5.4. Электронные онлайновые платежные Internet - системы

Электронные онлайновые платежные системы предназначены для реализации платежа через Internet в режиме реального времени. Именно развитие электронной коммерции привело к созданию таких систем, так как перевод торговых площадок в Internet потребовал создания комплексов для реализации практически мгновенных безналичных расчетов через Internet. Такие системы, конечно, основаны на традиционных технологиях реализации платежей. В проведении платежа могут быть задействованы : продавец и покупатель; банк покупателя (банк-эмитент²⁹, если это расчет по пластиковым картам); банк продавца (банк-эквайер³⁰, если это расчет по пластиковым картам); процессинговый центр³¹ платежной системы (при расчетах по пластиковым картам). При реализации расчетов через Internet могут быть задействованы дебетовые и кредитные схемы расчетов. Кроме того, среди расчетных систем могут быть выделены анонимные и неанонимные. Важными характеристиками расчетных систем также являются: возможность реализации микроплатежей; стойкость используемых алгоритмов шифрования; скорость; возможность получения подтверждения сделки в виде бумажного документа; возможность возврата денег при отказе от сделки; соответствие законам РФ. Ниже рассмотрим общие подходы к реализации платежных систем и примеры российских платежных систем [127,128,129,130], [А.Скороходов SET: миссия возможна- Открытые системы: http://www.osp.ru/ecom/2000/10/034.htm]

Кредитные схемы

В таких схемах для расчетов используются кредитные карты. Так как информация передается по разделяемым каналам передачи, она шифруется и может быть заверена цифровой подписью. Все кредитные схемы требуют подтверждения кредитоспособности покупателя третьей стороной и его аутентификации. Обычно клиент один раз (при регистрации) передает свои персональные и банковские данные в платежную систему, после чего, они хранятся, например, в процессинговом центре и используются для выполнения процедуры авторизации карты. Авторизация представляет собой процедуру, которая подтверждает платежеспособность карты и предотвращает мошенничества с кредитными картами. При реализации покупки клиент сообщает магазину только свой идентификатор, а его авторизация выполняется платежной системой. Передача информации в таких системах реализуется на основе протоколов SET (Secure Electronic Transaction) или SSL (Secure Sockets Layer). Протокол SET реализует более надежную защиту от мошенничества, поэтому рассмотрим его подробнее. Первая его версия была разработана в 1996 году усилиями платежных систем Visa International и Master Card, а в 1997 году была создана некоммерческая организация SETCo LLC (www.setco.org), которая занимается развитием стандарта и сертифицирует программные продукты, реализующие этот стандарт. Именно на сайте этой организации можно найти описание SET. Протокол является открытой спецификацией и может быть использован любыми производителями продуктов для электронной коммерции. В соответствии с его правилами, информация между участниками транзакции передается в зашифрованном виде и заверяется цифровыми подписями. В начале транзакции выполняется взаимная аутентификация продавца, покупателя и платежного шлюза. Аутентификация выполняется на основе сертификатов открытого ключа, получаемых участниками транзакции от сертификационных центров. Структура сертификатов соответствует одной из версий стандарта Х.509 и была в общем описана в пункте 4.2.5. Понятно, что в этом случае первым эшелоном защиты должны быть надежные сертификационные центры. Протокол SET предусматривает наличие иерархической структуры таких центров с передачей прав сертификации с верхних уровней на нижние. Корневым сертификационным центром (Root Certificate Authority - RCA) как раз и является организация SETCo LLC. Она выдает сертификаты Центрам сертификации международных платежных систем (Brand Certificate Authority - ВСА), которые реализуют второй уровень в иерархии. ВСА выдают сертификаты геополитическим центрам сертификации (Geopolitical Certificate Authority - GCA), реализующим третий уровень. На четвертом уровне находятся центры сертификации для: платежных шлюзов (Payment Certificate Authority - РСА), владельцев платежных карт (Cardholder Certificate Authority - CCA), торгующих организаций (Merchant Certificate Authority - MCA). Такая иерархия позволяет создавать надежную систему сертификации участников транзакции. Сертификаты могут быть как выданы, так и отозваны. Списки отозванных сертификатов постоянно рассылаются сертифицирующими организациями участникам платежных транзакций. Далее опишем этапы взаимной аутентификации участниками транзакции.

• Покупатель формирует корзину товаров в электронном магазине и инициирует начало транзакции.

• . Выполняется взаимная аутентификация покупателя, торговой организации и платежного шлюза путем обмена сертификатами открытых ключей и их проверки. Для этого, покупатель посылает торговой организации сообщение с реквизитами карты, идентификатором платежной системы и своим сертификатом. Торгующая организация формирует ответное сообщение, вставляя в него свой сертификат и сертификат шлюза, соответствующего заданной платежной системе.

• Покупатель посылает торгующей организации информацию о покупке, заверенную своей цифровой подписью. Сообщение включает как информацию о заказе (идентификатор заказа, тип валюты, сумма и так далее), так и зашифрованную информацию для авторизации карты.

• Торгующая организация формирует запрос к платежному шлюзу на авторизацию карты и заверяет его своей цифровой подписью.

• Шлюз перенаправляет запрос на авторизацию карты в платежную систему для проверки соответствия данных карты и банка - эмитента и платежеспособности карты.

• Получив ответ, шлюз передает результаты авторизации торгующей организации, заверяя их своей цифровой подписью.

• Торгующая организация формирует и передает сообщение покупателю, заверяя его своей цифровой подписью.

В результате, все участники транзакции могут быть уверены в подлинности и платежеспособности взаимодействующих сторон. Отметим, что для увеличения скорости выполнения транзакций, криптографические процедуры на серверах организаций выполняются аппаратно. Это одно из требований для сертификации системы. На компьютере клиента эти функции выполняет специальная программа Е-Wallets (электронные бумажники). Существуют различные модификации протокола SET, соответствующие разным способам оплаты с мобильных или стационарных устройств (смарт- карты, сотовые телефоны, пластиковые карты с магнитной полосой) или дополнительным средствам авторизации, которые используют различные международные платежные системы. Одним из программных продуктов, реализующих протокол SET, является IBM Payment Suit фирмы IBM.

Примерами других технологий, реализующих кредитные схемы, являются: CyberCash, ChekFree, OpenMarket.

Отметим, что, в целом, кредитные схемы обладают рядом недостатков:

• из-за наличия процедуры аутентификации, проверки кредитоспособности карточки и необходимости получения сертификатов всеми участниками транзакции, сама транзакция становится дорогой и не подходит для микроплатежей (на сумму 4 евро и меньше);

• транзакция не анонимна, то есть магазину и банку известно, кто совершил покупку.

В качестве примера мультибанковской платежной системы, работающей на основе кредитных карт, можно привести систему ASSIST (http://wwwl.assist.ru/index.html). В системе используются пластиковые и виртуальные карты ³², выполняется процессинг этих карт. Процедура процессинга является очень важной при оплате кредитными картами через Internet. В ней заинтересованы и покупатель, и продавец. Процессинговые центры не только авторизуют карты и магазины, но также выполняют и биллинговые (учетные) функции. В результате, процессинговый центр может предоставлять магазину отчеты о выполненных платежных транзакциях. Его задача, с одной стороны, не допустить мошеннических транзакций по чужим кредитным картам, с другой стороны, помочь магазину доказать факт покупки и оплаты по кредитной карте, если владелец карты заявляет, что такой покупки не совершал. К оплате принимаются карты систем: VISA, EURACARD/MASTER CARD, DINERS CLUB. Отметим, что с 2003 года платежная система ASSIST подключена к системам, реализующим цифровые наличные, таким, как WebMoney и Яндекс.Деньги.

Примером другой системы, реализующей оплату по кредитным картам, является интегрированная платежная система CyberPlat http://www.cyberplat.ru/ . Проект реализует компания CYBERPLAT.COM. Участниками платежной системы в настоящее время являются 20 банков и 8 процессинговых центров. К системе подключено около 250 Internet -магазинов. Она позволяет реализовывать оплаты в секторе В2С, В2В, Банк-Клиент ³³. Оплата может производиться по кредитным картам Российских и международных платежных систем. Регистрация при оплате по кредитной карте не обязательна.

Дебетовые схемы

Дебетовые схемы реализуются как электронными чеками, так и цифровыми наличными. Примерами систем, реализующих электронные чеки, являются: NetCheque, NetChex. Первая использует только электронные чеки, вторая электронные чеки и дебетовые карты [131]. Эти системы используют электронные аналоги обычных чеков для оплаты товаров и услуг. Чеки выпускаются организацией - эмитентом, которая управляет платежной системой. В них может быть указана следующая информация: реквизиты банка, в котором должен быть предъявлен чек; номер счета плательщика; имя плательщика; имя получателя платежа; сумму. Для реализации оплаты, плательщик выписывает чек и заверяет его своей цифровой подписью (он должен иметь сертификат открытого ключа, выданный одной из

сертифицирующих организаций). Часть передаваемой информации (например, номер счета плательщика), может быть зашифрована открытым ключом эмитента. Чек может быть отправлен получателю по электронной почте. Получатель предъявляет чек платежной организации- эмитенту, которая проверяет цифровую подпись плательщика и перечисляет деньги на счет получателя платежа. В некоторых системах чек также должен быть заверен цифровой подписью получателя платежа. Транзакции в таких системах намного дешевле, поэтому они подходят для реализации микроплатежей. Однако отсутствует процедура взаимной аутентификации участников транзакции, поэтому возможны мошенничества.

Примерами систем, реализующих цифровые наличные, являются: DigiCash, PayCash, Яндекс.Деньги, WebMoney (http://www.webmoney.ru/ ). Достоинством таких систем оплаты, по сравнению с электронными чеками, является их анонимность. Технологии, реализующие цифровые наличные, могут использовать жесткие диски компьютеров или смарт-карты. Идея цифровых наличных принадлежит голландскому криптографу Дэвиду Чауму (David Chaum), который предложил создавать электронные эквиваленты обычных банкнот для оплаты покупок и услуг. При этом, оплата должна быть анонимной, должна быть реализована возможность размена электронных банкнот, необходимо предотвратить повторное использование такой электронной банкноты. Существует несколько платежных систем, которые по-разному реализуют эти идеи. Например, в системе DigiCash эти требования реализованы следующим образом (реализация цифровых наличных на жестком диске персонального компьютера) [132].

• Покупатель создает на своем компьютере электронные купюры, присваивает им номинал и серийный номер, (серийный номер создается с помощью генератора случайных чисел) и заверяет своей цифровой подписью.

• Покупатель кладет реальные деньги в банк, преобразует купюру, шифруя ее серийный номер, но оставляет открытым номинал, подписывает ее своей цифровой подписью и отправляет купюру в банк.

• Банк заверяет ее своей цифровой подписью, не зная серийного номера, и возвращает купюру покупателю. Такая процедура называется "слепой подписью", так как банк позже не сможет сопоставить купюру, предъявленную к оплате, со счетом покупателя. При этом, с банковского счета покупателя списывается сумма, равная номиналу купюры и комиссионным банка за операцию.

• Покупатель удаляет с купюры свою цифровую подпись, оставляя цифровую подпись банка, доказывающую, что купюра является платежным средством, дешифрует серийный номер и расплачивается ею в электронном магазине.

• Магазин повторно предъявляет купюру банку, где выполняется проверка, не была ли копия купюры использована ранее, и ее характеристики запоминаются с тем, чтобы ее невозможно было повторно использовать. В случае положительного результата проверки, оплата считается завершенной [127].

Как видно, оплата анонимна (отсутствует процедура аутентификации, банк заверяет купюру "слепой" подписью), а номинал купюры может быть любым, поэтому технология позволяет оплачивать самые мелкие покупки и услуги. В настоящее время на основе этого подхода функционирует американский проект www.ecash.net. Такая платежная система относится к категории онлайновых, так как магазин получает деньги сразу после подтверждения уникальности купюры.

Несколько иная технология реализуется системой PayCash. В настоящее время в России функционирует совместный проект платежной системы PayCash и информационного портала Яндекс Яндекс.Деньги (http://www.money.yandex.ru/) [133]. В ней используется метафора электронных кошельков. Для реализации платежей, программные комплексы - кошельки устанавливаются на компьютерах покупателей и на серверах магазинов. Процедура подготовки и оплаты в системе выглядит так (http://www.money.yandex.ru/?id=l01720 ) [134].

• Покупатель скачивает с сайта www.money.yandex.ru специальную программу Интернет.Кошелек и реализует настройку этой программы. Персональные данные о себе указывать не обязательно, можно использовать псевдоним. В платежной системе автоматически создается счет (в процессинговом центре системы), связанный с этим кошельком, куда необходимо внести реальные деньги. Счет можно пополнить с помощью наличных, банковского перевода, предоплаченных карт. С помощью кошелька на жестком диске компьютера покупателя создается одна или несколько платежных книжек. Затем некоторая сумма с помощью кошелька переводится со счета в процессинговом центре на эту книжку, в результате чего, и формируются цифровые наличные. Процессинговый центр не знает, на какую книжку переводятся деньги и кому принадлежит эта книжка. Оплата покупки выполняется именно с книжки и, потому, анонимна.

• После реализации запроса на покупку в магазине, электронный кошелек магазина формирует запрос на оплату, который содержит договор купли/продажи, заверенный цифровой подписью магазина.

• Если вы согласны с условиями продажи, ваш кошелек подписывает договор вашей цифровой подписью, возвращает его магазину и пересылает магазину цифровые наличные из платежной книжки.

• Кошелек магазина запрашивает у процессингового центра авторизацию платежа. Если результат положительный, соответствующая сумма переводится на счет магазина.

• Кошелек магазина посылает документ о реализации оплаты кошельку покупателя.

Так как в качестве каналов передачи информации используются разделяемые Internet - каналы, информация шифруется. Отметим, что, как всякий кошелек, Интернет.Кошелек может быть потерян или уничтожен. Система позволяет его восстановить, если при открытии счета вы указали свои точные персональные данные. Существуют процедуры для вывода цифровых наличных из системы, например, перевод их на обычный счет в банке с последующим получением в виде наличных. Система Яндекс.Деньги относится к категории онлайновых платежных систем.

Одной из самых популярных международных платежных систем является E-Gold (http://www.e-gold.com/e-gold.asp?cid=310501; http://e-gold.metal-index.ru/). Она начала работать в 1996 году. Система обеспечена гарантиями банков Швейцарии и США. В соответствии с правилами этой платежной системы, деньги на счетах системы лежат не в какой-либо национальной валюте, а в виде заданного количества драгоценного металла. Это может быть золото, серебро, платина, палладий. В ней именно драгоценные металлы используются в качестве денег. Счет в E-Gold может быть открыт на анонимного клиента и бесплатно. На середину ноября 2003 года в системе было открыто около 991000 счетов. В течение 24 часов, в среднем, открывается 1500 новых счетов (http://www.e-gold.com/stats.html). Порядка 18000 пользователей в день обращаются к своим счетам.

До настоящего времени обороты платежных систем, построенных на цифровых наличных, значительно меньше, чем карточных систем. Это связано с тем, что карточные платежные системы (даже не в Internet реализации) существуют давно и являются более привычными. Однако потери от мошенничества в карточных платежных системах ежегодно составляют миллиарды долларов, поэтому системы цифровых наличных завоевывают все большую популярность.

²⁹Банк-эмитент, это банк, выпускающий карточки платежной системы или свои собственные.

³⁰Банк-эквайер реализует обслуживание пластиковых карт. Такой банк проводит расчеты по пластиковым картам. Он подписывает договоры с торгующими организациями о принятии ими карточек в качестве платежных средств. Пусть Банк 1 выпускает пластиковые карточки, Банк 2 заключает договор с магазином о том, что магазин будет принимать эти карточки в качестве платежного средства. Счета от магазина по этим карточкам оплачивает Банк 2, а затем предъявляет эти счета Банку 1.

³¹Процессинг представляет собой обработку данных об операциях, совершаемых с помощью пластиковых карт. Процессинговый центр формирует и обрабатывает базу данных платежной системы. Он представляет собой информационно-вычислительный комплекс, где хранится информация о членах платежной системы и держателях карточек. На основании этой информации выполняется авторизация электронных магазинов или покупателей.

³²Виртуальные платежные карты используются в Internet - торговле. Виртуальные карты более безопасны (вы не можете ее потерять), годовая плата за такую карту ниже, чем за обычную пластиковую. Для ее использования нужно знать номер карты, специальный защитный код и срок действия.

³³Банк - Клиент - системы, реализующие так называемый Internet -банкинг, который позволяет владельцу счета управлять им через Internet. С помощью этой технологии вы можете реализовывать коммунальные платежи, оплачивать разговоры по сотовому телефону и так далее.