безопасность поддерживается благодаря использованию сервера Netscape с устройством шифрования HTTP с доступом на основе пароля. Конфиденциальность не обеспечивается; предприятия получают всю информацию о кредитной карточке клиента и о деталях платежа

 

First Virtual получает детальную информацию по каждой транзакции, но клиент может оставаться анонимным для предприятия (за исключением IP адреса)

 

Отсутствует механизм для оспаривания дебетовых транзакций.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube