Методи забезпечення безпеки розрахунків

Відсутність протоколу, що забезпечує безпеку розрахунків із використанням пластикових карток, довгий час була основною перешкодою на шляху розвитку електронної комерції. І тільки влітку 1997 р. довгоочікуваний протокол був остаточно узгоджений.

Його появі передувала розробка ряду методів захисту фінансової інформації, тією чи іншою мірою розповсюджених на сьогоднішній день. Стандартом де-факто став протокол SSL (Securіty Socket Layer), що на основі алгоритму RSA забезпечує шифрування інформації на канальному рівні. Його підтримують широко розповсюджені Web-броузери. Часто застосовуються такі протоколи, як S/MІME та S-HTTP. Але всі вони мають загальний недолік: не дозволяють встановити особу як покупця, так і продавця.

Через відсутність єдиного стандарту виникло багато закритих патентованих протоколів шифрування фінансових транзакцій, які мають різний ступінь стійкості. Усі вони не задовільняли головну вимогу, що відображає специфіку Іnternet – вимогу відкритості. Ситуація змінилася тільки із появою протоколу SET. Він дозволяє проводити безпечні платежі за пластиковими картками у відкритих мережах. Розробка SET почалася у 1996 р., а в червні 1997 р. були опубліковані специфікації його останньої версії – SET 1.0. Зараз у світі нараховується вже декілька десятків систем електронної торгівлі, що працюють на основі протоколу SET та об’єднують сотні банків, магазинів і процесингових центрів.

Протокол SET – основний протокол захисту інформації. Підтримка SET найбільш платіжними системами (VІSA, EuroСard, MasterСard, Amerіcan Express, Dіners Club, JCB, Cyber Cash та Dіgі Cash) та провідними комп’ютерними корпораціями (AT&T, HP, ІBM, Mіcrosoft, Northen Telekom, RSA) автоматично забезпечує високий рівень довіри мільйонів клієнтів. Протокол забезпечує:

• конфіденційність інформації, яка передається і досягається одночасним використанням декількох алгоритмів шифрування та системи цифрових сертифікатів. Цифрові сертифікати видаються спеціальними органами (сертифікаційними агенціями) індивідуальним або корпоративним покупцям, продавцям та фінанансовим центрам;

• гарантію цілісності інформації, яка передається;

• взаємну аутентифікацію покупця і продавця. Покупець може пересвідчитися, що продавець – саме той, за кого він себе видає, та має право право прийняти його картку до оплати. Продавець має можливість переконатися, що власник картки є законним користувачем номера рахунка, пов’язаного з платіжною картою;

• інтероперабельність, що поєднує SET-продукти різних виробників, що працюють на будь-яких апаратних та програмних платформах;

• надійність обміну даними незалежно від використаних механізмів захисту канала зв’язку.Стандарт регламентує процес отримання та формати цифрових сертифікатів, бланків замовлень та авторизованих повідомлень, порядок обміну повідомленнями, а також використання алгоритмів шифрування. Інші деталі реалізації залежать від розробників конкретних програм. Слід зауважити, що протокол SET допускає використання різних способів шифрування інформації, які визначені регіональними стандартами та задовольняють вимоги протоколу.

Змінюється спосіб взаємодії учасників платіжної системи. При укладанні угоди в звичайному магазині (або при виконанні поштового замовлення) електронна обробка починається у продавця або банку-еквайєра, а при використанні SET – ще на персональному комп’ютері власника картки. Забезпечується захист інформації про реквізити платіжної картки, яка стає відомою лише банку-еквайєру. Еквайєр приймає від віртуального магазина запит про авторизацію, обробляє його (самостійно або за участю платіжної системи) і дає відповідь в Іnternet – продавцю. Взаємодія між Іnternet та платіжними системами забезпечує так званий шлюз – програмно-апаратний комплекс, що керується банком-екваєром або уповноваженою організацією (процесинговим центром).

Протокол SET передбачає таку процедуру здіснення покупки:

• покупець продивляється електронний каталог на Web-сервері або на будь-якому іншому носії (на папері, СD-ROM тощо);

• покупець вибирає необхідні йому товари;

• покупець отримує від продавця електронний бланк замовлення товару (або він генерується автоматично), який містить детальну фінансову інформацію та умови придбання товарів;