Развитие идет по спирали, и в нашей жизни происходят повторения пройденного, правда, на другом уровне. Киберпространство – это самоорганизующаяся система, поскольку его информационное наполнение выполняется самими его обитателями по образу того мира, который их окружает в реальности. Поэтому возникли кибернетические дублеры институтов, существующих в реальном жизненном пространстве – почта, библиотеки, средства массовой информации, магазины, комплекс развлечений, заочные учебные заведения и многое другое.

За короткий промежуток времени был сделан шаг от рекламы товаров и услуг, торговых организаций в сети Интернет до организации торговли в on-line режиме. Преимущества электронного магазина наглядны – нет необходимости аренды помещения, резко снижаются накладные расходы, ознакомиться с товарами и услугами можно в любое время дня и ночи любому жителю Земли, имеющему выход в Интернет. Кроме того, одновременно в виртуальном магазине могут находиться десятки, и даже сотни посетителей, которые не мешают друг другу. На данный момент в сети присутствуют и простейшие торговые учреждения, представляющие собой обыкновенную web-страницу с указанием перечня предоставляемых товаров и услуг и их стоимостью, и выполненные профессионально универсальные магазины, функционирующие в режиме on-line. Рост значимости электронной коммерции можно проиллюстрировать данными, опубликованными U.S. Department of Commerce, - за 10 лет доля электронной торговли в общем объеме продаж выросла в 4 раза (с 1.2 % в 2001 г. до 4.8 % в 2010 г.). Данные по России, следующие – объем Интернет-торговли в 2010 г. составил 240 млрд. руб. или 1.6 % всего российского розничного оборота (http://rumetrika.rambler.ru/review/26/4622). Причем тенденция такова, что к 2015 г. объем on-line торговли должен увеличиться в 2.5 раза и составить по оценкам специалистов 590 млрд. руб. Больше всего покупки в сети пользователи ценят за экономию времени (48%), низкие цены (46%), удобство выбора (41%), доставки (31%) и оплаты (23%). К факторам, которые отталкивают российских потребителей от покупок в Сети, следует отнести невозможность предварительно увидеть товар (подержать его в руках), неуверенность в хорошем состоянии товара при доставке, проблемы с возвратом, а также недоверие к предоплате за товар или услугу.

Итак, Интернет-магазины можно разделить:

А. По типу товара

  1. “информационный” – электронные документы, программное обеспечение, выдача прав доступа и т.п.;
  2. “материальный” – традиционные товары, требующие физической доставки или услуги, предоставляемые в реальном (не кибернетическом) пространстве.

Б. По форме оплаты за товар и услуги:

  1. Цифровая наличность;
  2. Чек, форма безналичного расчета;
  3. Пластиковые карточки;
  4. Оплата при доставке;
  5. Комбинированная форма оплаты, когда клиенту предоставляется возможность выбора наиболее подходящей для него формы оплаты.

В. По времени оплаты:

  1. Предоплата;
  2. Оплата после получения товара;
  3. Одновременно получение товара и его оплата.

Анализ форм платежа за товары и услуги в российском секторе Интернета показал следующее. По-прежнему самой распространенной формой оплаты остается платеж наличными, правда, следует отметить, что показатель этот снижается с 56 % в 2008 г. до 43 % в 2010 г. (http://rumetrika.rambler.ru/review/2/4395). Далее в порядке убывания идут оплата с помощью наложенного платежа (16 %), пластиковой картой (14 %), электронной наличностью (12 %), банковским переводом (9 %) и SMS-платежом (3 %). Причинами, по которым преобладает наличная форма расчета, по мнению участников Всероссийского форума «Неделя электронной торговли» являются отсутствие у электронных платежей правового статуса и неразвитость систем платежей в целом по стране (хотя ситуация в данном направлении очень быстро меняется).

В зависимости от типа участников сделки существует следующие типы схем электронной коммерции – B2B (бизнес – бизнес), В2С (бизнес – потребитель), B2G (бизнес – государственные учреждения), С2С (потребитель – потребитель).

Совершенствование Интернет-торговли привело к созданию платежных систем в сети Интернет, так что участниками процесса помимо продавца и покупателя стали банки. Виртуальная платежная система представляет собой комплекс взаимоотношений между финансовыми и бизнес организациями, а также между любыми Интернет-пользователями, в рамках которых становится возможно осуществление полного цикла продажи/покупки товаров и услуг через Интернет. Платежная система может быть замкнутой относительно банка – эмитента электронной наличности (DigiCash). Либо система открыта, т.е. организована на базе специальной процессинговой компании (например, First Data Corporation), в рамках которой осуществляется поддержка Интернет-расчетов. Открытые системы позволяют работать со многими банками, торговыми компаниями, юридическими и физическими лицами. Они открыты для присоединения к ним новых банков и клиентов. Итак, в данном случае, ядром открытой виртуальной платежной системы становится специальная организация ICP (Internet Commerce Provider) или IPSP (Internet Payment Service Provider), которая берет на себя функции связующего звена; ее основной задачей является обеспечение безопасной циркуляции транзакций между субъектами рынка и организация центрального шлюза между различными схемами расчетов.

Кроме того, виртуальные платежные системы (ВПС) можно разделить по используемым ими системам оплаты: либо цифровые наличные, либо различные формы безналичного расчета (чеки, кредитные карты). Цифровые наличные - это революционный вид расчетов в Интернет, представляющие собой сформированные специальным образом очень большие числа или файлы, которые и играют роль купюр и монет. В отличие от систем, использующих безналичную форму оплаты, эти файлы и есть сами деньги, а не записи о них. В это трудно поверить, но это так. Современные методы криптографии и, прежде всего, алгоритмы слепой подписи, обеспечивают их надежную работу. Затраты на функционирование такой системы значительно меньше затрат на все прочие. Суммы цифровых денег, которые циркулируют внутри системы, могут колебаться от долей цента (микроплатежи) до тысяч долларов, что обеспечивается относительной дешевизной транзакции и универсальностью схемы проверки. По общему мнению, именно микроплатежи могут обеспечить основной оборот продаж информации в Интернет. Кроме всего, цифровые наличные не несут никакой информации о клиенте, их потратившем. Таким образом решается проблема анонимности. Каждый участник данной ВПС устанавливает на своем компьютере соответствующее программное обеспечение. Интернет-покупатель с помощью программы “электронный кошелек” управляет своей электронной наличностью. Интернет-магазин имеет специальный модуль, взаимодействующий с платежной системой. Центральная база данных всей платежной системы находится у ICP. К ней обращается программное обеспечение банка и Интернет-магазина при проведении платежных транзакций в on-line режиме.

В ВПС применяется дебетная схема расчетов, когда для получения электронной наличности необходимо предварительно депонировать соответствующую сумму на специально открытом для этого карт счете в банке – участнике ВПС.

В качестве примера действующих виртуальных платежных систем можно привести следующие системы: DigiCash (http://www.digicash.com) – одна из первых виртуальных платежных систем с цифровыми наличными, PayCash (http://www.paycash.ru) и WebMoney Transfer (http://webmoney.ru) – российских ВПС, использующая цифровую наличность, и т.д.

Поговорим теперь о следующем. Одной из причин успеха или неуспеха предприятия, занимающегося электронной торговлей, является безопасность осуществления сделки между Продавцом и Покупателем. Не будем рассматривать категорию отношений С2С, где данный критерий почти на 100 % зависит только от порядочности обоих участников сделки. Перечислим основные факторы, которые необходимо учитывать при организации электронных торговых площадей:

  1. Транзакции при электронной торговле выполняются по открытым, общедоступным сетям, что обеспечивает массовый доступ клиентов к электронному магазину. Таким образом, мы имеем пример распределенной вычислительной системы, где несколько клиентов работают с одним сервером, реже с несколькими серверами. Следовательно, электронному магазину угрожают все внутренние и удаленные атаки, присущие любой распределенной компьютерной системе, взаимодействующей посредством передачи данных по открытым сетям.
  2. При осуществлении сделки обе стороны теоретически не доверяют друг другу. Например, Продавец должен защитить себя от недобросовестного Покупателя, надеющегося получить товар, не заплатив за него. А Покупатель должен быть защищен от несанкционированного снятия денег со своего счета или без уведомления банка, от обмана со стороны подставных магазинов, занимающихся сбором денег, без предоставления оплаченных товаров или услуг.
  3. При осуществлении сделки Покупатель вводит персональные данные, и он должен быть уверен, что эти данные не попадут в руки злоумышленника.

Решение данных проблем лежит на «трех китах» - соблюдении правовых норм, в том числе касающихся деятельности в сети Интернет, применении соответствующих технических решений и организационных мероприятиях. В данной статье остановимся только на техническом и частично организационном аспектах проблем безопасности. Для решения задач 1 и 3 необходимо соблюдение следующих правил:

  • поддержка на сервере торгового предприятия средств защиты сетевого доступа (Firewall);
  • использование актуальных антивирусных программ;
  • шифрование конфиденциальных данных при их хранении и передаче;
  • своевременное применение “заплат безопасности” в используемом программном обеспечении;
  • использование процедур аутентификации и разграничения доступа к серверам и данным;
  • выполнение постоянных аудитов систем безопасности электронных магазинов.

Подробнее остановимся на решении задачи 2. Для того, чтобы повысить доверие между Продавцом и Покупателем была начата разработка надежного единого протокола проведения операций электронной коммерции. Данный протокол должен обеспечивать взаимную аутентификацию участников Интернет-транзакции, конфиденциальность реквизитов платежа, невозможность отказа от проведенной транзакции для всех ее участников. Базой стала технология PKI (Public Key Infrastructure) – инфраструктура защиты информации, основанная на открытых ключах. Технология PKI регламентируется национальными и международными стандартами (например: PKCS #1, the RSA Encryption Standard; PKCS#1: RSA Cryptography Specifications Version 2.1; PKCS #10; Х.509 v.3; RFC3447; ANSI X9.31, RSA and Rabin-Williams signature algorithms; FIPS 186-2, Digital Signature Standard; FIPS 140-2, FIPS 181, ГОСТ Р 34.10 - 2001), а структура сертификата определена в Х.509 v.3. Построение иерархической структуры центров сертификации открытых ключей в мировом масштабе позволит реализовать международный обмен электронными сообщениями (в частном случае – транзакциями) в защищенном режиме.

При работе электронных торговых площадок, использующих в качестве платежного средства пластиковые карты, возникает необходимость защиты передаваемых параметров карт пользователей (PVV-, CVC2- и CVV2-коды и т.п.). На начальном этапе был разработан протокол SSL (Secure Socket Layer), позволяющий обеспечить конфиденциальность и целостность данных, которыми обменивались Интернет-магазин и покупатель, а также выполнить условную аутентификацию торгового предприятия. Условность заключается в том, что подтверждается только тот факт, что URL Интернет-магазина соответствует данным обязательного элемента common data сертификата открытого ключа магазина. Полноценной можно считать такую аутентификацию, при которой торговое предприятие имеет сертификат, выданный либо обслуживающим его банком-эквайером, либо центром сертификации платежной системы, при выдаче которого используются процедуры проверки подлинности торгового предприятия. Это означает, что магазин, в котором держатель карты приобретает товар, имеет соглашение с банком, авторизованным на обслуживание торговых предприятий платежной системой, сертификат открытого ключа которой изначально имеется в распоряжении покупателя. В 1997 г. протокол Secure Electronic Transaction (SET) был утвержден в качестве отраслевого стандарта и признан всеми ведущими платежными системами. Этот протокол был лишен всех присущих SSL недостатков, а с технологической точки зрения представлял собой идеальное средство для платежей в Интернете. Главными недостатками данного решения были его высокая стоимость и сложности при его использовании.

В 2001 г. Visa International выпустила на рынок протокол 3D Secure, который сегодня широко используется при проведении операций в области электронной коммерции всех ведущих международных платежных систем, а также стал единственной компонентой программ Verified by Visa (VbV) и MasterCard Secure Code.

В конце 2004 г. Visa International и MasterCard International приняли стандарт Plastic Card Industry Data Security Standard (PCI DSS). Последний включает в себя 12 общих требований, которые должны удовлетворяться информационными системами любого (в том числе электронного) магазина (частично данные требования были указаны выше):

  1. Для защиты сетевого доступа к серверам, хранящим информацию о карточках, необходимо использовать специализированные аппаратно-программные средства Firewall. Настройки Firewall, определяющие разрешенный сетевой трафик, должны постоянно контролироваться.
  2. Нельзя применять для ввода паролей и других параметров безопасности какие-либо значения по умолчанию.
  3. Хранимые данные карты должны быть защищены (с помощью шифрования, хэширования или усечения хранимой информации). В системах торговых предприятий не должна храниться информация (даже в зашифрованном виде), используемая для аутентификации держателя карты (например, значения PVV, вторая дорожка магнитной полосы карты и т. п.).
  4. Передаваемые по сети данные держателя карты должны быть надежно зашифрованы (допускается использование симметричных алгоритмов 3DES с ключом не менее 112 битов, AES с длиной ключа 256 битов и асимметричного алгоритма RSA с длиной ключа 1024 бита).
  5. Необходимо использовать и регулярно обновлять антивирусное ПО.
  6. Необходимо уделять внимание обнаружению и устранению уязвимостей в используемом магазином программном обеспечении (вовремя использовать его модификации, устраняющие обнаруженные уязвимости, установить процесс тестирования разработанного своими силами ПО на предмет обнаружения уязвимостей, использовать лучшие практики разработки нового ПО и т. п.).
  7. Использовать ограничение доступа сотрудников торгового предприятия только к функциям и информации, необходимым им по роду деятельности.
  8. Каждый пользователь процессинговой системы магазина должен иметь уникальный идентификатор, используемый для его аутентификации внутри системы. Уникальность идентификатора позволяет не только обеспечить разграничение доступа в системе, но и проследить действия всех сотрудников в информационной системе магазина.
  9. Физический доступ сотрудников магазина к серверам, хранящим базы данных реквизитов карт, должен быть ограничен.
  10. Необходимо выполнять мониторинг доступа к базам данных реквизитов карт, используя механизмы отслеживания активности пользователей системы, связанной с доступом в систему, попытками аутентификации и т. п.
  11. Необходимо регулярно проводить аудит и тестирование систем безопасности магазина.
  12. Необходимо поддерживать политику безопасности внутри компании, четко определяющую для каждого сотрудника электронного магазина требования, предъявляемые к нему с точки зрения поддержания безопасности системы магазина в целом.

К вышеизложенному хочу добавить следующее. При организации системы безопасности электронного магазина рекомендуется (по мнению автора) использовать криптографические алгоритмы, которые уже являются стандартами (часть стандартов была перечислена ранее). Реализация (программная либо аппаратно-программная) должна быть сертифицирована уполномоченными органами. Данная рекомендация базируется на следующих аспектах. Во-первых, при выборе того или иного криптографического алгоритма в качестве стандарта проводится детальнейший анализ участвующих в конкурсе алгоритмов. При этом выбирается наиболее криптостойкий. Во-вторых, в уполномоченных организациях (например, аккредитованных лабораториях NIST) при сертификации СКЗИ на предмет соответствия заявленным алгоритмам выполняется полное тестирование, которое разработчику просто недоступно (официальные издания алгоритмов содержат очень ограниченное число тестовых параметров).

Хотелось немного подробнее остановиться на системе WebMoney Transfer (http://www.webmoney.ru). Универсальным средством кредитования и платежа в рамках данной системы выступают WEBMONEY – электронные денежные единицы (в настоящее время существуют электронные эквиваленты следующих валют – российского рубля, доллара США, евро, украинской гривны, белорусского рубля и золота, так называемые титульные знаки). Стать клиентом системы можно с помощью специального программного обеспечения, которое предоставляется бесплатно и которое работает на различных платформах. Положительным качеством программного обеспечения стала его универсальность, как для продавца Интернет-услуг, так и для их покупателя. С помощью программы каждый участник системы управляет своим электронным кошельком. Перевод и получение денежных средств в системе WebMoney Transfer осуществляется между кошельками (личными денежными счетами) клиентов. Клиент может в любое удобное для себя время принять или отказаться от WEBMONEY, переведенных на его счет любым другим Клиентом системы по сети Интернет, осуществить оплату товаров и услуг в электронных магазинах, обменять WEBMONEY на реальные деньги или выполнить обратную операцию. Кроме того, программное обеспечение WebMoney обеспечивает своих клиентов защищенной системой обмена сообщениями.

Для обеспечения безопасности системы WebMoney Transfer применяются следующие меры. Для входа в программу WEBMONEY KEEPER необходимо знание уникального 13-значного идентификатора пользователя (который генерируется автоматически и является его анонимным системным именем), личного пароля, а также файлов с секретным ключом и кошельком. Все сообщения в системе передаются в зашифрованном виде, с использованием алгоритма защиты информации подобного RSA с длиной ключа более 1024 битов. Для каждого сеанса используются уникальные сеансовые ключи. Никто не сможет совершить никаких денежных операций, основываясь на реквизитах прошлых сделок (этой возможности лишена, например, система оплаты с помощью кредитных карт). Для каждой сделки используются уникальные реквизиты, и попытка использовать их вторично немедленно отслеживается и гасится. Система обладает устойчивостью по отношению к обрывам связи. Если какая-либо операция в системе не была успешно завершена по причине обрыва связи, то система не учитывает данную операцию. Для повышения степени безопасности системы было введено понятие аттестата участника системы – пользователь отказывался от анонимности, но при этом повышался уровень доверия к нему.

В системе реализовано два типа платежей.

Обычный платеж, который рекомендуется применять для "информационных" товаров и услуг, представляет собой форму предоплаты. При покупке с кошелька Покупателя списывается, а в кошелек Продавца зачисляется сумма в размере стоимости товара. После получения денег Продавец осуществляет доставку товара.

Двухфазный платеж (платеж с протекцией торговой сделки), который предназначен для товаров, требующих физической доставки. В данном случае оплата производится после получения товара. Процедура состоит в следующем. В кошельке Покупателя резервируется сумма, необходимая для покупки. Продавец получает уведомление о том, что денежная сумма, эквивалентная стоимости товара, зарезервирована. Если продавец осуществляет доставку в указанный им срок и качество товара соответствует заявленному в магазине, то зарезервированная сумма переводится на счет Продавца. В противном случае по истечении оговоренного срока зарезервированная денежная сумма разблокируется и становится доступной для других операций Покупателя. При попытке Продавца подобрать пароль транзакции, зарезервированная денежная сумма разблокируется, а система фиксирует попытку несанкционированных действий. Для решения различных споров в рамках системы действует Арбитраж.

Хотелось бы остановиться на системе ASSIST (http://assist.ru/). ASSIST - это мультибанковская система платежей по пластиковым и виртуальным картам через Интернет, позволяющая в реальном времени производить авторизацию и обработку транзакций. Для магазинов, подключенных к ASSIST, предоставляется возможность принимать к оплате карты VISA, MasterCard, JCB, DCI, а также электронную наличность систем WebMoney, Яндекс.Деньги, e-port, Kredit Pilot. Безопасность платежей обеспечивается использованием SSL-протокола v.3.0 для передачи конфиденциальной информации от клиента на сервер системы ASSIST для дальнейшей обработки. Сертификат сервера выдан компанией Thawte (http://www.thawte.com/). Дальнейшая передача информации осуществляется по закрытым банковским сетям высшей степени защиты. Обработка полученных конфиденциальных данных клиента (реквизиты карты, регистрационные данные и т.д.) производится в процессинговом центре. Таким образом, никто, даже продавец, не может получить персональные и банковские данные клиента, включая информацию о его покупках, сделанных в других магазинах. Для обеспечения защиты всех участников электронной сделки ASSIST предлагает следующие механизмы. Магазинам для защиты от мошенничества предоставляется возможность сформировать «черные списки» адресов электронной почты, IP-адресов, номеров кредитных карт, которым будет автоматически отказано в обслуживании. Внедрена защита от подбора авторизационных параметров. Покупателям предлагается получить специальный идентификатор Assist®ID, который облегчит и повысит безопасность покупок в электронных магазинах, подключенных к ASSIST. Assist®ID представляет собой сформированную определенным образом последовательность из 16 цифр и дополнительно к нему четырехзначный PIN-код. При этом предполагается, что PIN-код держится владельцем в секрете. Банковская карта клиента со своими реквизитами однозначно связана с идентификатором. Банки-эквайеры, подключенные к системе, могут воспользоваться интерактивным POS-терминалом, которые не только расширяют возможности приема платежей, но и повышают защищенность операции за счет предоставления большего количества данных, чем обычный POS-терминал. Кроме вышеизложенного, система предлагает двустадийный механизм оплаты (авторизация кредитной карты и финансовое подтверждение). Дополнительно для защиты от ложных возвратов средств может быть использована технология 3D Secure.

Еще одна система, обеспечивающая Интернет-процессинг платежей – ChronoPay. В данной системе обеспечивается прием следующих платежных инструментов, - кредитные и дебетовые бансковские карты (Visa, MasterCard, American Express, JCB, Diners Club, Solo/ Switch (Maestro)), региональные системы электронной наличности (iDeal (Нидерланды), GiroPay (Германия), ELV (Германия), e-port, Yandex.Деньги, WebMoney (Россия)). Принимаются платежи по 158 мировым валютам. ChronoPay также как и ASSIST предоставляет возможность работы через виртуальный терминал.

Деятельность ChronoPay отвечает стандартам безопасности VISA AIS и SDP (Site Data Protection). Система ChronoPay получила сертификат соответствия стандарту PCI (Payment Card Industry standards compliance). Серверы Компании защищены компанией RackSpace, которая имеет в своем активе сертификаты SAS 70 Type II и Safeharbor Кроме того, надежность ChronoPay подтверждена сертификатом HackerSafe. Для передачи данных используется протокол SSL с шифрованием на ключе длиной до 1024 бит. Реквизиты плательщика известны только ChronoPay, что гарантирует надежную защиту от злоумышленников и недобросовестных Интернет-торговцев. Поддерживается протокол авторизации транзакций 3D Secure (Verified by Visa и MasterCard SecureCode). ChronoPay хранит данные плательщика в только в том объеме, который необходим для проведения транзакций, все данные, относящиеся к платежной карте, хранятся в зашифрованном виде. ChronoPay обеспечивает дополнительную защиту от мошеннических действий благодаря преимуществам программного комплекса мониторинга транзакций ChronoMethod API.

Описанные системы не только демонстрируют высокий уровень надежности при осуществлении операций электронной торговли, но и за счет регулярного аудита систем безопасности позволяют пользователям чувствовать себя защищенными перед лицом существующих и вновь возникающих угроз.

Материал опубликован http://daily.sec.ru/publication.cfm?pid=26974