Мельников Д. А. - Организация и обеспечение безопасности информационно-технологических сетей и систем - 2012
.pdf552 |
Глава 31. Электронный бизнес и коммерческие риски |
торые будут выполнять функции «третейских судей» при спорных ситуациях. Именно необходимый уровень безопасно сти может помочь пользователям разрешать любые правовые проблемы. Тем более что перспектива возможных судебных разбирательств по поводу электронных коммерческих сделок в каком-нибудь удаленном рыбацком поселке на другом краю земли вряд ли будет привлекательной;
«проведение коммерческих операций в реальном времени. Как аль тернатива классическому ЭДО, который может вносить весьма большие временные задержки в период торговых сделок, воз никает не просто необходимость, а огромная потребность в проведении ЭК в масштабе реального времени (требование максимальной минимизации временных задержек). Однако такой режим функционирования имеет свои и «плюсы», и «минусы». «Минусы»: ЭК реального времени уменьшает воз можности участников сделки в полной мере идентифициро вать другую сторону и устраняет ряд факторов, способствую щих обеспечению безопасности, которые присущи ЭДО с вре менными задержками. «Плюсы»: оправдание, что «задержка - из-за проблем с почтой», не будет являться основанием для «бесполезного и якобы вынужденного блуждания по сети» пе ред завершающей процедурой электронного платежа, а будет просто «отметаться»;
орост осознания последствий возможных угроз безопасности. Дело вой мир полностью сознает степень коммерческих рисков при ведении электронного бизнеса;
®наличие современных технологий обеспечения информационной безопасности. Современные методы, способы и средства ин формационной защиты теперь применяются повсеместно, бо лее того, в основные операционные системы и ПО, используе мые в коммерческих целях, стали встраиваться дополнитель ные функции по обеспечению безопасности данных. Уровень безопасности информации заметно возрос, так как защита данных стала доступна для различных форм ЭК; и особенно важно, что она обеспечивает безопасность электронных пла тежей. Фактически, функции защиты стали частью самих электронных операций;
©безопасность как стратегическая цель. Безопасность может обес печить электронному бизнесу дополнительную конкуренто способность и заключить его в жесткие функциональные гра ницы, защитив его тем самым от различных «неприятностей». С точки зрения ретроспективы, вначале были первые компью теры (семидесятые годы XX в.), которые объединились в ин
554 |
Глава 31. Электронный бизнес и коммерческие риски |
31.4. Цели и содержание IOTP/PAPI
Протокол открытой торговли в Internet (Internet Open Trading Protocol - IOTP) и прикладной платежный интерфейс (Payment Ap plication Programmers Interface - PAPI) были разработаны IETF TWG и обеспечивают совместное функционирование различных систем электронной Internet-коммерции. Они представляют собой новую платежную систему, которая способна объединить существующие СЭЛП. К таким системам относятся «SET», «Secure Channel Credit/Debit», «Mondex», «CyberCoin», «GeldKarte» и др. (рис. 31.1).
Рис. 31 .1 . Система открытой электронной коммерции на основе IOTP/PAPI
IOTP/PAPI обеспечивают возможность регулирования элек тронных торговых операций, в которых участвуют, с одной сторо ны, продавец (который подразумевает определенный состав участ ников торговой сделки: виртуальный магазин, СЭЛП, поставщик товаров и услуг) и, с другой стороны, представитель покупателя (яв ляющийся также участником торговой сделки), путём одной или нескольких торговых сессий.
Конструкция IOTP/PAPI предоставляет виртуальные возмож ности, которые в точности отражают обычные реальные условия коммерции, основанные на бумажных деньгах, традиционных, по нятных и общедоступных методах торговли, покупки, продажи и
Раздел VI. |
555 |
платежного обмена, которые существуют уже много сотен лет. При обсуждении условий торговой сделки (на каких условиях она будет осуществляться) её участники будут оговаривать демонстрацию предлагаемых товаров и услуг, способ оплаты, условия приёма пла тежа, доставку приобретенных товаров и их получение. В реальных условиях торговой операции существуют события, которые прини маются как доказательства положительного результата сделки. IOTP/PAPI разработаны с этой же целью, но только для условий виртуального мира, а также для реализации новых моделей торгов ли, способных расширить виртуальное сообщество.
Другой фундаментальной целью создания IOTP/PAPI являет ся то, что итерации (процедуры) торговой сессии не зависят от спо соба торговой сделки между участниками. Два незнакомых друг с другом субъекта, используя возможности ЭК для продажи и покуп ки товаров и услуг, которая подчиняется правилам IOTP/PAPI, смо гут безопасно и успешно провести торговую операцию.
В целом IOTP/PAPI обеспечивают:
охорошо известные модели традиционной торговли;
оновые модели электронной торговли;
оглобальное взаимодействие различных и разнородных пла тежных систем.
Развитие Internet-сети и появление ЭК вызывают разительные
перемены в окружающем мире (в обществе, политике и управлении, а также в бизнесе). Расстояния между связывающимися торговыми партнерами, для совершения сделки, исчезают навсегда.
Одним из наиболее существенных изменений, связанных с по явлением IOTP/PAPI, является способ проведения торговой опера ции между покупателем и продавцом. Характеристики торговых сделок, которые подверглись явным качественным и количествен ным изменениям, следующие:
1)личное присутствие сторон сделки (presence) - не требуется. Уже с появлением почтовых и телефонных заказов были очевидны качественные изменения в торговле. ЭК через Internet будет в дальнейшем расширять границы и количество торговых сде лок, проводимых без какого-либо присутствия людей. Она становится частью общей предпринимательской деятельности, позволяющей делать свой бизнес «в одиночку»;
2)аутентификация (authentication) - персонификация одной из сторон сделки другой (и наоборот). IOTP/PAPI предоставляют субъектам сделки возможность использования привычных ве щей и диалога для проверки подлинности друг друга при со ответствующих обоюдных (или односторонних) требованиях.
556 |
Глава 31. Электронный бизнес и коммерческие риски |
Продавец отображает на своем экране логотипы нескольких финансовых институтов, которые предоставляют ему возмож ность доступа к широко используемым средствам для прове дения кредитно-дебетовых операций в платежной фазе торго вой сделки. Покупатель же проходит идентификацию в пра вительственном или финансовом учреждении, которая дает гарантию продавцу, что покупатель платежеспособен и будет платить. В естественных условиях люди используют не ощу щаемые средства аутентификации, такие как персональный внешний вид и поведение продавца, месторасположение мага зина, несомненное качество и хорошая осведомленность поку пателя в торговых марках товаров и, в заключении, добрый «неподдельный» взгляд и «нелукавые» глаза продавца;
3)платежные средства (payment instruments) - несмотря на гро мадное количество финансовых платежных объединений (ас социаций), использующих банковские кредитные карты (КК), и их членов, наибольшее применение в мировой торговле, тем не менее, получили денежное обращение или товарообмен (barter). Однако такая инфраструктура платежного обеспече ния бизнеса, с экономической точки зрения, не может поддер живать небольшие торговые сделки и может не выдержать большого количества крупных торговых сделок, если даже не принимать к обслуживанию небольшие торговые сделки;
4)объемы торговых сделок (transaction values) - в Internet появились новые возможности для мелких торговых сделок, с помощью которых продавцы могут предложить, например, несколько страниц информации за небольшую сумму, которая вообще не появится в реальных условиях (не выйдет за пределы Internet);
5)доставка (delivery) - новые режимы доставки должны быть со гласованы с прямой электронной доставкой. Средства, с по мощью которых обеспечивается доставка, и осуществляются платежи, разительно изменились. Теперь за предоставленные
товары и услуги, которые при этом могут иметь очень высокие цены, потребители чрезвычайно быстро расплачиваются. С другой стороны, даже если цена не высокая, но однажды она будет оплачена и может стать невозвратимой, так как реально платеж должен быть окончательным и назад не возвращаться. Однако доставка, тем не менее, должна подтверждаться еще до начала платежа. Доставка становится прибыльным бизнесом, так как время просмотра или обзора товара или время испол нения заказа в других моделях торговли значительно отлича ются от тех, которые происходят в виртуальном мире.
Раздел VI. |
557 |
Разработчики IOTP/PAPI определили следующие преиму щества протокола и интерфейса. Фирмы-производители программно го обеспечения для ЭК. Эти фирмы и компании получают возмож ность совершенствования своих уникальных программных продук тов для ЭК, которые становятся все более привлекательными, так как они будут взаимодействовать с программным обеспечением других фирм и компаний. Однако пока IOTP/PAPI не концентри руется на том, как эти продукты должны взаимодействовать между собой, уже сейчас имеется большая возможность для дифференциа ции программного обеспечения (ПО).
Платежные системы. IOTP/PAPI предоставляют единые правила для интеграции различных платежных протоколов. ПО IOTP/PAPI объединяет все те средства, которые доступны для ПО других платеж ных систем. В результате IOTP/PAPI будет представлять многие пла тежные системы и будет доступен для большого количества платформ электронных платежей.
Продавцы. Для продавцов будет обеспечиваться несколько пре имуществ:
•они будут способны предлагать покупателям на выбор боль шое количество платежных систем;
ву них появляется больше возможности удостовериться в том, что покупатель имеет необходимое ПО для завершения торго вой сессии;
обеспрепятственное получение платежей и доставка квитанции об оплате от их покупателей. Они смогут удовлетворять жела ния покупателей и при этом обладать информацией о том, что они имеют дело либо с физическим, либо юридическим ли цом, с которыми торговали в реальных условиях;
оновые продавцы имеют возможность занять свою нишу в Inter net-торговле со своими новыми товарами и услугами, исполь зуя для этого новые благоприятные торговые возможности,
предоставляемые IOTP/PAPI.
Банки и финансовые институты. Для банков и финансовых ин ститутов также появляется несколько преимуществ:
оони смогут поддерживать IOTP/PAPI в интересах продавцов;
оони смогут получить новые благоприятные возможности для реализации IOTP/PAPI-служб:
-представительство продавца для разрешения конфликтов и проблем между продавцом и покупателем (функции тре тейского суда);
-дополнительная прибыль от обработки новых платежей и банковских вкладов;
оони смогут получить благоприятные возможности для нала живания связей с новыми типами продавцов.
58 |
Глава 31. Электронный бизнес и коммерческие риски |
Покупатели. Для покупателей также предоставляется несколь-
опреимуществ:
оони будут иметь большой выбор продавцов, с которыми они смогут проводить торговые сделки;
•существует универсальный интерфейс для проведения пла тежной фазы торговой сделки;
•существует несколько способов разрешения собственных про блем, полностью зафиксированных продавцом (причем по следний сделает это охотнее чем банк);
всуществует запись его действий в период торговой сессии, ко торая может быть использована, например, для передачи её в системы учёта или, что не исключается, в налоговые органы.
Целями IOTP/PAPI являются:
1)предоставить потенциальным разработчикам возможность создания однородных программно-аппаратных комплексов, которые будут использовать IOTP/PAPI;
2)предоставить индустрии финансовых услуг основы и принципы развития ЭК и протокола и интерфейса электронной торговли, которые интегрируют (без каких-либо изменений) любые суще ствующие и перспективные платежные схемы (системы).
IOTP/PAPI определяют содержание, формат и последователь
ности сообщений, которыми обмениваются между собой участники электронной торговли (покупатели, продавцы и банки или другие финансовые учреждения) и «третейские судьи».
Протокол и интерфейс представляют собой конструкцию, спо- :обную удовлетворить любую СЭЛП. Каждая такая схема включает некоторые последовательности сообщений, которые являются специ фическими для данной системы. IOTP/PAPI включает весь набор та ких систем, для которых в нем определены специальные разделы.
Глава 32. Общая характеристика IOTP-протокола
Архитектура СЭЛП на базе IOTP/PAPI представлена на рис. 32.1. Главной особенностью функционирования ЮТР является то, что в ка честве транспортного протокола используется НТТР-протокол.
Покупатели |
Продавцы |
Платежные |
Финансовые |
|
институты |
||||
организаций |
||||
|
|
(банки) |
НОплатежных |
ПО1ша1сжныч |
ПОшшежныч |
ПОиланежных |
|||||||
|
систем |
|
систем |
систем |
|
систем |
||||
|
Платимый |
|
Плавный |
Плавный |
|
Плавный |
||||
кктерф^с (PAPI) |
интерф{ф(PAPI) |
интерф^с (PAPI) |
интерфДОс(РАР1) |
|||||||
|
|
|
|
1 |
|
"...-м-***—"*.. |
|
1 |
|
|
% {Подуровень |
« |
|
1 |
= |
|
|||||
1Подуровень |
% Подуровень |
{Подуровень |
||||||||
||! |
ЮТР |
M j |
ЮТР |
Ц ! |
ЮТР |
| я J |
ЮТР |
|||
§ | |---------- |
11 Г" |
|
3 | 1 |
5 2 г |
|
|||||
5 |
711Подуровень |
х |
7"*«Подуровень |
S. 7\j |
Подуровень |
5 |
711Подуровень |
|||
= |
J |
HTTP |
- |
; |
нпр |
с ; |
нпр |
- |
J |
НПР |
|
Транспортный |
|
Транспортный |
Транспортный |
|
Транспортный |
||||
|
уровеньt'ICP) |
|
уровень(TCP) |
уровень (TCP) |
|
уровень (ГСР) |
||||
|
Ссгевой |
|
СсIспои |
Сетевой |
|
Сетевой |
||||
|
уровень (IP) |
|
уровень UP) |
уровень(IP) |
|
уровень (IP) |
||||
|
Канальный |
|
Канальный |
Канальный |
|
Канальный |
||||
|
уровень |
|
уровень |
уровень |
|
уровень |
||||
|
Физический |
|
Физический |
Оптический |
|
Физический |
||||
|
уровень |
|
уровень |
уровень |
|
уровень |
||||
J L
Рис. 32.1. Архитектура электронной платежной системы на основе IOTP/PAPI
В реальном мире коммерческая деятельность включает раз личные направления. В связи с этим, ЭК также должна максимально точно отображать все аспекты любой деятельности, поэтому ЮТРпротокол определяет следующие классы и типы электронных тор говых операций:
оКласс платежных операций
-приобретение товаров и услуг (PURCHASE) - включает пред ложение, оплату и доставку (последняя не обязательна) то варов и услуг;
.60 |
Глава 32. Общая характеристика ЮТР-протокояа |
-возврат стоимости (REFUND) - предназначена для возврата платежей, которые являются результатом, как правило, преждевременной покупки товаров;
-обмен стоимости (VALUE EXCHANGE) - предполагает пре образование стоимости с одними денежным выражением и методом платежа в стоимость с другими денежным выраже нием и методом платежа;
-изъятие электронных денег (WITHDRAWAL) - обеспечивает изъятие электронных денег из финансового учреждения (банка);
-внесение электронных денег на счет в банке (DEPOSIT) - обес печивает внесение электронных денег на счет в финансовое учреждение (банк);
•Класс аутентификационных операций:
-аутентификация (AUTHENTICATION) - предоставляет воз можность одному физическому или юридическому лицу проверить подлинность другого физического или юриди ческого лица (и наоборот);
•Класс технологических операций
-запрос (INQUIRY) - обеспечивает осуществление запросов о состоянии тех или иных торговых сессий ЮТР, которые ли бо проводятся в настоящее время, либо завершились;
-эхо-контролъ (PING) - обеспечивает простую проверку од ним программным IOTP-модулем другого программного IOTP-модуля (находится ли последний в рабочем и исправ ном состоянии или нет).
Эти типы торговых операций составляют функциональную основу IOTP-протокола. Проведение каждой из этих торговых опе раций подразумевает:
оопределенное количество организаций входящих в состав уча стников торговой операции;
оопределенную совокупность торговых процедур (т.е. торговая операция состоит из определенного количества торговых про цедур). Каждая торговая процедура включает обмен данными (IOTP-сообщениями между участниками торговой операции), которые представляются в определенной форме (набор торго вых информационных блоков и компонентов).
Общая структура торговой операции IOTP-протокола пред ставлена на рис. 32.2. Важной особенностью информационного об мена в период торговой операции является то, что каждое получен ное IOTP-сообщение (после его приема и обработки) размещается во