Электронные платёжные системы, использующие Internet и средства WWW
Глобальная компьютерная сеть Internet, служащая основой для передачи различных сообщений, в последнее время вызывает значительный интерес как у разработчиков информационных банковских технологий, так и у ведущих телекоммуникационных компаний. Этот интерес не случаен, поскольку Internet не знает границ и компания, предлагающая товары и услуги в этой сети, получает прямой доступ к миллионам потребителей и бизнесменов независимо от страны и, следовательно, широчайшие рынки сбыта своей продукции.
В то же время, специфика сети - открытость и большая протяженность - становится препятствием на пути ее широкого использования в качестве магистрали для передачи финансовых транзакций. Основная трудность - обеспечение безопасности и конфиденциальности передаваемой финансовой информации в условиях доступности сообщений, циркулирующих по сети, для миллионов ее абонентов. Очевидно, что ключевую роль
в определении правил передачи финансовых сообщений по открытым сетям должны сыграть международные платежные системы Visa International, MasterCard International и Еurорау International в альянсе с крупнейшими телекоммуникационными компаниями и разработчиками программного обеспечения.
Еurорау International
Весной 1995 г. ассоциация Еurорау International объявила о совместных с корпорацией IBM планах разработки системы, которая обеспечит держателям карточек-«электронных кошельков» возможность приобретать товары, услуги и информацию, помещая карточку в картридер, связанный с персональным компьтером, телефоном или телевизором. После того, как Еurорау International перейдет на микропроцессорные карточки, для покупок в сети Internet можно будет также использовать и обычные дебетовые и кредитные карточки. «Сегодня, когда информация о платежах, передаваемая по сети Internet, недостаточно защищена, Еurорау International планирует пойти навстречу огромному спросу на электронные покупки. Это возможность привлекать десятки миллионов покупателей и обрабатывать миллиарды транзакций, связывая наивысшую степень безопасности платежей и защиту от мошенничества, обеспечиваемую микропроцессорными карточками-продуктами платежной ассоциации с открытым протоколом платежей IBM1», - отметил бывший директор Еurорау International Рон Вильяме (Ron Willyams).
VISA International и MasterCard International
Жан Локарт (Gene Locart), генеральный директор компании MasterCard International, заявил, что необходимо разработать и ввести единый стандарт на платежи по карточкам, осуществляемые в сети Internet. Эд Иенсон (Ed Jenson), президент и директор ассоциации Visa International,
По разным оценкам, сеть Internet насчитывает около 40 млн. пользователей. Система объединяет более 40 тыс. отдельных компьютерных сетей. Каждые 30 минут к Internet подключается новая сеть, каждый месяц - 1 млн. пользователей. По оценкам экспертов, к 2000 г. общее число пользователей сети превысит 100 млн. человек.
В настоящее время около 20 тыс. коммерсантов совершают в сети Internet сделки, оборот по которым приближается к 200 млн. долларов США. Специалисты агенства Forester Research считают, что к 2000 г. оборот электронной торговли в сети Internet достигнет 10 млрд. долларов США.
|
1 Протокол 1КР был разработан компанией IBM для обеспечения безопасности транзакций, совершаемых в сети Woirld Wide Web, и предложен Консорциуму World Wide Web & Internet Engineering Task Force и Консрорциуму финансовых услуг с целью рассмотрения его как промышленного стандарта для обеспечения безопасности электронных покупок.
сказал, что конфиденциальность держателей карточек и предприятий торговой сети - необходимое условие для развития нового рынка. Основа этой конфиденциальности - безопасность транзакций в безопасной среде.
Конкуренция, издавна существующая между Ассоциациями, проявилась и в этой сфере. Работы по созданию единой методики обеспечения безопасности электронных платежей по банковским карточкам, совершаемых в открытых сетях, Visa International и MasterCard International начали проводить независимо друг от друга, заключив соглашения с компаниями Microsoft и Netscape Communications. 23 июня 1995 г. было объявлено, что Visa и MasterCard, основываясь на результатах, полученных в сотрудничестве с этими компаниями, объединяют усилия для разработки совместных спецификаций для финансовых транзакций в киберпространстве. Однако 27 сентября 1995 г. союз дал трещину. Ассоциация Visa International опубликовала некоторые результаты разработки систем шифрования данных для транзакций в кибернетическом пространстве, несмотря на заявление MasterCard International о том, что проект не закончен. Опубликованный материал, к сожалению, не содержал исходного кода программы технологии обеспечения безопасности транзакций (STT -Secure Transaction Technology). Это послужило поводом для высказывания ассоциацией MasterCard International предположения о возможной несовместимости приложений, написанных по материалам публикации, и работы MasterCard над созданием собственной версии спецификаций были возобновлены. 3 октября 1995 г. был обнародован протокол SEPP, разра-
ботанный MasterCard International в содружестве с компаниями Netscape и IBM.
При отсутствии единой спецификации предприятиям, предлагающим товары и услуги в сети' Internet, пришлось бы поддерживать оба протокола. Поэтому для развития электронной торговли в сети Internet принципиально важно наличие единой спецификации. Видимо, это обстоятельство побудило ассоциации Visa International и MasterCard International продолжить работу над общим стандартом, сочетающем в себе преимущества и STT, и SEPP. Предварительный вариант совместных спецификаций SET2 (Secure Electronic Transaction) был разработан в середине февраля 1996 г. Во втором квартале 1996 г. обе платежные системы приступили к независимому тестированию спецификаций.
Министерство международной торговли и промышленности Японии (MITI) разработало программу Smart Commerce Japan, предусматривающую развитие электронных платежей по банковским карточкам, совершаемых в открытых сетях типа Internet.
Ожидается, что спецификации будут предложены для широкого применения в конце 1996 г. после доработки и утверждения окончательного варианта. Тем не менее, уже в марте 1996 г. компания American Express Travel Related Services приняла решение использовать спецификации SET для «он-лайн» транзакций в сети Internet по всем видам расчетных карточек American Express и карточкам Optima.
В конце июля 1996 г. компания Verisign объявила о заключении контракта с ассоциацией Visa International, в соответствии с которым компания предоставит банкам-членам платежной ассоциации технологию совершения финансовых операций в открытых сетях на базе SET-спецификаций. На осень 1996 г. намечено тестирование этой технологии, в котором примут участие несколько банков-членов Visa International. Если тестирование окажется успешным, клиенты смогут воспользоваться новой услугой начиная с 1 января 1997 г. Проект, запланированный Visa International на начало 1997 в Японии, является частью этой программы. В проекте примут участие консорциум Toshiba и крупнейшие предприятия розничной торговли Японии. В рамках проекта предусматривается выпуск 35 тыс. ЕМV-совместимых микропроцессорных карточек, которые будут выдаваться в комплекте с компактными устройствами для считывания информации с карточек. Карточки будут использоваться как обычные карточки Visa, а также для оплаты покупок в сети Internet через персональные компьютеры или через специальные интерактивные киоски, размещаемые в местах, наиболее часто посещаемых клиентами.
|
Разработки международных платежных ассоциаций существенно отличаются от ранних концепций совершения покупок в сети Internet, которые были неудобны и небезопасны в силу того,
2 Спецификации SET определяют правило информационного обмена между покупателем и продавцом.
что пользователь должен был вручную вводить конфиденциальную финансовую информацию (например, номер карточки) в персональный компьютер. Тем не менее, они сыграли свою роль в развитии рынка электронных платежей через Internet и в настоящее время продолжают использоваться достаточно широким кругом продавцов и покупателей для совершения сделок. В этой статье представлен обзор шести наиболее распространенных технологий, разработанных компаниями CyberCash, Digicash, First DATA/Netscape, First Vitual, Open Market, Wave Systems.
Хотя каждая из представленных ниже технологий имеет свои характерные особенности, область применения, сильные и слабые стороны, тем не менее, все они базируются на единой концепции digital cash - оцифрованного эквивалента чеков, банкнот и монет. В каждой из технологий в осуществлении платежных транзакций принимают участие три стороны3: клиент платит, предприятие торговой сети принимает платеж, банк производит необходимые операции со счетом, Различия заключаются в способе реализации, последовательности и механизмах взаимодействия всех трех сторон.
Системы, основанные
на использовании дебетовых карточек
DigiCash
Клиент приобретает e-cash «монеты» (tokens) для «электронного бумажника» в банке, имеющем лицензию на использование технологии DigiCash. За e-cash клиент может расплачиваться как со счета, так и e-cash, полученными от другого лица.
Когда предприятие хочет получить оплату за товары (услуги), его сервер через сеть Internet вызывает программное обеспечение клиента. Клиенту направляется требование об оплате, которое появляется на экране его компьютера. Клиент авторизует платеж , после чего программное обеспечение клиента отправляет «монеты» предприятию. Предприятие пересылает полученные «монеты» через платежный сервер DigiCash банку-эмитенту. Банк проверяет номера «монет» и подпись (шифр), переводит средства на счет предприятия и отправляет предприятию подтверждение. Все платежи окончательны, и предприятие не обязано вести учет транзакций.
Wave Systems
Технология Wave Meter базируется на установке внутри компьютера специальной микросхемы. Загрузка средств в память микросхемы осу-
ществляется после запуска программы связи с системой Wave Systems и ввода информации о карточке. Микропроцессор микросхемы фиксирует все проводимые операции, то есть фактически ведет журнал транзакций.
Когда клиент инициирует транзакцию, ПО передает ее для обработки микропроцессору, который восстанавливает секретный ключ и списывает средства с суммы, хранящейся в памяти микросхемы. Процесс загрузки и расшифровки может быть скрыт от пользователя.
При обращении клиента за дальнейшим кредитом микропроцессор Wave Meter выгружает информацию о прошедших платежах и передает ее системе Wave Systems, которая производит расчеты с предприятием торговли.
Технология Wave Meter может быть использована для продажи информации, лицензий, а также для расшифровки информации, поступающей в зашифрованном виде, например, на CD-ROM. Но в целом, эта система не выдерживает соперничества с центральными платежными серверами.
Безопасность и конфиденциальность информации
Безопасность. Наиболее распространенный способ защитить информацию - попросить пользователя ввести пароль. Новое поколение программ просмотра информации в WWW позволяет зашифровать сообщение (в том числе пароль), прежде чем передавать его по сети. Однако даже зашифрованный пароль не обеспечивает полную безопасность, если используется более одного раза. Поэтому предлагается использовать специальные карманные устройства, генерирующие уникальные пароли.
Конфиденциальность. Многие клиенты полагают, что электронные финансовые транзакции должны быть анонимны в той же степени, что и операции, проводимые клиентом с наличными. Анонимность может быть достигнута при использовании современных криптографических технологий в системах электронных платежей.
Системы, основанные
на предоставлении кредита
CyberCash
CyberCash играет в схеме виртуальных платежей, выполняемых в сети Internet, роль процессин-говой компании, а также поставщика специализированного программного обеспечения клиенту, банку и предприятию торговой сети.
3 В операциях платежа между мастными лицами участники действуют одновременно как клиенты и предприятия сети. Для клиента существует возможность автоматической авторизации.
Сравнение основных характеристик DigiCash и WaveMeter
Таблица 1
Наименование
|
DigiCash
|
Wave Meter
|
Программное обеспечение клиента
|
Свободно распространяется. Одинаковое для клиента и предприятия торговой сети
|
Специальное ПО Wave Meter для обеспечения дешифрования и измерения
|
Программное обеспечение предприятия торговой сети
|
Свободно распространяется. Одинаковое для клиента и предприятия торговой сети
|
Специальное ПО Wave Meter для обеспечения дешифрования и измерения
i
|
Осуществление платежей небольшого объема
|
Да
|
Плата за транзакцию с клиента не взимается
|
Ведение подсчетов
|
Подсчеты не производятся. Ведение учета можно обеспечить сбором квитанций и проверкой номеров выкупленных банкнот
|
Продукт, основанный на использовании сервера NetWare, может собирать платежи со всех пользователей локальной сети с индивидуальными расходными лимитами
|
Стоимость транзакции
|
Плата за транзакцию от клиентов и предприятий устанавливается банками, которые покупают у Digicash лицензии
|
Wave Systems взимает с торговых точек от 20 до 40% годового дохода
|
Риск для клиента и предприятия
|
Потерянные или неисправные E-cash не могут быть восстановлены, поскольку перемещение банкнот не фиксируется. В случае присвоения ключа эмитента все банкноты в обращении становятся недействительными
|
Ответственность поделена между предприятием и клиентом. Если машина выйдет из строя перед тем, как клиент клиент использовал кредит от Wave Meter, пострадает клиент
|
Специальное оборудование
|
Нет
|
На сервере или локальном компьютере должна быть установлена плата Wave Meter
|
Область применения
|
Продажа информации, перевод платежей, транзакции небольшого объема5
|
Продажа информации, оплачиваемой до использования, а также игр на CD-ROMs, программных продуктов, лицензий
|
Безопасность и конфиденциальность
Таблица 2
DigiCash
|
Wave Meter
|
Клиент может оставаться анонимным для предприятия (за исключением IP адреса); клиент создает банкноты со случайным номером и номиналом, и банк подписывает их. Принимая банкноты, банк проверяет подлинность подписи, а также номер. Ни банк, ни предприятие не знают, кто купил конкретную банкноту, но клиент может узнать у банка, кто ее сдал
|
В системе. Wave Systems сохраняется детальная информация о транзакциях, которая может быть предоставлена предприятию торговой сети
|
CyberCash предлагает три метода проведения платежей:
- по кредитным карточкам (в перспективе - по дебетовым);
- наличными CyberCash;
- микроплатежи «монетами».
Платежи по кредитным карточкам
Клиент связывается с предприятием торговой сети, запуская специальную программу просмотра (WWW броузер). После нажатия клиентом кнопки «RPAYS» сервер предприятия посылает сообщение, запускающее программу CyberCash клиента, а также запрос на оплату (в виде незаполненной формы слипа). В окне CyberCash клиента появляется меню для выяснения, проводить ли авторизацию по дебетовой карточке или по кредитной (в настоящее время реализован вариант только для кредитных карточек). Клиент заносит в форму номер кредитной карточки, подписывает и шифрует форму и пересылает ее на платежный сервер. Оттуда информация передается для авторизации процессору кредитных карточек. Платежный сервер подписывает и шифрует ответ процессора и направляет его программному обеспечению клиента, которое пересылает этот ответ предприятию. Таким образом, предприятие получает оплату от процессора кредитных карточек переводом средств на счет предприятия в обслуживающем банке.
4 Правительства некоторых стран предполагают, что e-cash могут быть использованы для спекуляций.
First Virtual
Система. изначально была разработана для обслуживания продажи информации и программных продуктов. Она выглядит достаточно привлекательной для предприятий торговой сети, поскольку для ее использования не требуется специальное оборудование, наличие инфраструктуры и открытие специального счета. При этом плата за вступление в систему для предприятий торговой сети составляет всего 10 долларов США.
Предприятие инициирует транзакцию, предлагая клиенту ввести в специальную форму незашифрованный пароль. Программа предприятия пересылает сообщение, содержащее пароль и описание транзакции, на платежный сервер First Virtual. Сервер пересылает клиенту запрос авторизации по электронной почте. Клиент может разрешить или запретить оплату, а также заявить о мошенничестве. Если клиент дал отрицательный ответ, он не платит, но высокий процент отказов ведет к отключению клиента от обслуживания. При ответе «мошенничество» клиент не платит, но счет блокируется до выяснения обстоятельств и получения клиентом нового пароля.
В случае положительного ответа клиент должен связаться с автоматическим телефонным центром для подписи заполненной формы (своего рода голосовая авторизация и код подтверждения). Заполненная и подписанная форма возвращается на платежный сервер First Virtual, откуда пересылается на сервер предприятия торговой сети.
Клиент может оплачивать счета по кредитной карточке или через АСН-транзакции, которые авторизуются при пересылке слипа. Предприятие получает перевод на банковский счет через АСН.
Open Market
Компания Open Market видит свою роль в выполнении чисто процессинговых функций, которые
могут осуществляться с помощью платежного сервера Open Market. Разработанная технология основана на средствах WWW и поддерживает HTTP-стандарт.
В каждой транзакции клиент обменивается сообщениями с платежным сервером. Транзакция начинается с «выставления счета на оплату», то есть с момента отправки с сервера торговой точки зашифрованного HTML документа, содержащего кнопку вызова «реквизитов платежного поручения». «Реквизиты» включают адрес платежного сервера, описание транзакции, название торговой точки, цену и подпись, зашифрованную секретным ключом. При нажатии кнопки вызова «платежное поручение» пересылается сначала на платежный сервер. После аутентификации клиента платежный сервер выполняет авторизацию платежа. Результат авторизации вместе с инструкцией по контакту с сервером предприятия торговой сети направляется на компьютер клиента. Далее клиент связывается с сервером предприятия торговой сети и пересылает ему авторизованное «платежное поручение». АСН переводит платежи на счет торговой точки.
First Data
Предприятие создает HTML-форму, содержащую информацию о транзакции, и пересылает ее клиенту. Клиент заносит в форму номер карточки, шифрует форму встроенными средствами программы поиска Netscape и возвращает предприятию. Полученная информация по выделенным каналам передается в процессинговый центр First Data для авторизации (как и обычная транзакция). После того, как платеж авторизуется, транзакция завершается. Предприятие получает обычный перевод на счет от First Data.
Таблица 3
Сравнение основных характеристик CyberCash, Open Market, First Data, First Virtual
Наименование
|
CyberCash
|
Open Market
|
First Data/Netscape
|
First Virtual
|
Программное обеспечение клиента
|
Свободно распространяемое, рабочая станция типа «WWW - броузер»
|
Свободно распространяемое, рабочая станция с программой просмотра
|
NetScape WWW - броузер с шифратором
|
Специальное ПО
не требуется. Используется WWW-browser и e-mail с First Virtual6
|
Программное обеспечение предприятия
|
Свободно распространяемое; библиотека для создания и разбора CyberCash сообщений7
|
ПО для создания платежных URLs8 для пересылки на платежный сервер; НИР-сервер
|
Необходим сервер Netscape Commerce и ПО для интерфейса с First Data9
|
Сервер должен поддерживать большое число протоколов коммуникации
|
Для операций со счетом клиент дозванивается до автоматического телефонного центра, который принимает инфомацию о кредитной карточке.
7 Сервер предприятия вызывает библиотеку для запроса на совершение платежа.
8 URL-указатели постоянных ресурсов, или «реквизиты для платежных поручений».
Далее предприятия должны соединяться с процессинговым центром по выделенным каналам.
Наименование
|
CyberCash
|
Open Market
|
First Data/Netscape
|
First Virtual
|
Проведение платежей небольшого объема
|
Да
|
Сбор мелких транзакций в пакеты по 35 долларов США и взимание платы за эти пакеты
|
Нет
|
Нет
|
Ведение подсчетов
|
Вся аутентификация, предварительные расчеты, совокупные платежи должны осуществляться на сервере предприятия. CyberCash выполняет только окончательные платежи
|
Предполагается обеспечить прямые переводы средств между счетами предприятий
|
Осуществляется с помощью дополнительных модулей, устанавливаемых на сервере Netscape
|
Нет
|
Стоимость транзакции
|
Фиксированная плата за транзакцию. Авторизация по кредитным карточкам - 5 центов плюс Processing Fee 20 центов + 2% от суммы; за дебетовую транзакцию - 30 центов
|
Для предприятий торговой сети -3% от суммы транзакций + 20 центов + оговоренные комиссионные
|
Стоимость эквивалентна существующей комиссии за процессинг (Processing Fee) для случая «карточка не присутствует» (no-show)
|
С предприятия -2% + 29 центов за транзакцию
|
Риск для клиента и предприятия
|
Всю ответственность несет клиент.10 По правилам для транзакций типа «карточка не присутствует» (no-show), например, при продаже по телефону, предприятие ответственно за фальшивые транзакции по кредитным карточкам
|
Всю ответственность несет предприятие
|
Всю ответственность несет предприятие
|
Всю ответст венность несет предприятие"
|
Область применения
|
Продажа по каталогу, операции удаленного управления счетом. Плохо приспособлено для продажи информации
|
Продажа товаров и услуг
|
Продажа по каталогу
|
Продажа программного обеспечения, информации
|
Недостатки
|
Клиент вынужден заполнять слип для каждой транзакции и отказываться от выгод подписки и промежуточных платежей
|
Клиент вынужден взаимодействовать с платежным сервером для каждой транзакции
|
Высокая стоимость для предприятий, недостаточное обеспечение безопасности для клиентов
|
Схема платежей не определена, механизм подписывания ненадежен
|
Таблица 4
Безопасность и конфиденциальность
CyberCash
|
Open Market
|
First Data/Netscape
|
First Virtual
|
Пользователь получает доступ к ключу шифрования с помощью пароля при запуске ПО. Банк клиента получает детальную информацию по каждой транзакции, но клиент может оставаться анонимным для предприятия (за исключением IP адреса); клиент может также оставаться полностью анонимным
|
Запрашивает пароль и другую информацию по рекомендации дешифрующего устройства броузера. Open Market использует S-HTTP шифрователь. Open Market возвращает информацию по каждой транзакции, но клиент может остаться анонимным для предприятия (за исключением IP адреса)
|
Безопасность поддерживается благодаря использованию сервера Netscape с устройством шифрования HTTP с доступом на основе пароля. Конфиденциальность не обеспечивается; предприятия получают всю информацию о кредитной карточке клиента и о деталях платежа
|
First Virtual получает детальную информацию по каждой транзакции, но клиент может оставаться анонимным для предприятия (за исключением IP адреса)
|
Отсутствует механизм для оспаривания дебетовых транзакций.