Симонович С.В. (ред.) Информатика для юристов и экономистов
Подождите немного. Документ загружается.
10.5. ПЛАТЕЖНЫЕ СИСТЕМЫ В ЭЛЕКТРОННОЙ
КОММЕРЦИИ
Современные банковские технологии составляют основу электронной
коммерции. Без них можно было бы только говорить о стратегическом
использовании технологий, предоставляемых Интернетом, в качестве средства
поддержки коммерции традиционной. Но при использовании электронных
банковских технологий возникают специфические черты, характеризующие
электронную коммерцию как комплексную систему коммерческих
взаимоотношений.
Несмотря на ведущую роль платежных систем в обеспечении
электронной коммерции, мы рассматриваем их в последнюю очередь,
поскольку, лишь изучив технологии создания защищенной связи, можно
приступать к рассмотрению технологий, связанных с использованием
платежных систем для расчетов между участниками электронной коммерции в
Интернете.
Системы дистанционного банковского обслуживания
Банковские электронные услуги вообще и дистанционное банковское
обслуживание в частности представляют собой особый весьма объемный
специальный курс, рассмотреть который в рамках данного учебного пособия,
относящегося к информатике, не представляется возможным. Мы остановимся
на наиболее значимых для клиента (юридического или физического лица)
понятиях, связанных с их участием в электронной коммерции. Однако в
качестве введения укажем, что в структуру всего комплекса электронных
банковских систем входит множество мелких подсистем: Банк —
Предприниматель (клиент — юридическое лицо); Банк — Потребитель (клиент
— физическое лицо); Банк — Банк; Банк — Клиринговый центр; Банк —
Обменный пункт; Банк — Корреспондентские счета и другие. Во всех
подсистемах банки используют такие электронные технологии, как системы
управления базами данных (СУБД), средства ЭЦП, средства идентификации и
аутентификации, основанные на системах и протоколах защищенной связи.
С точки зрения электронной коммерции/нас больше всего интересуют
подсистемы Банк — Предприниматель и Банк — Потребитель, которые в
общем случае представляются одной подсистемой Банк — Клиент с
необходимыми различиями, в зависимости от того, является ли клиент лицом
юридическим или физическим.
Две модели дистанционного банковского обслуживания. Модели
дистанционного банковского обслуживания участников электронной
коммерции условно можно разделить на две категории. Первая называется
толстым клиентом, а вторая — тонким клиентом. В первой модели банк
поставляет клиенту свое специализированное программное обеспечение и
подключает его к своей внутренней системе. Нередко при этом используется и
специальная выделенная линия связи. В данном случае рабочее место клиента
401
можно условно рассматривать как удаленный банковский терминал,
подключенный к банковским службам. Преимуществом модели толстого
клиента является высокая производительность, возможность специализации
обслуживания под задачи конкретного клиента и относительно высокая степень
защиты. Основные недостатки данной модели — недостаточная гибкость в
смысле привязанности клиента к конкретному банку, а также высокая
стоимость внедрения системы на клиентской стороне и повышенные расходы
на ее эксплуатацию.
Из-за фактора стоимости модель толстого клиента доступна только очень
крупным организациям. Высокие расходы на внедрение и эксплуатацию
системы окупаются лишь тогда, когда количество ежедневных банковских
операций превышает определенный минимум. Об использовании этой модели
для обслуживания физических лиц говорить вообще не приходится, а в
электронной коммерции по модели В2С это очень важный фактор.
Модель «тонкого клиента». Благодаря развитию технологий, связанных
с Интернетом, некоторые банки, занимающиеся обслуживанием предприятий
электронной коммерции и физических лиц, потребляющих услуги электронной
коммерции (в первую очередь коммуникационные услуги сервис-провайдеров
и операторов мобильной связи), начали внедрять модель дистанционного
обслуживания, получившую название тонкого клиента. В основе этой модели
лежит использование стандартных средств связи, например коммутируемых
телефонных линий, стандартных транспортных протоколов (TCP/IP),
стандартных средств шифрования данных (551) и средств ЭЦП, а также
стандартных средств вычислительной техники — персональных компьютеров.
В самом общем случае банк может подключить клиента, использующего только
универсальные стандартные средства. То есть, на подключение к
дистанционному банковскому обслуживанию от клиента не требуется никаких
специальных инвестиций. Однако, в связи с тем, что в России до настоящего
времени не принят закон об электронной цифровой подписи и нет
соответствующей ифраструктуры, обеспечивающей ее правовой режим и
техническое функционирование, банки, обеспечивающие дистанционное
обслуживание клиентов, используют свои собственные программные
комплексы. В этом случае клиент должен прежде всего удостовериться в том,
что предлагаемое ему программное обеспечение лицензировано
уполномоченными государственными органами для применения. Без этого
устанавливать на своем компьютере программное обеспечение,
предоставляемое финансовой организацией, небезопасно. В частности, в
настоящее время услуги по лицензированию банковских электронных систем
дистанционного обслуживания предоставляет Федеральное агентство
правительственной связи и информации при Президенте РФ (ФАПСИ).
В состав программных средств, устанавливаемых банком на клиентской
стороне, входят средства для создания электронной цифровой подписи,
средства для защищенного хранения ключей, средства, обслуживающие
протоколы защищенной связи, например 551, и необходимые интерфейсные
средства, обеспечивающие наглядное и удобное выполнение финансовых
402
операций.
При работе с банком по модели тонкого клиента особую роль имеет надежность и
устойчивость компьютера и операционной системы клиентской стороны. В связи с
недостаточной устойчивостью универсальных операционных систем Windows 95/98/Ме,
клиентское программное обеспечение рекомендуется устанавливать под управлением
операционных систем Windows NT/ Windows 2000.
Использование платежных карт в электронной коммерции
Пока системы дистанционного банковского обслуживания и системы
электронных наличных платежей еще не стали общепринятыми платежными
системами электронной коммерции, большинство взаиморасчетов выполняется
с помощью платежных карт. Платежная карта — это обобщенный термин,
обозначающий все виды банковских карточек, различающихся по назначению,
набору оказываемых с их помощью услуг, по своим техническим
возможностям.и организациям, их выпускающим. Первая «фирменная»
платежная карта была выпущена в 1914 г. фирмой General Petroleum Corporation
of California. Она предназначалась для расчетов за услуги, предоставляемые
фирмой. Такие карты не являются полноценным платежным средством и
рассматриваются как клубные карты, назначение которых состоит в
подтверждении принадлежности владельца к определенной системе
учреждений.
Первые карты, являющиеся полноценным платежным средством,
появились в 50-е годы, а в 60-е годы началось создание межбанковских
объединений, обслуживающих отдельные карточные платежные системы.
Сегодня платежные карты различаются по материалу, из которого они
изготовлены (пластиковые, металлические и др.), по механизму расчетов
(двусторонние и многосторонние), по виду расчетов (кредитные и дебетовые),
по характеру использования (индивидуальные, корпоративные и другие), по
способу записи информации на карту (магнитные, смарт-карты и другие).
Причины, вызвавшие широкое использование платежных карт в
электронной коммерции, связаны с благоприятными возможностями
автоматизации расчетных операций с помощью средств вычислительной
техники. Все взаиморасчеты происходят в режиме реального времени (рис.
10.23).
Банк получателя Интернет-магазин Банк плательщика
403
Рис. 10.23. Модель взаиморасчетов с помощью платежных карт
1. Клиент обращается в учреждение электронной торговли,
просматривает список предлагаемых товаров и отбирает нужные товары в
потребительскую корзину. Этот этап происходит в виде взаимодействия
броузера клиента и Web-сервера продавца.
2.Закончив отбор товара, клиент выдает команду Заплатить, которая
инициализирует создание защищенного соединения. После создания
защищенного соединения и согласования сеансового ключа клиент получает
Web-форму, в которую должен ввести персональные данные об используемом
платежном средстве. Если клиент очень часто использует услуги,
предоставляемые предприятиями электронной коммерции, и вполне доверяет
своему программному обеспечению, он может предварительно настроить его
так, чтобы сведения об используемом платежном средстве передавались
автоматически, без ручного ввода.
3.Продавец, получивший данные о платежном средстве клиента,
производит его авторизацию. В ходе авторизации он устанавливает
защищенное соединение с операционным центром, обслуживающим
использованную платежную систему.
4.Операционный центр по своим каналам связи связывается с банком,
эмитировавшим платежную карту, и получает от него подтверждение
платежеспособности клиента и действительности платежной карты.
5.Выполнив авторизацию, продавец передает данные об операции своему
банку для списания средств со счета клиента и зачисления их на счет продавца.
Для этого продавец должен иметь в банке специальный счет,
предусматривающий взаиморасчеты посредством карточных платежных
систем.
6.Банк продавца обращается к операционному центру с просьбой
произвести межбанковские операции.
7.Операционный центр перечисляет соответствующую сумму со счета
банка плательщика на счет банка получателя.
Системы электронных наличных платежей
Понятия «электронный» и «наличный» применительно к финансовому
обороту могут звучать несовместимыми. Тем не менее, в настоящее время
подобные системы разрабатываются и исследуются. Более того, в
определенном смысле у систем электронной наличности большое будущее,
поскольку они позволяют наиболее удобно реализовать основное
преимущество электронной коммерции — возможность эффективной работы с
микроплатежами.
Идеальная модель электронной наличности. Электронная купюра —
лучше говорить электронная монетка, подчеркивая ее ориентированность на
микроплатежи, — это отдельный файл, имеющий электронную цифровую
подпись эмитента (финансовой организации, выпустившей ее в обращение). В
404
самом файле приводятся сведения о номинале электронной монеты,
зашифрованные закрытым ключом эмитента, а в электронной подписи
приводятся сведения об эмитенте, прилагается его открытый ключ и
электронный сертификат, а также открытый ключ центра сертификации.
Владелец электронной монетки может с помощью открытого ключа
эмитента прочитать ее номинал, убедиться в действительности электронной
подписи эмитента и с помощью электронного сертификата удостовериться, что
этот ключ актуален. Далее он может представить данный файл эмитенту на
погашение с зачислением соответствующей суммы на свой расчетный счет.
Поскольку в файле электронной монетки может не быть никаких
сведений о ее владельце, то его можно рассматривать как платежное средство
«до востребования», обладающее свойством анонимности, что характерно для
наличных платежных средств. То есть, передача данного файла другому лицу
может рассматриваться как факт передачи наличных денег. Передача файла
может осуществляться как контактным способом (передачей на носителе
данных), так и транспортировкой через канал связи.
Для удобства выполнения расчетов электронной наличностью
пользователь должен иметь специальное программное средство, полученное от
платежной системы. Условно его называют «Кошельком» или «Бумажником».
Эта программа автоматизирует просмотр электронных монет (купюр), их
погашение и передачу другим лицам в качестве платежного средства.
Недостатки идеальной модели. Несмотря на использование ЭЦП в
качестве средства аутентификации электронной Монетки, идеальная модель
электронной наличности обладает важным дефектом. Дело в том, что
компьютерные файлы очень легко копируются и теоретически владелец
электронной монетки может пойти на правонарушение, размножив ее в любом
количестве. Правонарушение может быть непреднамеренным, если владелец
монетки забудет уничтожить свой файл после того, как тот будет использован в
расчетах за товары и услуги. Впрочем, за удалением использованных монет
должна присматривать программа, выполняющая функции «Кошелька».
Известно, что все копии документа, подписанного ЭЦП, имеют равную юридическую силу, — это основа
правового обеспечения ЭЦП.
Вопрос защиты электронной наличности от копирования — основная
проблема, делающая идеальную модель неработоспособной. В разных
экспериментальных и проектных системах электронных наличных платежей
этот вопрос может решаться по-разному, но общий принцип всегда один:
выигрывая в надежности, в чем-то приходится проигрывать. Как правило,
«проигрыш» заключается в том, что электронная наличность частично теряет
свойство анонимности.
Анонимность электронной наличности. Анонимность — свойство,
отличающее наличный денежный оборот от безналичного. По всей видимости,
полной анонимности в электронных наличных платежных системах добиться
не удастся (пока таких проектов нет), но частичная анонимность возможна.
405
Когда в бытовом смысле говорят о свойстве анонимности наличных
платежных средств, имеют в виду возможность расплатиться ими без фиксации
сведений о плательщике в отчетной документации. Однако для понимания сути
электронной наличности этого недостаточно. Анонимность взаиморасчета —
понятие комплексное. Его не следует рассматривать только как анонимность
плательщика или анонимность получателя. Существует еще анонимность
платежа. При совершении безналичных взаиморасчетов создается документ
(платежное поручение), в котором указываются сведения о плательщике, о
получателе платежа, о размере и назначении платежа. Когда говорят о
частичной анонимности электронных наличных платежных систем, имеют в
виду, что при проведении расчетов могут фиксироваться не все эти данные и не
все в одном документе. Например, в банке плательщика могут фиксироваться
сведения о плательщике и размере платежа, в банке лица, предъявившего
электронную монетку к погашению, могут фиксироваться только сведения о
получателе и размере платежа, а сведения о назначении платежа вообще могут
нигде не фиксироваться. Если предположить, что электронная монетка
совершает несколько циклов обращения за время между ее эмиссией и
погашением, то сведения об ее промежуточных владельцах могут не
сохраняться в банковских учреждениях.
Роль и место наличных электронных платежных систем. О факторе
анонимности мы говорили только в контексте различий между наличной и
безналичной формами расчетов в Интернете. Следует особо отметить, что
назначение электронных наличных платежных систем отнюдь не состоит в том,
чтобы обеспечивать анонимность участникам сделок. Здесь главные задачи
совершенно иные:
• сокращение объема документации, циркулирующей между банком и
клиентом;
• упрощение взаиморасчетов между партнерами;
• повышение оперативности электронной торговли;
• снижение накладных расходов, связанных с банковским обслуживанием
платежных средств;
• обеспечение безопасности участников электронной торговли.
Вероятно, последний тезис выглядит небесспорным, но не следует забывать, что есте ственная сфера
действия электронной наличности — микроплатежи. Сточки зрения плательщика, желающего заплатить
пару центов за информационную услугу, гораздо безопаснее расплатиться электронной монеткой, чем
пересылать удаленному серверу сведения о своей платежной карте (еще неизвестно, насколько
аккуратно он будет их хранить и кто к ним получит несанкционированный доступ).
Если проанализировать задачи, решаемые с помощью электронной
наличности, то оказывается, что наличные электронные платежные системы
наиболее эффективны при проведении расчетов за услуги информационного
характера. Для предприятий электронной коммерции в Интернете
информационное обслуживание — наиболее естественный вид деятельности,
поскольку он не требует никаких специальных средств доставки. Отсюда
вытекают роль и место систем электронной наличности в электронной
коммерции.
406
Расчеты электронной наличностью между физическими и
юридическими лицами. Необходимость в такой форме расчетов существует в
модели электронной коммерции В2С. Существует много различных моделей
работы с электронной наличностью. Они отличаются тем, какие меры
предусмотрены для исключения операций копирования файлов,
представляющих электронные монетки, а также тем, какая при этом
достигается анонимность для участников сделки.
Самая простая модель основана на том, что и плательщик, и получатель
имеют расчетные счета в одном банке, занимающемся эмиссией электронной
наличности. В этом случае банк содержит базу данных, в которой записано, кто
в данный момент является владельцем каждой монетки (электронные монеты,
как и наличные купюры, имеют уникальные реквизиты — серийный номер и т.
п.). Плательщик предъявляет получателю файл электронной монетки, тот тут
же предъявляет ее банку, и банк в своей базе данных делает передаточную
запись о том, что у данной монетки отныне новый владелец. В этом случае
одной монеткой нельзя расплатиться дважды, и факт создания копии будет
незамедлительно обнаружен. Недостатком этой модели является низкий
уровень анонимности. В данном случае банк знает все как о плательщике, так и
о получателе и о размере платежа, хотя и не фиксирует сведения о назначении
платежа. В этой модели каждая монетка может совершать многократные циклы
обращения, как и реальные наличные деньги.
Если плательщик и получатель имеют расчетные счета в разных банках,
то возможна другая модель — с однократным обращением электронных монет.
Плательщик предъявляет получателю платежа свой файл электронной монеты,
тот предъявляет ее своему банку, а тот, в свою очередь, запрашивает
подтверждение действительности монеты у банка плательщика. Если все в
порядке и монета платежеспособна, то банки производят между собой
взаиморасчет через клиринговый центр, а монета погашается (уничтожается) у
всех сторон, после чего банк получателя выпускает новую электронную монету
и передает ее на хранение получателю платежа. В этой модели банк
плательщика имеет доступ к сведениям о плательщике, а банк получателя — к
сведениям о получателе, но никто не фиксирует сведений о назначении
платежа.
Расчеты электронной наличностью между юридическими лицами
В хозяйственной деятельности предприятий иногда возникает
необходимость проведения взаиморасчетов в наличной форме. Обычно это
связано с потребностью в ускорении платежа. В этом случае стороны не
освобождаются от необходимости сохранять у себя первичные документы
(кассовые чеки, счета-фактуры) для последующего учета и контроля, но
исключается необходимость учета сведений о получателе и назначении
платежа на стороне банка, за счет чего и повышается оперативность
взаиморасчетов. Имитировать такие наличные взаиморасчеты между
юридическими лицами можно и в электронной форме. Необходимость в этом
существует в модели электронной коммерции В2В.
Модель, при которой оба участника сделки сохраняют у себя платежные
407
документы, а банк их не сохраняет, основана на механизме слепой электронной
подписи. Технически механизм слепой электронной подписи основан на
уникальном математическом свойстве алгоритма несимметричной
криптографии RSA. Рассмотрим это свойство на примере (рис. 10.24).
1.На первом этапе плательщик сам создает электронную купюру
произвольного достоинства, например 333 $. В качестве дополнительных
сведений он вносит в нее данные о себе, о получателе платежа и о назначении
платежа.
2.Далее плательщик шифрует полученный документ своим личным
(закрытым) ключом. После этого он мог бы отправить эту купюру на заверение
в свой банк, но банк может прочитать все, что записано в купюре с помощью
публичного (открытого) ключа клиента. Поэтому плательщик вводит
дополнительный этап.
3.Каждый символ зашифрованного сообщения умножается на некоторое
произвольное число. Это как бы дополнительный этап шифрования. С точки
зрения криптозащиты, он, конечно, примитивен, но достаточен, чтобы
документ не попался на глаза банковским служащим.
С аналогичным примером мы имеем дело в обычной почтовой связи. Почтовый конверт —
примитивная защита, но вполне достаточная, чтобы содержание письма просто не попадалось
на глаза почтовым служащим.
Рис. 10.24. Модель взаиморасчетов с использованием механизма
слепой электронной подписи
4.Банк получает от плательщика некий нечитаемый файл с просьбой
заверить его как электронную купюру достоинством 333 $. Банк списывает эту
сумму с расчетного счета плательщика и шифрует файл своим закрытым
ключом, после чего возвращает файл плательщику.
5.Плательщик восстанавливает зашифрованное сообщение, поделив
каждый символ на известное ему число. При этом электронная подпись банка
не нарушается — в этом и состоит уникальное свойство алгоритма
несимметричной криптографии RSA. В итоге плательщик получает платежный
документ, зашифрованный собственный закрытым ключом, а потом еще и
закрытым ключом банка. Этот документ он передает получателю платежа.
408
6.Получатель платежа использует открытый ключ банка и открытый
ключ плательщика для раскрытия файла. Он может предъявить этот файл
своему банку для зачисления соответствующей суммы на свой расчетный счет,
плюс у него остается документ, подписанный плательщиком, в котором
приведены все сведения, необходимые для бухгалтерского учета.
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ
Упражнение 10.1. Настройка параметров брандмауэра
15 мин
Для выполнения этого упражнения необходимо иметь установленную
программу AtGuard (www.atguard.com), подключение компьютера к локальной
сети и (или) Интернету.
1.Запустите программу AtGuard, если она не запустилась автоматически
при подключении компьютера к локальной сети (Пуск > Программы > AtGuard
> Start AtGuard).
2.На появившейся в верхней части экрана панели Dashboard (Панель
настройки) поставьте флажки в группах Ad Blocker (Блокировка рекламы),
Privacy Protection (Защита частной информации), Firewall (Брандмауэр).
3.Щелчком правой кнопкой мыши на значке Menu (Меню) панели
Dashboard (Панель настройки) откройте меню и выберите пункт Settings
(Настройка). Или откройте окно AtGuard Settings (Настройка AtGuard) с
помощью кнопки Пуск (Пуск > Программы > AtGuard > Settings).
4.В окне AtGuard Settings (Настройка AtGuard) перейдите на вкладку
Firewall (Брандмауэр) и установите флажки Enable Firewall (Включить
брандмауэр) и Enable Rule Assistant (interactive learning mode) (Включить
помощник по правилам в режиме интерактивного обучения).
5.Просмотрите список активных задач и запишите, какие протоколы,
службы и программы находятся под контролем брандмауэра.
Протоколы —_____________________________
Службы —________________________________
Программы —_____________________________
6.Далее создаем собственную задачу. Щелкните на кнопке Add
(Добавить) и в открывшемся окне Add Firewall Rule (Добавить правило
брандмауэра) на вкладке Application (Приложение) установите переключатель
Application shown above (Приложение, указанное выше).
7.Щелчком на кнопке Browse (Обзор) откройте окно Add Application
From File System (Выбрать файл приложения), найдите и выберите исполнимый
файл текстового процессора Microsoft Word. В строке Application (Приложение)
должен появится появиться полный путь поиска для файла, например C:\
Program Fi les\MSOf f ice\Of f ice\wi nword. exe.
8.Проверьте и при необходимости установите следующие значения в
раскрывающихся списках:
409
Action: Permit (Действие: Разрешить) Direction: Either (Направление:
Любое) Protocol: TCP or UDP (Протокол: TCP или UDP).
9.Перейдите на вкладку Service (Служба) и проверьте установку
переключателей. В группах Remote Service (Удаленная служба) и Local Service
(Локальная служба) должен быть включен переключатель Any Service (Любая
служба).
10.Просмотрите установки на вкладках Address (Адрес), Time Active
(Время работы), Logging (Протоколирование) и оставьте установленные там
значения по умолчанию.
11.Щелчком на кнопке ОК закройте окно AtGuard Settings (Настройка
AtGuard) и просмотрите список задач брандмауэра. Должна появится новая
задача — запись Microsoft Word for Windows, значок этой программы и
двусторонняя стрелка, указывающая направления (входящие и исходящие)
потока данных, связанных с данной программой.
Мы научились запускать программу AtGuard и быстро подключать функции брандмауэра, заданные по
умолчанию. Мы научились настраивать параметры брандмауэра в соответствии со своими задачами.
Мы научились создавать собственные задачи для брандмауэра.
Упражнение 10.2. Работа с брандмауэром
15 мин
Для выполнения этого упражнения необходимо иметь установленную
программу AtGuard (www.atguard.com), подключение компьютера к локальной
сети и (или) Интернету.
На первом этапе мы проверим работу брандмауэра в локальной сети.
1.Запустите программу AtGuard, если она не запустилась автоматически
при включении компьютера (Пуск > Программы > AtGuard > Start AtGuard).
2.Проверьте на панели Dashboard (Панель настройки) установку флажков
в группах Ad Blocker (Блокировка рекламы), Privacy Protection (Защита частной
информации), Firewall (Брандмауэр).
3.Подключите компьютер к локальной сети, следуя указаниям
преподавателя. На экране должно появиться окно AtGuard Firewall RuleAssistant
(Помощник по правилам брандмауэра), показанное ниже.
4. Запишите, параметры создаваемой задачи.
Название протокола —_____________
410