Бизнес в интернет



страница6/8
Дата25.07.2016
Размер1.78 Mb.
#6587
1   2   3   4   5   6   7   8

Независимост- сигурността на цифровите пари не трябва да зависи от това къде се намират в реалност

  • Сигурност- цифровите пари не трябв да се използват повече от веднъж. Което означава, че не трябва да е възможно да се изпратят на едни и същи цифрови пари на повече от едно място

  • Анонимност- цифровите пари трябва да запазват анонимността на потребителите

  • Плащане офлайн- търговците, които приемат цифрови пари не трябва да зависият от наличието на връзка към мрежата, за да се извърши някаква транзакция

  • Прехвърляемост- цифровите пари трябва да могат да се прехвърлят на други

  • Делимост- определено количество пари трябва да бъде делимо на по-малки количества

    Системи за плащане
    Системи за последващо плащане
    Решения с кредитни карти
    Плащанията с кредитни карти понастоящем са най-разпространения и предпочитан метод за плащане в Интернет. Използването на кредитни карти е елементарно и то се приема в световен мащаб. Купувачите могат да разгледат даден web сайт, да решат какви услуги или продукти са им необходими и да въведат информация за своята кредитна карта в HTML форма. Тази информация се изпраща към web сайта, откъдето или се събира и изпраща един път дневно към банка, или пък директно се проверява от банка - целта на тези проверкки е да се види дали потребителя има достатъчно кредит да плати за избраните от него стоки.
    Системата за плащане с кредитни карти има определени предимства пред другите методи за разплащане. Този тип плащане се приема навсякъде и дава възможност на потребителите да натрупат разходи, които да платят в последващ момент от време (примерно в края на месеца). Тази система осигурява защита на потребителя, тъй като той има право да върне стоките в определен период от време и да си възвърне разходите, тъй като те не се взимат директно от неговата сметка. Кредитните карти не са обвързани с национални валути - конверсията се извършва автоматично.
    В системата за плащане с кредитни карти участват четири страни: купувача, търговеца и техните финансови институции (банки). За да могат да използват кредитни карти, купувача и търговеца трябва да имат взаимоотношения с финансовата институция на купувача, която от своя страна трябва да има връзка с финансобагпа институция на търговеца. Купувачът получава своята карта от своята банка, а търговеца трябва да има договор с неговата финансова институция, позволяващ му да приема един или повече типа карти. Купувачите, желаещи да си купят нещо от търговеца му предоставят своята кредитна карта. Търговецът проверява валидността на кредитната карта, изпращайки информацията от нея към своята банка. Тази информация се препраща по финансовата мрежа към банката на купувача - тя я проверява и връща потвърждение на банката на търговеца. Въпреки, че този процес изглежда твърде сложен, той е проверен и утвърден и се използва ежедневно.
    Въпреки, че все още има компании, които изискват информация за кредитни карти, без да предлагат кодиране, повечето компании използват механизми за кодиране и защита на информацията за кредитната карта, поръчката и потребителя. Ако няма кодиране, информацията може да бъде прихваната от хакери, които да я използват в последствие за свои цели.
    За защита на плащанията с кредитни карти са създадени два стандарти - SSL (Secure Socket Layer) кодирането, създадено от Netscape и SET (Secure Electronic Transactions- защитени електронни транзакции), създаден от Visa и MasterCard. Разликите между SSL и SET са значителни - SSL кодира само трафика между web браузъра и web сървъра (между компютрите на потребителя и търговеца), докато SET представлява напълно завършено решение за разплащане, включващо не само купувача и търговеца, но и банките, необходими за плащането с кредитни карти.
    WireCard


    WireCardрешението се състои от няколко модули, позволяващи обслужването както на транзакции от типа бизнес-потребител, така и на бизнес-бизнес. Модулът за защитено онлайн плащане позволява защитено предаване на информацията от кредитната карта от потребителя към търговеца, използвайки Java аплет. Кодиращ информацията с ключ с големина 2048 бита. Аплетът използва RSA и BlowFish алгоритми за кодиране, осигуряващи висока степен на защита. С използването на днешните технологии са необходими приблизително 1022 години за декодиране на информацията.
    Тъй като компанията се намира в Германия, софтуера може да бъде изнасян в коя да е държава без ограничения (освен ако държавата няма ограничения по отношение на вноса). Освен това, решението не е свързано с определен браузър или операционна система. Което го прави подходящо за всеки.
    След въвеждането на информацията за кредитната карта, аплета кодира данните и ги изпраща към сървъра, който поема информацията и я препраща към банката за проверка. След като кредитната карта е била успешно валидирана, търговеца получава съобщение, че транзакцията може да бъде продължена.

    CyberCash




    CyberCashрешението кодира детайлите на кредитната карта по подобен на SET и SSL начин, но процедурата е малко по-различна. Кодираната информация за кредитната карта се изпраща към търговеца по такъв начин, че той да не може да я декодира. Търговецът препраща информацията към CyberCash сървър заедно с информация за общата сума на потребителската поръчка. CyberCash сървърьт след проверка инициира плащането по финансовите мрежи.

    First Virtual




    First Virtualе основана през 1994 г. и е единствената система за онлайн плащания, която е защитена без използване на кодиращи технологии. Тук защитата се осигурява чрез e-mail за потвърждение от потребителя. Ако потребителят не отговори в определен период от време с определен код, поръчката не се изпълнява. С цел защита от прихващане на информация за кредитната карта, вместо същинска информация се обменят специални ID кодове. Информацията за кредитната карта се съхранява еднократно на сървъра на First Virtual. откъдето на притежателя и се дава виртуален PIN, който се използва за всички транзакции. Дори тази еднократна операция не се извършва по Интернет - потребителя се обажда по телефон и съобщава данни за кредитната си карта. След това сървърът на First Virtual се грижи за транзакциите по плащанията по финансовите мрежи. Ако потребител желае да закупи някакъв продукт, той/тя изпраща PIN-а си чрез e-mail до търговеца, който от своя страна изпраща номера до First Virtual за верификация и идентификация на потребителя, като по този начин никога не знае кой е клиента в реалност. First Virtual след това изпраща e-mail за потвърждение на транзакцията и уверява, че клиента наистина е инициирал покупката.

    Решения с фактури


    Транзакциите с кредитни карти са разпространени в отношенията бизнес-потребител. За отношенията бизнес-бизнес (в2в) се използват най-вече фактури. Това е така поради големината на транзакциите, за които кредитните карти са неприложими (те имат определен лимит). Друга важна причина за използването на фактури е, че това е стандартния начин за плащане между компании - промяната му изисква реорганизация, която в повечето случаи е неоправдано скъпа. Третата причина за използването на фактури е, че при плащането с кредитни карти се плаща твърде голяма такса (до 4%). За по-малките компании тези 4% са границата между печалбата и загубата. Освен това, в страните, където кредитните карти не са популярни фактурите са начин за замяна на онлайн решенията за плащане.


    За да бъдат фактурите добро решение за Интернет, те първо трябва да бъдат защитени - на първо място е необходимо идентификация на потребителя. Телефонното обаждане може да се използва само за потребител, който за пръв път ползва услугата. След това, потребителя може да се свърже през web сайт, само като въведе име и парола
    За услугите от този тип отпечатването на фактури може да означава допълнителни разходи по-големи от самата цена на стоката. Онлайн воденето на сметки предлага възможността за минимизиране на разходите и автоматизиране на ръчните процеси. Едни от първите банки, преминали към електронно водене на сметки саBank One Corp.иBank of America, които предлагат тази услуга на своите онлайн банкови клиенти. Друго преимущество на електронното водене на сметки пред печатното е, че грешките са много по-малки.
    Онлайн воденето на сметки създаде нов пазарен сектор в Интернет. Вместо фактурите да се плащат на най-различни места, онлайн воденето на сметки може да ги сумира и да позволи разплащането от едно място. Сайтовете за онлайн сметки са много интересни от друга гледна точка - те се посещават често от потребителите им (заради услугите). Което дава възможност за допълнителни маркетингови дейности, базирани на потребителския профил. Следователно, този пазар е интересен не само за банките, но и за традиционните Интернет портали.

    Интернет чекове


    Интернет чековете не са от особено значение, но все пак е необходимо да знаете за какво могат да ви послужат - те могат да бъдат много ценни за определен тип бизнес. Електронните чекове работят по подобен на обикновените чекове начин - потребителите получават цифрови документи от своите банки, на които трябва да напишат сумата, валутата и името на получателя. Електронния чек трябва да има цифров подпис от страна на издателя му.


    Използването на чекове в САЩ и Европа е различно. Повечето електронни чекови решения се базират на американската система, която изисква чека да е подписан както от издателя, така и от този, на който трябва да се плати. Лицето на което трябва да се плати занася чека в банката, получава парите, а чека се изпраща обратно от банката на платеца.

    NetCheque


    NetCheque системата е създадена през 1995 г. от Института по Информационни Науки къмЮжно-Калифорнийския Университет. При нея е необходимо търговеца и купувача да имат открити сметки в NetCheque. За защита се използва Kerberos идентификация и паролиране. За да може да се извърши плащането с чек е необходимо инсталирането на специален клиентски софтуер, работещ като чекова книжка. Този софтуер позволява на купувача да изпрати кодиран чек на търговеца.


    Търговецът може да получи парите от банката или пък да използва чека за друга транзакция. Изградена е специална финансова мрежа, която проверява чековете. Въпреки, че системата е подходяща и за микро-плащания, тя не се използва за това. Основният проблем е PKI инфраструктура, която е необходима за обмен на сертификати и подписване на чекове - през 1995 г. такава инфраструктура не съществуваше. Друга слабост на NetCheque е малката и потребителска база.

    PayNow

    PayNow услугата, създадена от CyberCash поддържа микро-плащания под формата на електронни чекове. CyberCash Интернет портфейла поддържа PayNow чекове, които могат да бъдат използвани в онлайн магазини, поддържащи CyberCash стандарта. Електронните чекове работят по подобен на кредитните карти начин, където потребителя зарежда своята сметка с реален паричен превод.

    Echeck



    Echeckсе разработва от американското министерство на финансите. Echeck прехвърля реалната система за разплащане с чекове във виртуалния свят с няколко ръчни стъпки. Този подход съответства на текущата бизнес практика и елиминира необходимостта от скъпия процес на пренастройване. Системата е високо защитена и може да се използва от всички потребители, имащи чекови сметки (тези сметки са популярни в САЩ, но не и в Европа).
    Електронните чекове съдържат същата информация, както и хартиените, и са основани на същата законова рамка. Тези чекове могат да бъдат обменяни директно и могат да заменят всички отдалечени транзакции, понастоящем извършвани с хартиени чекове. От техническа гледна точка, софтуерът позволяващ тази аналогия използва FSML - език, специализиран за финансови услуги, цифрови подписи, сертификати.

    Плащане след получаване на стоката


    Друг метод за плащане, работещ в офлайн режим е плащането след получаване на стоката (Cash on Delivery - COD), Потребителите могат да поръчат онлайн стоки и услуги и да ги платят, когато те пристигнат при тях. Arktis (http://www.arktis.de/), едни от най-големите немски търговци на Macintosh софтуер използват тази система в своя онлайн бизнес. Потребителите им могат да разглеждат онлайн (или печатни) каталози, да поръчват по телефон, факс, поща, или e-mail и получават стоките в своя дом/офис. Служителят от куриерската служба, доставяща стоките, получава парите от потребителя. Тази система има предимството, че търговеца получава своите пари от куриера и не е необходимо да проверява всеки случай за коректност на потребителя. Ако купувача не желае да плати, пакета се връща на изпращача като куриера получава възнаграждението си от него.


    Тази система улеснява продажбата на стоки и услуги на непознати потребители или на такива, които не желаят или не могат да плащат с кредитни карти. Обикновено този тип системи са по-скъпи, тъй като в тях има намесата на трета страна - куриер, като допълнителните разходи се поемат от купувача.

    Необходим софтуер


    За да може да бъде позволено извършването на плащане чрез кредитни карти, използвайки SSL кодиране, единственото което е необходимо е цифров сертификат на web сървъра, кодиращ трафика между купувача и търговеца. Сертификатът може да бъде създаден от сертификационен сървър, който може да бъде инсталиран на компютър в сайта на търговеца или може да бъде закупен, примерно отVeriSignтъй като тези сертификати се приемат от всички браузъри. За сертификатите, създадени от страни, на които се няма доверие (примерно на сертификатите, създадени от търговеца) е необходимо потвърждение от другата страна (купувача) че сертификата може да се използва. Проблемът при SSL е, че няма стандартен механизъм за комуникация на сървъра с банката. Всеки отделен случай се решава индивидуално.


    Много банки предлагат услугата за поемане на плащанията. Ако имате търговски сайт, те могат да поемат всички задачи, свързани с плащането. За малките магазини това може би е най-доброто решение.
    SET стандартът изисква инсталирането на специален софтуер на клиентския компютър, на сървъра на търговеца и на банковия портал. Този софтуер регулира необходимите за кредитните карти транзакции между въвлечените страни. Софтуер за SET стандарта се предлага от различни компании, примерно от HP и IBM.
    Всички останали решения за плащания са частни. Повече информация за тях можете да получите от техния производител.

    Системи за моментално плащане


    Дебитни карти

    Дебитните карти са едни от най-често използваните платежни средства (по-скоро в Европа, в САЩ са по-популярни кредитните карти). Разликата между кредитните и дебитните карти е, че при плащането с дебитна карта е необходимо да се въведе персонален идентификационен номер (PIN) и е необходимо хардуерно устройство, което да прочете информацията, съхранена на магнитна лента, вградена в дебитната карта. При кредитните карти, цялата информация е изписана на картата.


    Всеки оператор има строги изисквания към устройствата за въвеждане на PIN. Клавиатурата и криптиращото устройство трябва да са затворени в общо пространство и не може да има жици или други връзки между тях, които да са достъпни отвън. На изхода от устройството излиза криптирана информация, която се предава на оператора. Той от своя страна я сравнява с криптираната информация, която съхранява при себе си за всяка карта, която съдържа данни за верния PIN за тази карта. При издаване на банкови карти системата на оператора генерира случаен PIN, криптира го и го съхранява към информацията за картата. Никъде в системата не се пази PIN-а в явен вид. При получаването на картата от клиента, той получава и запечатан плик, в който по контактен начин е отбелязан PIN-а в явен вид. Когато клиентът желае да смени PIN-а, той въвежда на банкомат новия PIN, който се криптира още в самото устройство и се предава криптиран на оператора, който от своя страна го съхранява към данните за картата. Кредитните карти дават възможност на клиентите да плащат без да е необходимо въвеждането на PIN.
    Все още бизнеса с дебитни карти не е особено разпространен в Интернет. Това е така, тъй като при стандартното решение компютъра трябва да е екипиран с хардуерен терминал, който да прочита информацията от магнитната лента (все пак съществуват решения, при които PIN кода се заменя с потребителско име и парола, които могат да се използват при плащания от специализирани портали). Цената на тези терминали непрекъснато намалява и съществува вероятност те да станат стандартна част от всеки компютър. Магнитните ленти вече се заменят с електронни чипове на смарт карти Понастоящем смарт картите се използват главно за електронно плащане в брой, но за бъдеще те биха могли да заменят както дебитните, така и кредитните карти.

    Директен дебит


    Директният дебит е друго решение за последващо плащане, което се използва в онлайн транзакциите. Вместо да искат от потребителя номера на кредитната му карта, те питат за банковата сметка и банковия код на потребителя. По този начин парите могат да бъдат дебитирани директно от банковата сметка. Единственият проблем на тази система е подписа. За да можете да получите пари от банка ви е необходим валиден подпис на потребителя, положен върху поръчката.

    Системи за предплащане
    Електронно плащане в брой

    Решенията за електронно плащане в брой използват софтуер, който съхранява цифровия еквивалент на парите върху твърд или флопи диск. Монетите и банкнотите се заменят от файлове, подписани с електронен подпис. Преимуществото на тази система е, че разходите за трансфера на пари са почти нулеви (единствените разходи са за Интернет връзката). За да можете да получите пари, трябва да се свържете към виртуален или реален АТМ, откъдето да получите електронни пари чрез директен дебит от банковата ви сметка или от кредитната ви карта. Трудността при този тип системи за разплащане е в осигуряването на достатъчна защита. Тъй като парите се съхраняват във файлове, трябва да се направи така, че да не е възможно парите да бъдат увеличени чрез копиране или промяна на файловете. Електронните монети и банкноти трябва да съдържат цифрови защитни знаци, които да не позволяват тяхната употреба повече от един път. Възможностите за измама се редуцират чрез използването на технологии за кодиране, цифрови и електронни подписи.


    За да се емулира плащане в брой, цифровите пари не трябва да издават самоличността на човека, който ги използва. Системите за разплащане от този вид не бива да включват банка като посредник - електронните пари трябва да се разменят директно между двете участващи в сделката страни. Системите трябва да поддържат възможност за преобразуване на парите в по-дребни банкноти или монети. По-долу са представени някои от най-известните системи за електронно разплащане в брой.

    DigiCash



    Продуктът наDigiCashсе нарича e-Cash. e-Cash е система за електронни пари, чиято валидност се проверява online от съответната финансова институция. e-Cash е разработена от DigiCash и е представена от MarkTwain Bank Сейнт Луис през 1995 г. Дойчебанк АД, Франкфурт на Майн предлага e-cash като пилотен проект на своите клиенти от октомври 1997 г.
    Решението на DigiCash е едно от най-добре приетите на пазара. За да може да използва e-Cash, потребите-ля трябва да има сметка в някоя от използващите e-Cash банки. След това, той може да тегли пари от тази сметка и да ги съхрани под формата на електронни пари върху твърдия си диск. Парите се намират във формата на токени. Самата транзакция между потребителя и търговеца се подпомага от специална банкова сметка, откъдето търговеца реално получава плащането от потребителя. e-Cash системата е с еднопосочен обмен на токени, което позволява електронните пари да бъдат използвани само един път (само за една транзакция между търговец и потребител). След това, търговецът не може да използва повторно получените електронни пари - те трябва да бъдат подадени на банката и обменени в реални средства. Всеки токен съдържа еквивалентна сума (на цифровите пари), случайно число (използващо се за сериен номер) и цифровия подпис на банката издател. Банката може да провери валидността на електронното плащане в брой без да се интересува от самоличността на лицето, което плаща - това позволява анонимното използване на електронните пари. Технологично това се постига чрез метода „сляп подпис".
    Слепият подпис е патентована технология, създадена от основателя на DigiCash - Дейвид Чом. Технологията работи по следния начин: потребителя изисква електронни пари, създавайки първични токени; към тези токени се добавя сериен номер и токените се изпращат към банката; серийният номер е невидим за банката, тъй като се умножава с друго случайно число (наречено „сляп множител"), банката прибавя цифров подпис към токена и го връща към потребителя; потребителят разделя серийния номер на слепия множител и получава оригиналния сериен номер. Чрез този механизъм банката няма възможност да проследи токените на потребителите си и да види оригиналния сериен номер.
    Потребителят може да използва цифровите си пари за разплащания в web сайтове, поддържащи DigiCash. Търговците, желаещи да работят с DigiCash също трябва да имат сметка в банка, участваща в системата.
    e-Cash може да бъде разглеждан и сам по себе си като валута, финансовите институции трябва да използуват специални сметки. Те също гарантират превръщането в "истински" пари. Сигурността при e-Cash се постига чрез използуването на асиметричен криптографски алгоритъм. Достъпът до сметката може да бъде защитен допълнително чрез използуването на персонални пароли. Съхраняването на серийните номера на парите действително предотвратява повторното похарчване. Обаче може да има проблем с мащабируемостта.
    Разходите за проверяване на автентичността на парите са относително високи, защото проверката трябва да се извърши online. Това означава, че приложимостта за микро-и пико-плащанията трябва да бъде оценявана внимателно. Всяко лице което има e-Cash сметка може да приема e-Cash пари.

    NetCash


    NetCash решението е създадено от Южно-Калифорнийския Университет през 1995 г. Една важна цел на този проект е използуването на вече съществуващи системи и процедури за счетоводство във финансовите институции. Това намалява първоначалните инвестиционни разходи. За разлика от e-cash, този метод се базира на децентрализиран подход. Следователно, проблемите свързани с големия брой пари и участници може да бъде решен по-лесно.


    NetCash осигурява анонимни плащания в Интернет, използвайки електронна валута, поддържаща електронни разплащания в реално време. За да може да се сдобие с пари от валутния сървър, потребителя трябва да има сметка в сървъра на NetCheque. NetCheque системата, която бе спомената по-горе, осигурява защитена структура за онлайн разплащания, която може да бъде разширена, така че да включва и електронно плащане в брой. Комбинацията от NetCash и NetCheque дава възможност на потребителите да изберат нивото на анонимност, което желаят да ползват. Осигурената от системата анонимност не е толкова съвършена, както при DigiCash, тъй като NetCash парите могат да бъдат закупени само чрез NetCheque - сървъра на NetCheque може да проследи потребителите. Все пак, това не е особено вероятно, тъй като потребителите могат да изберат кой валутен сървър да използват.
    Системата се базира на независими, разпределени сървъри на валута. Сървърите на валутата са местата за превръщане на анонимни в неанонимни пари. Всеки сървър на валута притежава една сметка на един счетоводен сървър. Клирингът се извършва от сървъра на валутата. Необходимо е да се потвърди интегритета на сървърите и тези сървъри на валута да приемат пари от други сървъри на валута. NetCash парите имат лицева стойност и сериен номер. Също, се съхраняват и адреса на издаващия сървър и дата на изтичане.
    След като потребителя вече притежава цифрови пари, които могат да бъдат използвани за плащания към други потребители или търговци, без да разкриват самоличността на купувача (освен пред валутния сървър, използван за проверка валидността на парите). Тези пари са кодирани с публичен ключ и изпратени на дилъра. Анонимността на клиента може да бъде гарантирана, чрез използуването на нов ключ за сесия за всяко съобщение. Дилърът препредава получените пари, незабавно на своя сървър на валута. От сървъра на валута той или получава нови пари или съответната стойност ще бъде кредитирана към неговата сметка. Крайният клиринг се извършва от сървъра на валута.
    Серийните номера на всички пари. Които не са изпратени обратно и още не са изтекли, се съхраняват в сървъра на валута, за да се избегне двойното плащане. Това означава намалена анонимност. Анонимността може да бъде увеличена чрез обмяна на парите на друг сървър. Сигурността се постига посредством един хибриден криптографски алгоритъм. Както и при e-cash ние имаме метод, който изисква много комуникации. Използуването на микро-плащания, обаче, би могло да бъде по-ефикасно. Всяко лице може да приема NetCash пари, защото системата позволява свободна обмяна на пари.

    CyberCoins


    CyberCash системата за разплащания с кредитни карти, разгледана по-горе поддържа и модул/система за микро-плащания, наречен CyberCoins CyberCoins дава възможност за плащания в размер 0.25-10 цента, които са прекалено малки за кредитните карти.


    За всеки потребител и търговец се осигуряват специални контейнери за пари в брой, които се помещават на специален Интернет сървър и служат като сметки в CyberCoins. CyberCoins сметките се захранват чрез CyberCash портфейл. За да може да се плати чрез портфейла, от web браузъра се подава специална команда, която изисква от потребителя да потвърди плащането. След потвърждаването, парите се прехвърлят електронно от сметката на потребителя в сметката на търговеца. Транзакцията е защитена чрез използването на кодиране. Поръчката на потребителя се изпраща към търговеца, който добавя свои данни към нея, като модифицираната поръчка се изпраща към CyberCash. портал, който прехвърля парите между отделните сметки.

    IBM Micro Payment


    Тази система е създадена от отдела наIBM в Израели се базира на ваучъри. Системата позволява преобразуване на елементарни HTML връзки във връзки за разплащане. Това решение използва съществуващата инфраструктура за разплащане на доставчика на Интернет услуги. Щракванията върху определена връзка се регистрират в log файловете на търговеца и се зачисляват към определен потребител. Изискуемото плащане се прехвърля към доставчика на Интернет услуги, който дебитира парите от банковата сметка на потребителя. Тази система се използва едва от няколко пилотни проекта в Интернет.

    MilliCent


    MilliCentсистемата е създадена от DEC (Digital Equipment Corporation, закупена в последствие от Compaq). Тя се базира на система от ваучъри, позволяващи разплащания под един цент. Системата изисква намесата на брокери, които обикновено са ISPs и финансови институции. Брокерите продават ваучъри на потребителите и управляват портфейла с ваучъри на търговците. За да може да плати, потребителя трябва да обмени получения от брокера ваучър за друг ваучър - валиден за конкретния търговец. Всички ваучъри се управляват от Milli Cent портфейл.
    За да се гарантира сигурността на този метод се използуват еднопосочни хеш функции, които могат да бъдат изчислени бързо (например MD-5). Освен това, разходите за незаконно декодиране на едно удостоверение (това означава намирането на обратната на използуваната хеш функция) са много по-големи от стойността на удостоверението. Възможен е голям брой транзакции при ниски разходи в сравнение с другите два дискутирани метода. По принцип, всяко лице може да бъде регистрирано при един брокер и след това може да приема електронни плащания. Няма анонимност, но има възможност да се купят удостоверения от различни брокери. В този случай може да бъде създаден неголям профил на потребителя.
    MilliCent решението е подходящо за микро-плащания. MilliCent се използва от няколко пилотни проекта, но не е ясно дали ще намери реално приложение, тъй като системата не гарантира анонимност.

    Смарт карти


    Смарт картите са особено популярни в Европа, а напоследък започват да навлизат и в САЩ. Телефонните карти, здравно-осигурителните карти и дебитните карти съдържат чипове, носещи информация за телефонни импулси, здравна информация или финанси. Всяка издадена в Европа дебитна карта съдържа информация за притежателя и неговата сметка. Вече съществуват системи, които могат да съхраняват електронен еквивалент на пари в чипа. Парите в картата са кодирани и защитени с парола. За да може да се плати чрез смарт карта е необходим хардуерен терминал, където тя да бъде поставена. Терминалът изисква въвеждането на ключ, преди да инициира паричния трансфер.


    Смарт картите осигуряват на търговците възможността да получават парите си в своята банкова сметка в момента на плащането Най-голямото преимущество на смарт картите е, че те могат да се използват както във виртуалния, така и реалния свят. Примерно е възможно картата да се кредитира чрез внасяне на пари на гише, а след това тя да се използва в Интернет. Другите основни предимства са относително добрата защита и простите операции по обслужване - всичко това води до ниски разходи за транзакция. В Европа са установени два стандарта за този тип карти - Mondex във Великобритания и GeldKarte в Германия.

    Mondex

    Mondex е дъщерна компания на MasterCard, базирана във Великобритания и особено популярна в САЩ. При нея парите могат да бъдат прехвърляни чрез четци за смарт карти, включени към телефони, ATMs и специални електронни портфейли. Четците могат да се свържат към банката и да инициират трансфера между нея и потребителя. След като парите са заредени в смарт картата, те могат да бъдат прехвърляни към търговци или бизнес партньори чрез електронен портфейл. Парите могат да бъдат обменяни между всички, притежаващи Mondex карта. Mondex поддържа до 5 различни валути в една карта, които могат да бъдат обменяни в банката за всяка друга валута. Все още не съществува механизъм, позволяващ на притежателя на картата сам да преобразува валутите една в друга, тъй като смарт картите не поддържат валутни курсове.
    При тази система не е необходима банка като посредник. Mondex гарантира анонимността по същия начин, както при реалните разплащания в брой. Това е и недостатък, тъй като дава поле за изява на престъпния контингент. Понастоящем само няколко web сайта поддържат разплащания с Mondex карти, но за в бъдеще техния брой ще се увеличи, поради минималните разходи за транзакции и възможността за извършване на микро-плащания (таксата заплащана от потребителя за всички транзакции е 1.5 английски лири месечно).
    Mondex е базирана на строги защитни правила, виртуално непозволяващи никаква измама. Системата използва VTP (Value Transfer Protokol - протокол за обмен на стойности), базиран на строго кодиране за защита движението на парите. Mondex е затворена система, тъй като парите могат да се движат само между Mondex карти.
    Mondex позволява на потребителите да заключват картата в случай, че я изгубят. След това, банките могат да възстановят стойността на притежателя на картата. Картите не могат да бъдат използвани от някой друг, тъй като се изисква допълнителен PIN код.

    GeldKarte


    През 1997 г. немските банки започнаха да издават нови дебитни карти с вграден чип. Този чип поддържа необходимите за електронно плащане в брой функции, като картите с този чип се наричат GeldKarte. Всички дебитни карти в Германия бяха заменени с този нов тип карти. Основното различие с Mondex е в начина за зареждане на картата с пари. Тук е необходим специален терминал.


    За да бъде позволено плащането със смарт карти е необходимо разширяването на съществуващи устройства. Все още не се планират хардуерни устройства за персонална употреба, тъй като това би позволило на даден човек да проследи всички транзакции между смарт картите.
    Популярността на тези карти в магазините непрекъснато се увеличава. GeldKarte (или MoneyCard) е много привлекателна алтернатива за електронния бизнес, тъй като разходите за транзакциите са минимални - 0.3% (за сравнение при кредитните карти те са 4%). Това е идеалното решение за микро-плащанията.
    Недостатъкът на картата от гледна точка на потребителите е, че те предварително трябва да са заредили картата с пари, а от това съществува риск да загубят лихва в сравнение с влагането на тези пари в банка. Другият основен недостатък е, че това решение се използва само в Германия.

    VisaCash


    VisaCash е решение, което понастоящем се тества в няколко държавиви. VisaCash картите са в два варианта - еднократна карта (подобна на телефонните карти) и многократна карта (която може да се презарежда с пари, подобно на Mondex и GeldKarte). Тези карти се използват пилотно в Интернет, но в реалния свят вече са широко разпространени - най-масово приложение те получиха по време на олимпийските игри през 1996г. В Атланта. От тогава може да се каже че тези карти не търпят някакво развитие.

    Необходим софтуер

    Нито едно от разгледаните по-горе решения не се базира на отворени стандарти. Следователно е необходим специален софтуер за решението на всяка компания.

    Сравнение на технологиите за плащане

    След като разгледахме три типа онлайн плащания може да бъде направена съпоставка, кое от тях съответства на поставените в изисквания от Таблицата.



    Съответствие на технологиите за разплащане с поставените бизнес изисквания

     

    Последващо плащане

    Моментално плащане

    Предплащане

    Масово приемане

    Високо

    Ниско

    Ниско

    Анонимност

    Ниско

    Високо

    Средно

    Конвертируемост

    Високо

    Високо

    Високо

    Ефикасност

    Ниско

    Високо

    Високо

    Гъвкавост

    Ниско

    Ниско

    Ниско

    Интеграция

    Високо

    Ниско

    Средно

    Надеждност

    Високо

    Високо

    Високо

    Мащабируемост

    Високо

    Високо

    Високо

    Сигурност

    Средно

    Високо

    Средно

    Използваемост

    Високо

    Средно

    Средно

    От таблицата е видно, че технологията с последващо плащане има най-голямо съответствие с поставените бизнес изисквания и това е причината тя да се използва най-масово в Интернет. Останалите технологии не са особено популярни в Интернет. При тях все още няма установени стандарти и много неща все още се разработват. Въпреки, че това звучи като недостатък, липсата на стандарти дава възможност за интегриране на нови технологии, примерно SET.

    Система за електронни разплащания с банкови карти в Интернет. Електронни разплащания в България чрез системата epay.bg
    Общо описание и цел на системата
    Целта на системата е да се осигури възможност на български търговци да получават плащания по Интернет, инициирани с национални и международни банкови карти. Другата цел е да се даде възможност на притежатели на национални дебитни карти да извършват плащания в Интернет с български търговци. Системата осигурява средства за въвеждане необходимата информация от двете страни на плащането, осъществява връзка с националния картов оператор - БОРИКА.
    Какво е необходимо за функционирането на една такава система


    От страна на търговците:
    Търговецът трябва да притежава банкова сметка в банка, която обслужва картови пащания и да сключи с нея договор за POS - терминал.
    Търговецът трябва да осигури средства (технически и програмни) , с които да представя стоките и услугите, които предлага в Интернет.
    Търговецът трябва да осъществи връзка с оператора на системата за разплащане

    От страна на клиента:
    Клиентът трябва да притежава банкова карта.
    Притежателят на национални дебитни карти трябва да потвърди желанието си да извършва разплащания в Интернет от съответния ATM - терминал с въвеждането на своя PIN.
    Картодържателят трябва да притежава достъп до Инетрнет.

    Общи принципи за функциониране на системата




    1. Клиентът се регистрира в системата, като въвежда еднократно информацията за банковата си карта.

    2. Търговецът от своя страна също се регистрира в системата , като предоставя информация за виртуалния POS - терминал, който притежава.

    3. На всеки клиент се дава негов клиентски идентификационен номер/КИН/, а на търговеца - негов търговски идентификационен номер/ТИН/. Тези два номера са публични и служат за представянето на двете страни една пред друга. Тези номера могат да се съобщават свободно, както на клиентите, така и на търговците.

    4. Двете страни, за да участват в системата получават своето потребителско име и парола. Те са поверителни и се съхраняват от клиента и от търговеца.

    5. В общия случай всяка страна може да инициира плащане, знаейки КИН или ТИН на другата страна.

    6. Основна особеност на системата е, че търговецът НИКОГА не получава специфична информация за клиента или данни за неговата карта. Системата предоставя на търговеца само необходимата информация, че даден КИН е извършил плащане в негова полза. В случаите, когато търговецът е регистриран в системата, че ще доставя стоки на адреса на клиента, той получава адреса за доставка включен към информацията за плащането.

    7. Клиентът никога не вкарва повторно номера на картата си. Картите се регистрират в системата еднократно, тази информация се съхранява на сървър, който не е пряко свързан с Интернет в криптиран вид и се свързва с КИН на клиента. При плащане, клиентът нарежда на системата да задължи негова карта в полза на търговеца, като посочва коя карта да се избере /в случай, че е регистрирал няколко карти/ по потребителското име на картата, което педварително е въвел.

    8. Системата изпраща запитване до националния оператор за картови разплащиния БОРИКА, в което се посочва данните за виртуалния POS - терминал на търговеца, данните за картата на клиента и сумата на транзакцията. БОРИКА обработва тази информация и връща на системата отговор, дали плащането е извършено или е отхвърлено - без да се уточняват причините за отказа. Системата предава тази информация на търговеца и в случаите, когато плащането е успешно, търговецът предоставя стоката или услугата на клиента.

    9. Търговците имат винаги възможност да отменят вече извършено плащане в тяхна полза при възникнали спорове по доставката от тяхна страна.

    10. Системата предоставя на двете страни подробни справки за извършените преводи, платените или отказани доставки, лимитите по картите, движението за търговец и клиент.

    11. Всички плащания, без изключение се инициират само след изрично потвърждение от клиента.

    12. Търговците могат да изпращат искания към клиентите за плащане на определени сметка. Съществува система за осъществяване на масови плащания с абонаментен характер за търговци, които предоставят стоки или услуги, които се заплащат периодично. След получаването на искане за плащане нищо не се предприема, докато клиентът не потвърди искането.

    Парола и e-mail - нотификация


    Всеки клиент въвежда свое потребителско име и парола. Паролата се въвежда двукратно, за да може системата да сравни двете въвеждания, защото те не се показват на екрана. Паролата трябва да е над шест знака, като задължително трябва да съдържа поне две цифри и поне две букви. Системата не приема пароли само от букви или само от цифри. За системата има разлика дали буквите са въведени като главни или малки, както и прави разлика между кирилица и латиница. Паролите могат да съдържат знаци, като "_", "!", "?" без "интервал". В никакъв случай за парола не трябва да се използва PIN-кода на самата карта.


    Паролата служи за представяне на клиента пред системата. След като тя е въведена коректно, системата счита, че всички нареждания, отправени към нея са от името и със знанието на клиента. По тази причина е много важно клиентът да запази в тайна своята парола.
    Системата дава възможност по желание на клиента, всяко плащане, което извърши да бъде потвърдено и с e-mail от системата. Освен това системата издава периодичен бюлетин, който разпраща до своите клиенти по e-mail.


    Сигурност в Интернет

    Създаване на стратегия за сигурност


    Защита на информацията
    По подразбиране, комуникациите през Интернет са отворени и неконтролирани. Този факт е в конфликт с нуждите на цифровия бизнес, който изисква конфиденциалност и цялост на транзакциите. Все по-широкото приложение на електронния бизнес поставя на преден план въпроса за сигурността. Сигурността в Интернет прераства във въпрос, касаещ бизнес стратегията на всяка компания. Тази сигурност не е само технически проблем, който трябва да се реши на ниво IT отдел в дадена компания.
    Понастоящем технологията може да обезпечи системната сигурност, но за целта е необходимо да се използва нещо повече от обикновена технология. В случай, че разгледате по-детайлно причините за тези проблеми ще видите, че в повечето случаи те се крият в човешки грешки, липсващи процедури и неправилно конфигуриран софтуер. Тези грешки не могат да се елиминират дори и с най-добрата технология, а само с цялостна корпоративна стратегия за сигурност.
    Основният проблем в Интернет е идентифицирането на потребителите. В един магазин купувача се идентифицира със своя външен вид, но в Интернет това не е възможно. Въпреки, че в реалния живот даден човек може да се представи за друг, в Интернет това е още по-лесно. В Интернет никой не може да бъде сигурен за идентичността на друг човек, освен ако не се използва допълнителна технология. Но дори и даден човек да може да бъде идентифициран, често той не може да участва в бизнеса, тъй като му е необходим подпис който не може да се направи без участието на юридическа организация. Сигурността на информацията е най-важното нещо в Интернет, но тя не може да се осигури, ако има пропуски във фундаменталните принципи.
    За да се обезпечи сигурността на информацията е необходимо да се избегне неоторизирания достъп до електронните данни, в критичните от гледна точка на бизнеса системи в дадена компания. Резултатът от неоторизиран достъп може да бъде промяна, заместване, разпространение или нарушаване на дадена информация.
    Организациите и хората, които използват компютри могат да опишат своите нужди за сигурност на информацията от гледна точка на пет основни изисквания: конфиденциалност, цялост, наличност, легитимност и липса на отказ. Конфиденциалността е необходима за да се контролира получателя на дадена информация и за да се избегне нейното разпространение. Целостта трябва да гарантира, че информацията и програмите се променят само по определен и оторизиран начин, че данните са действителни и не са променени или изтрити по време на предаване. Наличността трябва да гарантира, че оторизираните потребители имат непрекъснат достъп до информацията и ресурсите. Легитимното използване означава, че ресурсите не могат да се използват от неоторизирани потребители или по неоторизиран начин.
    Тези пет компонента могат да бъдат оценявани по различен начин в зависимост от конкретното приложение. Необходимо е да се прави оценка на риска за да се определи каква тежест да се придаде на всеки от тях. За обезпечаване на сигурност на информацията могат да се използват различни технологии.
    Конфиденциалността и целостта могат да се изпълнят чрез криптографски методи, които осигуряват висока степен на сигурност. Чрез криптиране на данните никой не може да каже какво точно съдържа дадена информация. Посредством строго идентифициране може да се гарантира, че никой не вижда, не копира и не изтрива дадена информация. С комбинация от идентифициране и криптиране, единствения начин за достъп до данните е да се притежава необходимия сертификат за идентифициране и ключа за криптиране. Една система за идентифициране може да откаже достъп на оторизирани хора, които се опитват да получат достъп до информацията по неоторизиран начин. Липсата на отказ изисква намесата на трето лице, което отбелязва момента на входящата и изходяща комуникация, и което може да проверява валидността на цифровия сертификат. Когато е известен момента от време, в който дадена информация е влязла или излязла може да се провери дали дадена електронна поща е изпратена навреме.
    Това, на което трябва да се обърне внимание при осигуряване на защитата са ключа за криптиране, възлагането на отговорност, отговорността за даден ключ и одит на достъпа. Няма съмнение, че една правилно изпълнена криптографска система, която се управлява коректно предлага най-високата степен на сигурност на електронната информация.
    Информационна политика
    За да гарантира сигурността на най-важната информация, всяка компания трябва да разработи информационна политика, която да гарантира правилното изпълнение на процесите, когато нещо се случи. Процесът на разработване на информационна политика е като кръг, който винаги ви връща до началната точка. Разбира се, не можете да очаквате, че всичко ще работи от първия път. Новите технологии и идеи изискват непрекъснато да обновявате информационната политика. Така както вашата web страница изисква непрекъснато обновяване, така и процесите за обезпечаване на сигурността изискват непрекъснато обновяване.
    Първата стъпка във вашата информационна политика е да направите списък с всички ресурси, които трябва да бъдат защитени. В този списък трябва да включите компютри, принтери, маршрутизатори, защитни стени, сгради, където се намира хардуера или където се съхраняват вашите архивни копия. Трябва да се определи кой получава физически достъп до хардуера и логически достъп до софтуера често физическия достъп се пропуска да бъде отбелязан, но дори и най-добре защитения софтуер става безпомощен когато хакер влезе в сградата и изкопира върху дискета или CD-ROM диск необходимите му файлове.
    След като се направи списък на всички ресурси, трябва да се опишат вероятните заплахи за всеки ресурс. След като се направи и този списък, трябва да се направи оценка на риска, която показва в проценти вероятността от реализиране на всяка заплаха. Поради факта, че не е възможно да се инвестира във вземане на мерки срещу всяка заплаха, компанията трябва да прецени кои заплахи могат да се пренебрегнат за момента и на кои трябва да се обърне сериозно внимание.
    За да избегнете най-вероятните причини за нарушаване на сигурността трябва да реализирате рентабилна система за сигурност. При системите за сигурност, много важен фактор са разходите свързани с реализацията им. Сигурността не може да се оценява по възвръщаемост на инвестициите. Изпълнявайки една система за сигурност вие правите разходи, които никога не могат да бъдат възстановени. Единственото нещо, което може да се каже е, че е твърде вероятно при отсъствието на тази система компанията ви да загуби доста средства и клиенти, но в същото време е много трудно да убедите мениджърите от високо ниво, че се налага да инвестират много средства за обезпечаване сигурността на информацията.
    За да не пропуснете появата на нови заплахи, трябва непрекъснато да проследявате нещата и да обновявате своята система за сигурност. По този начин ще гарантирате наличието на стабилна система за сигурност, която ще ви предпазва от неоторизиран достъп.
    Заплахи и предизвикателства в Интернет
    Интернет предлага голямо разнообразие от възможни атаки. Въпреки че по-голямата част от тях са малко вероятни трябва да прецените колко опасни могат да бъдат те за вашата компания. Заплахите могат да се разделят в четири основни категории: загуба целостта на данните, загуба на конфиденциалност на данните, загуба на услуги и загуба на контрол.
    Компютърните хакери са хора, които се опитват да получат достъп до някаква конфиденциална информация. Например, една онлайн банка в Германия регистрира около хиляда опита за неоторизиран достъп за един ден. Не може да се каже каква част от тези опити са наистина сериозни, но това показва, че някои хора се опитват да изпробват своя късмет.




    Сподели с приятели:
  • 1   2   3   4   5   6   7   8




    ©obuch.info 2024
    отнасят до администрацията

        Начална страница