Електронна комерція

 

 

Електронна комерція

Під електронною (е-комерція) - форма комерції, коли вибір і замовлення товару чи послуг виконуються через комп’ютерні мережі, а оплата – через використання електронних документів та платіжних засобів (картки, електронні чеки, електронні гроші). Фактично це система Іnternet-комерції (SІC). Спрощена модель е-комерції складається із:

1. · власників пластикових карток, які, як правило, через Іnternet мають доступ до віртуальних постачальників послуг (магазинів, банків, туристичних фірм);
2. · віртуальних постачальників послуг (он-лайн магазини, банки, туристичні фірми, страхові компанії тощо), які дають доступ до своїх каталогів послуг через комп’ютерні мережі;
3. · платіжної системи, представленої банками-емітентами (картки), банками-екваєрами та процесинговими компаніями і центрами;
4. · надійної та досить дешевої телекомунікаційної інфраструктури, розвиненої системи стандартизації та аутентифікації клієнтів і постачальників інформації.

Датою народження інформаційних технологій е-комерції вважається 1993 рік, коли почалось масове використання Web-технології в мережі Іnternet.

 

4.2. Принципи електронної  комерції

Необхідними умовами електронного бізнесу є:

• · створення глобального комунікаційного середовища з підтримкою режиму он-лайн;
• · розробка програмно-технічних заходів проведення надійних і безпечних платіжних трансакцій;
• · наявність простого і надійного клієнтського програмного забезпечення для доступу до джерел фінансово-банківської та торгово-сервісної інформації.

Власне електронна комерція проходить такі організаційні стадії:

• · реклама послуг та товарів на Web-сайтах та проведення презентацій засобами аудіо- та відеодемонстрацій на клієнтських комп’ютерах;
• · проведення операції (купівля, зміна суми банківського рахунка тощо) як безпечної трансакції;
• · електронна підтримка клієнтів у період експлуатації ними товарів та послуг.

Для взаємовідносин об’єктів та суб’єктів віртуальних банків та е-комерції надзвичайно важливими є виконання наступних умов:

1. · гарантії аутентичності, як правило, відправника повідомлення;
2. · гарантії секретності повідомлень, які сьогодні вважаються достатніми (у разі незнання ключа шифру потрібний практично безконечний ресурс для розшифрування інформації);
3. · гарантії незмінності (цілісності) повідомлення, методи яких повинні фіксувати будь-яку зміну інформації (цифрові дайджести);
4. · невідворотність події або гарантії неможливості відмовитися від факту фіксації трансакції отримувачем повідомлення (платежу).

Виконання електронних платежів передбачає існування так званої платіжної системи, яка складається із:

1. банків-емітентів;
2. банків-екваєрів;
3. процесингових центрів (палат);
4. розрахункових банків;
5. інфраструктури банкоматів (ATM), торгових терміналів (POS) та системи торгівлі і сервісу, які виконують платежі через пластикові картки, електронні чеки та електронні гроші.

Емісія карток у банках передбачає:

· відкриття карт-рахунків;

· друк PІN-конвертів;

· персоналізацію (або авторизацію) карток (ембосінг), яка полягає у списанні із карт-рахунка суми платежу в торговій системі чи отриманої через банкомат готівки.

Коли банк-емітент підтримує власну мережу банкоматів, то він частково виконує функції екваєра.

Системи процесингових центрів умовно поділяються на:

· системи фронт-офісу, які підтримують систему платежів для торгової мережі та служб сервісу через торгові термінали, банкомати та організовують інтерфейс міжнародних платіжних систем (VІSANet, EPSNet, Amerіcan Express);

· системи бек-офісу, які проводять реєстрацію трансакцій та відправляють їх у клірингові центри відповідних платіжних систем;

· системи підтримки емісії карток (файли персоналізації карток та генерації PІN-кодів з передачею їх до банків-емітентів).

Електронні розрахунки в Іnternet та розрахункові засоби

Існуючі системи (їх трохи більше двох десятків) можна поділити на три групи.

1. оплата за допомогою платіжних пластикових карток.
2. розрахунки з використанням цифрової готівки та її модифікацій.
3. найбільш перспективна група - розрахунки в Іnternet з використанням цифрової готівки, що зберігається у смарт-картах.

Розрахункові засоби. Цифрові купони та жетони пропонуються сьогодні декількома компаніями, найбільш відомими з яких є Fіrst Vіrtual Holdіngs та NetBank. Клієнт за готівковим або безготівковим розрахунком купує деяку суму послідовності символів (цифрові підписи), якими розраховується з продавцем. Для них банк гарантує швидкість алгоритму генерації та унікальність кожного екземпляра. Продавець повертає їх у банк в обмін на ту ж суму з відрахуванням комісійних. При цьому банк зобов’язаний контролювати аутентичність (відповідність) жетонів, які надходять. Сторони можуть використовувати криптографічні засоби захисту інформації з відкритими ключами, щоб уникнути перехвату жетонів.

Іншим шляхом пішла компанія CyberCash, запропонувавши технологію, що дозволяє застосовувати стандартні пластикові картки для розрахунків через Іnternet. Програмне забезпечення, що використовується нею, має криптозахист із відкритим ключем для конфіденційної передачі даних про пластикову картку від покупця до продавця. При цьому всі реальні розрахунки та платежі виконуються засобами процесингових компаній без використання Іnternet.

Найпростіший спосіб сплати через Іnternet – за допомогою кредитної картки (як при замовленні телефоном) з передачею через Іnternet усієї інформації (номер картки, ім’я та адреса власника) без будь-яких особливих заходів безпеки. Недоліки очевидні:

- інформація може легко перехоплюватися за допомогою спеціальних фільтрів і використовуватися на шкоду власника картки.

- У продавця будуть постійно виникати проблеми, пов’язані з відмовою від оплати.

Електронна готівка, комерція та пластикові картки

Електронна (або цифрова) готівка – це платіжний засіб, який поєднує зручність електронних розрахунків із конфіденційністю готівкових грошей.

Пункт обслуговування надає сліп (або електронну квитанцію, що генерується платіжним терміналом) банку-екваєру та отримує грошове відшкодування вартості покупки. При цьому банк-емітент перераховує відповідну суму банку-екваєру також із відрахуванням комісії. Банк-емітент виставляє власнику картки рахунок і кредитує його, згодом отримуючи від нього оплату.

Так відбувається у “фізичному” світі. У світі віртуальному все набагато складніше. Тут продавець і покупець не бачать і часто нічого не знають один про одного (не враховуючи того, що покупцеві звичайно доступний каталог, розміщений на Web-сервері, в якому є віртуальний магазин). Укладаючи угоду, покупець бажає впевненості в тому, що продавець – саме той, за кого він себе видає, і має право прийняти до оплати його картку, і що ніхто (у тому числі й продавець) не зможе скористатися представленою у ході угоди інформацією про пластикову картку без його дозволу. Продавець, у свою чергу, повинен переконатися, чи має покупець право користуватися даною карткою та чи є необхідна сума на пов’язаному з нею рахунку.

Смарт-картки

Смарт-картка (smartcard – інтелектуальна картка) – це пластиковий прямокутник, аналогічний за розмірами до карток з магнітною смугою. Замість смуги (чи додатково до неї) в таку картку вбудований мікропроцесор (як правило, 8-розрядний), пам’ять постійного типу для збереження операційної системи та прикладних програм і пам’ять для збереження змінних даних, що може перепрограмовуватися.

Крім того, до електросхеми включені й компоненти, що забезпечують виконання вводу-виводу даних, захист інформації, яка зберігається, та (при необхідності) спеціалізовані сопроцесори для прискореного виконання криптографічних операцій. Таким чином, вбудована в картку мікросхема є спеціалізованою мікроЕОМ, можливості якої забезпечують високий ступінь захисту від підробки, підтримує файлову організацію збереження даних та необхідний набір операцій з обробки інформації.

Методи забезпечення безпеки розрахунків

За інформацією Інституту комп’ютерної безпеки (США), порушення роботи інформаційних систем бувають від:

· вірусних атак – 3 %;

· збою обладнання – 20 %;

· помилок персоналу – більше 50 % випадків.

Технології підтримки безпеки передачі інформації.

1. Один із перспективних способів  захисту трансакцій – зчитування  і передача до систем аутентифікації  унікального номера процесора комп’ютера, який ініціює трансакцію. Усі інші мережеві параметри – логічні, які задаються при конфігурації програмного забезпечення і часто можуть змінюватися без перезавантаження системи. Але для найбільш поширених процесорів (фірми Іntel та сумісних із ним за системою команд) така можливість передбачена, починаючи з Pentіum ІІІ.

2. Адаптивна аутентифікація полягає  у зміні глибини криптографічного  захисту залежно від швидкості  передачі в каналах зв’язку  мережі. Проведені дослідження показали, що швидкість відпрацювання систем аутентифікації становить лише 5 % від швидкості сучасних каналів. Ідея такої технології полягає у компромісі між належною системою захисту та максимальним використанням швидкості передачі даних. Можливість адаптивної аутентифікації вноситься у всі основні мережеві протоколи.

3. Технологія цифрового конверта. При використанні симетричних  методів основна проблема –  зміна ключа. Оскільки сторона, яка  передає, і сторона, яка приймає, повинні володіти однаковим ключем, то на момент зміни ключа потрібний досить надійний спосіб його пересилки телекомунікаційними засобами. Технологія цифрового конверта полягає у гібридному поєднанні симетричних та асиметричних методів шифрування.

Вміст конверта – інформація, що відсилається (власне лист або новий симетричний ключ) з електронним підписом кореспондента, який кодується симетричним ключем, сам цей ключ та відкритий ключ. У зміст конверта, як правило, додається сертифікат кореспондента (як у протоколі пошти S/MІME). Потім усі ці дані кодуються відкритим ключем адресата (своєрідний конверт листа) і відсилаються мережею загального користування. Сторона, яка приймає, може “відкрити” такий конверт лише своїм секретним ключем.

4. Технологія RADІUS (Remote Authntіcatіon Dіal-Іn User Servіce) – розробка компанії Lіvіngston Enterprіses, аутентифікація віддаленого доступу до ресурсів мережі. Сервер віддаленого доступу чи брандмауер, отримавши звернення від віддаленого користувача, звертається на RADІUS-сервер для ідентифікації користувачів за іменем та паролем

 

Банк-емітент (банк покупця) — випускає (емітує) картки, відкриває клієнтові рахунок, пов’язаний з карткою, проводить авторизацію платежів картками (підтверджує, що на рахунку є гроші) та здійснює переведення грошей з карткового рахунка клієнта на рахунок банка-екваєра.

Банк-екваєр (банк продавця, розрахунковий банк) — банк, з яким пов’язаний електронний магазин, здійснює розрахунки з магазином по операціях, що проходять з участю кредитних карток.

Електронна платіжна система — це автоматизована інформаційна система, призначена для проведення розрахунків через електронні канали зв’язку.

Електронні гроші (e-money, e-cash) — це послідовність чисел або файли, які відіграють роль грошей і розміщуються на електронних носіях.

Інтернет-банкінг (Internet-banking) — системи надання банківських послуг через Інтернет. Можуть забезпечувати як інформаційні послуги, так і здійснення платежів та ін.

Інтернет-брокеридж — послуга, що надається інвестиційним посередником (брокером) і дозволяє клієнту здійснювати купівлю-продаж цінних паперів або валюти в реальному часі через мережу Інтернет.

Інтернет-трейдинг (E-trading, I-trading) — діяльність з управління інвестиціями через Інтернет.

Процесинговий центр — створюється емітентами пластикових карток (банками) та їх об’єднаннями, дозволяє здійснювати авторизацію платежів по певних типах кредитних карток. Для того щоб продавець міг подати в процесинговий центр запит на авторизацію, він повинен укласти договір на обслуговування або з банком-учасником платіжної системи або з самим процесинговим центром.

Смарт-картка (smart — інтелектуальна, або розумна) — пластикова картка на якій замість магнітної смуги розміщена мікросхема. Може зберігати інформацію та виконувати операції з обробки інформації. Смарт-картка, призначена для електронних розрахунків, зберігає в пам’яті електронні гроші.

Смарт-карт-ридер (PC card reader) — пристрій, призначений для зчитування інформації зі смарт-карт, встановлюється на комп’ютері власника, уможливлює використання смарт-картки для Інтернет-платежів.

Процесинг - діяльність, що включає обробку і зберігання інформації, необхідної при здійсненні платежів, іншого введення і редагування інформації, такими як управління базами даних товарів та внутрішньої продукції. Термін часто використовується в галузі банківських платіжних карток, роздрібної та оптової торгівлі, стосовно відділу компанії, що відповідає за дані в базах.