- •Содержание:
- •Введение
- •Как начинался интернет-банкинг?
- •Каковы успехи интернет-банкинга на Западе и в России?
- •Какой интернет-банкинг нужен клиентам?
- •Перспективы интернет-банкинга
- •Платежные механизмы современного Интернета
- •Банковские карты в Интернете
- •Виды некарточных платежных систем в Интернете
- •Электронные деньги
- •Система Mondex и смарт-карта Сбербанка - система электронных платежей с использованием чиповых карт
- •DigiCash - электронные монеты
- •Платежная система PayCash
- •Правовая основа осуществления операций через Интернет
- •Интернет-банкинг: проблемы и решения
- •Системы управления счетами
- •Платежные системы и системы карточного процессинга
- •Организационные проблемы
- •Финансовые проблемы
- •Кадровые проблемы
- •Психологические проблемы
- •Технические проблемы
- •Юридические проблемы
Банковские карты в Интернете
Несомненно, для жителей США и Западной Европы, уже не представляющих себе жизнь без банковских карточек, оказался естественным процесс переноса карточной торговли в Интернет. Сейчас смело можно сказать, что львиная доля платежей в Интернете осуществляется по карточкам. Как, впрочем, и то, что львиная доля мошенничеств тоже приходится именно на карточные платежи. В первую очередь это связано со сверхбыстрым ростом Интернета в планетарных масштабах и продвижением его на территории государств с неустойчивым экономическим положением и своеобычной прикладной моралью, к последним можно отнести и Россию. Большинство сделок, проводимых через Интернет, относится к сделкам, классифицируемым в международной практике как сделки типа MO/TO (mail order/telephone order). При оформлении сделок MO/TO с получением номера карты вне Интернета у продавца всегда есть возможность провести аутентификацию (определение личности) клиента при доставке товара. Правила карточной торговли предполагают обязательную аутентификацию покупателя как держателя предъявленной карты. При предъявлении карты в обыкновенном магазине кассир обязан убедиться в том, что берет оплату именно с её держателя. При доставке товара по заказу, сделанному по телефону или почте, служба доставки несет ответственность за передачу товара именно заказчику, передавшему данные о банковской карте. В полной мере соблюсти эти правила в Интернете не представляется возможным. Особенно с его главным и специфическим товаром - информацией, которая может быть получена непосредственно в момент платежа. Проблема аутентификация человека, предъявившего карту, в настоящий момент не может быть решена в Интернете. Интернет-магазин способен провести только авторизацию (проверку платежеспособности) карты, но не аутентификацию человека, предоставившего информацию о карте.
При предъявлении карты через Интернет все операции, описанные ниже, выглядят совершенно одинаково:
-
вы предъявляете свою карту для оплаты товара;
-
вы предъявляете карту своего родственника или знакомого с его согласия;
-
вы предъявляете карту, данные которой вам почему-то оказались известны, без согласия её держателя.
В момент платежа все эти три операции с точки зрения продавца, получившего данные через Интернет, совершенно одинаковы. Данные карты будут переданы в процессинговый центр, откуда будет получен ответ о платежеспособности карты, затем будет проведена операция по съему денег с соответствующего карточного счета в банке, выпустившем карту. Последствия же этих операций будут различны. В первых двух случаях держатель карты в течение месяца получит выписку по карточному счету и согласится с проведенной операцией. В последнем же случае держатель карты опротестует операцию, которую он не совершал. По правилам карточных платежных систем опротестованные денежные средства безакцептно снимаются с магазина, совершившего операцию. Теперь уже магазин обязан доказывать факт совершения покупки банку, в этом случае при личном визите покупателя у магазина остается подпись под чеком или аналогичные документы службы доставки товара, по которым можно определить получателя. При продаже товара через Интернет, особенно в случае продажи виртуального товара, подобных документов не остается. Доказательство факта совершения покупки и доставки товара становится весьма хлопотным и дорогостоящим мероприятием. В большинстве случаев мошенничества с банковскими картами основные потери несет продавец, вынужденный компенсировать их, как это принято в мировой практике, из различных страховых фондов, что, в конечном итоге, увеличивает риск и стоимость торговых операций через Интернет и уменьшает их привлекательность для магазинов. Чаще всего это приводит к сужению географического региона, обслуживаемого данным интернет-магазином или платежной системой.
Кроме неприятностей, приносимых продавцам, подобные мошенничества оказываются чувствительными и для держателей карт. Необходимость оспаривать платеж отнимает время и силы держателя карты. Большое количество отказов может повлечь за собой необходимость досрочного перевыпуска карты и даже в некоторых случаях быть причиной отказа в обслуживании недобросовестного, по мнению банка, клиента.
Рассмотрим способы, с помощью которых данные о банковской карте могут стать известными злоумышленнику в случае совершения платежей через Интернет.
-
Возможность утечки данных о карте при передаче их через Интернет. Этот способ можно признать маловероятным, но возможным, особенно когда злоумышленник имеет доступ к транзитному трафику множества пользователей и способен делать фильтрацию интересующей его информации. Реально большинство магазинов используют протоколы защиты информации, например SSL, снимающие эту проблему.
-
Предъявление держателем данных о карте в поддельный или недобросовестный магазин, собирающий эту информацию с криминальными целями. Подобный ход событий следует признать весьма вероятным, особенно на специфических сайтах (азартные игры, порнография и т. д.) и сайтах, размещенных на территории государств с неустойчивой и криминализированной экономикой.
-
Возможность утраты данных о карте, переданных держателем магазину, в случае взлома интернет-магазина. Это событие весьма вероятно. Характерный пример - случай в начале января 2000 г.: кража и распространение в Интернете информации о кредитных карточках 300 000 клиентов CD Universe после того, как компания отказалась выплатить взломщику $100 000 в качестве компенсации за неразглашение.
Таким образом, можно сформулировать правила, выполнение которых позволит уменьшить риск операций через Интернет:
-
Покупать товары через Интернет только у фирм с солидной репутацией, имеющих представительство в Интернете в течение длительного времени.
-
Передача данных о карте должна осуществляться только через SSL-протокол.
-
Сертификат на SSL-протокол должен быть выдан сертифицирующей организацией, имеющей устойчивую международную репутацию, например RSA Data Security, Thawte, VeriSign, или, как минимум, включен производителями броузера в список сертификатов, допущенных к использованию, а не добавленных клиентом самостоятельно.
Технически выдать сертификат самому себе так же просто, как написать на простом листе бумаге "паспорт гражданина России", но доверие к такому листу у окружающих будет соответствующее. Поддержка сертификата на SSL-протокол от перечисленных выше компаний требует от владельца сайта не только расходов порядка $300-600 в год, но и предоставления центру сертификации дополнительной информации, подтверждающей благонадежность и деловую репутацию владельцев сайта.
Некоторым промежуточным решением, позволяющим снизить риск карточных операций в Интернете, стало создание закрытых клубных систем приема карточных платежей. Характерный пример - это система "Aссист" (www.assist.ru) банка "Платина" и решение от Internet Billing Company (www.ibill.com) и др. Обычно все участники такой системы должны зарегистрироваться специальным образом или разместить средства в некоем страховом фонде, которым могут служить, например, средства на обыкновенном банковском счете, с тем, чтобы платежная система смогла вас легко найти для разрешения возникшей спорной ситуации. То есть, фактически, платежная система предлагает раскрыть персональные данные своим участникам, давая взамен гарантии совершения более безопасных операций через Интернет и обязательства по неразглашению полученной информации. В таких системах владельцам карточек могут присваиваться особые постоянные или временные идентификаторы, которые предъявляются в платежную систему, и уже она производит далее расчеты через карточные и иные счета участников, или же непосредственно в момент платежа происходит перенаправление пользователя на сайт клубной системы, обладающей всеми необходимыми атрибутами защиты.
Кое-что о специализированных интернет-картах. Простейший способ немного увеличить безопасность системы состоит в том, чтобы делать платежи в Интернете по отдельным картам. Такие карты предлагает, например, "Москомприватбанк" (www.mprivat.com). Карта полностью аналогична обычной с нулевым кредитным лимитом, но не имеет "пластикового" исполнения. У этой "карты" нет ни пластика, ни пин-кода, фактически, клиент получает подписанный банком номер. Но это полнофункциональная карта, имеющая все атрибуты обыкновенной карты VISA: номер, срок действия, данные пользователя. Эмитированная в полном соответствии с правилами Visa, она будет работать в Интернете так же, как карта Visa Classic. Плюсом в данном случае является легкость получения, ограничение платежей и облегчение отслеживания платежей по такой карте. Впрочем, при некотором количественном улучшении характеристик, все качественные недостатки у этих карт такие же, как у пластика.
Одним из авторов этой статьи, а также другими аналитиками предлагалась концепция одноразовых карточек. В рамках описанной схемы под каждый платеж эмитируется такая карта с лимитом, равным сумме платежа. После платежа или через короткое время карта блокируется. Тем самым приведенные выше схемы мошенничества крайне затрудняются. К сожалению, существующие карточные системы не поддерживают быстрой и дешевой эмиссии карт, что делает схему неработоспособной в существующей карточной среде.