Главная Обратная связь

Дисциплины:






Протоколы и стандарты безопасности виртуальных платежей



 

К наиболее распространенным механизмам, которые призваны обеспечить безопасность проведения электронных платежей через Интернет относятся:

- протокол SSL (Secure Socket Layer), обеспечивающий шифрование передаваемых через Интернет данных;

- стандарт SET (Secure Electronic Transactions), разработанный компаниями Visa и MasterCard и обеспечивающий безопасность и конфиденциальность совершения сделок при помощи пластиковых карт.

Протокол SSL (Secure Socket Layer) – один из существующих протоколов обмена данными, обеспечивающий шифрование передаваемой информации. SSL – стандарт, основанный на криптографии с открытыми ключами. Протокол обеспечивает защиту данных, передаваемых в сетях TCP/IP по протоколам приложений за счет шифрования и аутентификации серверов и клиентов. Это означает, что шифруется вся информация, передаваемая и получаемая web-браузером, включая URL-адреса, все отправляемые сведения (такие, как номера кредитных карт), данные для доступа к закрытым web-сайтам (имя пользователя и пароль), а также все сведения, поступающие с web-серверов.

Конфиденциальность сообщений в SSL обеспечивается применением комбинированной схемы с использованием криптографии с открытыми и симметричными ключами. Весь поток сообщений между клиентом и сервером шифруется при помощи сеансового ключа, который вырабатывается на начальной стадии взаимодействия сторон по протоколу SSL, называемой handshake. Шифрование потока данных позволяет скрыть содержание сообщений даже при перехвате передаваемой информации.

Достоверность и целостность сообщений обеспечивается электронной подписью.

Взаимная аутентификация позволяет клиенту убедиться в подлинности соединения с требуемым сервером, а серверу, при необходимости, убедиться в достоверности клиента.

Описанный выше протокол SSL позволяет решить часть названных проблем безопасности, однако его роль в основном ограничивается обеспечением шифрования передаваемых данных. Поэтому для комплексного решения перечисленных выше проблем была разработана спецификация и создан набор протоколов, известный как стандарт SET (Secure Electronic Transaction – Безопасные электронные трансакции).

Официальной датой рождения стандарта SET является 1 февраля 1996 г. В этот день Visa International и MasterCard International совместно с рядом технологических компаний объявили о разработке единого открытого стандарта защищенных расчетов через Интернет с использованием пластиковых карт.

Благодаря использованию цифровых сертификатов и технологий шифрования SET позволяет как продавцам, так и покупателям производить аутентификацию всех участников сделки. Кроме того, SET обеспечивает надежную защиту номеров кредитных карт и другой конфиденциальной информации, пересылаемой через Интернет, а открытость стандарта позволяет разработчикам создавать решения, которые могут взаимодействовать между собой.



Другим важным фактором, обеспечивающим продвижение SET, является его опора на существующие карточные системы, давно ставшие привычным финансовым инструментом с отлаженной технологией и правовым механизмом.

В основе системы безопасности, используемой SET, лежат стандартные криптографические алгоритмы DES и RSA. Инфраструктура SET построена в соответствии с инфраструктурой открытого ключа (PKI) на базе сертификатов, соответствующих стандарту Х.509 организации по стандартизации (ISO). Главная особенность SET – регламентация использования системы безопасности, которая устанавливается международными платежными системами. Требования Visa и Europay к процессинговому центру на основе SET включают, во-первых, традиционные требования к процессингу пластиковых карт (защита помещений, контроль доступа, резервное энергоснабжение, аппаратная криптография и т.п.) и, во-вторых, специфические дополнения – межсетевые экраны (firewalls) для защиты каналов Интернета.

Такой подход позволяет использовать единые методики оценки рисков при проведении электронных платежей вне зависимости от способа аутентификации клиента (традиционная карта с магнитной полосой, смарт-карта или цифровой сертификат). Это позволяет участникам платежной системы разрешать спорные ситуации по отработанным механизмам и сконцентрироваться на развитии своего электронного бизнеса.

Повсеместное распространение мобильных средств связи, на использовании которых базируются практически все программы стратегического развития информационных технологий в XXI в., а также необходимость учитывать распространение конкурирующих решений определяют современные направления развития электронной коммерции и виртуальных платежей на базе стандарта SET.

SET обеспечивает следующие требования защиты операций электронной коммерции:

- секретность данных оплаты и конфиденциальность информации заказа, переданной вместе с данными об оплате;

- сохранение целостности данных платежей, которая обеспечивается при помощи цифровой подписи;

- специальную криптографию с открытым ключом для проведения аутентификации;

- аутентификацию держателя кредитной карты, которая обеспечивается применением цифровой подписи и сертификатов держателя карты;

- аутентификацию продавца и его возможности принимать платежи по пластиковым картам с применением цифровой подписи и сертификатов продавца;

- подтверждение того, что банк продавца является действующей организацией, которая может принимать платежи по пластиковым картам через связь с обрабатывающей системой; это подтверждение обеспечивается с помощью цифровой подписи и сертификатов банка продавца;

- готовность оплаты трансакций в результате аутентификации сертификата с открытым ключом для всех сторон;

- безопасность передачи данных посредством использования криптографии.

Рассмотрим более детально процесс взаимодействия участников платежной операции в соответствии со спецификацией SET.

Участниками представленной схемы взаимодействия являются: держатель карты – покупатель, делающий заказ; банк покупателя – финансовая структура, которая выпустила кредитную карту для покупателя; продавец – электронный магазин, предлагающий товары и услуги; банк продавца – финансовая структура, занимающаяся обслуживанием операций продавца; платежный шлюз – система, обычно контролируемая банком продавца, которая обрабатывает запросы от продавца и взаимодействует с банком покупателя; сертифицирующая организация – доверительная структура, выдающая и проверяющая сертификаты.

Взаимоотношения участников операции показаны на рисунке непрерывными (взаимодействия, описанные стандартом SET) и пунктирными линиями (некоторые возможные операции).

Динамика взаимоотношений и информационных потоков в соответствии со спецификацией стандарта SET включает следующие действия:

- участники запрашивают и получают сертификаты от сертифицирующей организации;

- владелец пластиковой карты просматривает электронный каталог, выбирает товары и посылает заказ продавцу;

 

- продавец предъявляет свой сертификат владельцу карты в качестве удостоверения;

- владелец карты предъявляет свой сертификат продавцу;

- продавец запрашивает у платежного шлюза выполнение операции проверки; шлюз сверяет предоставленную информацию с
информацией банка, выпустившего электронную карту;

- после проверки платежный шлюз возвращает результаты продавцу;

- некоторое время спустя продавец требует у платежного шлюза выполнить одну или более финансовых операций; шлюз посылает запрос на перевод определенной суммы из банка покупателя в банк продавца.

Надежность SET-платформы для организации защищенных, платежей является общепризнанной. Для получения актуальной информации о распространении SET, включая информацию о банках, имеющих сертификаты Visa и Europay/MasterCard, и торговых/сервисных компаниях, принимающих SET-платежи, можно обратиться на сайт set-sites.com или сайты международных платежных систем.





sdamzavas.net - 2019 год. Все права принадлежат их авторам! В случае нарушение авторского права, обращайтесь по форме обратной связи...