Электронные платежные системы: принципы функционирования и защиты информации

Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО СЕЛЬСКОГО ХОЗЯЙСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования

«Саратовский государственный аграрный университет имени Н.И. Вавилова»

Финансово-технологический колледж

Специальность: 090305.51 Информационная безопасность автоматизированных систем

КУРСОВАЯ РАБОТА

Тема: «Электронные платежные системы: принципы функционирования и защиты информации»

Студент Макаров Антон Сергеевич

Курс 3 Группа ИБ-20301

Руководитель курсовой работы

Брусенцова Ирина Владимировна

Саратов, 2014



Содержание

Введение

1. Электронные платежные системы

1.1 Платежная система

1.2 Принципы функционирования электронных платежных систем

1.3 Виды электронных платежных систем

2. Защита информации в электронных платежных системах

2.1 Обеспечение безопасности платежных систем

2.2 Безопасность электронной коммерции

Заключение

Список литературы

Введение

В двадцать первом веке платежные системы интернета стали, чуть ли не общепринятым способом, позволяющим совершать расчеты с покупателями и клиентами в онлайн режиме. Через этот сервис электронной платежной системы проходят тысячи и это вполне нормальная практика для многих жителей. Представления электронные деньги и платёжные системы крепко вместились в лексикон, как пользователей Интернет ресурсов, так и финансистов. Создать электронный кошелек в интернете можно в считанные минуты и почти всегда бесплатно. Имеющаяся система электронных денег разрешает совершать любые виды обмена: внутри системы обмен между разными электронными деньгами и разными валютами; обмен электронных денег на безналичные или наличные деньги и наоборот. Вкладывать в электронную систему деньги и выводить из неё можно при посредстве банков, чеков и т.д. Область использования электронных денег расширяется с каждым днём, все больше людей начинаю пользоваться электронными деньгами. Так же электронными деньгами можно расплачиваться за купленные в интернете товары и услуги, можно оплатить штрафы, интернет услуги и многое другое. Всё это можно выполнять сидя дома за компьютером. Цель исследования: изучение и анализ защиты электронных платежных систем. Объект исследования: безопасность платежных систем.

Предмет исследования: методы защита платежных систем.

Для достижения поставленной цели необходимо рассмотреть следующие вопросы:

1. Платежные системы

2. Виды электронных платежных систем

3. Принципы функционирования электронных платежных систем

4. Обеспечение безопасности платежных систем

5. Уязвимые места и способы защиты



1. Электронные платежные системы

1.1 Платежная система

Платёжная система -- совокупность правил, процедур и технической инфраструктуры, обеспечивающих перевод стоимости от одного субъекта экономики другому. Платёжные системы являются одной из ключевых частей современных денежных систем.

Обычно подразумевается, что через платёжные системы осуществляется перевод денег. С юридической точки зрения в большинстве случаев происходит перевод долга: средства, которые платёжная система должна одному из клиентов, она становится должна другому клиенту. Когда первый клиент передаёт платёжной системе свои деньги, то фиксируется сумма такой передачи, то есть сумма долга перед первым клиентом. Своим распоряжением клиент может указать, что платёжная система теперь должна не ему, а второму клиенту. При обращении второго клиента к платёжной системе у него есть возможность получить денежный эквивалент такого долга. В ряде случаев платёжными средствами выступают не деньги или долги, номинированные в деньгах, а условные платёжные единицы или специализированные ценные бумаги. Расширенными формами платёжных систем (включая физическую или электронную инфраструктуру и связанные с ними процедуры и протоколы) являются проведение финансовых транзакций с помощью банкоматов, платёжных киосков, POS-терминалов, карт с хранимой денежной стоимостью; электронных кошельков. Электронные платёжные системы являются подвидом платёжных систем, которые обеспечивают осуществление транзакций электронных платежей через сети (например, Интернет) или платёжные чипы.

Система электронных денег представляется в виде наборов аккаунтов, которые могут обмениваться электронными деньгами между собой.

Электронные деньги это те же деньги, только цифровые. С помощью электронных денег можно приобретать товары или услуги в интернете, так же купленную продукцию можно доставить прямо домой или офис, используя денежные средства, находясь за компьютером. Электронными деньгами можно оплатить товары и услуги, и так же можно вывести деньги из электронного вида в реальный вид (бумажный). Например, можно за пару минут перевести деньги из Китая в Россию или другую любую страну. Можно переводить деньги со счета на другой счет внутри системы, или в другие системы. Так деньги со счета можно через банкомат.

Электронные платёжные системы позволили упростить финансовые операции между продавцами и покупателями в интернет. Электронные системы способствовали развитию электронной коммерции, они позволяют производить сделки мгновенно, как в реальной жизни оплатил товар и сразу же его получил. Быстро и удобно, нет нужды прибегать к услугам банка и почты, тратя своё время на заключение сделки. Если не электронные платёжные системы, то пришлось идти в банк, зачислять деньги на свой счёт, заказывать перевод денег на счёт продавца, а после этого ожидать 2-8 суток, пока деньги будут доставлены продавцу, (Рис.1).

Рисунок 1. Типовая схема реализации электронного платежа

В системе Электронных платежей, платежи происходят при соблюдении определенных условий:

Соблюдение конфиденциальности. При проведении платежей через интернет покупателю надо, чтобы его данные (номер кредитной карты и другая информация о нем) что бы они были известны только организациям, имеющим на это законное право.

Сохранение целостности информации. Информацию о покупке нельзя изменить. платеж электронный безопасность информация

Аутентификация. Покупатели и продавцы должны быть уверены, что все, участвующие в сделке, являются теми, за кого они себя выдают.

Средства оплаты. Возможность оплаты любыми доступными покупателю платежными средствами.

Авторизация. Это процесс, в результате которого заявка на проведение транзакции одобряется или отклоняется платежной системой. Эта процедура позволяет определить наличие средств у покупателя на его счете.

Гарантии рисков продавца. Осуществляя торговлю в интернет, продавец подвергается массе рисков, связанных с отказами от товара и недобросовестностью покупателя. Уровень рисков должен быть согласован с провайдером платежной системы и с другими организациями, введенными в торговую сеть, посредством определенных соглашений.

Минимизация платы за транзакцию. Оплата за обработку транзакций заказа и оплаты товаров, естественно, входит в их стоимость, поэтому уменьшение цены транзакции увеличивает конкурентоспособность. Важно заметить, что транзакция обязана быть оплачена в любом случае, даже при отказе покупателя от товара.

1.2 Принципы функционирования электронных платежных систем

Электронной платежной системой называют совокупность методов и реализующих их субъектов, обеспечивающих в рамках системы использование банковских пластиковых карт в качестве платежного средства. Пластиковая карта - это персонифицированный платежный инструмент, предоставляющий пользующемуся этой картой лицу возможность безналичной оплаты товаров и услуг, а также получения наличных средств в банковских автоматах и отделениях банков. Предприятия торговли и сервиса и отделения банков, принимающие карту в качестве платежного инструмента, образуют приемную сеть точек обслуживания карты. При создании платежной системы одной из основных решаемых задач является выработка, и соблюдение общих правил обслуживания карт, выпущенных входящими в платежную систему эмитентами, проведения взаиморасчетов и платежей. Эти правила охватывают как чисто технические аспекты операций с картами-стандарты данных, процедуры авторизации, спецификации на используемое оборудование и другие, так и финансовые аспекты обслуживания карт- процедуры расчетов с предприятиями торговли и сервиса, входящими в состав приемной сети, правила взаиморасчетов между банками и т.д.

С организационной точки зрения ядром платежной системы является ассоциация банков, объединенная договорными обязательствами. Кроме того, в состав электронной платежной системы входят предприятия торговли и сервиса, образующие сеть точек обслуживания. Для успешного функционирования платежной системы необходимы и специализированные организации, осуществляющие техническую поддержку обслуживания карт: процессинговые и коммуникационные центры, центры технического обслуживания и т.п., (Рис.2) .



Рисунок 2. Схема функционирования электронных платежных систем

Банк, заключивший соглашение с платежной системой и получивший соответствующую лицензию, может выступать в двух качествах как банк-эмитент и как банк-эквайер (Рис.3).

Рисунок 3. Платежный терминал. Банк-эквайер

Банк-эмитент выпускает пластиковые карты и гарантирует выполнение финансовых обязательств, связанных с использованием этих карт как платежных средств. Банк-эквайер обслуживает предприятия торговли и сервиса, принимающие к оплате карты как платежные средства, а также принимает эти платежные средства к обналичиванию в своих отделениях и через принадлежащие ему банкоматы. Основными неотъемлемыми функциями банка-эквайера являются финансовые операции, связанные с выполнением расчетов и платежей точками обслуживания. Технические атрибуты деятельности банка-эквайера (обработка запросов на авторизацию; перечисление на расчетные счета точек средств за товары и услуги, предоставленные по картам; прием, сортировка и пересылка документов, фиксирующих совершение сделок с использованием карт и т.п.) могут быть делегированы эквайером процессинговым центрам. Неавтоматизированная процедура приема платежа с помощью карты сравнительно проста. В первую очередь кассир предприятия должен убедиться в подлинности пластиковой карты по определенному ряду признаков. При оплате предприятие должно перенести реквизиты пластиковой карты клиента на специальный чек с помощью копировальной машины импринтера Импринтер (англ. imprinter) -- механическое устройство, предназначенное для оформления слипа при совершении операции с платёжной картой. В импринтер вставляется клише, на котором эмбоссированы идентификационные данные точки приёма. Пластиковую карту вставляют в импринтер и вкладывают слип. На слипе остаётся оттиск идентификационных данных точки приёма и карты клиента., занести в чек сумму, на которую была совершена покупка или оказана услуга, и получить подпись клиента. Оформленный подобным образом чек называют слипом.

В целях обеспечения безопасности операций платежной системы рекомендуется не превышать нижние лимиты сумм для различных регионов и видов бизнеса, по которым можно проводить расчеты без авторизации. При превышении лимитной суммы или в случае возникновения сомнения в личности клиента предприятие должно проводить процедуру авторизации. При авторизации предприятие фактически получает доступ к информации о состоянии счета клиента и может установить принадлежность карты клиенту и его платежную способность в размере суммы сделки. Одна копия слипа остается на предприятии, вторая передается клиенту, третья доставляется в банк-эквайер и служит основанием для возмещения суммы платежа предприятию со счета клиента.

В последние годы широкую популярность приобрели автоматизированные торговые POS-терминалы (Point-Of-Sale-оплата в точке продажи) и банкоматы. При использовании POS-терминалов нет необходимости в заполнении слипов. Реквизиты пластиковой карты считываются с ее магнитной полосы на встроенном в POS-терминал считывателе. Клиент вводит в терминал свой PIN-код (Personal Identification Number-персональный идентификационный номер), известный только ему. Элементы PIN-кода включаются в общий алгоритм шифрования записи на магнитной полосе и служат электронной подписью владельца карты. На клавиатуре POS-терминала набирается сумма сделки. Если сделка осуществляется в отделении банка и в ее процессе происходит выдача клиенту наличных денег, помимо банковских POS-терминалов может быть использован электронный кассир-банкомат. Конструктивно он представляет автоматизированный сейф со встроенным POS-терминалом. Терминал через встроенный модем обращается за авторизацией в соответствующую платежную систему. При этом используются мощности процессингового центра, услуги которого предоставляются торговцу банком-эквайером.

Процессинговый центр представляет собой специализированную сервисную организацию, которая обеспечивает обработку поступающих от банков-эквайеров или непосредственно из точек обслуживания запросов на авторизацию и протоколов транзакций - фиксируемых данных о произведенных посредством пластиковых карт платежах и выдачах наличными. Для этого процессинговый центр ведет базу данных, которая, в частности, содержит данные о банках-членах платежной системы и держателях пластиковых карт. Процессинговый центр хранит сведения о лимитах держателей карт и выполняет запросы на авторизацию в том случае, если банк-эмитент не ведет собственной базы данных (off-line банк). В противном случае (on-line банк) процессинговый центр пересылает полученный запрос в банк-эмитент авторизуемой карты. Очевидно, что процессинговый центр обеспечивает и пересылку ответа банку-эквайеру.

Выполнение банком-эквайером своих функций влечет за собой расчеты с банками-эмитентами. Каждый банк-эквайер осуществляет перечисление средств точкам обслуживания по платежам держателей карт банков-эмитентов, входящих в данную платежную систему. Поэтому соответствующие средства должны быть, затем перечислены банку-эквайеру банками-эмитентами. Оперативное проведение взаиморасчетов между эквайерами и эмитентами обеспечивается наличием в платежной системе расчетного банка (одного или нескольких), в котором банки-члены системы открывают корреспондентские счета. На основании накопленных за операционный день протоколов транзакций процессинговый центр готовит и рассылает итоговые данные для проведения взаиморасчетов между банками-участниками платежной системы, а также формирует и рассылает банкам-эквайерам и непосредственно в точки обслуживания стоп листы (перечни карточек, операции по которым по разным причинам приостановлены). Процессинговый центр может также обеспечивать потребности банков-эмитентов в новых картах, осуществляя их заказ на заводах и последующую персонализацию. Особенностью продаж и выдач, наличных по пластиковым картам является то, что эти операции осуществляются магазинами и банками “в долг”, т.е. товары и наличные предоставляются клиентам сразу, а средства на их возмещение поступают на счета обслуживающих предприятий через некоторое время (не более нескольких дней). Гарантом выполнения платежных обязательств, возникающих в процессе обслуживания пластиковых карт, является выпустивший их банк-эмитент. Характер гарантий банка-эмитента зависит от платежных полномочий, предоставляемых клиенту и фиксируемых видом карточки. Виду расчетов, осуществляемых с помощью пластиковых карт, используются кредитные и дебетовые карты. Кредитные карты являются более распространенные из видов пластиковых карт. К ним относятся карты общенациональных систем Visa и MasterCard и другие. Эти карты используются на предприятиях торговли и для оплаты товаров и услуг. При оплате с помощью кредитных карт банк позволяет покупателя открыть кредит на сумму покупки, а после через некоторое время (25 дней) присылает счет по почте, равный сумме покупки. Покупатель должен вернуть оплаченный чек (счет) обратно в банк. Естественно, подобную схему банк может предложить только наиболее состоятельным и проверенным из своих клиентов, которые имеют хорошую кредитную историю перед банком или солидные вложения в банк в виде депозитов, ценностей или недвижимости.

Обладатель дебетовой карты обязан заранее внести на свой счет в банке-эмитенте определенную сумму. Размер такой суммы назначает лимит доступных средств. При реализации расчетов с использованием этой карты соответственно снижается и лимит. Контроль этого лимита осуществляется при проведении авторизации, которая при применении дебетовой карты является обязательной. Для восстановления или увеличения лимита обладателю карты необходимо внести средства на свой счет. Кредитные, так и дебетовые карты могут быть не только персональными, но так же и корпоративными. Корпоративные карты дается компанией своим сотрудникам для оплаты командировочных или других служебных расходов. Корпоративные карты компании связаны с каким-либо одним ее счетом. Эта карта может обладать разделенным или неразделенным лимитом. Разделенным случаи каждому из обладателей корпоративных карт устанавливается определённый лимит на картер. В неразделенном варианте лучше подходит небольшим компаниям и не предполагает разграничения лимита. В последние годы все большее внимание привлекают к себе электронные платежные системы с использованием микропроцессорных карт. Принципиальным отличием микропроцессорных карт от всех перечисленных выше является то, что они непосредственно несут информацию о состоянии счета клиента, поскольку являются, в сущности, транзитным счетом. Все транзакции совершаются в режиме off-line в процессе диалога карта-терминал или карта клиента - карта торговца. Такая система является почти полностью безопасной благодаря высокой степени защищенности кристалла с микропроцессором и полной дебетовой схеме расчетов. Кроме того, хотя карта с микропроцессором дороже обычной, платежная система оказывается дешевле в эксплуатации за счет того, что в режиме off-line нет нагрузки на телекоммуникации. Для обеспечения надежной работы электронная платежная система должна быть надежно защищена.

С точки зрения информационной безопасности в системах электронных платежей существуют уязвимые места:

1. Пересылка платежных и других сообщений между банком и клиентом.

2. Обработка информации организаций отправителя и получателя сообщений.

3. Доступ клиентов к средствам, расходованным на счетах.

Более уязвимые места в системе электронных платежей является пересылка платежных и других сообщений между банками, банком и банкоматом, банком и клиентом. Пересылка платежных и других сообщений связана со следующими особенностями:

Внутренние системы отправителя и получателя должны быть приспособлены для отправки и получения электронных документов и обеспечивать нужную защиту при их обрабатыванию внутри организации. Взаимодействие отправителя и получателя электронного документа осуществляется через канал связи.

Для обеспечения функций защиты информации системы электронных платежей, должны быть использованы механизмы защиты:

1. Контроль целостности сообщения.

2. Конфиденциальности сообщения.

3. Аутентификация абонентов.

4. Невозможность отказа от авторства сообщения.

5. Неосуществимость отказа от принятия мер по сообщению.

6. Регистрация последовательности сообщений.

7. Управление доступом на начальных системах.

8. Контроль целостности последовательности сообщений.

9. Гарантии доставки сообщения[13].

1.3 Виды электронных платежных систем

Электронные деньги это новое явление в экономической науке и домашней практике, отчего существуют различные мнения в отношении того, что считать электронными деньгами. Одни считают, что электронные деньги -- это бессрочные денежные обязательства банковской или другой компании, выраженные в электронном виде, удостоверенные электронной цифровой подписью, используемые как расчетное средство и погашаемые в момент их предъявления обычными деньгами.

Другие -- что это денежная стоимость, представляющая собой требование к эмитенту, которая содержится на электронном устройстве, эмитируется после получения денежных средств в размере не менее объема принимаемых на себя обязательств, принимается в качестве средства платежа не только эмитентом, но и другими фирмами. Третьи -- что это электронный аналог наличных денег, которые могут быть куплены, они хранятся в электронном виде в специальных устройствах и находятся в распоряжении покупателя[1].

В качестве хранения денег используются смарт-карты или определённые компьютерные системы. Это информация, передаваемая любыми способами электронной коммуникации, исполняющая виде купюр при выполнение платежей в Интернете, так и без него[2].

На уровне потребителя, пользователи относят к электронным деньгам всякие платежные сервисы, разрешающие осуществлять платежи за товары или услуги, создавать расчеты между пользователями при помощи электронных средств связи, в основном с помощью Интернета. Электронные деньги это те же обычные деньги, только удобнее. Так же их можно зарабатывать, оплачивать ими товары и услуги, такие как опаливание интернета, телевидение и другое, получать и передавать, накапливать и другие функции. Можно отметить, как и с обычными деньгами, платежи деньгами происходят в реальном времени, в некоторых случая анонимно.

Имеются две основные группы электронных денег, которые имеют различие по виду носителя:

На базе смарт-карт (электронный кошелек)

На базе сетей (сетевые деньги)

Смарт-карты это многоцелевые пластиковые карты со встроенными в них чипами, этот чип микропроцессор. На такой чип вносится денежный файл эквивалент деньгам, заранее переведенный эмитенту этих карт. Пользователи банков могут переводить деньги со своих счетов на смарт-карты, операции может, совершатся в пределах, зачисленных на них суму денежных средств. Распорядок ведения лицевого счета смарт-карты отличается от распорядка ведения лицевого счета традиционных карт. Обыкновенная карта не содержит информации о наличности счета, она всего лишь используется как инструмент для доступа к расчетному счету. В момент, когда денежные средства зачисляются банком на карточку, на эту банковскую карту никакого поступления не совершается. В момент такого пополнения средств смарт-карты на личном счете уменьшается сумма, на которую осуществлялось пополнение карты. На карте возникает электронная наличность, в итоге чего и становится, возможно, и безопасная авторизация операций в режиме офлайн.

Чиповые карточные классифицироваться:

1. дебетовые/кредитные карты;

2. электронные наличные

3. электронные кошельки;

4. пред авторизованные карты [3].

Дебетовые/кредитные чиповые карты это простые дебетовые или кредитные карты, содержащие микропроцессор (чип). В отличие от таких карт как с магнитной полосой они обладают дополнительные идентификационные данные на карте, присутствуют настроенные параметры, которые разрешают повысить безопасность и эффективность выполнения различных операции. Операции с такими картами остаются прежними.

Пред-авторизованные карты это электронные кошельки и карты с электронными наличными разрешают хранение суммы денег на карте, в связи с этим они называются картами с хранимой суммой, такие карты отличаются от дебетовых и кредитных карт. На таких чиповых картах в чипе хранится определенный баланс доступных средств. Перед проведением операции он сравнивается с суммой операции и в хорошем случае итог проведенной проверки уменьшается на сумму запрошенной операции. Такие операции с картами совершается в режиме офлайн, без связи с банком в момент использование операции[4].

Главная особенность пред-авторизованной карт от электронного кошелька и электронных наличных состоит в том, что списание суммы со счета пользователя происходит только после получения центром обработки расчетной информации о произошедших операциях. При зачислении определенной суммы на электронный кошелек или на карту с электронными наличными, эта сумма моментально списывается с карточного счета пользователя карты. При потере карты электронных наличных находящаяся сумма на ней теряется для пользователя карты. В этом подобие карты электронного кошелька и карты электронных наличностей с обычным кошельком с наличными деньгами.

Система электронных кошельков, как финансового продукта, располагает определенное ограничение на сумму хранимых в кошельке средств и использование его для сравнительно мелких платежей.

Особенность чиповых карт, реализующих концепцию электронных наличных, заключается в том, что, применяя специальные электронные устройства, которые функционируют автономно и конфиденциально без связи с эмитентом. Владелец карты имеет возможность проверить остаток денег на карте, перевести деньги на другую карту, послать деньги по телефону, обменять денежный файл обратно на традиционные деньги и т.п. Показателем такой карты является банковская карта “Mondex”.

Для сохранения средств, перечисленных с банковского счета, реализовано приспособление, именуемое кошельком (Mondex wallet), которое разрешает переводить средства с карты на карту, считывать баланс, менять ПИН. Средства на карту имеют все шансы переводиться из кошелька по мере необходимости. Благодаря этому была исполнена анонимность операций и повышена безопасность системы: часть денег -- в кошельке, и кое, какая часть на карте. Кроме то кого, в системе Mondex предвидено внедрение банкоматов для обналичивания средств и торговых терминалов для перевода средств с карты клиента на карту торговца, который потом, воспользовавшись “Mondex” совместимым телефоном, может зачислить скопленные на его карте средства, на банковский счет компании. В платежной системе, применяющей карты с электронными наличными, есть ограничения на операции с картами продавцов. Таким образом, гарантируется этак именуемое качеством безопасности операций. Электронные деньги становится менее опасной системой.

Платежные объединения Visa International., MasterCard Int. и Europay Int. создали трудовую группу, которая разработала международные “ISO” стандарты для карт с микропроцессором, стандарт называется “EMV”(название собрано по первым заглавным буквам систем основных разработчиков, таких как EuroPay/MasterCard/Visa).

В Евросоюзе было принято решение о переводе пластиковых карт на смарт-карты или “EMV EMV (Europay, MasterCard и VISA) -- международный стандарт для операций по банковским картам с чипом. Этот стандарт разработан совместными усилиями компаниями Europay, MasterCard и Visa, чтобы повысить уровень безопасности финансовых операций.” карты. В данное время имеются варианты комбинирования продуктов платежных систем на ядре смарт-карт:

1. MasterCard предложила соединить приложения пред-авторизованных карт и дебетовых/кредитных карт. В таком случае операции происходят как в онлайновом режиме для пополнения счета карты в пределах определенного лимита на сумму одной офлайновой операции, так и в офлайновом режиме для исполнения платежей(См.Рис.4)

Рис. 4. Пример электронной платежной карты MasterCard

2. Visa представила мульти аппликационные EMV-карты. Система гарантирует покупателям доп. удобства при использовании платежей с использованием дебетовых или кредитных карт “Visa” и мобильных телефонов. Решение основано на разработках EMV и Infrared Financial Messaging, или IrFM(интернациональный стандарт, обеспечивающий совместимость устройств при передаче данных по инфракрасным каналам). Пользователи карт Visa и абоненты системы SKT имеют все шансы платить за товары и услуги, отправляя зашифрованный инфракрасный сигнал с мобильного телефона в маленькие приемники инфракрасного излучения, которые встроенные в POS-терминалы в местах продажи, торговых автоматах, разнообразных транспортных терминалах и других устройствах, принимающих такие платежи (рис.5)

Рис. 5. Пример электронной платежной карты Visa



Так же платежные данные пользователя карты будут надежно храниться в EMV-совместимом микропроцессоре мобильного телефона. Видимо, что инициализация платежных транзакций в будущем будет происходить не только с соответствующих мобильных телефонов, но и других мобильных устройств, обладающих ИК порт.

Ко 2-ой группе электронных средств относятся сетевые деньги, которые эмитируются в облике пересылаемого валютного файла организатором расчетов при получении им обычных денег, хранятся в памяти на жестких дисках ПЭВМ либо остальных съемных носителях и переносятся при платежах по электронным каналам связи, в том числе и через Интернет. Они употребляются для оплаты товаров и услуг в веб-магазинах и иных компаниях, ведущих бизнес в сети Интернет. Их разрешено ещё поменять на традиционные деньги. По собственной природе электронные деньги ближе к безналичным банковским деньгам.

Различные платежные электронные системы по-разному организуют работу с электронными средствами. Например, в модели цифровых наличных (digital cash) гарантией сохранности служит стойкость криптографических протоколов, используемых при создание(эмиссии) цифровых средств и регламентирующих их оборот. По аналогичности с наличными купюрами цифровые деньги, как электронные документы содержат номинальную цену, указание на эмитента, личные признаки: серия, номер и другое. Элементы защиты от фальшивки методом заверения их цифровой подписью эмитента. Для обеспечения анонимности обращения цифровых денег индивидуальные признаки выбираются их будущим владельцем и в закрытом виде передаются для подписи эмитенту. Подписывает банкноту эмитент «вслепую» (не зная ее личных признаков, но, точно зная номинал), для чего употребляются специальная цифровая подпись и криптографический протокол.

Поэтому эмитент может контролировать лишь размер выпущенных цифровых средств, но не распределение их по респондентам, что и гарантирует полную анонимность расчетов. При выдаче цифровых денег в обмен на наличные или других платежных средств эмитент может даже не знать респондента. Чтобы исключить повторные подсчеты одной и той же электронной банкнотой, цифровые деньги делаются «одноразовыми», любая банкнота используется для расчетов только один раз. С данной целью эмитент обязан поддерживать базу данных использованных банкнот и сверяться с ней при каждом платеже. Эмиссия и использование цифровых денег действующим законодательством не регламентируются, поэтому их мобильность гарантируется эмитентом и основывается на соглашениях о их использовании как платежных средств.

К основным преимуществам электронных денег по сравнению с безналичным расчетом через банк следует отнести следующие параметры:

1. Низкая стоимость транзакции и перевода с одного электронного счета на другой;

2. Высокая скорость проведения операции, которая ограничивается только возможностями платежной системы, практически действие происходит мгновенно[5].

Главными недостатками электронных денег можно считать то, что:

1. Эмитентом электронных денег является не государство, а конкретная платежная система, которая и отвечает за сохранение их платежеспособности;

2. Применение электронных денег возможно только в рамках платежной системы-эмитента;

3. Имеются проблемы с безопасностью при проведении электронных платежей[6].

В России в основном используется электронные платежные системы, как PayPal, QIWI, Web Money, Яндекс. Деньги, RUpay, E-gold, E-port, Pay Cash, Money Mail, Cyber Plat, Rapida и др.



2. Защита информации электронных платежных систем

2.1 Обеспечение безопасности платежных систем

Банковские операции, торговых сделок и взаимных платежей невозможно вообразить без расчетов с применением пластиковых карт. Система безналичных расчетов с помощью пластиковых карт называется электронной платежной системой. Что бы обеспечить нормальную работу электронной платежной системы она должна быть надежно защищена[7].

Считается, что в информационной безопасности в системах электронных платежей имеются уязвимые места:

Пересылка платежных и остальных сообщений между банками, между банком и банкоматом, между банком и клиентом;

Обработка информации организацией отправителя и получателя;

Доступ покупателей к средствам, расходованным на счетах.

Пересылка платежных и остальных сообщений соединена с такими особенностями:

Внутренние системы организаций отправителя и получателя обязаны обеспечить подходящую защиту при обработке электронных документов (защита оконечных систем);

Взаимодействие отправителя и получателя электронного документа исполняется прямо через канал связи.

Эти особенности вызывают трудности:

Взаимное опознание абонентов (проблема установления взаимной подлинности при установлении соединения);

Защита электронных документов, передаваемых по каналам связи (проблема обеспечения конфиденциальности и целостности);

Защита процесса обмена электронными документами (проблема доказательства отправления и доставки документа);

обеспечение выполнение акта (проблема взаимного недоверия между отправителем и получателем вследствие их принадлежности к разным организациям и обоюдной независимости).

Для обеспечения функций защиты информации в некоторых узлах системы электронных платежей обязаны быть реализованы механизмы защиты:

Управление доступом на начальных системах;

Контроль целостности сообщения;

Обеспечение конфиденциальности сообщения;

Взаимная аутентификация клиентов;

Невыполнимость отказа от авторства сообщения;

Гарантия доставки сообщения;

Невыполнимость отказа от принятия мер по сообщения;

Регистрация последовательности сообщений;

Контроль целостности последовательности сообщений [8].

В качестве платежных средств в электронных платежных системах используются электронные пластиковые карты.

Электронная пластиковая карта - это носитель определенной информации, который идентифицирует пользователя и хранит определенные данные.

Различение кредитной и дебетовой карты.

Электронные карты являются более распространенным видом пластиковых карт. Электронные карты используются для оплаты различных товаров и услуг. При оплате с помощью кредитной карты банк клиента открывает ему кредит на сумму приобретения, а после через некоторое время присылает счет по почте на сумму сделанной покупки. Покупатель должен возвратить оплаченный чек назад в банк. Разумеется, схожую схему банк может рекомендовать лишь более состоятельным и проверенным из собственных клиентов, которые имеют неплохую кредитную историю перед банком или значимые вклады в банк в виде депозитов, ценностей или недвижимости[12].

Пластиковая карта представляет собой пластинку, изготовленную из особой пластмассы, устойчивой к механическим и термическим действиям. По стандарту ISO 9001 все пластиковые карты имеют габариты 85.6Ч53.9Ч0.76 мм.

Для идентификации владельца на пластиковую карту наносятся:

логотип банка-эмитента;

логотип платежной системы, обслуживающей эту карту;

имя владельца карты;

номер счета владельца карты;

срок действия карты и т.п.

Кроме такого, на карте может находиться фото владельца и его подпись.

Алфавитно-цифровые данные (имя, номер счета и др.) могут быть эмбоссированы, т.е. нанесены рельефным шрифтом. Это дает возможность при ручной обработке принимаемых к оплате карт быстро перенести данные на чек с помощью специального устройства - импринтера, осуществляющего "прокатывание" карты[9].

По принципу действия различают пассивные и активные пластиковые карты. Пассивные пластиковые карты всего лишь только хранят информацию. К ним относятся пластиковые карты с магнитной полосой.

Карты с магнитной полосой являются пока более распространенными - в обращении находится выше двух миллиардов карт аналогово типа. Магнитная полоса размещается на обратной стороне карты и, в согласии со стандартом ISO 7811, состоит из 3-х дорожек. Из них первые две предусмотрены для хранения идентификационных данных, а на третью дорожку разрешено вписывать информацию (например: текущее значение лимита дебетовой карты). Однако из-за низкой надежности неоднократно повторяемого процесса записи/считывания запись на магнитную полосу обычно не практикуется.

Карты с магнитной полосой относительно уязвимы для мошенничества. Для повышения защищенности своих карт системы Visa и MasterCard/Europay используют дополнительные графические средства защиты: голограммы и нестандартные шрифты для эмбоссирования. Эмбоссеры (устройства для тиснения рельефа на карте) выпускает ограниченный круг изготовителей. В ряде стран Запада законодательно запрещена свободная продажа эмбоссеров. Специальные символы, подтверждающие принадлежность карты к той или иной платежной системе, поставляются владельцу эмбоссера только с разрешения руководящего органа платежной системы[10].

Платежные системы с подобными картами требуют on-line авторизации в торговых точках и, как следствие, наличия разветвленных, высококачественных средств коммуникации (телефонных линий).

Отличительная особенность активной пластиковой карты - наличие встроенной в нее электронной микросхемы. Стандарт ISO 7816 определяет основные требования к картам на интегральных микросхемах или чиповым картам.

Карты с микросхемой можно классифицировать по двум признакам.

Первый признак - принцип взаимодействия со считывающим устройством. Основные типы:

карты с контактным считыванием;

карты с бесконтактным (индукционным) считыванием.

Карта с контактным считыванием имеет на своей поверхности от 8 до 10 контактных пластин. Размещение контактных пластин, их количество и назначение выводов различны у разных производителей и естественно, что считыватели для карт данного типа различаются между собой.

Обмен данными между картой с бесконтактным считыванием и считывающим устройством производится индукционным способом. Очевидно, что такие карты надежнее и долговечнее.

Второй признак - функциональные возможности карты. Основные типы:

карты-счетчики;

карты с памятью;

карты с микропроцессором.

Карты-счетчики применяются, как правила, в тех случаях, когда та или иная платежная операция требует уменьшения остатка на счете держателя карты на некоторую фиксированную сумму. Подобные карты используются в специализированных приложения с предоплатой (плата за использование телефона-автомата, оплата автостоянки и т.д.). Очевидно, что применение карт со счетчиком ограничено и не имеет большой перспективы.

Карты с памятью являются переходными между картами-счетчиками и картами с микропроцессором. Карта с памятью - это перезаписываемая карта-счетчик, в которой приняты меры, повышающие ее защищенность от атак злоумышленников. Простейшие карты с памятью имеют объем памяти от 32 байт до 16 Кбайт. Эта память может быть организована в виде:

программируемого постоянного запоминающего устройства ППЗУ (EPROM), которое допускает однократную запись и многократное считывание;

электрически стираемого программируемого постоянного запоминающего устройства ЭСППЗУ (EEPROM), которое допускает многократную запись и многократное считывание.

Карты с памятью можно подразделить на два типа:

с незащищенной (полнодоступной) памятью;

с защищенной памятью.

В картах первого типа нет никаких ограничений на чтение и запись данных. Эти карты нельзя использовать в качестве платежных, так как их достаточно просто "взломать".

Карты второго типа имеют область идентификационных данных и одну или несколько прикладных областей. Идентификационная область допускает лишь однократную запись при персонализации и дальше доступна только для считывания. Доступ к прикладным областям регламентируется и осуществляется только при выполнении определенных операций, в частности при вводе секретного PIN-кода.

Уровень защиты карт с памятью выше, чем у магнитных карт. В качестве платежного средства карты с памятью используются для оплаты таксофонов общего пользования, проезда в транспорте, в локальных платежных системах (клубные карты). Карты с памятью применяются также в системах допуска в помещения и доступа к ресурсам компьютерных сетей (идентификационные карты).

Смарт-карта обеспечивает широкий набор функций:

разграничение полномочий доступа к внутренним ресурсам;

шифрование данных с применением различных алгоритмов;

формирование электронной цифровой подписи;

ведение ключевой системы;

выполнение всех операций взаимодействия владельца карты, банка и торговца.

Некоторые смарт-карты обладают режимом "самоблокировки" при попытке несанкционированного доступа.

Важными этапами подготовки и применения пластиковой карты являются персонализация и авторизация.

Персонализация происходит при выдаче карты покупателю. На карту записываются данные, позволяющие определить карту и ее владельца, а также осуществлять проверку платежеспособности карты при оплате или выдаче наличных. Первоначальным способом персонализации было эмбоссирование.

К персонализации относятся кодирование магнитной полосы и программирование микросхемы.

Кодирование магнитной полосы изготавливается, как правило, на том же оборудовании, что и эмбоссирование. При этом часть информации о карте, хранящая номер карты и время ее действия, одинаковая как на магнитной полосе, так и на рельефе. Но бывают, случаются ситуации, когда после первичного кодирования требуется дополнительно внести информацию на магнитную полосу. В таком случае используются специальные устройства с функцией "чтение-запись". Это возможно, в частности, когда PIN-код для пользования картой не формируется специальной программой, а выбирается клиентом по своему усмотрению.

Программирование микросхемы не требует особых технологических приемов, но зато имеет некоторые организационные особенности. Так операции по программированию отдельных областей микросхемы разнесены территориально и разграничены по правам различных сотрудников. Обычно эта процедура разбивается на три этапа:

на первом рабочем месте выполняется активация карты (ввод ее в действие);

на втором рабочем месте выполняются операции, связанные с обеспечением безопасности;

на третьем рабочем месте производится собственно персонализация.

Такие меры повышают безопасность и исключают возможные злоупотребления.

Авторизация проводится либо "вручную", либо автоматически. В первом случае осуществляется голосовая авторизация, когда продавец или кассир передает запрос оператору по телефону. Во втором случае карта помещается в автоматизированный торговый POS-терминал (Point-Of-Sale - оплата в точке продажи), данные считываются с карты, кассир вводит сумму платежа, а владелец карты - PIN-код (Personal Identication Number - персональный идентификационный номер). После этого терминал осуществляет авторизацию, устанавливая связь с базой данных платежной системы (on-line режим), либо реализуя дополнительный обмен данными с самой картой (off-line режим). При выдаче наличных денег процесс имеет аналогичный характер, с той лишь особенностью, что деньги в автоматическом режиме выдаются банкоматом, который и проводит авторизацию.

Испытанным способом идентификации владельца пластиковой карты является использование секретного персонального идентификационного номера PIN. Значение PIN должно быть известно только владельцу карты. С одной стороны, PIN должен быть достаточно длинным, чтобы вероятность угадывания с помощью полного перебора была приемлемо малой. С другой стороны, PIN должен быть достаточно коротким, чтобы владелец мог его запомнить. Обычно длина PIN колеблется от 4 до 8 десятичных цифр, но может достигать 12.

Значение PIN однозначно связано с соответствующими атрибутами пластиковой карты, поэтому PIN можно трактовать как подпись владельца карты.

Защита персонального идентификационного номера PIN для пластиковой карты является критичной для безопасности всей платежной системы. Пластиковые карты могут быть могут быть потеряны, украдены или подделаны. В таких случаях единственной контрмерой против несанкционированного доступа остается секретное значение PIN. Поэтому открытая форма PIN должна быть известна только законному владельцу карты. Она никогда не хранится и не передается в рамках системы электронных платежей.

Метод генерации значения PIN оказывает существенной влияние на безопасность электронной платежной системы. Вообще, персональные идентификационные номера могут формироваться либо банком, либо владельцами карт.

Если PIN назначается банком, то обычно используется один из двух вариантов.

При первом варианте PIN генерируется криптографически из номера счета владельца карточки. Шифрование проводится по алгоритму DES с использованием секретного ключа. Достоинство: значение PIN не нужно хранить внутри электронной платежной системы. Недостаток: при необходимости изменения PIN надо менять либо номер счета клиента, либо криптографический ключ. Но банки предпочитают, чтобы номер счета клиента оставался фиксированным. А с другой стороны, поскольку все PIN вычисляют, используя один ключ, изменение одного PIN при сохранении счета клиента влечет за собой изменение всех персональных идентификационных номеров.

При втором варианте банк выбирает PIN случайным образом, сохраняя это значение в виде криптограммы. Выбранные значения PIN передается владельцам карт по защищенному каналу.

Использование PIN, назначенного банком, неудобно клиентам даже при небольшой его длине. Такой PIN трудно удержать в памяти, и поэтому владелец карты может записать его куда-нибудь. Главное - это не записывать PIN непосредственно на карту или другое видное место. Иначе задача злоумышленников будет сильно облегчена.

Для большего удобства клиента используют значение PIN, выбираемое самим клиентом. Такой способ определения PIN позволяет клиенту:

использовать один и тот же PIN для различных целей;

задавать в PIN не только цифры, но и буквы (для удобства запоминания).

Выбранный клиентом PIN может быть передан в банк заказной почтой или отправлен через защищенный терминал банковского офиса, который немедленно его шифрует. Если банку необходимо использовать выбранный клиентом PIN, то поступают следующим образом. Каждую цифру выбранного клиентом PIN складывают по модулю 10 (без учета переносов) с соответствующей цифрой PIN, выводимого банком из счета клиента. Получаемое десятичное число называется "смещением". Это смещение запоминается на карте клиента. Поскольку выводимый PIN имеет случайный характер, то выбранный клиентом PIN невозможно определить по его смещению.

Главное требование безопасности состоит в том, что значение PIN должно запоминаться владельцем карты и никогда не должно храниться в любой читабельной форме. Но люди несовершенны и очень часто забывают свои PIN. Но для таких случаев предназначены специальные процедуры: восстановление забытого PIN или генерация нового.

При идентификации клиента по значению PIN и предъявленной карте используются два основных способа проверки PIN: неалгоритмический и алгоритмический.

Неалгоритмический способ осуществляется путем непосредственного сравнения введенного клиентом PIN со значениями, хранимыми в базе данных. Обычно база данных со значениями PIN клиентов шифруется методом прозрачного шифрования, чтобы повысить ее защищенность, не усложняя процесса сравнения.

Алгоритмический способ проверки PIN заключается в том, что введенный клиентом PIN преобразуют по определенному алгоритму с использованием секретного ключа и затем сравнивают со значением PIN, хранящимся в определенной форме на карте. Достоинства этого метода проверки:

отсутствие копии PIN на главном компьютере исключает его раскрытие персоналом банка;

отсутствие передачи PIN между банкоматом или POS-терминалом и главным компьютером банка исключает его перехват или навязывание результатов сравнения;

Упрощение работы по созданию программного обеспечения системы, так как уже нет необходимости действий в реальном масштабе времени.

Перспективные решения. Мобильный банкинг

Основная область применения SIM-карты Mobil-ID + ЭЦП - использование мобильного телефона для подтверждения операций, требующих исполнения строгих процедур проверки подлинности данных и субъектов информационного взаимодействия. Услуги WirelessPKI для сотового оператора должен предоставлять специальный провайдер услуг, именуемый Mobile Signature Service Provider (MSSP).

На практике двухканальная многофакторная мобильная аутентификация на основе SIM-карты Mobil-ID + ЭЦП позволит не только идентифицировать владельца в системе оказания электронных услуг, но и использовать электронные подписи в течение всего сеанса связи или даже по завершении телефонного звонка. Владельцу больше не придется запоминать все свои пароли и имена пользователя. Он сможет вообще отказаться от кодовых банковских карточек и PIN-калькуляторов. Если для различных сервисов сейчас пользователь вынужден использовать различные идентификационные данные (пароли и имена пользователя), то такая SIM-карта позволит авторизоваться во все службы и сервисы с одним-единственным персональным кодом. Функционально владелец новой SIM-карты сможет делать те же электронные операции, что и владельцы обычных смарт-карт, - заходить в интернет-банк, на порталы услуг, подписывать различные договоры и пр. При этом MSSP обеспечивает двухканальную поддержку строгой аутентификации по сочетаниям многих факторов, включая ГОСТ Р. 34.10-2001, ГОСТ Р. 34.11-94 (криптография с открытым ключом), ГОСТ 28147-89[11].

2.2 Безопасность электронной коммерции

Высокий уровень мошенничества в Интернете является сдерживающим фактором развития электронной коммерции. Люди главным образом используют Интернет в качестве информационного канала для получения интересующей их информации.

Классификации возможных типов мошенничества в электронной коммерции:

Транзакции (операции безналичных расчетов), выполненные мошенниками с использованием правильных реквизитов карточки (номер карточки, срок ее действия и т.п.);

Получение данных о клиенте через взлом БД торговых предприятий или путем перехвата сообщений покупателя, содержащих его персональные данные;

Магазины-бабочки (обманщики), возникающие, как правило, на непродолжительное время, для того, чтобы исчезнуть после получения от покупателей средств за несуществующие услуги или товары;

Увеличение стоимости товара по отношению к предлагавшейся покупателю цене или повтор списаний со счета клиента;

Магазины или торговые агенты, предназначенные для сбора информации о реквизитах карт и других персональных данных покупателя[14].

Протокол SSL

Протокол SSL - Secure Socket Layer обеспечивает защиту данных между сервисными протоколами и транспортными протоколами (TCP/IP) с помощью современной криптографии в соединениях "точка-точка". Ранее можно было без особых технических ухищрений просматривать данные, которыми обмениваются между собой клиенты и серверы.

Протокол SSL предназначен для решения традиционных задач обеспечения защиты информационного взаимодействия:

пользователь и сервер должны быть взаимно уверены, что они обмениваются информацией не с подставными абонентами, а именно с теми, которые нужны, не ограничиваясь паролевой защитой;

после установления соединения между сервером и клиентом весь информационный поток между ними должен быть защищен от несанкционированного доступа;

и наконец, при обмене информацией стороны должны быть уверены в отсутствии случайных или умышленных искажений при ее передаче.

...