Классификация платежей и платежных систем

3.1. Классификация платежей и платежных систем

Системы расчетов в Интернете необходимы для осуществления платежей. Требования к ним зависят от вида этих платежей. Прежде чем переходить к рассмотрению систем расчетов, рассмотрим виды платежей в сети.

С точки зрения отправителя и получателя платежи делятся на следующие виды:

 платежи между физическими лицами. Как и в случае наличных расчетов между физическими лицами, платежи между ними через Интернет, как правило, не требуют оформления каких-либо документов и могут выполняться анонимно;

 платежи от физического лица юридическому лицу (оплата товаров, работ, услуг, предоставление займов и т. д.). Эти платежи обычно связаны с оформлением сделки и требуют отражения в бухгалтерском учете юридического лица. Физическое лицо может оставаться частично или полностью анонимным;

 платежи от юридического лица физическому лицу (выплата выигрышей в интернет-казино, возврат денег за некачественный товар, оплата по трудовым договорам и др.). Платежи этого типа должны отражаться в бухгалтерском учете юридического лица. Во многих случаях их осуществление связано с возникновением у физического лица налогооблагаемого дохода. При этом налоговым агентом в большинстве случаев выступает юридическое лицо, осуществляющее выплату. Соответственно, оно должно получить полные сведения (паспортные данные, ИНН и др.) от физического лица. В некоторых случаях (например, при выплате выигрыша в казино) физическое лицо может оставаться анонимным;

 платежи между юридическими лицами. В любом случае эти платежи должны отражаться и в бухгалтерии плательщика, и в бухгалтерии получателя платежа с оформлением соответствующих документов (договоры, счета-фактуры, накладные и др.). Весьма затруднительными (в большинстве случаев) для таких платежей являются расчеты с помощью виртуальных денег, широко используемых некоторыми платежными системами.

С точки зрения суммы транзакции платежи делятся на следующие виды:

 микроплатежи (сумма транзакции до 5 долларов). Эти платежи характерны для расчетов между физическими лицами и мелких покупок (в основном электронных товаров и услуг, не требующих доставки);

 потребительские платежи (сумма транзакции от 5 до 500 долларов). Такие платежи характерны для покупок в интернет-магазинах, для оплаты услуг и др.;

 промышленные платежи (сумма транзакции от 500 долларов). Платежи этого типа обычно совершаются при крупных покупках в Интернет-магазинах или при расчетах между юридическими лицами. В большинстве случаев они осуществляются традиционными путями (банковский перевод, оплата наличными при получении товара) без использования специализированных платежных систем Интернета.

По срокам оплаты платежи делятся на предоплату, оплату в момент заключения сделки, оплату при получении товара и оплату с отсрочкой платежа. Последняя форма в сетевом бизнесе применяется не очень часто.

Для осуществления каждого из указанных видов платежей существуют платежные системы своего типа, обладающие рядом особенностей. Конечно, через систему, основная задача которой состоит в осуществлении микроплатежей, можно провести и промышленный платеж, но это, скорее, исключение, чем правило.

По моменту введения денег в систему платежные системы принято разделять на:

 кредитовые. Это системы, при использовании которых сначала заключается сделка, а потом производится списание денег со счета покупателя и перечисление их продавцу. К этому типу относятся, например, системы, обеспечивающие прием платежей посредством кредитных карт;

 дебетовые. В системах этого типа покупатель должен сначала ввести реальные деньги в систему, и только потом у него появляется возможность совершать покупки в Интернете. К этому типу относится большинство систем, использующих электронные деньги.

В зависимости от применяемой валюты системы расчетов в сети можно разделить на две большие группы:

 системы расчетов, работающие с реальными деньгами (расчеты наличными, банковскими и почтовыми переводами, платежные системы, работающие с банковскими счетами клиентов);

 системы расчетов, использующие электронную валюту (цифровые деньги), эмитируемую платежными системами. К этому типу относятся специализированные платежные системы в Интернете.

Платежная система CyberPlat

3.2. Платежная система CyberPlat

Владельцем платежной системы CyberPlat ( www.cyberplat.ru) является компания CYBERPLAT.COM, предоставляющая услуги для ведения электронной коммерции, включая обработку (процессинг) платежей и закрытый документооборот в режиме online. Расчетным банком системы является банк "Платина". Главная страница системы показана на Рисунок 3.1.

CyberPlat — универсальная интегрированная мультибанковская платежная система, существующая более 3,5 лет. Ее создателями являются специалисты банка "Платина" и компании "Инист" (www.inist.ru). В настоящее время к системе CyberPlat подключено более 190 Интернет-магазинов. Согласно отчету самой системы ее оборот за 2001 год составил 57,4 млн. долларов, а количество пользователей по состоянию на начало 2002 года превысило 600 тысяч. Система CyberPlat используется как стандартный элемент интернет-магазина некоторыми разработчиками программного обеспечения, такими как Arcadia (1C), Demos, e-Tops Consulting, Exteria, "Гарант-Парк-Интернет".

Компания продвигает на рынке Интернет-платежей следующие технологии:

CyberCheck — защищенный документооборот по совершению сделок и их оплате, обеспечивающий обработку платежей и совершение сделок в сегменте "business-to-business" (B2B) в режиме online;

 CyberPOS — обслуживание (эквайринг) платежных карт в Интернете. Обработка платежей в сегменте "business-to-consumer" (В2С) в режиме online;

 интернет-банкинг (банковское обслуживание клиентов через Интернет). Система предоставляет клиентам возможность управления счетами в банках-участниках системы через Интернет.

Платежная система ASSIST

3.3. Платежная система ASSIST

Разработчиком и владельцем платежной системы ASSIST (www.ASSIST.ru) является компания Рексофт (www.reksoft.ru). ASSIST позволяет владельцам кредитных карт совершать оплату покупок в Интернет-магазинах, подключенных к системе. Кроме того, система дает возможность клиентам провайдеров Интернета, подключенных к системе ASSIST, оплачивать товары и услуги в Интернет-магазинах со своего лицевого счета у провайдера (схема расчетов с использованием цифровых сертификатов). Расчетными банками системы являются "Альфа-банк", банк "КОНЭКАГРОПРОМ", банк "Первое Общество Взаимного Кредита" и банк "Сибирское Общество Взаимного Кредита". Главная страница платежной системы ASSIST представлена на Рисунок 3.4.

Платежная система "Рапида"

3.4. Платежная система "Рапида"

Организатором системы "Рапида" (www.rapida.ru) является ООО "Платежная Интернет-система Рапида", которое представляет систему во взаимоотношениях со всеми ее участниками и пользователями. Через процессинговый центр организатор системы обеспечивает доступ пользователей к системе расчетов через Интернет, телефонные сети и системы мобильной связи. Главная страница сайта платежной системы "Рапида" представлена на Рисунок 3.7.

Платежная система Instant!

3.5. Платежная система Instant!

Разработчиками платежной системы Instant! (www.paybot.com/defaultrus.asp) являются компании Интерфейс (www.interface.ni) и PayBot (www.paybot.com). Система позволяет подключенным к ней Интернет-магазинам и сервисным предприятиям принимать от клиентов платежи при помощи кредитных карт или с виртуальных счетов клиентов. Система ориентирована на продавцов и покупателей информационных и телекоммуникационных услуг (доступ в Интернет, программное обеспечение и другие продукты, которые могут быть предоставлены покупателю через Интернет немедленно после их оплаты). При этом система обеспечивает:

конфиденциальный доступ клиента к его банковскому счету; 

 безопасные расчеты по пластиковым карточкам через Интернет, при которых отсутствует необходимость при каждой оплате пересылать через Интернет данные о пластиковых картах; 

 оплату в режиме реального времени любых услуг и товаров со счета покупателя на счет продавца;

 проверку продавцом поступления платежа и предоставление

продукта покупателю в режиме реального времени. 

Главная страница сайта системы Instant! изображена на Рисунок 3.8.

Платежная система ЭлИТ

3.6. Платежная система ЭлИТ

Платежная система ЭлИТ (www.elit.ru/card) создана при сотрудничестве АКБ "Автобанк" и компании АйТи. Система предназначена для проведения электронных Интернет-платежей в режиме online по пластиковым картам систем Visa, Union Card, EuroPay, American Express. Главная страница сайта платежной системы ЭлИТ изображена на Рисунок 3.9.

Общие принципы функционирования системы заключаются в следующем:

если клиент Интернет-магазина выбирает форму оплаты через систему ЭлИТ с помощью кредитной карты, он заполняет предложенную форму электронного платежного поручения, после чего отправляет его на обработку в платежную систему;

 по указанию менеджера-продавца, контролирующего проведение оплаты заказа, система совместно с сервером авторизации пластиковых карт банка-экваера проводит авторизацию пластиковой карточки и производит блокирование средств в объеме стоимости заказа на карточном счете клиента;

 интернет-магазин контролирует все этапы прохождения платежа и в необходимых случаях (недостаточно средств на счете, неудачная попытка авторизации, отрицательный результат авторизации) отказывает клиенту в принятии платежа. При этом доставка/отгрузка товаров по данному заказу не производится. Интернет-магазину предоставляются средства уведомления клиента о принятии платежа или отказе от оплаты;

 клиент может следить за процессом авторизации карточки с помощью предназначенных для этого средств платежной системы. Для этого клиент должен указывать уникальный номер платежной операции (транзакции). Уникальный номер генерируется системой для каждой платежной операции в момент отправки клиентом электронного платежного поручения на обработку в платежную систему;

Платежная система PayCash

3.7. Платежная система PayCash

Разработчиком платежной системы PayCash (www.paycash.ru) является ОАО "Алкор Пэйкэш". Оператор системы — компания Алкор Телеком. Активное участие в работе системы принимают банк "Таврический" и американская платежная система Cypher-mint Pay Cash System (www.cyphermint.com). Главная страница сайта платежной системы PayCash изображена на Рисунок 3.10.

PayCash поддерживает двух участников системы: банки и клиенты банков. Банки представляют собой специальное программное обеспечение, с помощью которого осуществляются ввод и вывод денег, их промежуточное хранение перед тем, как обратить в электронную наличность, и ряд вспомогательных функций.

Клиентами банка являются покупатели и магазины, установившие специальное программное обеспечение "кошелек" и открывшие счет в системе.

В системе нет четкого разделения на покупателей и продавцов. Любой участник системы может выступать в роли того и другого, используя единственную установленную копию "кошелька".

Валютой, используемой в системе, является электронная наличность. Она представляет собой аналог обычных бумажных денег, только выпущенных в электронной форме. Электронные купюры защищаются достаточно надежными шифрами. При этом электронные наличные не привязаны к владельцу, имеют собственную ценность и признаются банком независимо от личности их обладателя.

Платежная система WebMoney Transfer

3.8. Платежная система WebMoney Transfer

Платежная система WebMoney Transfer (www.webmoney.ru) определяет себя как "глобальная информационная система трансфера имущественных прав, открытая для свободного использования всеми желающими".

Система работает с электронными деньгами, в качестве которых используются так называемые титульные знаки WebMoney (WM) нескольких типов, хранящиеся в электронных "кошельках" их владельцев: WM-R (эквивалент одного рубля), WM-Z (эквивалент одного доллара США), WM-E (эквивалент одного евро), WM-C и WM-D (эквивалент доллара США для кредитных операций) на С- и D-''кошельках". При переводе средств используются однотипные "кошельки", а обмен WM-R на WM-Z производится при помощи специальных средств, предоставляемых системой.

Платежная система e-port

3.9. Платежная система e-port

Платежная система e-port (www.e-port.ru) создана компанией Автокард-холдинг в 1999 году. Это система покупок в Интернете, основанная на использовании универсальной анонимной карты, так называемой "единой карты e-port". Карты e-port продаются через широкую сеть распространителей. Купив карту, клиент может совершать оплату товаров и услуг Интернет-проектов непосредственно с сайта платежной системы в пределах номинала купленной карты. На начало 2002 года к системе было подключено более 50 Интернет-магазинов, и их количество быстро увеличивалось. Главная страница сайта платежной системы e-port представлена на Рисунок 3.12.

Единая карта e-port является основным инструментом покупателя в системе. Она предназначена для приобретения в Интернете услуг и товаров. Кроме того, используя карту e-port, клиенты могут:

получать логины и пароли для доступа к платной информации в Интернете;

 получать PIN-коды для оплаты доступа в Интернет, услуг мобильной, телефонной, пейджинговой связи, IP-телефонии и игровых депозитов в интернет-казино, букмекерских конторах и тотализаторах.

Для пользования картой e-port клиенту не требуется открывать счет в банке, устанавливать дополнительное программное обеспечение, проходить процедуру регистрации.

Единая карта e-port не содержит информации о владельце и не привязана к банковскому или иному счету. Пользователь всегда остается анонимным. PIN-код карты e-port известен только ее владельцу и может быть им в любой момент изменен.

Платежная система КредитПилот

3.10. Платежная система КредитПилот

Платежная система КредитПилот (www.kreditpilot.ru) создана компанией ООО "КредитПилот.ком", учрежденной в 1999 году. Это дебетовая система, предусматривающая открытие клиентом счета в системе, пополнение этого счета деньгами и оплату с него товаров и услуг в сети. Главная страница сайта платежной системы КредитПилот показана на Рисунок 3.13.

Платежная система EACCESS

3.11. Платежная система EACCESS

Платежная система EACCESS (www.eaccess.ru) разработана ОАО "АКСЕСС КОМ". Система работает в тесном сотрудничестве с ОАО "МГТС", оператором, оказывающим услуги связи в Москве. Финансовое обслуживание EACCESS осуществляет "НОМОС-БАНК". Главная страница сайта платежной системы EACCESS представлена на Рисунок 3.14.

Обзор зарубежных платежных систем

3.12. Обзор зарубежных платежных систем

За рубежом системы платежей в Интернете начали развиваться примерно с 1994 года. По развитию технологий платежей в сети Европа и США сильно опережают Россию. В этом разделе дан обзор некоторых зарубежных платежных систем. К сожалению, далеко не все они могут быть использованы в российском интернет-бизнесе.

Вопросы безопасности платежей в Интернете

3.14. Вопросы безопасности платежей в Интернете

Безопасность платежей в Интернете, прежде всего, связана с безопасностью передачи информации через сеть и добросовестностью всех участников транзакции (плательщика, получателя платежа, банка и др.). Платеж через Интернет можно считать безопасным при выполнении следующих условий:

  конфиденциальность передаваемой информации. При хранении и передаче информации о платеже и сделке она не должна полностью или частично попасть к третьим лицам;

  аутентификация всех участников операции. У всех участников операции должна быть уверенность, что остальные участники являются именно теми, за кого себя выдают; 

  отсутствие искажений в передаваемой информации (целостность). В процессе передачи и хранения информации она должна быть защищена от несанкционированного искажения;

 отсутствие у всех участников возможности отказаться от совершенных ими операций (нотаризация сделки);

 отсутствие у всех участников операции возможности использовать информацию о других участниках, полученную в результате проведения операции, в целях совершения мошеннических действий по отношению к этим участникам. Простым примером такого мошенничества может быть использование реквизитов кредитных карт покупателей недобросовестными продавцами, которым эти реквизиты стали известны в результате совершения покупателем покупки в их магазине.

Центры сертификации

3.14.6. Центры сертификации

Сертификаты служат для подтверждения того факта, что данный открытый ключ принадлежит конкретному лицу и никому другому. Это необходимо для предотвращения попыток мошенничества.

Сертификаты выдаются специальными компаниями (Центрами Сертификации) и подписываются ЭЦП этих компаний. Любой желающий может ознакомиться с сертификатом, выданным Центром Сертификации, и убедиться, что данный открытый ключ принадлежит именно тому лицу, которое в нем указано.

Естественно, что компания, являющаяся Центром Сертификации, должна иметь высокий авторитет, поскольку пользователи должны ей доверять.

Для получения сертификата заинтересованному лицу необходимо обратиться в Центр Сертификации и предоставить информацию о себе. Центр Сертификации осуществит проверку этой информации и, в случае ее достоверности, выдаст сертификат. Это платная услуга. Каждый Центр Сертификации устанавливает свои цены. Как правило, сертификат выдается на год с возможностью продления после оплаты очередного взноса.

Лица, обладающие сертификатами, могут заключать между собой сделки через Интернет, подписывая документы ЭЦП и не опасаясь отказа друг друга от обязательств по сделке.

Наиболее известными Центрами Сертификации являются компании VeriSign (www.verisign.com) и Thawte (www.thawte.com).

Асимметричные алгоритмы шифрования

3.14.3. Асимметричные алгоритмы шифрования

Симметричные методы шифрования удобны, когда заранее известен круг лиц, участвующих в обмене информацией, подлежащей шифрованию и дешифрованию.

Асимметричные алгоритмы шифрования позволяют получателю обеспечивать шифрование информации, направляемой ему неограниченным количеством отправителей. Кроме того, использование этих алгоритмов позволяет проводить аутентификацию участников обмена информацией и осуществлять контроль целостности передаваемой информации.

Общий принцип работы асимметричных алгоритмов заключается в следующем:

 участник информационного обмена генерирует пару ключей. При этом данные, зашифрованные одним из ключей, могут быть расшифрованы только другим ключом. Один из этих ключей является открытым (общедоступным), другой — закрытым (секретным). Секретный ключ участник хранит у себя, а открытый распространяет всем желающим отправлять ему шифрованные сообщения. Открытый ключ — это функция, при помощи которой отправитель может зашифровать свое сообщение, но ни он сам, ни кто-либо другой не может дешифровать это сообщение, используя открытый ключ. Для дешифрования сообщения (т. е. осуществления обратной операции — вычисления значения аргумента по значению функции) необходимо знать некоторый параметр указанной функции, который, по сути, и является закрытым ключом;

 отправитель сообщения шифрует информацию открытым ключом и передает ее получателю по каналам связи;

 получатель дешифрует сообщения, используя свой закрытый ключ.

Наиболее распространенные алгоритмы асимметричного шифрования приведены ниже:

 RCA. Алгоритм разработан в 1977 году и использует открытые ключи, обеспечивающие преобразование информации "только в одну сторону" (шифрование) за счет сложности решения задачи факторизации (разложения на множители) больших чисел;

 ЕСС (Elliptic Curve Cryptography). Однонаправленность пpeобразований (шифрования) обеспечивается в этом методе сложностью математических вычислений, связанных с эллиптическими кривыми.

Безопасность платежей

3.11.3. Безопасность платежей

Специфика системы заключается в том, что никакая конфиденциальная информация о покупателях не пересылается по сети и не накапливается в банках данных поставщика услуги.

В системе не используются данные с пластиковых карт, клиентам не нужно сообщать номера своих банковских счетов или производить какие-либо платежные операции в Интернете. Счет за предоставленные услуги выставляется оператором телефонной сети вместе со счетом за междугородние переговоры. Обслуживающая данную услугу телефонная компания имеет сертифицированное цифровое оборудование, которое пропускает звонок к EACCESS только тогда, когда однозначно определило абонентский телефонный номер клиента.

При этом система не защищает абонента от мошенничества, связанного с несанкционированным использованием его телефона для оплаты товаров и услуг в Интернет-магазинах. Все конфликтные ситуации, которые могут возникнуть в связи с этим, разрешаются в том же порядке, что и споры по вопросам несанкционированных международных и междугородных звонков с телефона абонента, совершенных посредством подключения к его телефонной линии.

Безопасность платежей в системе ASSIST

3.3.3. Безопасность платежей в системе ASSIST

Для защиты информации от несанкционированного доступа на этапе передачи от клиента на сервер системы используется протокол SSL 3.0, сертификат сервера (128 bit) выдан компанией VeriSign, Inc. — центром выдачи цифровых сертификатов.

Отдельного внимания заслуживает система дополнительных мер безопасности, применяемая ASSIST:

 защита по номеру карты. Магазин ведет свой "черный список" номеров карт, которым автоматически отказывается в обслуживании. Есть возможность также использовать "черный список" ASSIST и списки других магазинов. Каждый магазин сам выбирает уровень защиты, необходимый ему;

 защита по e-mail. Если есть необходимость ограничить авторизации пользователей с определенным e-mail, необходимые адреса заносятся в "черный список". Допускается как указание полного адреса, так и маски (например, "hotmail.com"). В случае указания маски будет запрещена авторизация всем пользователям, имеющим адрес на занесенном в список сервере. Возможно использование "черного списка" ASSIST;

 защита по IP-адресу плательщика. Магазину предоставляется возможность сформировать список IP-адресов или масок IP-адресов, с которых запрещена авторизация. Есть возможность воспользоваться списком ASSIST. Пользоваться этим режимом следует с осторожностью, поскольку IP-адрес компьютера может меняться (например, если покупатель пользуется коммутируемым доступом к Интернет);

 защита по IP-адресу магазина. С тем, чтобы снизить вероятность несанкционированного подключения к ASSIST от имени магазина, возможно включить этот вид защиты. В случае прихода запросов не с указанного в системе защиты IP-адреса, в их исполнении будет отказано;

 защита по HTTP_REFERER. Этот вид защиты аналогичен предыдущему с той разницей, что запрещаются запросы со всех URL, кроме указанного в системе защиты;

 защита по частоте авторизации. Наиболее распространенный механизм взлома сайтов на сегодняшний день — это подбор авторизационных параметров. Включая этот механизм защиты, магазин запускает алгоритм эвристического анализа параметров авторизации, отсекающий те запросы, которые выглядят как неблагонадежные. Для того чтобы повторить авторизацию, придется подождать некоторое время. Добросовестному плательщику не составит труда подождать несколько минут. При этом эффективность работы взломщика будет значительно снижена;

 защита по повторным авторизациям. Включение этого режима защиты исключает возможность повторной оплаты заказа, что, естественно, снижает и вероятность возврата платежа (charge back);

 защита от анонимных proxy-серверов. Этот вид защиты применяется, если необходимо запретить авторизации покупателям, работающим через анонимные proxy-сервера. Анонимные proxy-сервера позволяют скрыть истинный IP-адрес, чем часто пользуются мошенники. ASSIST постоянно обновляет список таких серверов;

 максимальная сумма платежа. Есть возможность задать максимальную сумму, на которую будет осуществляться платеж. Платежи, сумма которых превышает заданное значение, не будут проводиться;

 максимальное количество транзакций за день. Если это ограничение включено, то после проведения указанного магазином количества платежей, система перестанет принимать платежи до полуночи;

 максимальный оборот за день. Этот лимит действует аналогично предыдущему, с той разницей, что учитывается не количество платежей, а их размер;

 максимальное количество транзакций по карте за день. Возможно ограничить количество успешных транзакций по карте. После того, как карта была использована несколько раз в течение одного дня, платежи по ней будут блокированы до полуночи;

 максимальный оборот по карте за день. Этот лимит действует аналогично предыдущему, с той разницей, что учитывается не количество платежей, а их размер.

Каждый магазин вправе выбрать любую комбинацию приведенных способов защиты в зависимости от круга покупателей и других особенностей своего бизнеса. Задачей магазина является выбор оптимальной настройки, чтобы наряду с мошенниками не отсекать и попытки авторизации добросовестных плательщиков.

В дополнение к уже существующим методам защиты расчетный банк системы Альфа-банк в настоящее время внедрил прием платежей по кредитным картам с использованием технологии SET.

Безопасность платежей в системе CyberPlat

3.2.3. Безопасность платежей в системе CyberPlat

Для защиты передаваемой информации в системе используется протокол SSL. Движение денежных средств через подсистему CyberPOS происходит только в закрытых межбанковских сетях, а реквизиты клиента известны только CyberPOS, что способствует защите банковского счета клиента от злоумышленников и недобросовестных сотрудников Интернет-магазинов. Запрос из магазина и ответ идут в шифрованном виде по стандарту выделенного сообщения (SSL) в Интернете, а сам номер карты вводится клиентом непосредственно в подсистему CyberPOS и, следовательно, становится известен только банку.

CheckFree

3.12.6. CheckFree

Платежная система CheckFree (www.checkfree.com) создана в 1995 году. Эта система работает с электронными чеками. По указанию покупателя система выписывает электронный чек и передает его продавцу. В случае возникновения необходимости продавец может получить чек на бумажном носителе.

Общая схема работы системы такова:

 клиент выдает системе распоряжение на выдачу чека продавцу;

 система посылает соответствующие инструкции в свой банк;

 из банка системы данные передаются в банк продавца;

 в определенное время между банком системы и банком продавца осуществляются взаиморасчеты.

Система ChekFree не является анонимной. Информация о пользователе доступна банку и продавцу.

CyberCash

3.12.5. CyberCash

Американская платежная система CyberCash (www.cybercash.com) является системой для расчетов в Интернете на основе кредитных карт.

Для использования системы клиент должен зарегистрироваться, открыть счет в системе и пополнить его деньгами.

Для управления деньгами на счете клиенту необходимо скачать и установить на своем компьютере специальное программное обеспечение CyberCash Customer Wallet.

Для приема платежей от клиентов магазин должен скачать и установить на своем сайте программное обеспечение CyberCash Merchant Cash Register.

При оплате клиентом товаров или услуг электронные деньги со счета клиента в системе передаются на счет продавца в системе. После совершения электронной оплаты физический платеж осуществляется со счета покупателя в его банке на счет продавца в банке продавца.

CyberCheck

3.2.1. CyberCheck

CyberCheck — подсистема обслуживания транзакций клиентов-покупателей, зарегистрированных в системе Интернет-платежей CyberPlat. CyberCheck обеспечивает конфиденциальность, надежность и юридическую чистоту взаимодействия сторон, а также полное отсутствие отказов от заявленных платежей. Это реализуется механизмами поддержки электронного документооборота с применением электронной цифровой подписи с длиной ключа 512 бит. Благодаря перечисленным свойствам, подсистема используется в схемах класса В2В.

Схема работы системы CyberChek при совершении клиентом покупки в Интернет-магазине изображена на Рисунок 3.2.

CyberPOS

3.2.2. CyberPOS

CyberPOS представляет собой подсистему обслуживания платежей по пластиковым картам международных и российских платежных систем, в том числе Visa, EuroCard/MasterCard, Diners Club, JCB, Union Card, не требующую регистрации клиента-покупателя в системе CyberPlat.

Расчеты в платежной системе CyberPlat ведутся между тремя основными участниками: покупателем, Интернет-магазином и банком.

Зарегистрированный в системе интернет-магазин получает возможность принимать платежи по пластиковым карточкам международных и российских платежных систем и получать выписку по совершаемым операциям.

Любое взаимодействие между магазином и авторизационным сервером происходит с использованием электронной цифровой подписи, что позволяет уменьшить риск мошенничества со стороны недобросовестных покупателей. При этом CyberPOS никак не ограничивает возможности держателя пластиковой карточки — все, что от него требуется, это ввести ее реквизиты в ответ на запрос подсистемы, как это обычно делается в любом банкомате.

Услугами CyberPOS может воспользоваться любой держатель пластиковой карты. При этом данные о карточке и ее владельце становятся известны только CyberPOS и недоступны ни для интернет-магазина, в котором оплачивается покупка, ни, тем более, для третьих лиц, поскольку все данные передаются по каналу, защищенному с помощью протокола SSL.

Держатель пластиковой карты может оплачивать покупки только в Интернет-магазинах, зарегистрированных в системе.

Общая схема работы CyberPOS изображена на Рисунок 3.3. Она состоит из следующих этапов:

покупатель посещает сайт магазина, формирует корзину товаров и выбирает форму оплаты по кредитной карте (1);

 магазин формирует заказ и переадресовывает покупателя на авторизационный сервер CyberPOS. Все информационное взаимодействие между магазином и CyberPOS происходит по защищенному протоколу SSL и заверяется электронными цифровыми подписями сторон (2);

 CyberPOS устанавливает с покупателем соединение по защищенному протоколу (SSL) и принимает от покупателя параметры его кредитной карточки (3). Информация о карточке передается в защищенном виде только в CyberPOS и не предоставляется магазину при операциях покупателя. CyberPOS проверяет наличие магазина в системе и соответствие операции установленным системным ограничениям. По результатам проверок формируется запрет или разрешение проведения авторизации транзакции в карточную платежную систему. При запрете авторизации CyberPOS передает покупателю отказ с описанием причины, а магазину — отказ с номером заказа (6);

 при разрешении авторизации CyberPOS передает ее в процес-синговый центр банка (4). Запрос на авторизацию передается через закрытые банковские сети банку-эмитенту карточки покупателя или процессинговому центру карточной платежной системы, уполномоченному банком-эмитентом;

 при положительном результате авторизации, полученном от карточной платежной системы, процессинговый центр банка передает системе CyberPOS положительный результат авторизации (5). CyberPOS, в свою очередь, передает положительный результат авторизации покупателю и магазину (6). Магазин оказывает услугу или отпускает товар (8). Банк зачисляет средства на счет магазина в соответствии с существующими договорными отношениями между банком и магазином (7);

 при отказе в авторизации процессинговый центр банка передает авторизационному серверу отказ от проведения платежа. CyberPOS передает покупателю отказ с описанием причины, а магазину — отказ с номером заказа (6).

Магазин может подключиться к системе двумя способами: с открытием счета в банке "Платина" или без открытия счета. Во втором случае платежи зачисляются на специальный транзитный счет в банке "Платина" с последующим перечислением на счет магазина в обслуживающем его банке.

Единовременный платеж за подключение магазина к системе CyberPlat составляет 100 долларов.

DigiCash

3.12.7. DigiCash

Платежная система DigiCash (www.digicash.com) использует концепцию электронных денег (eCash), с помощью которых клиент имеет возможность осуществлять различные операции, включая их конвертацию в реальные деньги.

Схема работы системы заключается в следующем: 

 клиент скачивает и устанавливает на своем компьютере специальное программное обеспечение;

 используя это программное обеспечение, клиент открывает счет в одном из банков системы, например Deutsche Bank или Mark Twain Bank;

 клиент переводит деньги на открытый счет со счета в другом банке, с кредитной карты или иным способом;

 со своего счета в банке системы клиент пополняет свой электронный "кошелек". В любой момент он может вернуть деньги из "кошелька" обратно на счет;

 оплата товара или услуги осуществляется клиентом путем перевода денег из его "кошелька" в "кошелек" продавца;

 продавец проверяет в банке полученные электронные деньги и отгружает товар или оказывает услугу.

E-gold

3.12.1. e-gold

Платежная система e-gold ((www.e-gold.com) является дебетовой системой. Система использует оригинальную концепцию электронных денег, стоимость которых привязана к стоимости драгоценных металлов (золота, серебра и т. п.).

Открыть счет в системе может любой пользователь Интернета. Для этого необходимо зарегистрироваться. Вся информация о счетах клиентов хранится на сервере платежной системы. Для работы с системой пользователю не требуется скачивать с сайта и устанавливать на своем компьютере какое-либо программное обеспечение.

Пополнение счетов и вывод денег из системы производятся через сеть "обменных пунктов", в роли которых, как правило, выступают некоторые Интернет-магазины, подключенные к системе. Затраты на ввод-вывод средств обычно составляют 5-10% от вводимой или выводимой суммы.

Система взимает комиссию в размере 1% за проведение платежей между счетами клиентов.

Система e-gold применяется некоторыми российскими интер-нет-магазинами и сервисными предприятиями. Электронные деньги e-gold можно относительно свободно обменять на титульные знаки платежной системы WebMoney Transfer.

В данной главе рассмотрены особенности

Глава 3

Денежные расчеты в сети. Платежные системы
В данной главе рассмотрены особенности платежей в Интернете, вопросы безопасности Интернет-платежей и основные российские и зарубежные платежные системы.

Главная страница платежной системы ASSIST

Рисунок 3.4. Главная страница платежной системы ASSIST

Главная страница платежной системы Instant!

Рисунок 3.8. Главная страница платежной системы Instant!

Система включает следующие элементы:

 процессинговую подсистему, в которой обрабатываются операции по виртуальным счетам клиентов;

 препроцессинговую подсистему, регистрирующую держателей пластиковых карт и генерирующую безопасные транзакции по операциям с пластиковыми картами для передачи в процессинговый центр;

 CyberMall — электронный магазин. Он позволяет продавцам товаров и услуг полностью автоматически продавать свои продукты в режиме online;

 программный интерфейс, реализующий взаимосвязь между платежной системой и автоматизированной банковской системой.

Для начала работы в системе покупателю необходимо открыть виртуальный счет в платежной системе (Customer Account), обязательно записав при этом идентификатор счета (Account Id) и пароль.

Далее покупателю следует открыть в банке счет физического лица. Виртуальный счет покупателя в платежной системе соответствует счету в банке и, таким образом, покупатель распоряжается своим банковским счетом. Сумма, внесенная на банковский счет, отражается на виртуальном счете покупателя в платежной системе, и у покупателя появляется возможность оплачивать товары и услуги в режиме реального времени.

Для оплаты с международной кредитной карты покупателю необходимо зарегистрировать карту в платежной системе, обязательно записав при этом идентификатор карты (Card Id) и пароль. После регистрации необходимо подтвердить регистрационные данные, предъявив карту и паспорт в банке или у продавца, зарегистрированного в платежной системе. Если продавец согласен принимать неподтвержденные карты, то подтверждать зарегистрированные карты не обязательно. После этого у покупателя появляется возможность оплачивать товары и услуги в режиме реального времени.

Продавцу товаров или услуг для начала работы с системой необходимо открыть виртуальный счет продавца (Merchant Account). При этом ему выдается идентификатор счета (Account Id) и пароль. После этого продавцу необходимо заключить с банком договор, в соответствии с которым банк принимает платежи от участников платежной системы в адрес продавца и перечисляет полученные средства на счет продавца в его банке. В случае если продавец намерен принимать оплату, как от владельцев счетов, так и от держателей пластиковых карт, то ему также необходимо заключить договор с банком-экваером, который будет обрабатывать транзакции по пластиковым картам.

Тарифы на обслуживание в платежной системе Instant!:

 открытие и обслуживание счетов покупателя и продавца, операции покупателей по кредитным картам — бесплатно;

 комиссия по операциям между счетами участников Instant! — 1% от суммы транзакции, но не менее 0,1 доллара;

 комиссия за снятие продавцом средств со счета в Instant! на счет продавца в его банке — 1%, но не менее 25 долларов.

В декабре 2001 года автором было отправлено письмо администрации системы по адресу paymaster@paybot.com, указанному в качестве адреса для вопросов по расчетам и платежам через систему Instant! Письмо содержало просьбу более подробно разъяснить условия подключения и сообщить статистические данные системы. Был получен ответ: "К сожалению, в данный момент мы не работаем с русскими клиентами. Предполагаем вернуться к этому вопросу немного позже".

Главная страница платежной системы "Рапида"

Рисунок 3.7. Главная страница платежной системы "Рапида"

Воспользоваться услугами системы можно с помощью специальных финансовых инструментов:

 платежная карта "Рапида". Карта эмитирована кредитной организацией и обеспечивает клиентам возможность оплаты доступа в Интернет, междугородних переговоров, покупок в Интернет-магазинах и др.;  безноминальная карта "Рапида" позволяет дистанционно управлять банковскими текущими счетами. Карта "Рапида" дополняет возможности пластиковых карт международных платежных систем VISA, EuroCard/MasterCard, American Express и Diner's Club, позволяя обезопасить платежи от рисков, возникающих при их использовании через Интернет.

Приобрести платежную карту "Рапида" можно через широкую сеть пунктов продажи.

Технологии и принципы работы системы построены на использовании удаленного управления средствами в режиме реального времени без открытия дополнительных банковских счетов физическими и юридическими лицами.

Расчетным центром системы и эмитентом карт "Рапида" является небанковская кредитная организация "Межбанковская Электронная Расчетная Палата", которая осуществляет безналичные расчеты в рублях и иностранной валюте.

С помощью системы "Рапида" Интернет-магазин может организовать прием платежей от покупателей на собственном сайте или принимать платежи через операционный сайт системы.

Главная страница сайта платежной системы WebMoney Transfer

Рисунок 3.11. Главная страница сайта платежной системы WebMoney Transfer

С помощью WebMoney Transfer можно совершать мгновенные транзакции по оплате за товары и услуги и проводить расчеты с другими участниками системы. Титульные знаки, хранящиеся в "кошельке" WebMoney, находятся в полном распоряжении клиента и в любой момент могут быть использованы для расчетов.

Поддерживают работу системы автономная некоммерческая организация "ВМ-Центр" (гарант системы по титульным знакам типа R), ОАО "Гарантийное Агентство" (компания, у которой хранятся документарные векселя, которыми оформлены денежные обязательства по титульным знакам типа R), HINDMARSH FINANCE INC. (компания, действующая по договору агентирования по титульным знакам типа Z и Е).

Главная страница сайта платежной системы WebMoney Transfer представлена на Рисунок 3.11.

Рисунок 3.13. Главная страница сайта платежной системы КредитПилот

Для того чтобы стать пользователем платежной системы КредитПилот, клиент должен выполнить ряд последовательных шагов: 

 ему необходимо зарегистрироваться, заполнив регистрационную форму;

 после успешной регистрации клиент получает доступ в "Личный кабинет", и ему сообщается номер лицевого счета в системе КредитПилот;

 для получения возможности совершать покупки в Интернет-магазинах, подключенных к системе, клиенту необходимо внести деньги на свой счет;

 после пополнения счета клиент может совершать покупки. Для осуществления оплаты за товары и услуги через Интернет, клиенту необходимо сгенерировать в "Личном кабинете" Персональный Идентификационный Номер (ПИН-код). ПИН-код это электронная цифровая подпись (ЭЦП) клиента;

 выбрав нужные товары на сайте магазина, клиент переходит на страницу оплаты, где выбирает способ оплаты через систему КредитПилот. После ввода клиентом имени пользователя, пароля и ПИН-кода система сверяет подписи магазина, покупателя и КредитПилота и оплачивает покупку.

Рисунок 3.1. Главная страница сайта платежной системы CyberPlat 

Рассмотрим системы CyberCheck и CyberPOS более подробно.

Главная страница сайта платежной системы e-port

Рисунок 3.12. Главная страница сайта платежной системы e-port

Системой не взимается комиссия с клиента. Комиссионное вознаграждение платят Интернет-магазины, и оно изменяется в широких пределах.

Существует два вида карт e-port:

 пластиковая; 

 виртуальная.

Пластиковую карту e-port можно приобрести следующим образом:

 в дилерской сети e-port. При этом форма оплаты определяется дилером;

 заказать на сайте системы с доставкой курьерской службой (в пределах Москвы). Оплата осуществляется наличными курьеру;

 в офисе компании.

Виртуальную карту e-port можно купить в дилерской сети. Виртуальную карту нулевого номинала можно бесплатно получить на сайте системы и затем пополнить ее до необходимой суммы.

Пополнение карты e-port может осуществляться одним из следующих способов:

 банковским переводом на счета системы в Гута-банке и НЗБанке;

 в офисе компании;

 при помощи курьерской службы;

 переводом из платежной системы WebMoney Transfer (WM-Z);

 переводом из платежной системы PayCash.

Для сетевых магазинов пользование системой e-port достаточно удобно, поскольку для подключения не требуется установка на сайте магазина специального программного обеспечения. Необходимо только заключить договор на обслуживание. Эта система наиболее удобна для продажи электронных товаров и услуг, которые могут быть предоставлены покупателю прямо на сайте системы непосредственно после оплаты. Все товары и услуги, которые можно купить моментально, продаются на сайте системы в специальном магазине momentalno.ru.

Для повышения удобства работы через систему e-port тех интер-нет-магазинов, которые торгуют обычными товарами, e-port начала сотрудничество с системой CyberPlat по приему карт e-port в оплату за товары и услуги через виртуальный терминал Cyber-POS (подсистема CyberPlat).

Высокие темпы развития, демонстрируемые системой, и четкое позиционирование ее услуг на рынке сетевых платежей позволяют считать, что у данной системы есть хорошие перспективы.

Главная страница сайта платежной системы EACCESS

Рисунок 3.14. Главная страница сайта платежной системы EACCESS

Система EACCESS принципиально отличается от всех описанных выше платежных систем. Система ориентирована для работы на рынке микроплатежей и не использует принятые в Интернете формы расчета, в том числе кредитными картами и электронными деньгами.

EACCESS представляет собой способ оплаты в виде счета за телефонные услуги. В основе системы оплаты лежит услуга Московской Городской Телефонной Сети "вызов за дополнительную плату" (Premium rate service).

Покупатель может оплатить товар в Интернет-магазине и получить его. Счет на оплату товара будет выставлен ему МГТС таким же образом, как счет за междугородные телефонные переговоры. Отказ от оплаты счета клиентом ведет к тем же последствиям, что и отказ от оплаты телефонного счета — к отключению телефона.

Таким образом, система EACCESS имеет надежный инструмент взыскания оплаты с покупателей, но, к сожалению, между отгрузкой товара или оказанием услуги и поступлением денег на счет продавца может пройти более месяца.

Главная страница сайта платежной системы ЭлИТ

Рисунок 3.9. Главная страница сайта платежной системы ЭлИТ

 при положительном результате авторизации Интернет-магазин осуществляет доставку заказа клиенту;

 поэтапный контроль прохождения платежа и процесса доставки заказанных товаров, осуществляемый сотрудниками Интернет-магазина, является средством защиты от необоснованных отзывов клиентами своих платежей. Перечисление заблокированных средств с карточного счета клиента на счет продавца производится по указанию сотрудника магазина только после фактической доставки товара клиенту и подписания клиентом соответствующих документов, подтверждающих факт доставки заказа и отсутствие претензий с его стороны. В случае отказа клиента от получения доставленного товара менеджер-продавец в платежной системе осуществляет операцию разблокирования средств на карточном счете клиента. Такая схема позволяет минимизировать риски, связанные с проведением платежей через Интернет, для всех участников операции (клиент, продавец, банк).

По состоянию на апрель 2002 года подключение новых магазинов к системе было "временно приостановлено". Возможно, в 2002 году система вновь начнет функционировать в полном объеме.

Главная страница сайта платежной системы PayCash

Рисунок 3.10. Главная страница сайта платежной системы PayCash

Все платежи в системе сопровождаются контрактом, в котором продавец может указывать назначение и условия платежа. Контракт подписывается электронно-цифровыми подписями сторон и дополнительно заверяется подписью банка. При этом благодаря применению специальной технологии банк не имеет возможности ознакомиться с его содержанием.

Для подключения к системе и работы в ней не нужна ни кредитная карта, ни банковский счет. Достаточно скачать и установить программу "кошелек", после чего ввести деньги на открытый счет одним из предлагаемых системой способов. После зачисления денег на счет владелец "кошелька" может производить платежи через Интернет. Для этого ему необходимо открыть у себя в "кошельке" одну или несколько платежных книжек и перевести на них электронные деньги со счета, т. е. получить на платежную книжку банковские денежные обязательства, выпущенные в электронной форме. Клиент может получить эти обязательства анонимно: ни банк, выпустивший эти обязательства, ни продавец, получивший эти обязательства в оплату, не могут получить информацию о владельце "кошелька" и номер счета, с которого были сняты деньги. Система PayCash позволяет платить через Интернет точно затребованную сумму денег, независимо от того, в каких "купюрах" деньги находятся на платежной книжке. То есть денежные обязательства, находящиеся на книжке, могут легко делиться и объединяться на книжке совершенно незаметно для владельца "кошелька". Для клиента важна только информация об обшей сумме денег, находящейся на платежной книжке. Особенностью системы PayCash является то, что электронные деньги хранятся на компьютере клиента, и если с этим компьютером что-то случится, то клиент может лишиться всех денег, которые он перевел в свой компьютер и не успел потратить. То есть PayCash представляет собой систему анонимных электронных денег, а не просто систему клиент-банк. Это выражается еще и в том, что банк не может воспрепятствовать клиенту тратить электронные деньги, которые тот успел перевести в свой компьютер.

В качестве электронной денежной единицы

3.12.3. GoldMoney

Платежная система GoldMoney (www.goldmoney.com) во многом аналогична e-gold. В качестве электронной денежной единицы система использует GoldGrams (единицы, эквивалентные стоимости одного грамма золота).
Система поддерживает пересчет GoldGrams в российские рубли.
Как и e-gold, электронные деньги GoldMoney можно обменять на титульные знаки WebMoney Transfer.

Хэш-функции. Защита целостности сообщений

3.14.5. Хэш-функции. Защита целостности сообщений

Совместно с ЭЦП обычно применяются хэш-функции. Они служат для того, чтобы помимо аутентификации отправителя, обеспечиваемой ЭЦП, гарантировать, что сообщение не имеет искажений, и получатель получил именно то сообщение, которое подписал и отправил ему отправитель.

Хэш-функция — это процедура обработки сообщения, в результате действия которой формируется строка символов (дайджест сообщения) фиксированного размера. Малейшие изменения в тексте сообщения приводят к изменению дайджеста при обработке сообщения хэш-функцией. Таким образом, любые искажения, внесенные в текст сообщения, отразятся в дайджесте.

Алгоритм применения хэш-функции заключается в следующем:

 перед отправлением сообщение обрабатывается при помощи хэш-функции. В результате получается его сжатый вариант (дайджест). Само сообщение при этом не изменяется и для передачи по каналам связи нуждается в шифровании описанными выше методами;

 полученный дайджест шифруется закрытым ключом отправителя (подписывается ЭЦП) и пересылается получателю вместе с сообщением;

 получатель расшифровывает дайджест сообщения открытым ключом отправителя;

 получатель обрабатывает сообщение той же хэш-функцией, что и отправитель и получает его дайджест. Если дайджест, присланный отправителем, и дайджест, полученный в результате обработки сообщения получателем, совпадают, значит, в сообщение не было внесено искажений.

Существует несколько широко применяемых хэш-функции: MD5, SHA-1 и др.

IOТР

3.14.9. IOТР

Открытый торговый протокол Интернет (IOТР, Internet Open Trading Protocol) создан как элемент инфраструктуры сетевого бизнеса. Протокол не зависит от используемой платежной системы. IOТР обеспечивает оформление и отслеживание доставки товаров и прохождения платежей. IOТР призван, прежде всего, решить проблему коммуникаций между различными программными решениями. Схемы платежей, которые поддерживает IOТР, включают MasterCard Credit, Visa Credit, Mondex Cash, Visa Cash, GeldKarte, eCash, CyberCoin, Millicent, Proton и др.

IOТР предлагает стандартные рамки для использования различных платежных протоколов. Это означает, что разные средства платежей могут взаимодействовать, если они встроены в программы, следующие протоколу IOТР.

Протокол описывает содержимое, формат и последовательность сообщений, которые пересылаются между партнерами электронной торговли — покупателями, торговцами, банками или финансовыми организациями.

Протокол спроектирован так, чтобы обеспечить его применимость при любых схемах электронных платежей, так как он реализует весь процесс продажи, включающий набор различных операций IOТР:

 покупку. Реализует предложение, оплату и доставку (при необходимости);

 возврат. Производит возврат платежа для покупки, выполненной ранее;

 обмен ценностями. Включает в себя два платежа, например, в случае обмена валют;

 аутентификацию. Производит проверку для организации или частного лица — являются ли они тем, за кого себя выдают;

 отзыв платежа. Осуществляет отзыв электронного платежа из финансового учреждения;

 депозит. Поддерживает управление депозитом средств в финансовом учреждении;

 запрос. Выполняет запрос состояния операции IOТР, которая находится в процессе реализации или уже выполнена;

 тестовый запрос ("пинг"). Простой запрос от одного приложения IOТР с целью проверки, функционирует ли другое приложение IOТР.

IOТР разделяет всех участников сделки по их "ролям" в процессе продажи:

 покупатель. Это физическое лицо или организация, получатель товара или услуги и плательщик;

 продавец. Человек (или организация), у которого приобретается товар или услуга, который официально ответственен за их предоставление и который извлекает выгоду в результате продажи;

 оператор платежей. Субъект, который получает платеж от потребителя в пользу торговой фирмы или физического лица;

 оператор доставки. Субъект, который доставляет товар или предоставляет услугу потребителю от торговой фирмы или лица;

 лицо, обслуживающее клиента торговой фирмы.

Роли могут выполняться одной организацией или различными организациями:

 в наиболее простом случае одна организация (например, продавец) может оформлять покупку, принимать платеж, доставлять товар и осуществлять обслуживание покупателя;

 в более сложном случае, продавец может оформить покупку, но предложить покупателю осуществить платеж в банке, попросить специализированную компанию доставить товар и обратиться к третьей фирме, обеспечивающей круглосуточное обслуживание, с просьбой помочь покупателю в случае возникновения каких-то непредвиденных проблем.

IOТР использует четыре основных торговых операции ("обмена"). Название "обмен" связано с тем, что операции совершаются путем обмена сообщениями (информацией) между участниками, играющими определенные "роли" в сделке:

 предложение (Offer Exchange) — предполагает, что продавец предоставляет покупателю причины того, что сделка покупателю необходима;

 оплата (Payment Exchange) — предполагает осуществление какого-либо платежа. Направление платежа может быть любым;

 доставка (Delivery Exchange) — сопряжена с передачей товаров или доставкой информации о товарах агентом доставки покупателю;

 аутентификация (Authentication Exchange) — может использоваться любой стороной сделки для аутентификации другой стороны.

Сделки на основе IOТР состоят из различных комбинаций этих операций. Например, операция покупки IOТР включает в себя предложение, оплату и доставку. А операция обмена валют по IOТР состоит из предложения и двух обменов оплаты.

Электронная цифровая подпись

3.14.4. Электронная цифровая подпись

Электронная цифровая подпись (ЭЦП) является электронным эквивалентом собственноручной подписи. ЭЦП служит не только для аутентификации отправителя сообщения, но и для проверки его целостности.

При использовании ЭЦП для аутентификации отправителя сообщения применяются открытый и закрытый ключи. Процедура похожа на осуществляемую в асимметричном шифровании, но в данном случае закрытый ключ служит для шифрования, а открытый — для дешифрования.

Алгоритм применения ЭЦП состоит из ряда операций:

 генерируется пара ключей:

открытый и закрытый;  открытый ключ передается заинтересованной стороне (получателю документов, подписанных стороной, сгенерировавшей ключи);  отправитель сообщения шифрует его своим закрытым ключом и передает получателю по каналам связи;  получатель дешифрует сообщение открытым ключом отправителя.

Суть в том, что создать зашифрованное сообщение, при расшифровке которого открытым ключом получается исходный текст, может только обладатель закрытого ключа, т. е. отправитель сообщения. Использовать для этого открытый ключ невозможно.

Mondex

3.12.9. Mondex

Платежная система Mondex (www.mondex.com) относится к типу дебетовых систем, работающих с цифровыми наличными, носителем которых является смарт-карта.

Электронная наличность зачисляется на смарт-карты Mondex посредством снятия средств с реальных счетов клиентов и "замены" их на цифровые деньги на смарт-карте.

После зачисления электронных денег на карту Mondex, дальнейшее отслеживание их перемещений между пользователями не представляется возможным, т. е. система, по сути, предлагает полный электронный эквивалент настоящих денег.

Передача электронных денег между пользователями может осуществляться по телефону, подключенному к Mondex, через обычную телефонную сеть или при помощи специального оборудования. Кроме того, электронные деньги Mondex могут использоваться для оплаты в некоторых Интернет-магазинах.

Организация платежей

3.8.2. Организация платежей

Все платежи между участниками системы осуществляются только между однотипными электронными "кошельками" участников. То есть из "кошелька" типа R нельзя сделать перевод в "кошелек" типа Z или другого типа, а только в "кошелек" типа R.

Платежи в системе можно условно разделить на три типа:

 простой платеж. Этот вид платежа осуществляется из одного "кошелька" в другой путем указания плательщиком номера счета получателя и суммы транзакции. Как правило, такие платежи осуществляют между собой физические лица;

 платеж с выставлением и оплатой счета. К этой форме оплаты обычно прибегают Интернет-магазины. Покупатель указывает на сайте магазина реквизиты своего "кошелька", а продавец выставляет ему счет на оплату заказа. Клиент оплачивает счет;

 платеж с выставлением и оплатой счета и автоматической обработкой платежа. Для организации такой системы оплаты магазину необходимо интегрировать в свою систему программное обеспечение WebMoney Transfer. Клиент посещает сайт магазина, делает заказ, ему автоматически выставляется счет, он его оплачивает, платеж автоматически обрабатывается и товары или услуги (если они электронные) автоматически отправляются покупателю. Такая схема работы применяется виртуальными казино, автоматическими интернет-биржами и продавцами электронных товаров.

Кроме того, в системе предусмотрены платежи с протекцией сделки. Если покупатель не уверен в добросовестности продавца или сомневается в верности имеющихся у него реквизитов продавца, он может совершить этот вид платежа. При этом деньги будут зачислены на счет продавца, но получить к ним доступ продавец сможет только после того, как введет в соответствующее поле код протекции, который ему должен сообщить покупатель. Если в течение некоторого времени, определяемого плательщиком, сделка не подтверждена, деньги возвращаются на счет покупателя.

Pay Pal

3.12.2. Pay Pal

Платежная система PayPal (www.paypal.com) довольно хорошо известна в России, хотя с российскими клиентами она не работает. Это дебетовая система, использующая концепцию электронных денег:

В PayPal существует два основных вида счетов:

 для граждан США;

 интернациональный (для лиц, не являющихся гражданами США).

Счет для граждан США предоставляет более широкие возможности, но требует раскрытия информации о клиенте, вплоть до регистрационного номера налогоплательщика.

Достаточно много зарубежных Интернет-магазинов и сервисных предприятий подключены к PayPal. Поэтому некоторые российские граждане подключаются к системе, искажая свои регистрационные данные (подставляя несуществующие адреса в Европе, США и т. д.). Этот способ небезопасен и к использованию не рекомендуется.

В настоящее время для использования в легальном сетевом бизнесе в России эта система непригодна.

Перспективы системы

3.7.9. Перспективы системы

Платежная система PayCash является одной из наиболее динамично развивающихся систем Интернет-платежей в России. Обращает на себя внимание стремление системы к максимальной легальности и прозрачности всех проводимых операций с правовой точки зрения. Отсутствие затруднений в бухгалтерском учете операций, проводимых через систему, безусловно, способствует подключению к системе все новых предприятий. Видимо, в ближайшее время доля рынка сетевых платежей, занимаемая системой, будет увеличиваться.

Подключение и работа Интернет-магазина

3.7.5. Подключение и работа Интернет-магазина через "кошелек"-кассу

Эта схема применяется для Интернет-магазинов, имеющих собственный сайт и желающих формировать заказы клиентов на нем.

Владелец магазина устанавливает у себя PayCash. Самостоятельно или при участии сотрудников системы связывает Интернет-магазин с "кошельком" и получает оплату в электронных деньгах. Магазин обращается к системе только для перевода накопленной выручки из системы на расчетный счет магазина в обыкновенном банке.

Работа по этой схеме ведется на основании договора публичной оферты.

Комиссионные выплаты за использование системы PayCash при работе по этой схеме составляют 1% средств, полученных магазином от продаж через Интернет.

Подключение Интернет-магазинов

3.11.2. Подключение Интернет-магазинов

Для Интернет-магазинов процедура подключения к EACCESS заключается в следующем:

 магазин подписывает договор о сотрудничестве и заполняет заявку на выставление своего ресурса на продажу через EACCESS;

 магазин формирует и предоставляет EACCESS в определенном формате список кодов доступа (логиков и паролей) к выбранным ресурсам для продажи их пользователям;

 администратор EACCESS заносит в базу данных платежной системы необходимую информацию о магазине и его ресурсах (название магазина, его логотип, наименования товаров и услуг и т. д.) в соответствии с полученной заявкой;

 на сайтах магазина и EACCESS размещаются ссылки на соответствующие страницы сайтов друг друга для осуществления процедуры оплаты товаров и услуг и последующего доступа к ним.

Прием платежей через операционный сайт системы

3.4.2. Прием платежей через операционный сайт системы

При использовании этого варианта процесс оплаты можно представить в виде ряда последовательных этапов:

 покупатель посещает сайт магазина и формирует заказ. На сайте ему сообщаются сумма и номер заказа, а также, возможно, другие реквизиты платежа;

 на операционном сайте системы покупатель находит продавца по категории и названию в разделе "Платеж" и совершает оплату заказа;

 продавец получает информацию об оплате заказа от системы "Рапида" в виде электронного документа с электронно-цифровой подписью;

 в случае получения подтверждения оплаты продавец выполняет заказ.

Для приема платежей в таком режиме продавцу потребуются компьютер, подключенный к Интернет, программа электронной почты, программное обеспечение и сертификат ООО "Крипто-Про", которые предоставляются бесплатно.

Этот вариант оплаты менее удобен для покупателей, чем вариант с оплатой на сайте магазина, но он проще в реализации. В обоих вариантах денежные средства перечисляются на расчетный счет продавца в сроки, определенные договором (на следующий банковский день, один раз в неделю и т. п.).

Прием платежей на сайте магазина

3.4.1. Прием платежей на сайте магазина

При приеме платежей на сайте магазина работа происходит по следующей схеме:

 покупатель посещает сайт продавца и формирует корзину заказа;

 на сайте продавца формируется электронный счет и отправляется в платежную систему (покупатель должен указать серию и номер своей карты "Рапида" непосредственно на сайте продавца);

 продавец получает информацию об оплате заказа в виде электронного документа с электронной цифровой подписью и отображает эту информацию на сайте;

 в случае подтверждения оплаты продавец выполняет заказ. Для сопряжения с процессинговым центром платежной системы продавцу требуется доработать программное обеспечение, чтобы обеспечить отправку и прием электронных документов стандартизированных форматов, подписанных электронной цифровой подписью, в автоматическом режиме. Для сокращения времени подключения продавцу бесплатно представляется программное обеспечение крипто-шлюза, обеспечивающее прием и отправку, шифрование и дешифрование, подписание и проверку электронной цифровой подписи в автоматическом режиме.

Программное обеспечение

3.7.2. Программное обеспечение

Для работы в системе клиенту необходимо скачать и установить на своем компьютере специальное программное обеспечение "кошелек". Пользователям предлагаются две версии "кошелька": простая и полнофункциональная. Основным отличием полнофункциональной версии является поддержка нескольких банков, счетов и платежных книжек и возможность автоматизировать процесс приема платежей. Если клиент планирует использовать "кошелек" преимущественно для оплаты товаров и услуг в интернет-магазинах и нерегулярного приема денег, то он может воспользоваться простым "кошельком". Интернет-магазину удобнее пользоваться полнофункциональным "кошельком".

В системе существует тестовый (демонстрационный) режим работы. После установки "кошелька" клиент может в этом режиме опробовать работу системы.

Протокол SSL

3.14.7. Протокол SSL

Протокол SSL (Secure Socket Layer) используется для защиты данных, передаваемых через Интернет. Этот протокол основан на комбинации алгоритмов асимметричного и симметричного шифрования.

Протокол может работать в трех режимах:

 при взаимной аутентификации сторон;

 при аутентификации сервера и анонимности клиента;

 при взаимной анонимности сторон.

При установлении соединения по протоколу SSL для данной сессии связи генерируется разовый ключ, который служит для симметричного шифрования данных, передаваемых в течение данной сессии. Разовый ключ генерируется на этапе установления соединения. При этом используются асимметричные алгоритмы шифрования.

Работа магазина через Центр Приема Платежей

3.7.7. Работа магазина через Центр Приема Платежей

Система работы через Центр Приема Платежей (ЦПП) создана специально для владельцев коммерческих Интернет-проектов, не желающих программировать интерфейс с электронным "кошельком"-кассой.

Схема работы через ЦПП сводится к тому, что электронный "кошелек" размещается на сервере ЦПП вместо того, чтобы устанавливать его на сервере магазина, и любой магазин может принимать платежи посредством ЦПП, интегрировав в одну из своих страниц соответствующий код.

В случае успешного платежа, электронный "кошелек" магазина, размещенный на сервере ЦПП, высылает на электронную почту владельца магазина извещение об оплате, подписанное электронно-цифровой подписью ЦПП, с указанием оплаченного товара и суммы платежа, а также дополнительной информацией (ФИО, адрес доставки и т. п.).

Получив извещение, магазин поставляет товар или оказывает услугу. С момента отсылки извещения PayCash принимает на себя ответственность за выплату магазину полученной суммы за вычетом своего агентского вознаграждения. ЦПП также формирует специальную Web-страницу с ограниченным доступом, на которой владелец магазина может посмотреть историю платежей через ЦПП PayCash. Далее, на основании агентского договора о приеме платежей, заключенного с владельцем магазина, PayCash переводит безналичные деньги на счет магазина в обычном банке.

Подобная схема работы может оказаться также полезной для продавцов, не имеющих своего сайта, или владельцев крупных магазинов или торговых порталов, сдающих свои виртуальные площади мелким торговцам. Возможна установка ЦПП на сайтах, предоставляющих хостинг для магазинов. В этом случае все финансовые операции с реальными деньгами осуществляет компания-владелец сайта во взаимодействии с PayCash.

Недостатком схемы работы через ЦПП является то, что она не может быть использована для продаж виртуальных товаров и услуг (программного обеспечения, информации и т. п.) с немедленной доставкой.

Работа магазина через прямой платеж на счет в PayCash

3.7.6. Работа магазина через прямой платеж на счет в PayCash

Магазин может выбрать в качестве системы оплаты прямой платеж. В отличие от обычного платежа, при котором деньги переводятся из "кошелька" плательщика в "кошелек" получателя, при прямом платеже деньги отправляются из "кошелька" плательщика сразу в банк. Банк присылает в "кошелек" плательщика соответствующую квитанцию, которая в дальнейшем может быть экспортирована и отправлена получателю денег. При этом получатель денег во время прямого платежа может не держать свой "кошелек", подключенным к Интернету.

Прямой платеж может быть инициирован плательщиком как непосредственно из своего "кошелька", так и с Web-страницы, специально подготовленной получателем денег.

Комиссионные выплаты за использование системы PayCash при работе по этой схеме составляют 1% средств, полученных магазином от продаж через Интернет.

Расчеты при помощи кредитных карт

3.3.1. Расчеты при помощи кредитных карт

Система обслуживает держателей банковских кредитных карт VISA, Eurocard/MasterCard, Diners Club, JCB, STB. Возможно и обслуживание держателей карт American Express (AMEX), но для этого Интернет-магазину необходимо заключить прямой договор с American Express.

Владельцы карт могут оплачивать покупки в интернет-магазинах. Расчеты производятся по схеме, изображенной на Рисунок 3.5.

Расчеты с помощью собственных

3.13. Расчеты с помощью собственных предоплаченных платежных инструментов

В некоторых случаях Интернет-магазин или сервисное предприятие может принять решение о создании собственного платежного инструмента. Как правило, такими платежными инструментами являются:

 платежные карты. Обычно, платежная карта — это небольшая пластиковая или картонная карточка, содержащая открытый номер и поле с PIN-кодом, закрытое стираемым покрытием. Клиент покупает карту, стирает защитное покрытие, вносит PIN-код в соответствующее поле на сайте магазина или сервисного предприятия, и на его счет автоматически зачисляется сумма, равная номиналу карты;

 конверты с PIN-кодами. По принципу действия этот платежный инструмент аналогичен платежным картам, но в отличие от карт он представляет собой конверт, содержащий внутри лист с PIN-кодом и инструкцией по применению.

Платежные карты и конверты распространяются через сети пунктов продаж, с которыми Интернет-магазин или сервисное предприятие заключает агентские договоры. 

Создание собственных платежных инструментов и налаживание сети их продаж целесообразно в следующих случаях: 

 если предприятие стремится создать максимальное удобство оплаты товаров и услуг определенной целевой аудитории своих клиентов (проживающей в конкретном городе, пользующейся услугами банков, пользующейся метрополитеном и т. п.). В этом случае платежные карты или конверты продаются в соответствующих местах, где сосредоточена целевая аудитория;

 если платежные системы общего назначения недостаточно развиты в данном регионе или пользование ими неудобно для клиентов;

 если предприятие имеет собственную широкую сеть пунктов продаж какой-либо обычной продукции (периодических изданий, книг и т. д.) и одновременно создает интернет-проект. В этом случае затраты на организацию сети продажи собственных платежных инструментов будут минимальны.

Схема оплаты товаров и услуг

3.11.1. Схема оплаты товаров и услуг

Покупатель может получить доступ к ресурсу Интернет с помощью EACCESS следующим образом:

 покупатель посещает сайт Интернет-магазина, знакомится с ассортиментом и выбирает способ оплаты через EACCESS. При этом он переходит на сайт системы в раздел, содержащий список товаров и услуг (ресурсов), продаваемых магазином через систему;

 из каталога клиент выбирает нужный ресурс, период доступа к нему и знакомится с ценой за услугу или товар. Если цена и условия его устраивают, он нажимает кнопку Вход в систему;

 клиенту выдается код платежа и телефон. Он звонит по этому телефону и в тоновом режиме вводит код. После звонка для получения кода доступа к ресурсу (товару или услуге) клиент нажимает кнопку Далее;

 в открывшемся окне EACCESS выдает код доступа. Используя гиперссылку Далее, клиент попадает на сайт продавца, предъявляет полученный от EACCESS код доступа и получает доступ к ресурсу.

Схема работы подсистемы CyberPOS

Рисунок 3.3. Схема работы подсистемы CyberPOS

Схема работы с использованием цифровых сертификатов

Рисунок 3.6. Схема работы с использованием цифровых сертификатов

 для совершения покупки покупатель посещает сайт магазина, формирует корзину товаров и указывает, что оплата будет производиться со счета у провайдера (2);

 магазин формирует заказ и переадресует покупателя на авторизационный сервер системы ASSIST, одновременно на авторизационный сервер передаются код магазина, номер заказа и его сумма (3);

 авторизационный сервер ASSIST устанавливает с покупателем соединение по защищенному протоколу (SSL) и принимает от покупателя цифровой сертификат, по которому определяет, к какому провайдеру принадлежит покупатель (4). После этого авторизационный сервер передает принятую информацию в расчетный банк системы на авторизацию (5);

 банк осуществляет контроль транзакции: проверяет наличие в системе магазина и провайдера, проверяет остаток на счете провайдера и лимиты покупателя. В результате проверок формируется разрешение или запрет проведения платежа (7);

 при разрешении платежа банк переводит денежные средства со счета провайдера на счет магазина (6) и передает авторизационному серверу ASSIST результат авторизации (7);

 при запрете платежа банк передает авторизационному серверу ASSIST отказ от проведения платежа с указанием причины отказа (7);

 авторизационный сервер ASSIST передает результат авторизации покупателю (8) и магазину (9);

 в случае положительного результата авторизации магазин отпускает товар (10).

Схема работы системы CyberChek

Рисунок 3.2. Схема работы системы CyberChek

Последовательность операций по осуществлению покупки выглядит следующим образом:

 покупатель посещает сайт магазина, формирует корзину товаров и направляет магазину запрос на выставление счета (1);

 магазин в ответ на запрос покупателя направляет ему подписанный электронной цифровой подписью счет, в котором указывает наименование товара (услуги), стоимость товара (услуги), код магазина, время и дату совершения операции. С гражданско-правовой точки зрения этот счет является предложением заключить договор (т. е. офертой) (2);

 покупатель подписывает своей электронной цифровой подписью предъявленный ему счет и отправляет его обратно в магазин, совершая тем самым акцепт. Договор считается заключенным с момента подписания покупателем выставленного ему счета. В системе счет, подписанный покупателем, становится чеком (3);

 подписанный двумя подписями (магазином и покупателем) чек направляется магазином на сервер CyberCheck для авторизации (4);

 CyberCheck производит проверку подписанного чека: проверяет наличие в системе магазина и покупателя, проверяет подписи покупателя и магазина, сохраняет копию чека в базе данных CyberCheck. В случае положительного результата проверки чек отправляется в банк покупателя (банк-участник системы CyberPlat, в котором ведется счет покупателя) для проведения платежа (5). Банк покупателя проверяет остаток и лимиты средств на счете покупателя. В результате проверки формируется разрешение или запрет проведения платежа. Банк покупателя передает результат авторизации в CyberCheck (6);

 при разрешении платежа CyberCheck передает магазину разрешение на оказание услуги или отпуск товара (7), банк покупателя переводит денежные средства со счета покупателя в банк магазина (8), банк магазина зачисляет денежные средства на счет магазина (9), магазин оказывает услугу — отпускает товар (10); 

 при запрете платежа CyberCheck передает магазину отказ от проведения платежа, покупатель получает отказ с описанием причины (7).

При работе по технологии CyberCheck покупатель полностью контролирует процесс совершения покупки. В качестве документального подтверждения совершенной сделки у каждой стороны остаются чеки, подписанные электронными цифровыми подписями, которые удостоверяют факт совершения сделки. Такие чеки имеют юридическую силу.

В качестве дополнительного сервиса CyberCheck предоставляет покупателю возможность получить выписку со счета и отчет о прохождении платежей покупателя в магазине.

Схема расчетов на основе сертификатов

3.3.2. Схема расчетов на основе сертификатов

Помимо стабильно работающей схемы оплаты при помощи кредитных карт, в системе ASSIST предусмотрена схема расчетов с использованием цифровых сертификатов. Она дает возможность клиентам провайдеров Интернета, подключенных к системе ASSIST, оплачивать товары и услуги в Интернет-магазинах со своего лицевого счета у провайдера. По состоянию на начало 2002 года эта система не функционировала, хотя и была полностью готова к эксплуатации. По прогнозам сотрудников компании Рексофт, разработавшей эту систему, начало ее работы можно ожидать во второй половине 2002 года. Расчеты по этой схеме происходят следующим образом (Рисунок 3.6):

провайдер генерирует и выдает своему клиенту цифровой сертификат для идентификации клиента в системе ASSIST в качестве покупателя. Провайдер передает в расчетный банк системы ASSIST информацию о выданных сертификатах (1);

Схема расчетов при помощи кредитных карт в системе ASSIST

Рисунок 3.5. Схема расчетов при помощи кредитных карт в системе ASSIST

Последовательность операций по осуществлению покупки выглядит следующим образом:

 покупатель посещает сайт магазина, формирует корзину товаров и выбирает форму оплаты по кредитным карточкам (1);

 магазин формирует заказ и переадресовывает покупателя на авторизационный сервер системы ASSIST, одновременно на авторизационный сервер передаются код магазина, номер заказа и его сумма (2);

 авторизационный сервер ASSIST устанавливает с покупателем соединение по защищенному протоколу (SSL 3.0) и принимает от покупателя параметры его кредитной карточки (номер карточки, дата окончания действия карточки, имя держателя карточки в той транскрипции, как оно указано на карточке). Информация о карточке передается в защищенном виде только на авторизационный сервер и не предоставляется магазину при операциях покупателя (3);

 авторизационный сервер ASSIST производит предварительную обработку принятой информации и передает ее в расчетный банк системы (4);

 банк проверяет наличие такого магазина в системе, проверяет соответствие операции установленным системным ограничениям. По результатам проверок формируется запрет или разрешение проведения авторизации транзакции в карточную платежную систему (5);

 при запрете авторизации банк передает авторизационному серверу ASSIST отказ от проведения платежа. Авторизационный сервер передает покупателю отказ с описанием причины, а магазину — отказ с номером заказа (6);

 при разрешении авторизации запрос на авторизацию передается через закрытые банковские сети банку-эмитенту карточки покупателя или процессинговому центру карточной платежной системы, уполномоченному банком-эмитентом (6);

 при положительном результате авторизации, полученном от карточной платежной системы, банк передает авторизационному серверу ASSIST положительный результат авторизации (7), авторизационный сервер передает покупателю положительный результат авторизации (8), а магазину — положительный результат авторизации с номером заказа (9). Банк осуществляет перечисление средства на счет магазина в соответствии с существующими договорными отношениями между банком и магазином (10). Магазин оказывает услугу (отпускает товар) (11).

Зарегистрированным в системе клиентам ASSIST предоставляет услугу выдачи выписки по операциям, совершенным клиентом через систему:

 покупатель заходит на авторизационный сервер и запрашивает выписку о проведенных в системе ASSIST транзакциях, указывая свой код и пароль;

 авторизационный сервер проверяет код покупателя и его пароль;

 при положительных результатах проверки авторизационный сервер направляет запрос покупателя расчетному банку системы;

 банк формирует выписку и передает ее авторизационному серверу;

 покупатель получает выписку от авторизационного сервера.

Для клиентов расчеты по этой схеме осуществляются бесплатно. Подключение к системе Интернет-магазина стоит 100 долларов. Комиссионное вознаграждение за проведение каждой транзакции составляет 5%.

Шифрование информации

3.14.1. Шифрование информации

Конфиденциальность передаваемой информации обеспечивается ее шифрованием. При помощи процедуры шифрования отправитель сообщения преобразует его из простого текста в набор символов, не поддающийся прочтению без применения специального ключа, известного получателю. Получатель сообщения, используя ключ, преобразует переданный ему набор символов обратно в текст.

Процесс преобразования с помощью ключа простого текста в зашифрованное сообщение и обратно называется алгоритмом шифрования. Обычно алгоритмы шифрования общеизвестны и не являются секретом. Конфиденциальность передачи и хранения зашифрованной информации обеспечивается за счет конфиденциальности ключа.

Ключ к шифру — конкретный набор символов и процедур, применяемых при шифровании и дешифровании сообщений. Обычно степень защищенности информации зависит не только от алгоритма шифрования, но и от длины ключа, измеряемой в битах. Чем длиннее ключ, тем лучше защита, но тем больше вычислительных процедур необходимо провести компьютеру для шифрования и дешифрования передаваемой информации, что замедляет передачу данных.

Существует два вида алгоритмов шифрования:

 симметричные. В алгоритмах этого вида и для шифрования, и для дешифрования информации применяется один и тот же секретный ключ, известный и отправителю, и получателю информации;

 асимметричные. Алгоритмы этого вида используют два ключа: один — для шифрования, другой — для дешифрования сообщения. Один из таких ключей является закрытым (секретным), другой — открытым (общедоступным).

Симметричные алгоритмы шифрования

3.14.2. Симметричные алгоритмы шифрования

Симметричные методы шифрования удобны тем, что для обеспечения высокого уровня безопасности передачи данных не требуется создания ключей большой длины. Это позволяет быстро шифровать и дешифровать большие объемы информации. Вместе с тем, и отправитель, и получатель информации владеют одним и тем же ключом, что делает невозможным аутентификацию отправителя. Кроме того, для начала работы с применением симметричного алгоритма сторонам необходимо безопасно обменяться секретным ключом, что легко сделать при личной встрече, но весьма затруднительно при необходимости передать ключ через какие-либо средства связи.

Схема работы с применением симметричного алгоритма шифрования состоит из следующих этапов:

 стороны устанавливают на своих компьютерах программное обеспечение, обеспечивающее шифрование и расшифровку данных и первичную генерацию секретных ключей;

 генерируется секретный ключ и распространяется между участниками информационного обмена. Иногда генерируется список одноразовых ключей. В этом случае для каждого сеанса передачи информации используется уникальный ключ. При этом в начале каждого сеанса отправитель извещает получателя о порядковом номере ключа, который он применил в данном сообщении;

 отправитель шифрует информацию при помощи установленного программного обеспечения, реализующего симметричный алгоритм шифрования;

 зашифрованная информация передается получателю по каналам связи;

 получатель дешифрует информацию, используя тот же ключ, что и отправитель.

Ниже приведен обзор некоторых алгоритмов симметричного шифрования:

 DES (Data Encryption Standard). Разработан фирмой IBM и широко используется с 1977 года. В настоящее время несколько устарел, поскольку применяемая в нем длина ключа недостаточна для обеспечения устойчивости к вскрытию методом полного перебора всех возможных значений ключа. Вскрытие этого алгоритма стало возможным благодаря быстрому развитию вычислительной техники, сделавшему с 1977 года огромный скачок;

 Triple DES. Это усовершенствованный вариант DES, применяющий для шифрования алгоритм DES три раза с разными ключами. Он значительно устойчивее к взлому, чем DES;

 Rijndael. Алгоритм разработан в Бельгии. Работает с ключами длиной 128, 192 и 256 бит. На данный момент к нему нет претензий у специалистов по криптографии;

 Skipjack. Алгоритм создан и используется Агентством национальной безопасности США. Длина ключа 80 бит. Шифрование и дешифрование информации производится циклически (32 цикла);

 IDEA. Алгоритм запатентован в США и ряде европейских стран. Держатель патента компания Ascom-Tech. Алгоритм использует циклическую обработку информации (8 циклов) путем применения к ней ряда математических операций;

 RC4. Алгоритм специально разработан для быстрого шифрования больших объемов информации. Он использует ключ переменной длины (в зависимости от необходимой степени защиты информации) и работает значительно быстрее других алгоритмов. RC4 относится к так называемым потоковым шифрам.

Системы расчетов, использующие

3.1.2. Системы расчетов, использующие электронную валюту (цифровые деньги)

Цифровые деньги — это электронный эквивалент реальных денег. Они эмитируются платежной системой и зачисляются на электронные счета клиентов в обмен на деньги, которые клиент вводит в систему банковским переводом или путем внесения наличных.

По месту хранения цифровых денег платежные системы делятся на три основных типа:

 системы, хранящие цифровую наличность в электронном "кошельке", расположенном на компьютере клиента. В этом случае программное обеспечение платежной системы обеспечивает секретность операций клиента и невозможность несанкционированного доступа к его счету, но сами цифровые деньги хранятся на компьютере клиента, и ответственность за их сохранность лежит на нем (в случае потери данных на компьютере клиента его электронный "кошелек" не может быть восстановлен). Для подключения к такой системе клиент должен скачать с сайта системы программное обеспечение, установить его на своем компьютере и настроить в соответствии с правилами системы;

 системы, в которых информация о состоянии электронных счетов клиентов хранится на серверах платежной системы. Для подключения к такой системе клиенту достаточно зарегистрироваться на сайте платежной системы. Иногда системы этого типа требуют от клиента скачать и установить программное обеспечение, позволяющее работать со счетом. Преимуществом таких систем для клиента является то, что потеря информации на его компьютере никак не отразится на состоянии его электронных счетов;

 системы, в которых хранение цифровых денег и/или информации о счетах клиента осуществляется на смарт-картах (Smart-card). Смарт-карта это пластиковая карта с микросхемой. Для работы со смарт-картами и такими платежными системами пользователю необходимо иметь соответствующее периферийное оборудование, которое позволяет считывать в компьютер информацию со смарт-карт. В мире выпуск такого оборудования уже начат. Кроме того, ведутся работы по внедрению смарт-карт, использующих технологию SET. В России платежные системы этого типа распространения пока не получили.

Обычно физические и юридические лица работают с платежными системами по разным схемам.

Для физических лиц существует система электронных "кошельков" или электронных счетов, с которых они могут оплачивать товары и услуги юридических лиц или совершать платежи друг другу.

Юридические лица, как правило, не открывают себе электронные "кошельки" или счета, а работают с платежными системами по договору комиссии, поручения или по агентскому договору. В соответствии с таким договором платежная система оказывает продавцу услуги по продаже его товаров и услуг и получает за это комиссию в виде фиксированного процента от выручки. В рамках указанного договора платежная система размещает на своем сайте, в разделе "Каталог магазинов", информацию о продавце, его товарах и услугах. Продавец, в свою очередь, размещает у себя на сайте информацию о том, что его товары и услуги можно оплатить с использованием данной платежной системы. Расчеты между платежной системой и продавцом происходят обычно один или два раза в месяц.

Системы расчетов, работающие с реальными деньгами

3.1.1. Системы расчетов, работающие с реальными деньгами

Реальные деньги могут переходить от покупателя к продавцу следующим образом:

 в виде наличного платежа, например, при получении товара;

  поступать на счет продавца банковским или почтовым переводом; 

 зачисляться на счет продавца с кредитной карты клиента;

 переводиться банком покупателя на счет продавца при предъявлении последним электронного чека, выписанного покупателем.

Если первые два способа оплаты не вызывают вопросов, то на последних двух необходимо остановиться подробнее.

Платежные системы, обеспечивающие возможность расчетов в Интернете с помощью пластиковых карт (предоставляющие продавцам услуги так называемого интернет-эквайринга), делятся на два основных типа:

 платежные системы, использующие для осуществления платежей только реквизиты кредитной/дебетовой карты плательщика, которые передаются через Интернет по защищенному каналу (обычно с применением протокола SSL). Такие системы просты в использовании плательщиком, но имеют ряд недостатков. Главный недостаток заключается в том, что возможен отказ клиента от платежа после получения оплаченного товара, особенно если клиент оплачивал программное обеспечение или услугу, оказываемую через Интернет. Клиент при этом ссылается на то, что списание с его счета сделано без его ведома, а продавец ничего не может доказать, так как отсутствует какой-либо подписанный клиентом документ о получении товара (оказании услуги). В такой ситуации продавец вынужден возвращать деньги клиенту;

 платежные системы, использующие технологию SET или другие аналогичные технологии, специально созданные для защиты платежей в Интернете. Эти технологии предусматривают выдачу каждому пользователю цифрового сертификата. Аутентификация пользователя с помощью цифровой подписи позволяет предотвратить отказы от платежей. Кроме того, информация о кредитной карте не поступает продавцу, а находится только в банке-экваере (банке, который обслуживает платежи в Интернете по кредитным картам).

Общий принцип работы систем, обеспечивающих прием платежей по кредитным картам, предусматривает прохождение ряда последовательных этапов:

 покупатель посещает сайт, предоставляющий платные услуги или продающий товары, который подключен к системе приема платежей по кредитным картам (компания, которой принадлежит сайт, имеет договоры на оказание услуг интернет-эквайринга с банком и платежной системой);

 покупатель формирует заказ, выбирает в качестве средства отплаты кредитную карту и подтверждает заказ;

 сайт-продавец перенаправляет покупателя на авторизационный сайт платежной системы и одновременно передает серверу платежной системы собственную регистрационную информацию и номер заказа;

 сайт платежной системы устанавливает с пользователем защищенное соединение и принимает от покупателя реквизиты его карты. Эта информация обрабатывается на сервере платежной системы. Продавцу она не передается;

 сервер платежной системы делает запрос в расчетный банк системы. Банк проверяет данные продавца и параметры транзакции (не превышает ли она установленных лимитов, достаточно ли средств на счете клиента в банке-эмитенте карты и соблюдаются ли иные ограничения). По результатам проверки транзакция либо разрешается, либо запрещается. В случае запрета отказ передается клиенту через сервер платежной системы с указанием его причин. В случае разрешения клиенту передается информация об успешном совершении транзакции;

 сервер платежной системы передает продавцу информацию об успешном совершении транзакции, номер и иные параметры заказа;

 банк системы получает денежный перевод от банка-эмитента карты клиента и осуществляет перечисление средств на счет продавца за вычетом комиссии, предусмотренной договором интернет-эквайринга.

Совершение платежей с помощью кредитных карт широко распространено в Европе и США. В России их использование пока несколько ограничено серьезными опасениями граждан по поводу необходимости передачи через Интернет реквизитов кредитной карты. Кроме того, многие системы интернет-эквайринга не принимают к оплате так называемые электронные (electronic use only) карты (Visa Electron и др.), которые наиболее распространены в России, поскольку все популярнее становится выплата предприятиями заработной платы сотрудникам на карты этого типа. С внедрением технологии SET прием таких карт становится возможным, но тоже со значительными ограничениями.

Еще одной системой расчетов, оперирующей реальными деньгами, является система расчетов электронными чеками. По своей сути электронные чеки являются аналогами обычных чеков. Это приказ лица, выписавшего чек, своему банку выплатить указанную в чеке сумму предъявителю чека. Если состояние счета лица, выписавшего чек, позволяет совершить оплату, банк переводит деньги на счет предъявителя чека.

Платежи по сделкам в рамках этой схемы проводятся в четыре основных этапа:

 покупатель выписывает электронный чек, подписывает его своей электронной цифровой подписью и пересылает продавцу;

 продавец предъявляет чек к оплате платежной системе;

 платежная система совершает проверку электронной подписи и делает запрос в банк покупателя;

 если подтверждается, что чек будет оплачен, покупателю отгружается товар или оказывается услуга. Банк покупателя переводит деньги на счет продавца.

Основным условием функционирования этой схемы является то, что и покупатель, и продавец, и банки продавца и покупателя должны быть зарегистрированными участниками платежной системы, т. е. быть готовыми к работе с электронными чеками.

Способы пополнения счета

3.10.1. Способы пополнения счета

Пополнить счет в системе КредитПилот клиент может одним из следующих способов:

 банковским переводом;

 картой КредитПилот.

Карту системы можно приобрести:

 через систему распространителей (карта номиналом 550 рублей);

 заказав доставку курьерской службой (оплата курьеру наличными);

 в банкоматах компании Элекснет по кредитной карте.

StandardReserve

3.12.4. StandardReserve

StandardReserve (www.standardreserve.com) управляется холдингом Standard Reserve Holdings Limited (SRHL), зарегистрированным на Британских Вирджинских островах.

Система StandardReserve является интернациональной. Среди ее клиентов граждане 120 стран мира. Это еще одна система, электронные деньги которой можно обменять на титульные знаки WebMoney Transfer.

Статистика системы

3.8.5. Статистика системы

По данным на начало 2002 года:

 в системе зарегистрировано более 150 тыс. участников;

 в рублевых "кошельках" клиентов находится более 11 млн. рублей;

 в долларовых "кошельках" клиентов находится более 800 тыс. долларов;

 ежедневные обороты составляют около 100 тыс. рублей и около 90 тыс. долларов;

 в сутки по счетам системы совершается более 1 000 операций.

Тарифы

3.8.4. Тарифы

За совершение каждой транзакции (за исключением операций с "кошельками" одного WM-идентификатора) системой взимается комиссия в размере 0,8% от суммы платежа, но не менее 0,01 WM.

За совершение кредитных сделок с владельцев "кошельков" типа D системой взимается комиссия в размере 1% от суммы каждого предоставленного ими кредита, но не менее 0,01 WM-Z.

За операции по вводу/выводу денежных средств взимается плата в соответствии с действующими тарифами агентов. Как правило, суммарная комиссия за ввод денег в систему не превышает 5%. За вывод из системы рублей взимается комиссия от 0,8%. Суммарная комиссия за вывод долларов колеблется от 1,1% (но не менее 50 долларов) до 3,8% плюс комиссия агента.

3.10.2. Тарифы

Интернет-магазину для подключения к системе необходимо подписать договор на обслуживание. Подключение осуществляется бесплатно.

Комиссия системы за проведение платежей в адрес магазина составляет 4% от суммы транзакции.

3.11.4. Тарифы

Подключение Интернет-магазинов и сервисных предприятий к системе осуществляется бесплатно.

В зависимости от суммы платежа, за каждую транзакцию системой взимается комиссия в следующем размере:

 за платежи до 100 рублей: 30% от суммы платежа плюс 0,5 доллара США;

 за платежи свыше 100 рублей: 20% от суммы платежа плюс 0,5 доллара США.

Как можно заметить, большие преимущества системы, обусловленные простотой и удобством для клиента, оборачиваются весьма высокой комиссией системы. В основном такой размер комиссии вызван высокими затратами МГТС на выставление счетов и обслуживание платежей.

Высокий размер комиссии вынуждает Интернет-магазины и сервисные предприятия перекладывать часть затрат на клиента, увеличивая цену товаров и услуг. Это, безусловно, снижает для клиента привлекательность оплаты через систему и в ряде случаев стимулирует его к выбору другой, пусть даже менее удобной, системы оплаты.

Технология работы и программное обеспечение

3.8.1. Технология работы и программное обеспечение

Для подключения к системе клиенту необходимо воспользоваться специальным программным обеспечением WebMoney Keeper ("кошелек"). Это программное обеспечение бывает двух видов: WM Keeper Classic и WM Keeper Light.

WM Keeper Classic выполнен в виде отдельной программы, устанавливаемой на компьютере пользователя. Клиенту необходимо скачать ее с сайта системы, запустить полученный файл на своем компьютере и совершить настройку в соответствии с инструкциями, появляющимися на экране.

Установив программу, клиент должен зарегистрироваться в качестве нового участника системы. В процессе регистрации клиенту присваивается уникальный 12-значный WM-идентифика-тор, для которого программа WM Keeper Classic создает два файла: с ключами и "кошельками".

WM Keeper Light не требует установки программы на компьютере пользователя и выполняется непосредственно на сервере приложений системы. Результаты работы передаются в браузер клиента по защищенному HTTPS-соединению (используется 128-разрядный SSL).

Для работы с WM Keeper Light достаточно установить на компьютер персональный сертификат WebMoney Transfer и запустить браузер. WM Keeper Light поддерживает различные версии браузеров, поэтому возможна работа на любой платформе. Перед началом работы необходимо зарегистрироваться в системе.

Система WebMoney Transfer позволяет осуществлять мгновенные защищенные транзакции. Действующий в системе порядок идентификации позволяет однозначно определять и фиксировать все проводимые операции. С помощью встроенной службы конфиденциальных сообщений клиенты могут вести защищенную переписку с другими участниками, обсуждать детали сделок, комментировать проведение транзакций.

Все процессы, совершаемые в системе (хранение WebMoney в "кошельках", выписка счетов, WM-расчеты между участниками, обмен сообщениями), выполняются с использованием алгоритма кодирования, эквивалентного RSA, с длиной ключей не менее 1024 бит. Для каждой транзакции назначаются уникальные сеансовые реквизиты, и попытка их повторного использования мгновенно отслеживается и пресекается. Если та или иная операция не была успешно завершена, она не учитывается системой.

Технология SET

3.14.8. Технология SET

Технология SET (Secure Electronic Transactions) появилась в 1996 году. Ее основными разработчиками стали MasterCard International и Visa International.

SET предусматривает использование цифровых сертификатов всеми участниками сделки, что позволяет проводить их однозначную взаимную аутентификацию.

Технология SET направлена на организацию максимально защищенных транзакций с присвоением кредитных карт.

Взаимная аутентификация сторон и использование ЭЦП позволяют избежать проблем с отказами сторон от обязательств по сделкам и полностью закрыть проблему необоснованного отзыва плательщиками своих платежей.

В основе процедур защиты информации, используемых SET, лежат технологии RSA и DES, что обеспечивает высокий уровень безопасности.

В общем случае алгоритм взаимодействия участников сделки по технологии SET выглядит следующим образом:

 прежде чем начать работу с использованием SET все участники сделки получают цифровые сертификаты у соответствующей сертифицирующей организации. Таким образом, устанавливается однозначное соответствие между участником и его ЭЦП;

 посетив сайт продавца, покупатель оформляет заказ и указывает способ оплаты при помощи кредитной карты;

 покупатель и продавец предъявляют друг другу свои сертификаты;

 продавец инициирует проверку платежной системой предоставленной клиентом информации. Платежная система передает продавцу результаты проверки;

 при положительных результатах проверки по запросу продавца совершается перечисление денег.

Transact

3.12.8. Transact

Компания Open Market (www.openmarket.com) предлагает своим клиентам достаточно широкий спектр услуг в области создания инфраструктуры электронной коммерции, в том числе и платежную систему Transact.

Transact — кредитная система. Ее отличительной особенностью является то, что суммы покупок аккумулируются в системе учета, и по кредитной карте проходит одна суммарная транзакция за определенный период времени. Такой подход делает систему более приемлемой для микроплатежей, чем ее аналоги.

Система не является анонимной. Open Market владеет всей информацией о покупателе, но продавцам система эту информацию не передает.

Трансграничные платежи

3.7.8. Трансграничные платежи

В конце 2001 года система PayCash начала предоставлять зарубежным клиентам возможность производить трансграничные платежи для оплаты товаров и услуг в российских Интернет-магазинах.

Для осуществления расчетов с российскими сетевыми магазинами клиенту необходимо посетить сайт американской платежной

Интернет-системы Cyphermint Pay Cash и выполнить следующие действия:

 загрузить на свой компьютер электронный "кошелек";

 инсталлировать его, в процессе чего для клиента открывается счет в интернет-банке Cyphermint Bank;

 перевести денежные средства на счет в Cyphermint Bank платежным поручением, банковским или наличным чеком, персональным чеком, электронным чеком, банковским переводом, электронным переводом, со скрэтч-карты;

 после получения и идентификации перевода, денежные средства зачисляются на счет клиента в Cyphermint Bank;

 как только денежные средства зачисляются на счет клиента, он может автоматически перевести эти деньги в свой личный электронный "кошелек" и осуществлять оплату за товары и услуги в российских Интернет-магазинах, подключенных к PayCash.

Возможности системы

3.7.1. Возможности системы

Система PayCash позволяет клиентам:

 оплачивать покупки в Интернет-магазинах, работающих с системой;

 платить со своего счета на произвольные банковские реквизиты;

 быстро обмениваться деньгами с другими участниками системы в режиме online или по электронной почте;

 получать оплату за товары и услуги. Все участники системы могут принимать платежи и оформлять продажи через Интернет.

Ввод и вывод денег

3.7.3. Ввод и вывод денег

Пополнить свой счет в системе клиент может следующим образом:

 наличными в офисе компании и офисах ее представительств;

 банковским переводом;

 купив и активировав предоплаченную карту PayCash. Карты продаются через широкую сеть распространителей;

 почтовым или телеграфным переводом;

 через системы денежных переводов Western Union, Money-Gram, сеть "CONTACT";

 переводом из платежной системы WebMoney или e-port.

Вывести денежные средства из системы можно одним из следующих способов:

 безналичным банковским переводом;

 почтовым или телеграфным переводом;

 переводом с автоматическим открытием счета "До востребования" в Сбербанке РФ;

 переводом на карточный счет Cirrus Maestro банка "Таврический";

 получением наличными в офисе компании.

3.8.3. Ввод и вывод денег

Для пополнения "кошельков" в системе предусмотрены следующие пути:

 рублевый банковский перевод из коммерческого банка;

 валютный банковский перевод из коммерческого банка;

 перевод при помощи IMTB Online Banking;

 через обменный пункт. Обменные пункты WebMoney Transfer — это предприятия и частные лица, предоставляющие услуги по обмену реальных денег на титульные знаки системы и обмен титульных знаков одного вида на титульные знаки другого вида;

 почтовый перевод;

 биржа. Одним из элементов инфраструктуры системы является биржа INDX, на которой можно купить или продать за титульные знаки WebMoney различные финансовые инструменты и электронные товары;

 платеж по системе Western Union;

 обмен электронных денег платежных систем e-gold, Gold-Money, StandardReserve на титульные знаки системы;

 приобретение и активация WM-карт.

Вывод денег из системы может быть осуществлен одним из следующих способов:

 рублевым банковским переводом из коммерческого банка;

 валютным банковским переводом из коммерческого банка;

 переводом при помощи IMTB Online Banking;

 через обменный пункт;

 почтовым переводом;

 через биржу;

 платежом по системе Western Union;

 обменом титульных знаков системы на электронные деньги платежных систем e-gold, GoldMoney, StandardReserve;

 на кредитную карту (на карточный счет).

Выставление электронных счетов

3.4.3. Выставление электронных счетов

Если предприятие предоставляет услуги потребителям по договору, предусматривающему периодическую (например, ежемесячную) оплату, система предоставляет возможность выставления электронных счетов. Электронный счет представляет собой запрос предприятия на получение платежа, который в качестве обязательных реквизитов содержит сумму, номер договора и срок действия счета. Для формирования счета конкретному потребителю предприятие должно знать персональный идентификатор, присваиваемый платежной системой потребителю при регистрации первой карты "Рапида" на операционном сайте.

Персональный идентификатор сообщается предприятию потребителем. Электронные счета могут отсылаться предприятием по электронной почте в виде сообщений специального формата, подписанных электронной цифровой подписью, или передаваться платежной системе в виде реестра согласованного формата. После получения электронного счета платежная система уведомит потребителя о необходимости оплаты счета по электронной почте или при очередном обращении потребителя к платежной системе по телефону. Для оплаты электронного счета потребителю достаточно иметь телефон. Перед оплатой телефонная система зачитает потребителю наименование предприятия, выставившего счет, сумму и срок действия счета.

---

---