≡× МЕНЮ

• Windows 10
• Интернет, Wi-fi
• Полезное
• Windows 7
• Ошибки

Методы защиты системы электронных платежей цифровые деньги. Защита информации электронных платежных систем. Принципы функционирования электронных денежных систем

Наличием электронных сбережений сложно кого-то удивить, ведь они давно вошли в обиход каждого человека и применяются для осуществления покупок в Сети, проведения переводов и конвертации средств. Популярность такой валюты объясняется удобством ее применения, а также минимальной комиссией. Отдельного внимания заслуживает вопрос безопасности денег. Обеспечение исправного функционирования стандартов и механизмов хранения виртуальных активов, как правило, обеспечивается платежными сервисами, но и пользователи обязаны соблюдать элементарную предосторожность при манипулировании последними.

С появлением интернет-банкинга, возможностей стало еще больше. Люди получили доступ к совершению покупок или проведению других транзакций, не выходя из дома. Для осуществления любой операции достаточно компьютера, смартфона или другого устройства, а также стабильного подключения к Сети.

Несмотря на ряд преимуществ, электронные деньги нуждаются в дополнительной защите со стороны пользователя. Это связано с появлением большого числа мошенников, умеющих взламывать личные аккаунты и получать необходимые пароли. Вот почему важно предпринять некоторые меры, направленные на обеспечение безопасности любой транзакции в Сети. Ведь схемы несанкционированного доступа к чужим виртуальным сбережениям прогрессируют, а весьма часто онлайн-мошенники опережают на шаг разработчиков защитных механизмов.

Существующие риски и основные способы защиты

В Интернете существует множество вариантов мошенничества, позволяющих злоумышленникам ловко обманывать людей, воровать личные данные, а впоследствии и деньги. К наиболее популярным разновидностям стоит отнести:

• Фишинг - утонченный способ мошенничества, подразумевающий кражу личных данных, а именно паролей, банковских счетов, логинов, номеров пластиковых карточек. Сущность метода заключается в отправке письма по e-mail от имени какой-либо авторитетной организации, например, банковского учреждения. В тексте сотрудники псевдоорганизации рекомендуют обновить или передать какую-либо информацию под различным предлогом. Особенность фишинга заключается в детальной проработке мошеннической схемы. Для большей достоверности злоумышленники создают сайты, которые в точности копируют интернет-ресурс подставной организации. Следовательно, человек не подозревает об обмане, попадает на «крючок» и теряет деньги. Чтобы избежать подобных неприятностей, важно проявлять предельную бдительность и научиться вычислять поддельные сайты.

• Скимминг - направление, подразумевающее применение специальных устройств, позволяющих считать необходимую информацию с магнитной ленты пластиковой карты. Алгоритм действий выглядит следующим образом. Сначала злоумышленник фиксирует скиммер на приемнике банкомата. Особенность этого устройства заключается в том, что оно почти не отличается от заводского разъема. В основе прибора лежит специальная схема, которая и обеспечивает считывание данных. Одновременно с этим к банкомату крепится видеокамера, целью которой является фиксация PIN-кода. На последнем этапе мошенник делает копию карточки и с помощью украденного кода снимает все средства.

Одним из преимуществ электронных денег является невозможность их подделки (в классическом понимании). Их нельзя напечатать, а после приобрести что-либо с применением поддельных банкнот. Виртуальная валюта имеет электронно-цифровую форму и используется только в Сети, но даже это гарантирует стопроцентную защиту. Как отмечалось выше, разработано множество вариантов мошенничества, позволяющих обманывать доверчивых людей.

Но существует несколько основных способов защиты денег, позволяющих уберечь электронные сбережения от злоумышленников:

• Пароли. Практически каждый пользователь глобальной сети ежедневно сталкивается с необходимостью ввода специальных кодов для входа в личный кабинет того или иного сайта. Похожая система внедрена и в электронных платежных сервисах, многие из которых применяют этот способ в качестве основного метода обеспечения безопасности. На практике может использоваться не один, а сразу несколько паролей, которые бывают стационарными или меняющимися. В последнем случае код обновляется при каждом посещении ресурса. Новая комбинация приходит на e-mail или мобильный телефон. Контрольный пароль, как правило, вводится при проведении любой финансовой операции в Сети. Такая мера позволяет дополнительно защитить пользователя, который совершил транзакцию и временно отошел от компьютера. Другой человек уже без указания контрольного кода не сможет провести любую финансовую манипуляцию и воспользоваться чужими деньгами. Рассмотренная система имеет широкий спрос во многих платежных системах, в том числе в Яндекс.Деньги, Qiwi и другие (называется «Платежный пароль»). Вопрос безопасности денег отлично продуман в еще одном сервисе - Вебмани. Здесь одного пароля для входа в кошелек недостаточно - необходимо наличие файла ключей. Применение PIN-кода в качестве защиты характерно и для банковских карточек, о которых упоминалось вначале статьи. Он, как правило, состоит из четырех цифр, которые каждый пользователь задает индивидуально. Как показала практика, такой способ защиты электронных денег не отличается большой надежностью, а сама система безопасности подвержена взлому. Если же злоумышленник украл карту и пытается подобрать пароль, «пластик» блокируется после трех допущенных подряд ошибок. Из сказанного выше можно сделать вывод, что пароль является популярным путем обеспечения безопасности электронной валюты, и он присутствует практически во всех современных платежных системах. Единственным минусом является недостаточный уровень надежности, поэтому его рекомендуется комбинировать с другими способами защиты.

• Файлы ключей. Рассматриваемый метод используется в Вебмани и обеспечивает дополнительную надежность. Его сущность в том, что после прохождения регистрации клиенту выдается специальный файл, внутри которого содержатся ключи от хранилища. Для получения доступа к накоплениям, пользователю необходимо иметь под рукой пароль, а также упомянутый выше документ. Кроме того, у файла кошелька предусмотрена своя защита, обеспечивающая безопасность денег. Здесь также необходимо ввести определенную комбинацию букв, цифр и символов. Для дополнительной защиты личных сбережений упомянутый выше файл рекомендуется хранить вне жесткого диска компьютера, например, на флешке. В иной ситуации после проникновения в ПК злоумышленник получает все необходимые данные для взлома кошелька. На случай потери этого файла желательно сделать его копию и сохранить на выносном носителе.
• Набор символов на дисплее. Одним из способов защиты от различных червей, троянов и вирусов является экранная клавиатура. Такая методика применяется в одной из наиболее популярных систем EasyPay. В отличие от других ЭПС, ввод необходимых символов производится не с обычной клавиатуры, а через специальное изображение на экране монитора. Такая методика защиты имеет две стороны. В случае набора пароля другой человек может подсмотреть информацию, а впоследствии использовать ее для взлома. Если же внимательно подойти к этому моменту и производить набор, когда посторонние люди отсутствуют, можно защитить практически все виды электронных денег от клавиатурных шпионов. Последние представляют собой программы, которые проникают в компьютер пользователя и считывают специальный лог-файл (именно в нем хранится информация о введенных через клавиатуру символах). Но существуют и другие программы, которые фиксируют, а впоследствии воспроизводят любые действия пользователя, в том числе и перемещение мышкой. Следовательно, принимать решение об актуальности применения обычной или дисплейной клавиатуры необходимо индивидуально, с учетом текущей ситуации.

• Специальная фраза. Для повышения уровня защиты своих средств, каждый пользователь должен придумать одно или несколько слов. Применение такой методики позволяет защититься от фишинга, о котором упоминалось в начале нашего повествования. После открытия операционной страницы сервиса, человек должен видеть установленную контрольную фразу. Если она не совпадает с оригиналом или ее нет вовсе, можно с уверенностью говорить о попытке мошенничества.
• Блокировка счета. К этому шагу приходится прибегать в ситуации, когда рассмотренные выше способы не сработали или не могут обеспечить необходимый уровень защиты. Такое возможно, когда человек случайно потерял пароль, стал жертвой кражи данных с ПК или не может найти пластиковую карту. Итак, если основные способы защиты не сработали, пользователь отправляет SMS на определенный номер или совершает звонок с командой блокировки электронного счета. Эта мера подходит для крайних случаев, но именно она обеспечивает лучшую защиту электронных денег в чрезвычайной ситуации.

Рассмотренные выше способы по отдельности не гарантируют полную безопасность и должны использоваться исключительно в комплексе. Наиболее «слабым звеном» в этом вопросе является наличие человеческого фактора, который делает уязвимой даже надежную систему.

Простые способы защиты - мощное дополнение для основных методов

Каждый человек должен понимать, что сохранность электронных денег напрямую зависит от его внимания и следования некоторым рекомендациям:

• Никогда не передавайте пароли другим людям, вне зависимости от объяснений. ПИН-код карточки или набор символов для входа в кошелек электронной платежной системы является личной информацией, которую нельзя никому доверять. Любые попытки выяснить эти факты должны настораживать, даже если персональные данные просит предоставить представитель службы поддержки. Игнорируя эту рекомендацию, вы нивелируете основные способы защиты, которые становятся попросту неэффективными. Особое подозрение должны вызывать попытки выманить личные данные через e-mail. В этом случае с большой вероятностью можно говорить об интернет-мошенничестве.
• Если покупки в Сети являются обычным делом, желательно оформить отдельную банковскую карту и использовать ее в качестве платежного инструмента для оплаты услуг или товаров в Интернете. Не стоит расплачиваться различными карточками, ведь в этом случае снижается их степень конфиденциальности. Кроме того, желательно установить лимит, чтобы избежать потери крупной суммы в случае взлома «пластика» злоумышленником.
• Перед снятием денег в банкомате желательно внимательно осмотреть аппарат на факт отсутствия специальных устройств для скимминга. Если заметны плохо прикрепленные элементы, стоит сообщить о проблеме представителям банка, а самому поискать другой аппарат для обналичивания средств.
• Не пользуйтесь кошельками электронных платежных систем через общедоступные компьютеры в интернет-кафе или других подобных заведений. В этом случае злоумышленники могут с легкостью перехватить конфиденциальную информацию, после чего основные способы защиты денег оказываются бесполезными. Администратор такого заведения может с легкостью проверить историю каждого пользователя и изъять необходимую для себя информацию.
• Не переходите по ссылкам, приходящим на e-mail, если нет уверенности в достоверности данных, и вы не знакомы с отправителем. Если проигнорировать рекомендации, можно «подцепить» вирус или троян, который будет собирать конфиденциальную информацию и отправлять ее создателю. Кроме того, не стоит на 100% доверять пользователям, которых вы знаете, ведь почтовый ящик мог быть взломан. Если ссылка подозрительная, лучше отдельно выяснить ее актуальность.
• При оплате банковской карточкой в любом заведении, всегда держите «пластик» на виду. Если официант пропустит магнитную ленту через отдельное считывающее устройство, к нему в руки перейдут все необходимые данные.
• Никогда не используйте один и тот же пароль на различных сервисах, ведь в случае взлома злоумышленник получает доступ ко всем деньгам. Кроме того, желательно использовать сложную комбинацию символов, чтобы сделать подбор невозможным.
• При покупке товаров с помощью ЭПС или карты в Сети, желательно работать только с авторитетными интернет-магазинами. Не стоит переводить деньги сомнительным лицам, вне зависимости от предлагаемой выгоды.
• Периодически проверяйте счет карты или платежной системы, чтобы оперативно обнаруживать пропажу и пользоваться блокировкой.
• Поставьте надежный антивирус на ПК и регулярно его обновляйте. Кроме того, включите фаервол, который обеспечит дополнительную защиту от злоумышленников.

Любые виды электронных денег требуют внимания. Только от пользователя зависит, сможет ли он сохранить заработанные средства, или они достанутся мошенникам.

Некоторое время развитие WWW сдерживалось тем, что html-страницы, являющиеся основой WWW, представляют собой статический текст, т.е. с их помощью сложно организовать интерактивный обмен информацией между пользователем и сервером. Разработчики предлагали множество способов расширения возможностей HTML в этом направлении, многие из которых так и не получили широкого распространения. Одним из самых мощных решений, явившихся новым этапом развития Интернет, стало предложения компании Sun использовать в качестве интерактивных компонентов, подключаемых к HTML-страницам Java-апплетов.

Java-апплет представляют собой программу, которая написана на языке программирования Java, и откомпилирована в специальные байт-коды, которые являются кодами некоторого виртуального компьютера - Java-машины - и отличны от кодов процессоров семейства Intel. Апплеты размешаются на сервере в Сети и загружаются на компьютер пользователя всякий раз, когда происходит обращение к HTML-странице, которая содержит в себе вызов данного апплета.

Для выполнения кодов апплетов стандартный браузер включает в себя реализацию Java-машины, которая осуществляет интерпретацию байт-кодов в машинные команды процессоров семейства Intel (или другого семейства). Заложенные в технологию Java-апплетов возможности, с одной стороны, позволяют разрабатывать мощные пользовательские интерфейсы, организовывать доступ к любым ресурсам сети по URL, легко использовать протоколы TCP/IP, FTP и т.д., а, с другой стороны, лишают возможности осуществить доступ непосредственно к ресурсам компьютера. Например, апплеты не имеют доступа к файловой системе компьютера и к подключенным устройствам.

Аналогичным решением по расширению возможностей WWW является и технология компании Microsoft - Active X. Самыми существенными отличиями данной технологии от Java является то, что компоненты (аналоги апплетов) - это программы в кодах процессора Intel и то, что эти компоненты имеют доступ ко всем ресурсам компьютера, а также интерфейсам и сервисам Windows.

Еще одним менее распространенным подходом к расширению возможностей WWW является подход, основанный на использовании технологии встраиваемых модулей Plug-in for Netscape Navigator компании Netscape. Именно эта технология и представляется наиболее оптимальной основой для построения систем защиты информации электронных платежей через Интернет. Для дальнейшего изложения рассмотрим, как с помощью данной технологии решается проблема защиты информации Web-сервера.

Предположим, что существует некоторый Web-сервер и администратору данного сервера требуется ограничить доступ к некоторой части информационного массива сервера, т.е. организовать так, чтобы одни пользователи имели доступ к некоторой информации, а остальные нет.

В настоящее время предлагается ряд подходов к решению данной проблемы, в частности, многие операционные системы, под управлением которых функционирует серверы сети Интернет, запрашивают пароль на доступ к некоторым своим областям, т.е. требуют проведения аутентификации. Такой подход имеет два существенных недостатка: во-первых, данные хранятся на самом сервере в открытом виде, а, во-вторых, данные передаются по сети также в открытом виде. Таким образом, у злоумышленника возникает возможность организации двух атак: собственно на сервер (подбор пароля, обход пароля и.т.) и атаки на трафик. Факты реализации подобных атак широко известны Интернет-сообществу.

Другим известным подходом е решению проблемы защиты информации является подход, основанный на технологии SSL (Secure Sockets Layer). При использовании SSL между клиентом и сервером устанавливается защищенный канал связи, по которому передаются данные, т.е. проблема передачи данных в открытом виде по сети может считаться относительно решенной. Главная проблема SSL заключается в построении ключевой системы и контроле над ней. Что же качается проблемы хранения данных на сервере в открытом виде, то она остается нерешенной.

Еще одним важным недостатком описанных выше подходов является необходимость их поддержки со стороны программного обеспечения и сервера, и клиента сети, что не всегда является возможным и удобным. Особенно в системах ориентированных на массового и неорганизованного клиента.

Предлагаемый автором подход основан на защите непосредственно html-страниц, которые являются основным носителем информация в Internet. Существо защиты заключается в том, что файлы, содержащие HTML-страницы, хранятся на сервере в зашифрованном виде. При этом ключ, на котором они зашифрованы, известен только зашифровавшему его (администратору) и клиентам (в целом проблема построения ключевой системы решается так же, как в случае прозрачного шифрования файлов).

Доступ клиентов к защищенной информации осуществляется с помощью технологии встраиваемых модулей Plug-in for Netscape компании Netscape. Данные модули представляют собой программы, точнее программные компоненты, которые связаны с определенными типами файлов в стандарте MIME. MIME – это международный стандарт, определяющий форматы файлов в Интернет. Например, существуют следующие типы файлов: text/html, text/plane, image/jpg, image/bmp и т.д. Кроме того, стандарт определяет механизм задания пользовательских типов файлов, которые могут определяться и использоваться независимыми разработчиками.

Итак, используются модули Plug-ins, которые связаны с определенными MIME-типами файлов. Связь заключатся в том, что при обращении пользователя к файлам соответствующего типа, браузер запускает связанный с ним Plug-in и этот модуль выполняет все действия по визуализации данных файла и обработке действий пользователя с этим файлов.

В качестве наиболее известных модулей Plug-in можно привести модули, проигрывающие видеоролики в формате avi. Просмотр данных файлов не входит в штатные возможности браузеров, но установив соответствующий Plug-in можно легко просматривать данные файлы в браузере.

Далее, все зашифрованные файлы в соответствии с установленным международным стандартом порядком определяются как файлы MIME типа. "application/x-shp". Затем в соответствии с технологией и протоколами Netscape разрабатывается Plug-in, который связывается с данным типом файлов. Этот модуль выполняет две функции: во-первых, он запрашивает пароль и идентификатор пользователя, а во-вторых, он выполняет работу по расшифрованию и выводу файла в окно браузера. Данные модуль устанавливается, в соответствии со штатным, установленным Netscape, порядком на браузеры всех компьютеров клиентов.

На этом подготовительный этап работы завершен система готова к функционированию. При работе клиенты обращаются к зашифрованным html-страницам по их стандартному адресу (URL). Браузер, определяет тип этих страниц и автоматически запускает разработанный нами модуль, передав ему содержимое зашифрованного файла. Модуль проводит аутентификацию клиента и при успешном ее завершении расшифровывает и выводит на экран содержимое страницы.

При выполнении всей данной процедуры у клиента создается ощущение “прозрачного” шифрования страниц, так как вся описанная выше работа системы скрыта от его глаз. При этом все стандартные возможности, заложенные в html-страницах, такие как использование картинок, Java-апплетов, CGI-сценариев - сохраняются.

Легко видеть, что при данном подходе решаются многие проблемы защиты информации, т.к. в открытом виде она находится только на компьютерах у клиентов, по сети данные передаются в зашифрованном виде. Злоумышленник, преследуя цель получить информацию, может осуществить только атаку на конкретного пользователя, а от данной атаки не может защитить ни одна системы защиты информации сервера.

В настоящее время, автором разработаны две системы защиты информации, основанные на предлагаемом подходе, для браузера Netscape Navigator (3.x) и Netscape Communicator 4.х. В ходе предварительного тестирования установлено, что разработанные системы могут нормально функционировать и под управлением MExplorer, но не во всех случаях.

Важно отметить, что данные версии систем не осуществляют зашифрование ассоциированных с HTML-страницей объектов: картинок, апплетов сценариев и т.д.

Система 1 предлагает защиту (шифрование) собственно html-страниц, как единого объекта. Вы создаете страницу, а затем ее зашифровываете и копируете на сервер. При обращении к зашифрованной странице, она автоматически расшифровывается и выводится в специальное окно. Поддержки системы защиты со стороны программного обеспечения сервера не требуется. Вся работа по зашифрованию и расшифрованию осуществляется на рабочей станции клиента. Данная система является универсальной, т.е. не зависит от структуры и назначения страницы.

Система 2 предлагает иной подход к защите. Данная система обеспечивает отображение в некоторой области Вашей страницы защищенной информации. Информация лежит в зашифрованном файле (не обязательно в формате html) на сервере. При переходе к Вашей странице система защиты автоматически обращается к этому файлу, считывает из него данные и отображает их в определенной области страницы. Данные подход позволяет достичь максимальной эффективности и эстетической красоты, при минимальной универсальности. Т.е. система оказывается ориентированной на конкретное назначение.

Данный подход может быть применен и при построении систем электронных платежей через Интернет. В этом случае, при обращении к некоторой странице Web-сервера происходит запуск модуля Plug-in, который выводит пользователю форму платежного поручения. После того как клиент заполнит ее, модуль зашифровывает данные платежа и отправляет их на сервер. При этом он может затребовать электронную подпись у пользователя. Более того, ключи шифрования и подписи могут считываться с любого носителя: гибких дисков, электронных таблеток, смарт-карт и т.д.

Основные правила, которые стоит соблюдать покупателю

1. Никогда никому не сообщайте ваш пароль, включая сотрудников платежных систем.
2. Проверяйте, что соединение действительно происходит в защищенном режиме SSL – в правом нижнем углу вашего браузера должен быть виден значок закрытого замка;
3. Проверяйте, что соединение установлено именно с адресом платежной системы или интернет-банка;
4. Никогда не сохраняйте информацию о вашем пароле на любых носителях, в том числе и на компьютере. Если у вас возникли подозрения, что кто-либо получил доступ к вашему личному кабинету, смените пароль или заблокируйте ваш счет/аккаунт;
5. После окончания работы обязательно нажимайте кнопку Выход;
6. Убедитесь, что компьютер не поражен какими-либо вирусами. Установите и активизируйте антивирусные программы. Старайтесь их постоянно обновлять, так как действие вирусов может быть направлено на передачу третьим лицам информации о вашем пароле;
7. Используйте программное обеспечение из проверенных и надежных источников, выполняйте регулярные обновления.

Статистика
По статистике, чаще всего подвергаются атакам следующие системы: терминалы (32%), сервера баз данных (30%), серверы приложений (12%), веб-серверы (10%). На рабочие станции, серверы аутентификации, серверы резервного копирования, файловые хранилища и прочее приходится только 10%. Из данной статистики наглядно видна актуальность безопасности именно сайтов и приложений , так как через их уязвимости чаще всего становится возможным получение доступа к данным.

Что обеспечивает безопасность платежных систем

Безопасные/зашифрованные интернет-соединения

• В настоящее время наличие SSL сертификата на сайте не является достаточным условием для безопасного проведения интернет-платежей. Только комплексный подход, сертифицированный по современным международным стандартам, позволяет говорить о том, что безопасность обработки интернет-платежей обеспечивается на самом высоком уровне.

Клиентская защита

• Логин/пароль доступа для входа в систему, который проходит тестирование на сложность;
• Комбинация номера банковской карты, срока действия, имени держателя карты, CVV/CVC кодов;
• Возможность создания виртуальной карты, дублирующей основную, для проведения интернет-платежей;

Техническая защита

• Привязка платежного сервиса к фиксированному IP-адресу и телефонному номеру клиента;
• Осуществление клиентского доступа в систему по зашифрованному протоколу HTTPS/SSL;
• Возможность использования виртуальной клавиатуры для набора данных идентификации (противодействие перехвату личных данных);
• Разделение каналов формирования транзакций и канала авторизации транзакций:
• авторизация транзакций осуществляется через специальный код, который при совершении платежа клиент получает от системы на свой мобильный телефон по SMS (случайная комбинация букв и цифр, действующая только в течение нескольких минут).

Защита пластиковых карт
Злоумышленники чаще всего пытаются получить доступ к карточным данным. В отчетах исследований специалистов в области платежной безопасности - компаний Verizon и Trustwave указывается статистика: в 85-ти и 98-ми случаев из 100 соответственно, целью атаки были именнокарточные данные.

Сертификация платежных систем
Сертификация сервис-провайдеров и владельцев бизнеса (мерчантов) с количеством транзакций более 6 млн. в год подлежит сертификации Qualified Security Assessor (QSA), которые в России выдаются компаниями IBM, NVision Group, Deiteriy, Digital Security, TrustWave, ЕВРААС ИТ, Информзащита,Инфосистемы Джет, Крок Инкорпорейтед.

1. Сертификат соответствия стандарту Payment Card Industry Data Security Standard (PCI DSS);
2. Сертификат безопасности на соответствие международным требованиям к менеджменту информационной безопасности в сфере разработки, внедрения и сопровождения программных средств ISO/IEC 27001:2005;
3. Использование электронно-цифровой подписи (ЭЦП);
4. Лицензии на право осуществления деятельности по предоставлению, техническому обслуживанию, распространению шифровальных (криптографических) средств.

Начиная с 1 июля 2012 года использование несертифицированных приложений компаниями, попадающими под действие стандарта PCI DSS, будет запрещено.
PCI DSS стандарт защиты информации в индустрии платёжных карт был разработан международными платёжными системами Visa и MasterCard и представляет собой совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций. Принятие соответствующих мер по обеспечению соответствия требованиям стандарта подразумевает комплексный подход к обеспечению информационной безопасности данных платёжных карт.

Уязвимые места и способы защиты
С точки зрения информационной безопасности в системах электронных платежей существуют следующие уязвимые места:

1. Пересылка платежных и других сообщений между банком и клиентом и между банками;
2. Обработка информации внутри организаций отправителя и получателя сообщений;
3. Доступ клиентов к средствам, аккумулированным на счетах.
4. Одним из наиболее уязвимых мест в системе электронных платежей является пересылка платежных и других сообщений между банками, между банком и банкоматом, между банком и клиентом.

Защита при пересылке платежных сообщений:

1. Внутренние системы организаций отправителя и получателя должны быть приспособлены для отправки и получения электронных документов и обеспечивать необходимую защиту при их обработке внутри организации (защита оконечных систем);
2. Взаимодействие отправителя и получателя электронного документа осуществляется опосредовано – через канал связи.

Проблемы, решаемые при организации защиты платежей:

• взаимное опознавание абонентов (проблема установления взаимной подлинности при установлении соединения);
• защита электронных документов, передаваемых по каналам связи (проблемы обеспечения конфиденциальности и целостности документов);
• обеспечение исполнения документа (проблема взаимного недоверия между отправителем и получателем из-за их принадлежности к разным организациям и взаимной независимости).

Обеспечение безопасности платежных систем

• гарантии доставки сообщения;
• невозможность отказа от принятия мер по сообщению;

Качество решения указанных выше проблем в значительной мере определяется рациональным выбором криптографических средств при реализации механизмов защиты.

Платежная система - это система взаимодействия участников
С организационной точки зрения ядром платежной системы является ассоциация банков, объединенная договорными обязательствами. Кроме того, в состав электронной платежной системы входят предприятия торговли и сервиса, образующие сеть точек обслуживания. Для успешного функционирования платежной системы необходимы и специализированные организации, осуществляющие техническую поддержку обслуживания карт: процессинговые и коммуникационные центры, центры технического обслуживания и т.п.

Безопасность электронных платежных систем

Современную практику банковских операций, торговых сделок и взаимных платежей невозможно представить без расчетов с применением пластиковых карт.

Система безналичных расчетов с помощью пластиковых карт называется электронной платежной системой .

Для обеспечения нормальной работы электронная платежная система должна быть надежно защищена.

C точки зрения информационной безопасности в системах электронных платежей существуют следующие уязвимые места:

• пересылка платежных и других сообщений между банками, между банком и банкоматом, между банком и клиентом;
• обработка информации внутри огранизаций отправителя и получателя сообщений;
• доступ клиентов к средствам, аккумилированным на счетах.

Пересылка платежных и других сообщений связана с такими особенностями:

• внутренние системы организаций отправителя и получателя должны обеспечивать необходимую защиту при обработке электронных документов (защита оконечных систем);
• взаимодействие отправителя и получателя электронного документа осуществляется опосредовано - через канал связи.

Эти особенности порождают следующие проблемы:

• взаимное опознание абонентов (проблема установления взаимной подлинности при установлении соединения);
• защита электронных документов, передаваемых по каналам связи (проблема обеспечения конфиденциальности и целостности документов);
• защита процесса обмена электронными документами (проблема доказательства отправления и доставки документа);
• обеспечение исполнения документа (проблема взаимного недоверия между отправителем и получателем из-за их принадлежности к разным оррганизациям и взаимной независимости).

Для обеспечения функций защиты информации на отдельных узлах системы электронных платежей должны быть реализованы следующие механизмы защиты:

• управление доступом на оконечных системах;
• контроль целостности сообщения;
• обеспечение конфиденциальности сообщения;
• взаимная аутентификация абонентов;
• невозможность отказа от авторства сообщения;
• гарантии доставки сообщения;
• невозможность отказа от принятия мер по сообщения;
• регистрация последовательности сообщений;
• контроль целостности последовательности сообщений.

Итак, в качестве платежного средства в электронной платежной системе используются электронные пластиковые карты.

Электронная пластиковая карта - это носитель информации, который идентифицирует владельца и хранит определенные учетные данные.

Различают кредитные и дебетовые карты.

Кредитные карты являются наиболее распространенным видом пластиковых карт. К ним относятся карты общенациональных систем США Visa и MasterCard, American Express и ряда других. Эти карты предъявляют для оплаты товаров и услуг. При оплате с помощью кредитной карты банк покупателя открывает ему кредит на сумму покупки, а затем через некоторое время (обычно 25 дней) присылает счет по почте. Покупатель должен вернуть оплаченный чек (счет) обратно в банк. Естественно, подобную схему банк может предложить только наиболее состоятельным и проверенным из своих клиентов, которые имеют хорошую кредитную историю перед банком или солидные вложения в банк в видедепозитов, ценностей или недвижимости.

Владелец дебетовой карты должен заранее внести на свой счет в банке-эмитенте определенную сумму. Размер этой суммы определяет лимит доступных средств. При осуществлении расчетов с использованием этой карты соответственно уменьшается и лимит. Для возобновления или увеличения лимита владелец должен вновь внести деньги на свой счет. Для страхования временного разрыва между моментом осуществления платежа и моментом получения банком соответствующей информации на счете клиента должен поддерживаться неснижаемый остаток.

Как кредитная, так и дебетовая карты могут быть не только персональными, но и корпоративными. Корпоративные карты предоставляются компанией своим сотрудникам для оплаты командировочных или других служебных расходов. Корпоративные карты компании связаны с каким-либо одним ее счетом. Эти карты могут иметь разделенный или неразделенный лимит. В первом случае каждому из держателей корпоративных карт устанавливается индивидуальный лимит. Второй вариант больше подходит небольшим компаниям и не предполагает разграничения лимита.

Пластиковая карта представляет собой пластину, изготовленную из специальной пластмассы, устойчивой к механическим и термическим воздействиям. По стандарту ISO 9001 все пластиковые карты имеют размеры 85.6×53.9×0.76 мм.

Для идентификации владельца на пластиковую карту наносятся:

• логотип банка-эмитента;
• логотип платежной системы, обслуживающей эту карту;
• имя владельца карты;
• номер счета владельца карты;
• срок действия карты и т.п.

Кроме того, на карте может присутствовать фотография владельца и его подпись.

Алфавитно-цифровые данные (имя, номер счета и др.) могут быть эмбоссированы , т.е. нанесены рельефным шрифтом. Это дает возможность при ручной обработке принимаемых к оплате карт быстро перенести данные на чек с помощью специального устройства - импринтера, осуществляющего "прокатывание" карты.

По принципу действия различают пассивные и активные пластиковые карты . Пассивные пластиковые карты всего лишь хранят информацию. К ним относятся пластиковые карты с магнитной полосой.

Карты с магнитной полосой являются пока наиболее распространенными - в обращении находится свыше двух миллиардов карт подобного типа. Магнитная полоса располагается на обратной стороне карты и, в соответствии со стандартом ISO 7811, состоит из трех дорожек. Из них первые две предназначены для хранения идентификационных данных, а на третью дорожку можно записывать информацию (например, текущее значение лимита дебетовой карты). Однако из-за невысокой надежности многократно повторяемого процесса записи/считывания запись на магнитную полосу обычно не практикуется.

Карты с магнитной полосой относительно уязвимы для мошенничества. Для повышения защищенности своих карт системы Visa и MasterCard/Europay используют дополнительные графические средства защиты: голограммы и нестандартные шрифты для эмбоссирования. Эмбоссеры (устройства для тиснения рельефа на карте) выпускает ограниченный круг изготовителей. В ряде стран Запада законодательно запрещена свободная продажа эмбоссеров. Специальные символы, подтверждающие принадлежность карты к той или иной платежной системе, поставляются владельцу эмбоссера только с разрешения руководящего органа платежной системы.

Платежные системы с подобными картами требуют on-line авторизации в торговых точках и, как следствие, наличия разветвленных, высококачественных средств коммуникации (телефонных линий).

Отличительная особенность активной пластиковой карты - наличие встроенной в нее электронной микросхемы. Принцип пластиковой карты с электронной микросхемой запатентовал в 1974 г. француз Ролан Морено. Стандарт ISO 7816 определяет основные требования к картам на интегральных микросхемах или чиповым картам.

Карты с микросхемой можно классифицировать по двум признакам.

Первый признак - принцип взаимодействия со считывающим устройством. Основные типы:

• карты с контактным считыванием;
• карты с бесконтактным (индукционным) считыванием.

Карта с контактным считыванием имеет на своей поверхности от 8 до 10 контактных пластин. Размещение контактных пластин, их количество и назначение выводов различны у разных производителей и естественно, что считыватели для карт данного типа различаются между собой.

Обмен данными между картой с бесконтактным считыванием и считывающим устройством производится индукционным способом. Очевидно, что такие карты надежнее и долговечнее.

Второй признак - функциональные возможности карты. Основные типы:

• карты-счетчики;
• карты с памятью;
• карты с микропроцессором.

Карты-счетчики применяются, как правила, в тех случаях, когда та или иная платежная операция требует уменьшения остатка на счете держателя карты на некоторую фиксированную сумму. Подобные карты используются в специализированных приложения с предоплатой (плата за использование телефона-автомата, отлата автостоянки и т.д.). Очевидно, что применение карт со счетчиком ограничено и не имеет большой перспективы.

Карты с памятью являются переходными между картами-счетчиками и картами с микропроцессором. Карта с памятью - это перезаписываемая карта-счетчик, в которой приняты меры, повышающие ее защищенность от атак злоумышленников. Простейшие карты с памятью имеют объем памяти от 32 байт до 16 Кбайт. Эта память может быть организована в виде:

• программируемого постоянного запоминающего устройства ППЗУ (EPROM), которое допускает однократную запись и многократное считывание;
• электрически стираемого программируемого постоянного запоминающего устройства ЭСППЗУ (EEPROM), которое допускает моногократную запись и многократное считывание.

Карты с памятью можно подразделить на два типа:

• с незащищенной (полнодоступной) памятью;
• с защищенной памятью.

В картах первого типа нет никаких ограничений на чтение и запись данных. Эти карты нельзя использовать в качестве платежных, так как их достаточно просто "взломать".

Карты второго типа имеют область идентификационных данных и одну или несколько прикладных областей. Идентификационная область допускает лишь однократную запись при персонализации и дальше доступна только для считывания. Доступ к прикладным областям регламентируется и осуществляется только при выполнении определенных операций, в частности при вводе секретного PIN-кода.

Уровень защиты карт с памятью выше, чем у магнитных карт. В качестве платежного средства карты с памятью используются для оплаты таксофонов общего пользования, проезда в транспорте, в локальных платежных системах (клубные карты). Карты с памятью применяются также в системах допуска в помещения и доступа к рресурсам компьютерных сетей (идентификационные карты).

Карты с микропроцессором называют также интеллектуальными картами или смарт-картами. Это по сути микрокомпьютеры, которые содержат все основные аппаратные компоненты:

• микропроцессор с тактовой частотой 5Мгц;
• оперативное ЗУ емкостью до 256 байт;
• постоянное ЗУ емкостью до 10 Кбайт;
• энергонезависимое ЗУ емкостью до 8 Кбайт.

Смарт-карта обеспечивает широкий набор функций:

• разграничение полномочий доступа к внутренним ресурсам;
• шифрование данных с применением различных алгоритмов;
• формирование электронной цифровой подписи;
• ведение ключевой системы;
• выполнение всех операций взаимодействия владельца карты, банка и торговца.

Некоторые смарт-карты обеспечивают режим "самоблокировки" при попытке несанкционированного доступа.

Все это делает смарт-карту высокозащищенным платежным инструментом, который может быть использован в финансовых приложениях, предъявляющих повышенные требования к защите информации. Именно поэтому смарт-карты являются наиболее перспективным видом пластиковых карт.

Важными этапами подготовки и применения пластиковой карты являются персонализация и авторизация .

Персонализация осуществляется при выдаче карты клиенту. При этом на карту заносятся данные, позволяющие идентифицировать карту и ее владельца, а также осуществить проверку платежеспособности карты при приеме ее к оплате или выдаче наличных денег. Первоначальным способом персонализации было эмбоссирование.

К персонализации относятся также кодирование магнитной полосы и программирование микросхемы.

Кодирование магнитной полосы производится, как правило, на том же оборудовании, что и эмбоссирование. При этос часть информации о карте, содержащая номер карты и период ее действия, одинаковая как на магнитной полосен, так и на рельефе. Однако бывают ситуации, когда после первичного кодирования требуется дополнительно занести информацию на магнитную полосу. В этом случае применяются специальные устройства с функцией "чтение-запись". Это возможно, в частности, когда PIN-код для пользования картой не формируется специальной программой, а выбирается клиентом по своему усмотрению.

Программирование микросхемы не требует особых технологических приемов, но зато имеет некоторые организационные особенности. Так операции по программированию отдельных областей микросхемы разнесены территориально и разграничены по правам различных сотрудников. Обычно эта процедура разбивается на три этапа:

• на первом рабочем месте выполняется активация карты (ввод ее в действие);
• на втором рабочем месте выполняются операции, связанные с обеспечением безопасности;
• на третьем рабочем месте производится собственно персонализация.

Такие меры повышают безопасность и исключают возможные злоупотребления.

Авторизация - это процесс утверждения продажи или выдачи наличных по карте. Для проведения авторизации точка обслуживания делает запрос платежной системе о подтверждении полномочий предъявителя карты и его финансовых возможностей. Технология авторизации зависит от типа карты, схемы платежной системы и технической оснащенности точки обслуживания.

Авторизация проводится либо "вручную", либо автоматически. В первом случае осуществляется голосовая авторизация, когда продавец или кассирпередает запрос оператору по телефону. Во втором случае карта помещается в автоматизированный торговый POS-терминал (Point-Of-Sale - оплата в точке продажи), данные считываются с карты, кассир вводит сумму платежа, а владелец карты - PIN-код (Personal Identication Number - персональный идентификационный номер). После этого терминал осуществляет авторизацию, устанавливая связь с базой данных платежной системы (on-line режим), либо реализуя дополнительный обмен данными с самой картой (off-line режим). При выдаче наличных денег процесс имеет аналогичный характер, с той лишь особенностью, что деньги в автоматическом режиме выдаются банкоматом, который и проводит авторизацию.

Испытанным способом идентификации владельца пластиковой карты является использование секретного персонального идентификационного номераPIN . Значение PIN должно быть известно только владельцу карты. С одной стороны, PIN должен быть достаточно длинным, чтобы вероятность угадывания с помощью полного перебора была приемлемо малой. С другой стороны, PIN должен быть достаточно коротким, чтобы владелец мог его запомнить. Обычно длина PIN колеблется от 4 до 8 десятичных цифр, но может достигать 12.

Значение PIN однозначно связано с соответствующими атрибутами пластиковой карты, поэтому PIN можно трактовать как подпись владельца карты.

Защита персонального идентификационного номера PIN для пластиковой карты является критичной для безопасности всей платежной системы. Пластиковые карты могут быть могут быть потеряны, украдены или подделаны. В таких случаях единственной контрмерой против несанкционированного доступа остается секретное значение PIN. Поэтому открытая форма PIN должна быть известна только законному владельцу карты. Она никогда не хранится и не передается в рамках системы электронных платежей.

Метод генерации значения PIN оказывает существенной влияние на безопасность электронной платежной системы. Вообще, персональные идентификационные номера могут формироваться либо банком, либо владельцами карт.

Если PIN назначается банком, то обычно используется один из двух вариантов.

При первом варианте PIN генерируется криптографически из номера счета владельца карточки. Шифрование проводится по алгоритму DES с использованием секретного ключа. Достоинство: значение PIN не нужно хранить внутри электронной платежной системы. Недостаток: при необходимости изменения PIN надо менять либо номер счета клиента, либо криптографический ключ. Но банки предпочитают, чтобы номер счета клиента оставался фиксированным. А с другой стороны, поскольку все PIN вычисляют, используя один ключ, изменение одного PIN при сохранении счета клиента влечет за собой изменение всех персональных идентификационных номеров.

При втором варианте банк выбирает PIN случайным образом, сохраняя это значение в виде криптограммы. Выбранные значения PIN передается владельцам карт по защищенному каналу.

Использование PIN, назначенного банком, неудобно клиентам даже при небольшой его длине. Такой PIN трудно удержать в памяти, и поэтому владелец карты может записать его куда-нибудь. Главное - это не записывать PIN непосредственно на карту или другое видное место. Иначе задача злоумышленников будет сильно облегчена.

Для большего удобства клиента используют значение PIN, выбираемое самим клиентом. Такой способ определения PIN позволяет клиенту:

• использовать один и тот же PIN для различных целей;
• задавать в PIN не только цифры, но и буквы (для удобства запоминания).

Выбранный клиентом PIN может быть передан в банк заказной почтой или отправлен через защищенный терминал банковского офиса, который немедленно его шифрует. Если банку необходимо использовать выбранный клиентом PIN, то поступают следующим образом. Каждую цифру выбранного клиентом PIN складывают по модулю 10 (без учета переносов) с соответствующей цифрой PIN, выводимого банком из счета клиента. Получаемое десятичное число называется "смещением". Это смещение запоминается на карте клиента. Поскольку выводимый PIN имеет случайный характер, то выбранный клиентом PIN невозможно определить по его смещению.

Главное требование безопасности состоит в том, что значение PIN должно запоминаться владельцем карты и никогда не должно храниться в любой читабельной форме. Но люди несовершенны и очень часто забывают свои PIN. Поэтому для таких случаев предназначены специальные процедуры: восстановление забытого PIN или генерация нового.

При идентификации клиента по значению PIN и предъявленной карте используются два основных способа проверки PIN: неалгоритмический и алгоритмический.

Неалгоритмический способ осуществляется путем непосредственного сравнения введенного клиентом PIN со значениями, хранимыми в базе данных. Обычно база данных со значениями PIN клиентов шифруется методом прозрачного шифрования, чтобы повысить ее защищенность, не усложняя процесса сравнения.

Алгоритмический способ проверки PIN заключается в том, что введенный клиентом PIN преобразуют по определенному алгоритму с использованием секретного ключа и затем сравнивают со значением PIN, хранящимся в определенной форме на карте. Достоинства этого метода проверки:

• отсутствие копии PIN на главном компьютере исключает его раскрытие персоналом банка;
• отсутствие передачи PIN между банкоматом или POS-терминалом и главным компьютером банка исключает его перехват или навязывание результатов сравнения;
• Упрощение работы по созданию программного обеспечения системы, так как уже нет необходимости действий в реальном масштабе времени.

Электронные деньги — это денежные обязательства организации, которая их выпустила (эмитента), находящиеся на электронных носителях в управлении пользователей.

Основные признаки электронных денег:

• осуществление эмиссии в электронном виде;
• хранение на электронных носителях;
• гарантии эмитента по их обеспечению обычными денежными средствами;
• признание их в качестве платежного средства не только эмитентом, а и рядом других организаций.

Для чёткого понимания того, что представляют собой электронные деньги, нужно отличать их от безналичной формы традиционных денежных средств (выпуск последних, производят центральные банки различных стран, они же устанавливают правила их обращения).

Никакого отношения к электронным деньгам не имеют и кредитные карты, являющиеся лишь средством управления банковским счётом. Все операции при использовании карт производятся с обычными деньгами, пусть и в безналичной форме.

История появления электронных денег

Идея электронных платёжных систем появилась в 80-е годы ХХ века. Её основой послужили изобретения Дэвида Шаума, который основал в США компанию «DigiCash», основной задачей которой было внедрение технологий обращения электронных денег.

Замысел был довольно прост. В системе осуществляются операции с электронными монетами, представляющими собой файлы-обязательства эмитента с его электронной подписью. Предназначение подписи было аналогично предназначению элементов защиты бумажных купюр.

Принципы функционирования электронных денежных систем

Для успешной работы данного платёжного инструмента, необходима готовность организаций, продающих товары и оказывающих услуги, принимать в качестве оплаты электронные деньги. Это условие было обеспечено гарантиями эмитента по выплате сумм в реальной валюте в обмен на электронные монеты, введённые им в обращение.

В упрощённом виде схему функционирования системы можно представить следующим образом:

• Клиент переводит на счёт эмитента реальную валюту, получая взамен файл-банкноту (монету) на такую же сумму за вычетом комиссии. Этот файл подтверждает долговые обязательства эмитента перед его держателем;
• Электронными монетами клиент оплачивает товары и услуги в организациях, которые готовы их принимать;
• Последние возвращают эти файлы эмитенту, получая от него взамен реальные деньги.

При такой организации работы у каждой из сторон возникает выгода. Эмитент получает свою комиссию. Торгующие предприятия экономят на издержках, связанных с обращением наличности (хранение, инкассация, работа кассиров). Клиенты получают скидки, обусловленные снижением издержек у продавцов.

Преимущества электронных денег:

• Объединяемость и делимость. При осуществлении расчетов отсутствует потребность в сдаче.
• Компактность. Хранение не требует дополнительного места и специальных устройств механической защиты.
• Отсутствие нужды в пересчете и перевозке. Эта функция выполняется инструментами осуществления платежей и хранения электронных денег автоматически.
• Минимальные затраты на эмиссию. Нет необходимости в чеканке монет и печатании банкнот.
• Неограниченный срок службы из-за неподверженности износу.

Преимущества очевидны, но и без сложностей, как водится, не бывает.

Недостатки:

• Обращение электронных денег не регламентируется едиными законами, что повышает вероятность злоупотреблений и произвола;
• Необходимость наличия специальных инструментов осуществления платежей и хранения;
• За сравнительно малый срок эксплуатации не разработаны надёжные средства безопасности хранения и защиты электронных денег от подделок;
• Ограниченность применения вследствие неготовности всех продавцов принимать электронные платежи;
• Затруднительность конвертации средств одной электронной платёжной системы в другую;
• Отсутствие государственных гарантий, подтверждающих надежность эмитента и электронных денег как таковых.

Хранение и использование электронных денег

Электронный кошелёк – это программное обеспечение, предназначенное для хранения электронных денежных средств и осуществления операций с ними в рамках одной системы.

Кто же организовывает функционирование этих систем и проводит эмиссию электронных денег?

Эмитенты электронных денег

Требования к эмитентам отличаются в различных странах. В ЕС эмиссию осуществляют институты электронных денег — новый специальный класс финансовых учреждений. В соответствии с законодательством ряда стран, среди которых Индия, Мексика, Украина, исключительно банки имеют право заниматься этой деятельностью. В России – как банки, так и не банковские финансовые организации при условии получения ними лицензии.

Электронные платежные системы в России

Давайте рассмотрим наиболее популярные отечественные системы и дадим ответы на вопросы, как купить и как обналичить электронные деньги в каждой из них.

Самыми крупными операторами являются «Яндекс.Деньги» и «WebMoney», в сумме их доля превышает 80% рынка, но существуют ещё и «PayPal», и «Moneybookers», и «Qiwi»….

«WebMoney»

«WebMoney », позиционирующая себя «международной системой расчётов», основана в 1998 году. Её владелец компания «WM Transfer» Ltd. Зарегистрирована она в Лондоне, но технические службы и Главный центр аттестации располагаются в Москве.

Операции проводятся с электронными эквивалентами ряда валют.

По каждой из них гарантом являются юридические лица, зарегистрированные в различных странах: России, Украине, Швейцарии, ОАЭ, Ирландии и Беларуси.

Для работы используется электронный кошелек «WebMoney Keeper», который можно скачать с сайта компании. Там же есть инструкция по его установке, регистрации и применению. Программа позволяет оперировать эквивалентами долларов США (WMZ), российских рублей (WMR), евро(WME), белорусских рублей(WMB) и украинских гривен (WMU). Предусмотрено обращение золота, единицей измерения которого является 1 электронный грамм (WMG).

Для осуществления операций необходима регистрация в системе и получение аттестата участника, которых существует 12 видов.

Более высокий уровень аттестата предоставляет большие возможности в работе.

При осуществлении транзакций с плательщика удерживается комиссия в сумме 0,8% от размера перевода. Есть возможность использования различных видов защиты платежа. Все спорные вопросы решает Арбитраж.

Приведём способы заведения электронных денег в кошелек:

• банковский, почтовый или телеграфный перевод;
• посредством системы «Western Union»;
• покупкой предоплаченной карты;
• путём внесения наличных в обменных пунктах;
• через электронные терминалы;
• с электронных кошельков других участников системы.

Все перечисленные методы связаны с уплатой комиссий. Наименее выгодно заводить деньги через терминалы и покупать предоплаченные карты.

А, как обналичить электронные деньги в системе «WebMoney»? Можно воспользоваться следующими способами:

• перевод на банковский счет со своего электронного кошелька;
• использование услуг обменного пункта;
• через систему «Western Union».

Существуют виртуальные пункты, где в автоматическом режиме возможен обмен одной электронной валюты на другую по указанному курсу, хотя формально система не принимает в этом участия.

C 2009 года в Германии на законодательном уровне запрещено использование WebMoney. Этот запрет касается также физических лиц.

«Яндекс.Деньги»

Система работает с 2002 г. Она обеспечивает расчеты между участниками в российских рублях. Владелец системы ООО «Яндекс.Деньги » в декабре 2012 г. продало 75% акций «Сбербанку России».

Используется два типа счетов:

• «Яндекс.Кошелек», который доступен посредством web-интерфейса;
• «Интернет. Кошелек» — счёт, операции с которым производятся посредством специальной программы. Её развитие прекращено в 2011г.

Сейчас для новых пользователей возможно открытие только «Яндекс. Кошелька».

Пользователи «Яндекс.Денег» могут рассчитываться за услуги ЖКХ, оплачивать горючее на АЗС, совершать покупки в интернет-магазинах.

Преимуществом «Яндекс.Денег» является отсутствие комиссий за большинство покупок и пополнение счёта. При транзакциях внутри системы она составляет 0,5%, а за вывод средств – 3%. Партнеры «Яндекс.Денег», принимая платежи и выводя средства, могут устанавливать комиссии по собственному усмотрению.

Существенными недостатками являются невозможность ведения посредством системы предпринимательской деятельности и жёсткие лимиты на размер платежей.

Пополнить «Яндекс.Кошелек» можно несколькими способами:

• конвертируя электронные деньги других систем;
• путём банковских переводов;
• через платёжные терминалы;
• внося наличные в пунктах продаж;
• через системы «Юнистрим» и «Контакт»;
• с карты предоплаты (сейчас выпуск карт прекращён, но активация ранее приобретённых возможна).

Обналичить электронные деньги системы можно таким образом:

• переводом на карту или банковский счёт;
• получением с карты «Яндекс.Деньги» в банкомате;
• через систему переводов.

Основная доля рынка обращения электронных денег в России приходится на «WebMoney» и «Яндекс.Деньги», роль других систем значительно менее существенна. Поэтому рассмотрим только их характерные особенности.

«PayPal»

«PayPal » — это крупнейшая мировая электронная платёжная система, созданная в 1998 году в США и насчитывающая более 160 миллионов пользователей. Она позволяет получать и отправлять переводы, производить оплату счетов и покупок.

Для российских участников приём платежей стал возможен только в октябре 2011 года, а вывод средств до настоящего времени осуществляется только в американские банки. Эти обстоятельства значительно снижают популярность системы среди отечественных пользователей.

Может исправить ситуацию планирующееся заключение договора «PayPal» с «Почтой России», но это вопрос неблизкой перспективы.

Если вам интересен PayPal, то статья PayPal — регистрация, ввод и вывод средств будет очень кстати.

В главе 4 были рассмотрены особенности подхода к защите электронных банковских систем. Специфической чертой этих систем является специальная форма обмена электронными данными - электронных платежей, без которых ни один современный банк не может существовать.

Обмен электронными данными (ОЭД) - это межкомпьютерный обмен деловыми, коммерческими, финансовыми электронными документами. Например, заказами, платежными инструкциями, контрактными предложениями, накладными, квитанциями и т.п.

ОЭД обеспечивает оперативное взаимодействие торговых партнеров (клиентов, поставщиков,торговых посредников и др.) на всех этапах подготовки торговой сделки, заключения контракта и реализации поставки. На этапе оплаты контракта и перевода денежных средств ОЭД может приводить к электронному обмену финансовыми документами. При этом создается эффективная среда для торгово-платежных операций:

* Возможно ознакомление торговых партнеров с предложениями товаров и услуг, выбор необходимого товара/услуги, уточнение коммерческих условий (стоимости и сроков поставки, торговых скидок, гарантийных и сервисных обязательств) в реальном масштабе времени;

* Заказ товара/услуг или запрос контрактного предложения в реальном масштабе времени;

* Оперативный контроль поставки товара, получение по электронной почте сопроводительных документов (накладных, фактур, комплектующих ведомостей и т.д.);

* Подтверждение завершения поставки товара/услуги, выставление и оплата счетов;

* Выполнение банковских кредитных и платежных операций. К достоинствам ОЭД следует отнести:

* Уменьшение стоимости операций за счет перехода на безбумажную технологию. Эксперты оценивают стоимость обработки и ведения бумажной документации в 3-8% от общей стоимости коммерческих операций и доставки товаров. Выигрыш от применения ОЭД оценивается, например, в автомобильной промышленности США более чем в $200 на один изготовленный автомобиль ;

* Повышение скорости расчета и оборота денег;

* Повышение удобства расчетов.

Существует две ключевые стратегии развития ОЭД:

1. ОЭД используется как преимущество в конкурентной борьбе, позволяющее осуществлять более тесное взаимодействие с партнерами. Такая стратегия принята в крупных организациях и получила название «Подхода Расширенного Предприятия» (Extended Enterprise) .

2. ОЭД используется в некоторых специфических индустриальных проектах или в инициативах объединений коммерческих и других организаций для повышения эффективности их взаимодействия.

Банки в США и Западной Европе уже осознали свою ключевую роль в распространении ОЭД и поняли те значительные преимущества, которые дает более тесное взаимодействие с деловыми и личными партнерами. ОЭД помогает банкам в предоставлении услуг клиентам, особенно мелким, тем, которые ранее не могли позволить себе ими воспользоваться из-за их высокой стоимости.

Основным препятствием широкому распространению ОЭД является многообразие представлений документов при обмене ими по каналам связи. Для преодоления этого препятствия различными организациями были разработаны стандарты представления документов в системах ОЭД для различных отраслей деятельности:

QDTI - General Trade Interchange (Европа, международная торговля);

МДСНД - National Automated Clearing House Association (США, Национальная ассоциация автоматизированных расчетных палат);

TDCC - Transportation Data Coordinating Committee (Координационный комитет по данным перевозок);

VICS - Voluntary Interindustry Communication Standart (США, Добровольный межотраслевой коммуникационный стандарт);

WINS - Warehouse Information Network Standarts (Стандарты информационной сети товарных складов).

В октябре 1993 года международная группа UN/ECE опубликовала первую версию стандарта EDIFACT. Разработанный набор синтаксических правил и коммерческих элементов данных был оформлен в виде двух стандартов ISO :

ISO 7372 - Trade Data Element Directory (Справочник коммерческих элементов данных);

ISO 9735 - EDIFACT - Application level syntax rules (Синтаксические правила прикладного уровня).

Частным случаем ОЭД являются электронные платежи - обмен финансовыми документами между клиентами и банками, между банками и другими финансовыми и коммерческими организациями.

Суть концепции электронных платежей заключается в том, что пересылаемые по линиям связи сообщения, должным образом оформленные и переданные, являются основанием для выполнения одной или нескольких банковских операций. Никаких бумажных документов для выполнения этих операций в принципе не требуется (хотя они могут быть выданы). Другими словами, пересылаемое по линиям связи сообщение несет информацию о том, что отправитель выполнил некоторые операции над своим счетом, в частности над корреспондентским счетом банка-получателя (в роли которого может выступать клиринговый центр), и что получатель должен выполнить определенные в сообщении операции. На основании такого сообщения можно переслать или получить деньги, открыть кредит, оплатить покупку или услугу и выполнить любую другую банковскую операцию. Такие сообщения называются электронными деньгами, а выполнение банковских операций на основании посылки или получения таких сообщений - электронными платежами. Естественно, весь процесс осуществления электронных платежей нуждается в надежной защите. Иначе банк и его клиентов ожидают серьезные неприятности.

Электронные платежи применяются при межбанковских, торговых и персональных расчетах.

Межбанковские и торговые расчеты производятся между организациями (юридическими лицами), поэтому их иногда называют корпоративными. Расчеты с участием физических лиц-клиентов получили название персональных.

Большинство крупных хищений в банковских системах прямо или косвенно связано именно с системами электронных платежей.

На пути создания систем электронных платежей, особенно глобальных, охватывающих большое число финансовых институтов и их клиентов в различных странах, встречается множество препятствий. Основными из них являются:

1. Отсутствие единых стандартов на операции и услуги, что существенно затрудняет создание объединенных банковских систем. Каждый крупный банк стремится создать свою сеть ОЭД, что увеличивает расходы на ее эксплуатацию и содержание. Дублирующие друг друга системы затрудняют пользование ими, создавая взаимные помехи и ограничивая возможности клиентов.

2. Возрастание мобильности денежных масс, что ведет к увеличению возможности финансовых спекуляций, расширяет потоки «блуждающих капиталов». Эти деньги способны за короткое время менять ситуацию на рынке, дестабилизировать ее.

3. Сбои и отказы технических и ошибки программных средств при осуществлении финансовых расчетов, что может привести к серьезным осложнениям для дальнейших расчетов и потере доверия к банку со стороны клиентов, особенно в силу тесного переплетения банковских связей (своего рода «размножение ошибки»). При этом существенно возрастает роль и ответственность операторов и администрации системы, которые непосредственно управляют обработкой информации.

Любая организация, которая хочет стать клиентом какой-либо системы электронных платежей, либо организовать собственную систему, должна отдавать себе в этом отчет.

Для надежной работы система электронных платежей должна быть хорошо защищена.

Торговые расчеты производятся между различными торговыми организациями. Банки в этих расчетах участвуют как посредники при перечислении денег со счета организации-плательщика на счет организации-получателя.

Торговые расчеты чрезвычайно важны для общего успеха программы электронных платежей. Объем финансовых операций различных компаний обычно составляет значительную часть общего объема операций банка.

Виды торговых расчетов сильно различаются для разных организаций, но всегда при их осуществлении обрабатывается два типа информации: платежных сообщений и вспомогательная (статистика, сводки, уведомления). Для финансовых организаций наибольший интерес представляет, конечно, информация платежных сообщений - номера счетов, суммы, баланс и т.д. Для торговых организаций оба вида сведений одинаково важны - первый дает ключ к финансовому состоянию, второй - помогает при принятии решений и выработке политики.

Чаще всего распространены торговые расчеты следующих двух видов:

* Прямой депозит (direct deposit).

Смысл этого вида расчетов заключается в том, что организация поручает банку осуществлять некоторые виды платежей своих служащих или клиентов автоматически, с помощью заранее подготовленных магнитных носителей или специальных сообщений. Условия осуществления таких расчетов оговариваются заранее (источник финансирования, сумма и т.д.). Они используются в основном для регулярных платежей (выплаты различного рода страховок, погашение кредитов, зарплата и т.д.). В организационном плане прямой депозит более удобен, чем, например, платежи с помощью чеков.

С 1989 г. число служащих, использующих прямой депозит, удвоилось и составило 25% от общего количества. Более 7 млн. американцев получают сегодня заработную плату в виде прямого депозита. Банкам прямой депозит сулит следующие выгоды:

Уменьшение объема задач, связанных с обработкой бумажных документов и, как следствие, экономия значительных сумм;

Увеличение числа депозитов, так как 100% объема платежей должны быть внесены на депозит.

Кроме банков в выигрыше остаются и хозяева, и работники; повышаются удобства и уменьшаются затраты.

* Расчеты при помощи ОЭД.

В качестве данных здесь выступают накладные, фактуры, комплектующие ведомости и т.д.

Для осуществления ОЭД необходима реализация следующего набора основных услуг:

Электронная почта по стандарту Х.400 ;

Передача файлов;

Связь «точка-точка»;

Доступ к базам данных в режиме on-line;

Почтовый ящик;

Преобразование стандартов представления информации.

Примерами существующих в настоящее время систем торговых расчетов с использованием ОЭД могут служить:

National Bank и Royal Bank (Канада) связаны со своими клиентами и партнерами с помощью IBM Information Network;

Bank of Scotland Transcontinental Automated Payment Service (TAPS), основанная в 1986 г., связывает Bank of Scotland с клиентами и партнерами в 15 странах с помощью корреспондентских банков и автоматизированных клиринговых палат.

Электронные межбанковские расчеты бывают в основном двух видов:

* Клиринговые расчеты с использованием мощной вычислительной системы банка-посредника (клирингового банка) и корреспондентских счетов банков-участников расчетов в этом банке. Система основана на зачете взаимных денежных требований и обязательств юридических лиц с последующим переводом сальдо. Клиринг также широко используется на фондовых и товарных биржах, где зачет взаимных требований участников сделок проводится через клиринговую палату или особую электронную клиринговую систему.

Межбанковские клиринговые расчеты осуществляются через специальные клиринговые палаты, коммерческие банки, между отделениями и филиалами одного банка - через головную контору. В ряде стран функции клиринговых палат выполняют центральные банки. Автоматизированные клиринговые палаты (АКП) предоставляют услуги по обмену средствами между финансовыми учреждениями. Платежные операции в основном сводятся либо к дебетованию, либо к кредитованию. Членами системы АКП являются финансовые учреждения, которые состоят в ассоциации АКП. Ассоциация образуется для того, чтобы разрабатывать правила, процедуры и стандарты выполнения электронных платежей в пределах географического региона. Необходимо отметить, что АКП не что иное, как механизм для перемещения денежных средств и сопроводительной информации. Сами по себе они не выполняют платежных услуг. АКП были созданы в дополнение к системам обработки бумажных финансовых документов. Первая АКП появилась в Калифорнии в 1972 г., в настоящее время в США функционируют 48 АКП. В 1978 г. была создана Национальная Ассоциация АКП (National Automated Clearing House Association; NACHA), объединяющая все 48 сети АКП на кооперативных началах.

Объем и характер операций постоянно расширяются. АКП начинают выполнять деловые расчеты и операции обмена электронными данными. После трехлетних усилий различных банков и компаний была создана система СТР (Corporate Trade Payment), предназначенная для автоматизированной обработки кредитов и дебетов. По мнению специалистов в ближайшее время тенденция расширения функций АКП будет сохраняться.

* Прямые расчеты, при которых два банка осуществляют связь непосредственно между собой с помощью счетов "лоро-ностро", возможно, при участии третьего лица, играющего организационную или вспомогательную роль. Естественно, объем взаимных операций должен быть достаточно велик для оправдания затрат на организацию такой системы расчетов. Обычно такая система объединяет несколько банков, при этом каждая пара может связываться непосредственно между собой, минуя посредников. Однако в этом случае возникает необходимость управляющего центра, занимающегося защитой взаимодействующих банков (рассылкой ключей, управлением, контролем функционирования и регистрацией событий).

В мире существует достаточно много таких систем - от небольших, связывающих несколько банков или филиалов, до гигантских международных, связывающих тысячи участников. Наиболее известной системой этого класса является SWIFT.

В последнее время появился третий вид электронных платежей - обработка электронных чеков (electronic check truncation), суть которого состоит в прекращении пути пересылки бумажного чека в финансовой организации, в которой он был предъявлен. В случае необходимости дальше «путешествует» его электронный аналог в виде специального сообщения. Пересылка и погашение электронного чека осуществляются с помощью АКП.

В 1990 г. NACHA анонсировала первый этап тестирования национальной экспериментальной программы «Electronic Check Truncation». Ее целью является сокращение расходов на обработку огромного количества бумажных чеков.

Пересылка денег с помощью системы электронных платежей включает следующие этапы (в зависимости от конкретных условий и самой системы порядок может меняться):

1. Определенный счет в системе первого банка уменьшается на требуемую сумму.

2. Корреспондентский счет второго банка в первом увеличивается на ту же сумму.

3. От первого банка второму посылается сообщение, содержащее информацию о выполняемых действиях (идентификаторы счетов, сумма, дата, условия и т.д.); при этом пересылаемое сообщение должно быть соответствующим образом защищено от подделки: зашифровано, снабжено цифровой подписью и контрольными полями и т.д.

4. С корреспондентского счета первого банка во втором списывается требуемая сумма.

5. Определенный счет во втором банке увеличивается на требуемую сумму.

6. Второй банк посылает первому уведомление о произведенных корректировках счета; это сообщение также должно быть защищено от подделки способом, аналогичным защите платежного сообщения.

7. Протокол обмена фиксируется у обоих абонентов и, возможно, у третьего лица (в центре управления сетью) для предотвращения конфликтов.

На пути передачи сообщений могут быть посредники - клиринговые центры, банки-посредники в передаче информации и т.п. Основная сложность таких расчетов - уверенность в своем партнере, то есть каждый из абонентов должен быть уверен, что его корреспондент выполнит все необходимые действия.

Для расширения применения электронных платежей проводится стандартизация электронного представления финансовых документов. Она была начата в 70-х годах в рамках двух организаций :

1) ANSI (American National Standart Institute) опубликовал документ ANSI X9.2-1080, (Interchange Message Specification for Debit and Credit Card Message Exchange Among Financial Institute, Спецификация обменных сообщений для дебетных и кредитных карточек обмена между финансовыми организациями). В 1988 аналогичный стандарт был принят ISO и получил название ISO 8583 (Bank Card Originated Messages Interchange Message Specifications - Content for Financial Transactions);

2) SWIFT (Society for Worldwide Interbank Financial Telecommunications) разработало серию стандартов межбанковских сообщений.

В соответствии со стандартом ISO 8583 финансовый документ содержит ряд элементов данных (реквизитов), расположенных в определенных полях сообщения или электронного документа (электронной кредитной карточки, сообщения в формате Х.400 или документа в синтаксисе EDIFACT). Каждому элементу данных (ЭД) назначается свой уникальный номер. Элемент данных может быть как обязательным (то есть входить в каждое сообщение данного вида), так и необязательным (в некоторых сообщениях может отсутствовать).

Битовая шкала определяет состав сообщения (те ЭД, которые в нем присутствуют). Если некоторый разряд битовой шкалы установлен в единицу, это означает, что соответствующий ЭД присутствует в сообщении. Благодаря такому методу кодирования сообщений уменьшается общая длина сообщения, достигается гибкость в представлении сообщений со многими ЭД, обеспечивается возможность включения новых ЭД и типов сообщений в электронный документ стандартной структуры.

Существует несколько способов электронных межбанковских платежей. Рассмотрим два из них: оплата чеком (оплата после услуги) и оплата аккредитивом (оплата ожидаемой услуги). Другие способы, как например оплата с помощью платежных требований или платежных поручений, имеют сходную организацию.

Оплата чеком основана на бумажном или другом документе, содержащим идентификацию подателя. Этот документ является основанием для перевода определенной в чеке суммы со счета владельца на счет подателя. Платеж чеком включает следующие этапы:

Получение чека;

Представление чека в банк;

Запрос о переводе со счета владельца чека на счет подателя;

Перевод денег;

Уведомление о платеже.

Основными недостатками таких платежей являются необходимость существования вспомогательного документа (чека), который легко подделать, а также значительные затраты времени на выполнение платежа (до нескольких дней).

Поэтому в последнее время более распространен такой вид платежей как оплата аккредитивом. Он включает следующие этапы:

Уведомление банка клиентом о предоставлении кредита;

Уведомление банка получателя о предоставлении кредита и перевод денег;

Уведомление получателя о получении кредита.

Такая система позволяет осуществлять платежи в очень короткие сроки. Уведомление о предоставлении кредита можно направлять по (электронной) почте, на дискетах, магнитных лентах.

Каждый из рассмотренных выше видов платежей имеет свои преимущества и свои недостатки. Чеки наиболее удобны при оплате незначительных сумм, а также при нерегулярных платежах. В этих случаях задержка платежа не очень существенна, а использование кредита нецелесообразно. Расчеты с помощью аккредитива обычно используются при регулярной оплате и для значительных сумм. В этих случаях отсутствие клиринговой задержки позволяет экономить много времени и средств за счет уменьшения периода оборота денег. Общим недостатком этих двух способов является необходимость затрат на организацию надежной системы электронных платежей.