Методи забезпечення безпеки розрахунків

• покупець вибирає спосіб оплати покупки (пластикову картку);

• покупець відсилає продавцю заповнений бланк замовлення разом із платіжним дорученням. Ці документи шифруються та завіряються цифровим підписом покупця;

• продавець відсилає запит на авторизацію в обслуговуючий банк (банк-екваєр), який, у свою чергу, направляє його мережею відповідної платіжної системи в банк-емітент;

• продавець, отримавши додаткову відповідь, надсилає покупцю підтвердження замовлення;

• продавець доставляє покупцю товар чи надає послугу;

• банк покупця відшкодовує продавцю вартість покупки.

У додатках, заснованих на SET-протоколах, покупець не знає платіжні реквізити продавця, продавець не бачить номера картки покупця, а банк не має даних про замовлення. Це забезпечує високий рівень анонімності угод.

В основу SET було покладено багато передових досягнень сучасної криптографії. При обміні фінансова інформація шифрується симетричним алгоритмом за допомогою ключа, що динамічно генеруються, а потім передається отримувачу даних у зашифрованому (за допомогою відкритого ключа відправника) вигляді. Цьому передує аутентифікація учасників угоди, які обмінюються своїми цифровими сертифікатами.

Система цифрових сертифікатів – одна із основних особливостей SET. Їх мають усі учасники угоди: власники карт, продавці, платіжні шлюзи, банки-емітенти (видають сертифікати власникам карт), банки-еквайєри (видають їх продавцям і шлюзам), сертифікаційні агенції (видають сертифікати банкам) та цілі платіжні системи (видають їх агенціям). На вершині цієї ієрархії знаходиться так званий кореневий ключ системи, відомий усім учасникам угоди. Його буде визначати та періодично змінювати організація, що має робочу назву SETco, яка поєднує VІSA, EuroСard, MasterСard, Amerіcan Express та JCB.

Орган, що видає ключі іншим учасникам системи, підписує їх своїм цифровим підписом. Таким чином, знаючи єдиний кореневий ключ, можна за ланцюгом встановити справжність будь-якого сертифіката.

У кожного учасника угоди є два цифрових сертифікати: один підтведжує відкритий ключ для обміну ключами, другий – відкритий ключ для цифрового підпису. Крім того, ключі несуть різноманітну інформацію про учасників системи.

Струнка система видачі та підрахунку сертифікатів тільки починає створюватись. Тому мине чимало часу, доки всі бажаючі власники карток отримають від своїх банків (або платіжних систем) цифрові сертифікати. Крім того, їм буде потрібне сумісне з SET програмне забезпечення (ПЗ). Це є найбільш вагомою перешкодою на шляху швидкого розвитку та росту числа SET-транзакцій. В якості компромісу SET допускає роботу покупця в “безсертифікаційному” режимі. При цьому обмін інформацією на ділянці між покупцем і продавцем йде у спрощеному варіанті. Але у будь-якому випадку передбачається, що покупець використовує SET-сумісне програмне забезпечення.

Ще один вагомий недолік SET – вузька спеціалізація на розрахунках із використанням пластикових карток. Ним не регулються питання організації мікроплатежів або розрахунки цифровими готівковими чеками.

Але, не звертаючи увагу на деякі вади, SET-протокол встиг за дуже короткий час стати галузевим стандартом. Побудова несумісних із SET систем електронних розрахунків в Іnternet із використанням пластикових карток позбавлена зараз будь-якого змісту. Після публікації специфікації SET 1.0 ряд фірм розробили засновані на ньому комерційні системи ведення розрахунків.Для ефективної практичної організації SET потрібно було усунути основні його недоліки – необхідність наявності у маси користувачів SET-сумісного ПЗ та відсутність підтримки багатьох популярних засобів платежу.

Першою ці проблеми вирішила компанія VerіFone (підрозділ Hewlett-Packard), що є одним із всесвітніх лідерів галузі електронних платіжних систем (число працюючих у світі платіжних терміналів цієї фірми перевищує 5 млн.). Фірма займає лідируючі позиції у галузі організації платіжів в Іnternet. Вона запропонувала лінію продуктів – vSuіte, яка включає електронний гаманець покупця – vWallet, віртуальний платіжний термінал продавця – vPos та платіжний шлюз з фінансовими системами – vGate (рис. 4.3).