Безопасность электронных платежей и электронные системы

СОДЕРЖАНИЕ

Безналичные расчеты с использованием сети интернет

Техническое обеспечение безопасности транзакций

С каждым годом пользователей интернета становится все больше. Множатся и расширяются многочисленные сервисы, внедряются новые технологии. Во Всемирную сеть вышла торговля, через интернет, стали предоставляться разнообразные платные услуги. Это вызвало развитие электронных платежных систем.

Система электронных платежей – это система безналичных расчетов, заключение контрактов и перевода денег между продавцами и покупателями, банками и их клиентами с помощью средств электронной коммуникации с применением средств кодировании информации и ее автоматической обработки.

Безналичные расчеты с использованием сети интернет

Тенденции совершенствования информационных технологий определяют развитие и реформирование системы осуществления безналичных платежей с использованием сети интернет. Под интернетом понимается «объединенные между собой компьютерные сети, глобальная мировая система передачи информации с помощью информационно-вычислительных ресурсов».

Безналичные расчеты с использованием сети интернет подразумевают под собой осуществление операций по оплате товаров, работ или услуг, посредством перечисления электронных денежных средств по счетам в банках или платежных систем и зачетов взаимных требований.

Использование формы безналичных расчетов посредством электронных денежных средств регулируется нормами Федерального закона от 27.06.2011 г. № 161-ФЗ «О национальной платежной системе». Согласно данному нормативному акту под электронными денежными средствами понимаются «денежные средства, которые предварительно предоставлены одним лицом другому лицу, учитывающему информацию о размере предоставленных денежных средств без открытия банковского счета, для исполнения денежных обязательств лица, предоставившего денежные средства, перед третьими лицами и в отношении которых лицо, предоставившее денежные средства, имеет право передавать распоряжения исключительно с использованием электронных средств платежа».

Под платежной системой в Федеральном законе от 27.06.2011 г. № 161-ФЗ «О национальной платежной системе» понимается «совокупность организаций, взаимодействующих по правилам платежной системы в целях осуществления перевода денежных средств, включающая оператора платежной системы, операторов услуг платежной инфраструктуры и участников платежной системы, из которых как минимум три организации являются операторами по переводу денежных средств».

Наиболее популярными и широко используемыми международными платежными системами являются такие системы как: Visa, Europay, American Express, Diners Card, JCB, электронные карты Visa Electron, Cirrus Maestro. В России наиболее популярными отечественными платежными системами являются: WebMoney, Qiwi, Яндекс.Деньги, МИР [16].

Безналичные расчеты с использованием сети интернет могут осуществляться несколькими способами:

- через платежные системы с использованием банковских пластиковых карт;

- через платежные системы с использованием электронных денежных средств.

Банковская пластиковая карта является персонифицированным платежное средство, которое предназначено для оплаты товаров, работ, услуг, а также получения наличных денег в банковских учреждениях и банкоматах.

Под платежной системой с использованием банковских пластиковых карт понимается совокупность форм, методов и субъектов, которые регулируют и реализуют данную систему расчетов, обеспечивают необходимые условия для использования пластиковых карт как стандарта в качестве платежного средства.

Под платежной системой с использованием электронных денежных средств понимается совокупность форм, методов и субъектов, которые регулируют и реализуют систему расчетов с помощью электронных денежных средств, обеспечивают необходимые условия для использования электронных денег как средства в качестве платежа.

Основными преимуществами осуществления таких видов расчетов являются:

- уменьшение объема использования в расчетов наличных денежных средств;

- увеличение скорости расчетных операций;

- возможность приобретения товара или услуги на длительных расстояниях от продавца.

Основными недостатками осуществления безналичных расчетов с использованием сети интернет являются:

- наличие технических проблем (сбоев) в организации перевода электронных платежей;

- наличие довольно большого числа участников платежного процесса, что усложняет правовую возможность возмещения убытков в ходе осуществления таких операций.

Электронные деньги

Электронные деньги - это денежные обязательства организации, которая их выпустила (эмитента), находящиеся на электронных носителях в управлении пользователей.

Основные признаки электронных денег:

- осуществление эмиссии в электронном виде;

- хранение на электронных носителях;

- гарантии эмитента по их обеспечению обычными денежными средствами;

- признание их в качестве платежного средства не только эмитентом, а и рядом других организаций.

Для чёткого понимания того, что представляют собой электронные деньги, нужно отличать их от безналичной формы традиционных денежных средств (выпуск последних, производят центральные банки различных стран, они же устанавливают правила их обращения).

Никакого отношения к электронным деньгам не имеют и кредитные карты, являющиеся лишь средством управления банковским счётом. Все операции при использовании карт производятся с обычными деньгами, пусть и в безналичной форме.

Идея электронных платёжных систем появилась в 80-е годы ХХ века. Её основой послужили изобретения Дэвида Шаума, который основал в США компанию «DigiCash», основной задачей которой было внедрение технологий обращения электронных денег.

Замысел был довольно прост. В системе осуществляются операции с электронными монетами, представляющими собой файлы-обязательства эмитента с его электронной подписью. Предназначение подписи было аналогично предназначению элементов защиты бумажных купюр.

Принципы функционирования электронных денежных систем

Для успешной работы данного платёжного инструмента, необходима готовность организаций, продающих товары и оказывающих услуги, принимать в качестве оплаты электронные деньги. Это условие было обеспечено гарантиями эмитента по выплате сумм в реальной валюте в обмен на электронные монеты, введённые им в обращение.

В упрощённом виде схему функционирования системы можно представить следующим образом:

Клиент переводит на счёт эмитента реальную валюту, получая взамен файл-банкноту (монету) на такую же сумму за вычетом комиссии. Этот файл подтверждает долговые обязательства эмитента перед его держателем;

Электронными монетами клиент оплачивает товары и услуги в организациях, которые готовы их принимать;

Последние возвращают эти файлы эмитенту, получая от него взамен реальные деньги.

При такой организации работы у каждой из сторон возникает выгода. Эмитент получает свою комиссию. Торгующие предприятия экономят на издержках, связанных с обращением наличности (хранение, инкассация, работа кассиров). Клиенты получают скидки, обусловленные снижением издержек у продавцов.

При наличии авторитетного эмитента электронные деньги не только не хуже традиционных, а обладают ещё и рядом преимуществ.

Преимущества электронных денег:

Объединяемость и делимость. При осуществлении расчетов отсутствует потребность в сдаче.

Компактность. Хранение не требует дополнительного места и специальных устройств механической защиты.

Отсутствие нужды в пересчете и перевозке. Эта функция выполняется инструментами осуществления платежей и хранения электронных денег автоматически.

Минимальные затраты на эмиссию. Нет необходимости в чеканке монет и печатании банкнот.

Неограниченный срок службы из-за неподверженности износу.

Преимущества очевидны, но и без сложностей, как водится, не бывает.

Недостатки:

Обращение электронных денег не регламентируется едиными законами, что повышает вероятность злоупотреблений и произвола;

Необходимость наличия специальных инструментов осуществления платежей и хранения;

За сравнительно малый срок эксплуатации не разработаны надёжные средства безопасности хранения и защиты электронных денег от подделок;

Ограниченность применения вследствие неготовности всех продавцов принимать электронные платежи;

Затруднительность конвертации средств одной электронной платёжной системы в другую;

Отсутствие государственных гарантий, подтверждающих надежность эмитента и электронных денег как таковых.

Основные виды электронной подписи

Электронные платежные системы являются одним из самых популярных видов работы с электронной валютой. С каждым годом они развиваются все активнее, занимая довольно большую долю рынка по работе с валютой. Вместе с ними развиваются и технологии обеспечения их безопасности. Поскольку на сегодняшний день ни одна электронная платежная система не может существовать без хороших технологий и систем безопасности, которые в свою очередь обеспечивают безопасную транзакцию денежных операций. Самих электронных платежных систем, собственно, как и технологий по защите, существует очень много. Каждая из них имеет различные принципы и технологии работы, а также свои достоинства и недостатки.

Каждая электронная платежная системы использует свои методы, алгоритмы шифрования, протоколы передачи данных для выполнения безопасных транзакций и передачи данных. Одни системы используют алгоритм шифрования RSA и протокол передачи HTTPs, другие используют алгоритм DES и протокол SSL для передачи зашифрованных данных. В основу идеи написания статьи положено то, чтобы изучить и проанализировать ряд популярных платежных систем, а именно технологии безопасности, используемые в них, и выяснить какая наиболее совершенная.

В ходе написания реферата, были проведены исследования платежных систем, анализ безопасности существующих платежных систем. Были проанализированы четыре платежные системы (Webmoney, «Яндекс.Деньги», РауРа1 и E-Port) по одним и тем же критериям. Оценивания систем проводилось по многоуровневой системе, которая включает вложенные параметры. Разумеется, все эти критерии относятся к сфере информационной безопасности. Есть два основных критерия: техническое обеспечение информационной безопасности платежей и организационно-правовое обеспечение. Каждый из двух этих параметров оценивался по трехбалльной системе. Шкала оценок именно такая, поскольку нынешнее развитие электронных платежных систем в нашей стране находится на таком уровне, что большинство их параметров можно описать только словами «да или нет». Соответственно если система электронных платежей максимально соответствует какому-либо параметру, она получает высший балл (3), если совсем не отвечает — минимальный (0). Если в системе этого критерия в его явном виде нет, но если присутствуют какие сервисы или возможности, связанные с отсутствующим, присуждаем промежуточный балл — единицу или двойку.

Оценивая системы электронных платежей, следует помнить о том, что при различных условиях значение одного и того же параметра неодинаковы. Например, несколько сервисов, которые значительно повышают уровень защиты, могут быть реализованы пользователем только добровольно, дополнительно — ценное само наличие этих сервисов в системе. Человеческий фактор никто не отменял и никогда не отменит, поэтому учитывается, что сервис может быть как реализован, так и нереализованный.

Техническое обеспечение безопасности транзакций

Это первый из критериев — набор параметров, обеспечивающий, как ясно из его названия, техническую сторону защиты информации. До этого параметра включены: криптографические методы шифрования, аутентификации и доступ с помощью специального аппаратного обеспечения (в самом примитивном случае — с помощью USB-ключей).

Ни для кого не секрет, что основным критерием защиты информации в техническом плане является, конечно, шифрование данных, а конкретнее — криптографические алгоритмы, с помощью которых они реализованы. Известно также, что чем больше длина ключа, тем труднее расшифровать его и соответственно получить доступ к конфиденциальной информации. Три из испытуемых систем используют широко известный и широко уважаемый алгоритм RSA: Webmoney, «Яндекс.Деньги», PayPal. В E-Port применяется шифрование через SSL-протокол версии 3.0.Фактически шифрование реализовано с помощью SSL-ключей, которые уникальны, они генерируются во время сессии, так и названы сеансового ключа. Длина SSL-ключа в системе E-Port варьируется в пределах от 40 до 128-ми бит, что вполне достаточно для приемлемого уровня безопасности транзакций.

Следующий параметр в техническом обеспечении информационной безопасности транзакций — аутентификация, т.е. совокупность решений, которые нужны пользователю для доступа к его собственной персональной информации. Здесь все просто. В системах Webmoney и «Яндекс.Деньги» для доступа используются два критерия, тогда как в PayPal и E-Port — только один. В Webmoney для доступа в систему и проведения платежей необходимо вводить пароль и специальный ключ.Подобно работает и «Яндекс.Деньги»: требуется пароль и специальная программа-кошелек. Во всех остальных систем доступ осуществляется по паролю. Однако в системе E-Port для работы по SSL-протоколу web-сервер потенциального клиента (и любого другого участника системы) должен иметь специальный цифровой сертификат, полученный от одной из уполномоченных компаний. Этот сертификат используется для аутентификации web-сервера клиента. Механизм защиты сертификата, который используется в E-Port, сертифицированный компанией RSA Security. Третий и последний параметр в данном исследовании критерии — доступ к системе с помощью специального аппаратного обеспечения, например USB-ключей.

Криптографические методы шифрования

Webmoney и «Яндекс.Деньги» применяется ключ длиной 1024 бита (очень высокий показатель, взломать такой ключ методом простого перебора практически невозможно), а в PayPal используется ключ в два раза короче — 512 бит.Соответственно для первых двух систем по этому критерию получаем максимальный балл — 3. PayPal, потому что применяет ключ шифрования меньшей длины, получает два балла. Остается только оценить по этому параметру E-Port.Несмотря на использование в ней SSL-протокола и даже на длину ключа до 128-ми битов, в E-Port есть некоторая потенциальная уязвимость: много старых версий браузеров поддерживают шифрование с ключами меньшей длины, поэтому существует возможность взломать полученные данные; соответственно, для тех, кто использует браузер как клиент для платежной системы, необходимо работать с его последней версией (конечно, это не всегда удобно и возможно). Однако в графе «шифрование» можно выставить для E-Port 1,7 балла: система заслужила такую оценку благодаря применению прогрессивного протокола PGP для шифрования сообщений электронной почты.

Аутентификация

В системах Webmoney и «Яндекс.Деньги» для доступа используются два критерия, тогда как в PayPal и E-Port — только один. В Webmoney для доступа в систему и проведения платежей необходимо вводить пароль и специальный ключ. Подобно работает и «Яндекс.Деньги»: требуется пароль и специальная программа-кошелек.Во всех остальных систем доступ осуществляется по паролю. Однако в системе E-Port для работы по SSL-протоколу web-сервер потенциального клиента.

Согласно Webmoney и «Яндекс.Деньги» получают здесь по три балла, PayPal — 0 баллов, E-Port — один.

Здесь еще проще, чем с предыдущими параметрами. Подобную дополнительную опцию из всех систем имеет лишь Webmoney PayPal, последние не предоставляют такой возможности. Таким образом, с учетом весового коэффициента, Webmoney и PayPal получили по этому параметру 1,5 балла, все остальные — по нулю.

После оценки двух критериев можно подвести итоги. По сумме рассмотренных параметров безопасной оказалась Webmoney. Действительно, если пользователь задействует все предоставляемые ею сервисы обеспечения безопасности, он может остаться фактически неуязвимым для мошенников. Второе место заняла система «Яндекс.Деньги», третье — PayPal (эта система идеально подойдет юридическим лицам за значительной юридическую прозрачность платежей), а последнее место присуждено системе E-Port.

Кроме того, подведя итог анализа платежных систем, можно сказать, что, выбор электронной платежной системы осуществляется вовсе не по одному параметру безопасности, пусть даже он один из самых важных. Системы электронных платежей также отличаются наличием сервисов, удобством использования — есть множество других факторов.