Sisteme electronice de plati în e-commerce

Comertul electronic traditional se refera la utilizarea în retele cu valoare adaugata a unor aplicatii de tipul transferului electronic de documente (EDI), a comunicatiilor fax, codurilo 222i824c r de bare, transferului de fisiere si a postei electronice. Extraordinara dezvoltare a interconectivitatii calculatoarelor în Internet, în toate segmentele societatii, a condus la o tendinta tot mai evidenta a companiilor de a folosi aceste retele pentru a desfasura un nou tip de comert, comertul electronic în Interne, care sa apeleze, pe lânga vechile servicii amintite si altele noi. Este vorba, de exemplu, de posibilitatea de a se efectua cumparaturi prin retea, consultând cataloage electronice "on" pe Web sau cataloage "off" pe CD-ROM si platind prin intermediul cartilor de credit sau a unor portmonee electronice. Pentru altii, comertul Internet reprezinta relatiile de afaceri care se deruleaza prin retea între furnizori si clienti, ca o alternativa la variantele de comunicatii "traditionale" prin fax, linii de comunicatii dedicate sau EDI pe retele cu valoare adaugata. În fine, o alta forma a comertului Internet implica transferul de documente, de la contracte sau comenzi pro forma, pâna la imagini sau înregistrari vocale.

Acest nou tip de comert a stimulat însa cererea pentru noi metode adecvate de plata. În cadrul noului concept de "sat global" (global village), dezvoltarea unor activitati comerciale între participanti situati la mari distante geografice unii de altii nu poate fi conceputa fara folosirea unor sisteme electronice de plati. Aceste noi mijloace de plata permit transferarea comoda, sigura si foarte rapida a banilor între partenerii de afaceri. De asemenea, înlocuirea monedelor si bancnotelor, actualele forme de numerar, prin bani electronici, conduce pe lânga reducerea costurilor de emitere si mentinerea în circulatie a numerarului, si la o sporire a flexibilitatii si securitatii sistemelor de plati.

Domeniul sistemelor electronice de plati este foarte vast. El se întinde de la problemele arhitecturale si de software ale cartelelor inteligente, pâna la fundamentele matematice ale criptografiei utilizate în vederea securizarii platilor, trecând prin cunostintele economice specifice gestiunii platilor în sistemele bancare clasice.

Viteza cu care evolueaza tehnologia Internetului este impresionanta. Daca acum se apreciaza ca exista câteva milioane de oameni care folosesc serviciile Internet în fiecare moment, numarul lor va creste exponential în anii urmatori. Dintr-un recent sondaj a reiesit ca, daca cu un an în urma 70% din utilizatorii Internetului apreciau e-mail-ul, 40% Web-ul, astazi 50% din persoane considera pe primul loc e-mail-ul, 40% Web-ul si, deja 10%, comertul si platile electronice.

Card-uri bancare clasice

O buna parte din platile ce se fac în Internet folosesc deja "clasicele" card-uri.

Bank Americard (în prezent VISA International), emis de Bank of America, reprezinta primul card lansat în 1960 pentru revolutionarea modului de achizitionare de bunuri si servicii. În zece ani s-a ajuns la peste 20 milioane de detinatori de astfel de card-uri, în 1980 73 milioane, iar în 1991 peste 100 milioane.

În anul 1966, 17 banci finanteaza Asociatia Interbancara de Card-uri, care se ocupa cu procedurile de autorizare, clearing si decontare. În 1979 ea devine Mastercard, care cunoaste, la fel ca VISA, o dezvoltare rapida: peste 90 de milioane de utilizatori în 1990.

Avantajele acestui instrument de plata:

v     pentru detinatorii de card-uri: usurinta în utilizare, renuntarea la purtarea numerarului, renuntarea la inconvenientele folosirii cecurilor, obtinerea de credite instantanee, amânarea platilor cu circa o luna, urmarirea cu usurinta la sfârsit de luna a sumelor cheltuite;

v     pentru comercianti: usurinta încasarilor, utilizarea simpla a vânzarilor, cresterea volumului vânzarilor, acordarea de vânzari pe credit la scara foarte mare;

v     pentru banci: card-ul reprezinta o modalitate simpla de a acorda credite si a încuraja clientii sa se împrumute, veniturile bancii sporesc prin dobânzile încasate si prin comisioanele percepute comerciantilor pentru serviciile de prelucrare si decontare a tranzactiilor cu card-uri.

1. Tipuri de card-uri

Card-urile reprezinta instrumente de decontare care asigura posesorului achizitionarea de bunuri si servicii, fara prezenta efectiva a numerarului. Indiferent de tip si functii, card-urile au anumite trasaturi comune:

v     suport fizic de plastic, cu dimensiuni standard;

v     numele emitentului, numarul card-ului, perioada de valabilitate, numele posesorului - inscriptionate pe avers prin tiparire, gofrare sau gravare cu laser;

v     sigla emitentului, holograma de securitate, logo-ul organizatiei, pe avers;

v     banda magnetica (sau de curând cip) pentru criptarea elementelor de securitate si un spatiu pentru semnatura posesorului, pe revers.

Card-urile se pot clasifica pe mai multe criterii:

1. În raport cu modul de stocare a caracteristicilor de securitate:
• card-uri cu banda magnetica - care memoreaza pe trei piste informatii criptate despre utilizator, emitent, algoritmul de codare;
• card-uri cu microprocesor (smart-card-uri) - având stocate în cip datele de securitate si permitând functionarea ca portofel electronic.
2. În raport cu sursa de acoperire a cheltuielilor:

debit-card-uri - care asigura utilizatorului achizitionarea de bunuri si servicii sau de retrageri de numerar, cu conditia prezervarii unor fonduri într-un cont de card, si efectuarea de cheltuieli în limita soldului disponibil; desi aceste card-uri functioneaza pe principiul lichiditatii existente în cont, bancile stimuleaza în mod "prudent" unele cheltuieli de credit;

credit-card-uri - care asigura utilizatorului achizitionarea de bunuri si servicii sau retrageri de numerar pe baza unei linii de credit acordate posesorului de card. La rândul lor, ele pot fi de doua tipuri:

Charge - caz în care posesorul trebuie ca în termen de 1 luna sa acopere depasirea de sold înregistrata sau creditul acordat;

Full - cu functiuni depline, caz în care posesorul poate cheltui fara restrictii, în limita unui plafon sau credit negociat anterior.

3. În raport cu calitatea emitentului:

card-uri emise de banci;

card-uri emise de societati non-bancare (lanturi de magazine, cluburi, parcaje)

Operatiuni cu card-uri

Etapele fundamentale care caracterizeaza operatiunile cu card-uri sunt: emiterea si acceptarea.

Emiterea card-urilor

O banca comerciala poate lansa pe piata doua tipuri fundamentale de card-uri: de debit si de credit. La fiecare dintre acestea, banca poate emite diferite variante, cu functiuni suplimentare fata de cele standard.

Fluxul operatiunilor de acceptare la plata a unor tranzactii cu card-uri

Orice program de emitere card-uri presupune patru etape:

proiectarea si lansarea produselor card;

analiza si aprobarea cererilor de emitere;

producerea si predarea card-urilor (tiparire, amborsare sau codare, generare PIN, creare fisier personal card emis, pregatire livrare-împachetare, criptare si livrare PIN la solicitant si card la filiala);

autorizarea si decontarea tranzactiilor (presupune existenta unui sistem informatic al bancii, care sa permita obtinerea în timp real a informatiilor legate de disponibilitatile cumparatorului.

Card-uri inteligente (Smart card-uri)

Derivând dinsimplele cartele magnetice, cartele (card-urile) inteligente au înregistrat o imensa crestere a cererii pe piata, depasind cu mult asteptarile. Spre deosebire de cartelele magnetice obisnuite, cartelele inteligente sunt astazi capabile sa execute programe complexe, cum ar fi algoritmii criptografici, ce dau posibilitatea folosirii acestora cu un grad de risc mult diminuat în aplicatii ce necesita o complexitate si securitate ridicate.

Tipuri de sisteme electronice de plati în Internet

Acest capitol sintetizeaza mecanisme de plata care se fac în circumstanta în care platitorul nu este prezent la punctul de vânzare sau service, dar are disponibila facilitatea unei conexiuni electronice, de obicei prin retea (Internet). Unele dintre ele folosesc card-uri (clasice sau portofele), celelalte se bazeaza pe protocoale criptografice în retea.

3.3.1. Sisteme bazate pe transmiterea criptata a card-urilor clasice

Card-uri de credit (Credit-card)

Multe plati pe Internet se fac folosind deja clasicele card-uri de credit. Se stie însa ca problema cea mai sensibila, în aceste cazuri, o reprezinta transmiterea numerelor de carti de credit în clar, furtul lor de catre "hacker-i" specializati si refolosirea lor neautorizata. De aceea, în ultimul timp s-au cautat solutii pentru a se rezolva transferul sigur al numerelor de carti de credit prin retelele publice.

• Transmiterea detaliilor card-urilor de credit prin e-mail: este usor utilizat de catre platitor, însa este total nesigura, daca se foloseste posta fara criptare.
• Transmiterea detaliilor card-urilor de credit prin conexiune comutata: exista un minim de protectie pentru protejarea detaliilor cartilor de credit, prin folosirea unei linii separate pentru validarea card-ului de catre intermediar (banca).
• Pre-înregistrari ale detaliilor card-ului: este o schema mult mai ambitioasa, ce prevede o pre-înregistrare la intermediar a cumparatorului, cu numarul cartii sale de credit. Atunci când va dori sa cumpere un bun sau serviciu, acesta va trimite un mesaj de autorizare a platii catre intermediar. Intermediarul utilizeaza un mecanism conventional (EFT/POS, EFTS sau on-line, printr-o retea autorizata în unele cazuri), pentru a realiza efectiv plata catre firma vânzatoare în cauza. Aceasta schema este creata în moduri variate, astfel încât sa functioneze cu carti de credit, card-uri ATM sau cu card-uri de debit. Mesajul poate fi trimis de platitor direct celui ce primeste plata, iar acesta din urma ia legatura cu intermediarul sau cel care primeste plata trimite un mesaj intermediarului pentru a se convinge de legitimitatea celui care plateste. Intermediari în Internet sunt, de exemplu: First Virtual cu Infohaus, CyberCash, First Bank of the Internet (FBOI), CARI.

CyberCash (www.cybercash.com/) reprezinta un exemplu de sistem electronic de plata, implementat în 1995 de firma CyberCash Inc., Reston, SUA, pentru protejarea platilor cu cartele de credit prin Internet. Firma furnizeaza un software atât pentru cumparator, cât si pentru vânzator si opereaza o poarta (gateway) între Internet si majoritatea bancilor care autorizeaza platile cu cartele de credit. Cumparatorii încep prin a instala software-ul de "portofel", cu care înregistreaza mai multe cartele de credit pe care le folosesc. În mod similar, vânzatorul instaleaza software-ul pereche. Mesajele tranzactiilor dintre cele doua componente se desfasoara criptat, cu o cheie simetrica, anvelopata cu ajutorul unei chei publice a lui CyberCash, pentru distribuire. Aceasta cheie este încorporata în soft-ul cumparatorului. Soft-ul genereaza, atunci când se instaleaza cartelele de credit folosite, o pereche cheie publica - cheie privata pentru cumparator. Cheia publica se transmite la CyberCash, care memoreaza într-o baza de date, alaturi de toate cheile publice ale cumparatorilor si vânzatorilor. Ca urmare, CyberCash poate autentifica semnaturile digitale ale tuturor participantilor. Mesajul de plata cu cartela de credit - descrierea tranzactiei, numarul cartelei de credit a cumparatorului si semnatura digitala a acestuia - se transmite portii CyberCash, care decripteaza mesajele si semnatura. Daca lucrurile sunt OK, el confirma plata catre software-ul vânzatorului, care la rândul sau o trimite spre confirmare soft-ului "portmoneu" al cumparatorului. CyberCash opereaza ca un agent al bancii vânzatorului. Vom observa ca, deoarece informatiile privind tranzactia si numarul cartelei de credit sunt criptate cu cheia publica a lui CyberCash, vânzatorul nu poate utiliza ilegal, ulterior, cartela de credit a cumparatorului.

O solutie pentru transferul sigur al cartelelor de credit prin Internet, fara însa a apela la criptografie, o constituie FirstVirtual (www.fv.com:/80/). Este vorba de un mecanism prin care cumparatorii de informatii stabilesc un identificator propriu pe care-l fac cunoscut lui FirstVirtual prin fax sau telefon, împreuna cu numarul cartelei de credit. Atunci când cumpara o informatie, cumparatorul furnizeaza vânzatorului identificatorul sau. Vânzatorul se conecteaza la serverul FirstVirtual, verifica identificatorul si, daca el corespunde, va furniza informatia cumparatorului. Apoi serverul FirstVirtual întreaba prin e-mail cumparatorul daca accepta plata informatiei. Daca raspunsul este "da", FirstVirtual va furniza numarul cartelei de credit catre un achizitor, care va încarca cartela cu suma de plata si, dupa 90 de zile, va transfera fondurile vânzatorului. Intrat în functiune în 1994, FirstVirual are astazi peste 180.000 de utilizatori.

• Transmiterea detaliile card-urilor de credit printr-o transmisie criptata

prin e-mail: se pun detaliile cartii de credit într-un mesaj care se cripteaza. Schema criptarii cu cheie simetrica (secreta) pare a fi improprie în acest caz, datorita problemelor de gestionare a cheilor, dar schema de criptare cu cheie asimetrica (publica) se poate folosi. Cumparatorul are nevoie de software-ul pentru criptare ce utilizeaza cheia publica a celui ce accepta plata; acesta din urma, la receptarea mesajului, poate descifra criptograma doar cu ajutorul cheii sale private. Un exemplu de soft pentru criptarea mesajelor e-mail, cu cheie publica, este PGP.

Prin Secure HTTP: protocolul "http" promoveaza si un mod de transmisie criptata: SHTTP, recognoscibil de catre browser prin identificatorul "shttps://". SHTTP poate oferi un canal sigur de comunicatie, dar nu ofera autenticitatea adresei si eliminarea riscului repudierii mesajelor.

Prin SET: în 1996, MasterCard si Visa au convenit sa consolideze standardele lor de plati electronice într-unul singur, numit SET (Secure Electronic Transactions). El este destinat realizarii tranzactiilor cu cartele de credit pe Internet, fiind destinat sa opereze fie într-un mediu de tip Web, fie în cazul e-mail. SET permite cumparatorilor, comerciantilor si bancilor sa opereze cu propriile lor componente software, care trebuie însa sa coopereze perfect, fara a fi produse publice ale participantilor, SET se bazeaza pe existenta unei ierarhii de autoritati de certificare, care furnizeaza cheile publice corecte ale utilizatorilor. Ca urmare, cumparatorii si vânzatorii trebuie sa schimbe certificatele înainte de a sti cu ce cheie publica sa cripteze mesajul adresat unui anumit corespondent.

Card-uri de debit (Debit card)

Tranzactiile care implica card-uri de debit necesita actualizari imediate în contul din banca, prin intermediul cititorului de card. În unele tari, pentru a efectua o tranzactie cu card-ul de debit trebuie sa se introduca codul PIN, ca o masura de securitate.

3.3.2. Sisteme bazate pe portofel si bani electronici

Card-uri inteligente au un cip încorporat în stratul de plastic, ceea ce îi confera acestuia proprietati de procesare, memorare si securizare mult sporite. Smart card-urile se pot folosi pentru a implementa scheme noi de plata, care permit asigurarea securitatii si reducerea riscului unor fraude. Se folosesc tehnici de autentificare prin protocoale criptografice, semnatura electronica etc. Exista mai multe solutii prezente deja în uz:

• portofel electronic, dedicat cumparaturilor mici (sub 20 USD);
• portofel electronic universal, pentru piete în formare, confruntate cu rata mare a inflatiei, lipsa de solvabilitate a clientilor, cu putine utilizari ale card-urilor. Valoarea înglobata în card este fie pre-platita, fie pre-autorizata. Acest produs se poate utiliza si pentru cumparaturi de mare valoare, întrucât fiecare tranzactie este pre-autorizata si urmarita (înregistrata);
• libretul electronic este un smart card asociat unui cont din banca al detinatorului, care înregistreaza tranzactiile, calculeaza soldul si permite retrageri de numerar off-line (este potrivit acolo unde nu exista un sistem national de comunicatii corespunzator). Ori de câte ori card-ul este folosit on-line (la sucursala bancii din orasul de domiciliu, la un ATM conectat) sunt actualizate ultima tranzactie si soldul contului. Atunci când se afla în zone neconectate, clientul poate fi informat despre noul sold si poate retrage numerar de la ATM sau o sucursala locala a bancii.

Portofelul electronic poate opera în mai multe moduri:

• închis/deschis - când acelasi operator emite card-uri si accepta tranzactii sau când se face compensarea tranzactiilor între diferiti emitenti;
• pre-platit/pre-autorizat. Un portofel electronic pre-platit înglobeaza (sub forma electronica) bani reali, transferati dintr-un cont bancar sau dintr-un depozit de numerar. Un portofel electronic pre-autorizat înglobeaza valoarea (costul) unei cumparaturi, pe care operatorul portofelului o garanteaza (se bazeaza pe o linie de credit). În primul caz cumparaturile sunt anonime, în cel de-al doilea nu. De asemenea, daca în primul caz dobânda revine operatorului portofelului, în cel de-al doilea ea revine operatorului portofelului, în cel de-al doilea ea revine clientului bancii;
• domestic/international;
• de unica folosinta/reîncarcabil

Schema dupa care se desfasoara o operatiune de creditare sau debitare a unui portofel este urmatoarea:

se autentifica card-ul cu ajutorul cheii avute la dispozitie de catre toti furnizorii de servicii;

se determina valoarea tranzactiei si verifica soldul card-ului;

se verifica detinatorul (prin PIN);

se face operatiunea de creditare/debitare;

se genereaza de catre card certificatul de debitare;

certificatul de debitare este verificat de cititorul de card.

Un sistem de plati bazat pe portofel electronic trebuie sa dispuna de urmatoarele componente de securitate:

portofelul, care contine identificatorul de card, un identificator pentru banca emitenta, pentru a se permite compensarea si decontarea, soldul, chei criptografice de creditare pentru securizarea reîncarcarii, chei criptografice de debitare, pentru securizarea cumpararii, soldul maxim acceptat, înregistrarea ultimelor tranzactii;

card-ul comerciantului, care contine cheile secrete cu care POS-ul autentifica portofelul, verifica extrasul de cont cu soldul curent si debiteaza soldul portofelului cu valoarea bunurilor sau serviciilor, precum si un PIN pentru evitarea folosirii neautorizate;

EFT POS, cu capacitate de conectare a doua card-uri, display pentru afisarea valorii curente stocate în portofel si a tranzactiei. Verifica card-ul si certificatul de debitare, permite detinatorului sa-si dea acordul pentu cumparare, permite detinatorului sa-si introduca PIN-ul sau, tipareste pe hârtie chitanta cu suma tranzactiei si memoreaza tranzactiile;

card-ul de colectare, care colecteaza datele referitoare la tranzactiile off-line din distribuitorul automat de produse si bani electronici, ce pot fi descarcati la un centru de procesare on-line (ATM sau un PC);

jurnalul tranzactiilor (registru de casa) reprezinta înregistrarea tuturor tranzactiilor efectuate de un comerciant, de obicei de-a lungul unei zile. Este pastrat în POS sau în card-ul comerciantului; la fiecare tranzactie se retine: suma, identificatorul bancii emitente a portofelului, identificatorul portofelului, identificatorul comerciantului, data si ora;

ATM sau alt dispozitiv de încarcare a portofelului, care este în legatura on-line cu banca emitenta unde sunt pastrate cheile secrete necesare pentru încarcarea portofelului. Poate, de asemenea, descarca card-ul comerciantului.

Aceasta schema presupune ca platitorul sa încarce bancnote si monede virtuale (în general bonuri valorice) de la o banca electronica si apoi sa le salveze în portofelul lui electronic pe un smart card. Exista însa sisteme de plata în care "portofelul" este amplasat pe hard disk-ul detinatorului. Ca urmare, se pot crea:

• portofele electronice fizice, pe card-uri inteligente;
• portofele electronice virtuale, sub forma unor fisiere disc ce contin moneda electronica.

În cazul unor portofele virtuale, pentru a efectua o plata cumparatorul trimite destinatarului e-mail-uri ce contin unul sau mai multe bonuri valorice. El are mai multe optiuni: sa opreasca bonurile valorice, sa le depoziteze într-un cont dintr-o banca conventionala sau sa ceara transferul de valoare din cont la alta institutie financiara.

Mari firme au implementat scheme de plata electronica sub forma de portofel sau bani electronici. Iata câteva sisteme cunoscute:

• DigiCash (David Chaum), realizat cu spijinul bancilor Mark Twain Bank - USA, Deutsche Bank - Germania si Merita Bank - Finlanda si se bazeaza pe tehnologia eCash. Aceasta tehnologie a fost dezvoltata în Olanda, de catre firma Digicash Co. din Amsterdam. Este prima solutie totalmente software pentru platile electronice. Tranzactiile se desfasoara între cumparator si vânzator, care trebuie sa aiba conturi la aceeasi banca. Cumparatorii trebuie sa înstiinteze banca ca doresc sa transfere bani din conturile lor obisnuite în asa numitul cont eCash Mint. În orice moment, cumparatorul poate interactiona de la distanta, prin calculatorul sau folosind un client software, cu contul Mint si poate retrage fonduri de aici pe hard disk-ul calculatorului sau. Formatul acestor fonduri este electronic, suite de zero si unu protejate criptografic. Ca urmare, hard disk-ul cumparatorului devine un veritabil "portofel electronic". Apoi se pot executa plati între persoane individuale sau catre firme, prin intermediul "acestor bani electronici".
• NetCash (Cliff Neuman) reprezinta un exemplu de sistem electronic de plati de tip on-line. A fost dezvoltat la Information Science Institute de la University of Southern California. Cu toate ca banii pot fi identificati, NetCash ofera mijloace prin care sa se asigure platilor un anumit grad de anonimiatate. Sistemul se bazeaza pe mai multe servere de monede distribuite, la care se poate face schimbul unor cecuri electronice (inclusiv NetCheque) în moneda electronica.
• Sistemul CAFE al Comunitatii Europene, bazat pe un card portofel electronic..

3.3.3. Sisteme de micro-plati

Un sub-set special, în faza actuala în forma de concept si proiect experimental, se adreseaza nevoii existentei unei scheme simple, ieftine, care sa poata suporta economic plati foarte mici, câtiva dolari, centi si chiar fractiuni de centi. Cea mai frecventa aplicatie a microplatilor o reprezinta plata vizitarii site-urilor în Internet. Aceste sisteme se gasesc la:

• Cybercoin (proiect CyberCash)
• Milicent (proiect Digital);
• Protocolul Micro-Payment (Consortiul W3)

Instructiuni de plata electronica (transfer electroni de fonduri)

În aceste tipuri de scheme, platitorul trimite celui care primeste plata un document electronic ce contine date echivalente cu continutul unui cec: numele platitorului, institutia sa financiara, numarul de cont, numele celui care accepta plata si suma transferata. Sunt necesare masuri de protectie si securitate, metode speciale de criptare. Unele sisteme sunt dependente de mecanismul de autentificare a utilizatorului, cum ar fi smart card-urile detinute de cumparatori si vânzatori si cititoarele de smart card-uri de la fiecare statie de lucru. Este nevoie de un mecanism clar si de aceea institutiile financiare care promoveaza serviciile bancare catre cumparatori si vânzatori pot schimba electronic instructiunile de plata. Unele scheme sunt proiectate pentru a include verificarea a semnaturilor, utilizând software ce ruleaza pe masina vânzatorului.

Sisteme de cecuri electronice au fost folosite înca din anii `70. Ele utilizeaza structura de banci existente si elimina cecurile de hârtie. Transferul electronic de fonduri foloseste sisteme de cecuri electronice, prezentând avantaje în raport cu cecurile de hârtie:

timpul foarte mic de efectuare a platilor;

reducerea costurilor privind hârtia folosita;

confirmarea instantanee a solvabilitatii platitorului;

flexibilitatea si marea varietate de implementare, de la tranzactii mici, folosind retele de automate de bani (ATM - Automatic Teller Machine), la marile retele internationale de clearing, cum ar fi CHIPS (Clearing House Interbank Payments System), format din peste 120 de banci din întreaga lume.

O slabiciune evidenta a acestui sistem de cecuri electronice îl constituie caracterul privat si confidentialitatea platilor. În plus bancile sunt obligate, prin reglementarile în vigoare, sa poata documenta în detaliu fiecare transfer.

Pe Internet, cecul de hârtie poate fi repede înlocuit de un cec electronic, semnat digital de emitent. Un consortiu de banci, FSTC - Financial Services Technology Consortium (www.fstc.org), a statuat un model de cec electronic, foarte asemanator cecurile clasice pe hârtie. Platitorul foloseste un procesor, de tipul unui smart card PC, pentru a genera si semna digital un cec electronic ce va fi transmis prin posta electronica sau WWW. El se trimite fie bancii cumparatorului, care-l va onora prin verificarea semnaturii digitale, trimitând bani bancii vânzatorului, fie direct vânzatorului, care va verifica semnatura, îl va semna la rândul sau si îl va trimite bancii sale. Modelul FSTC se bazeaza pe folosirea sistemelor criptografice cu chei publice pentru semnatura digitala si pleaca de la premisa ca toate cheile publice pentru semnatura digitala si pleaca de la premisa ca toate cheile publice ale participantilor si certificatele lor sunt cunoscute pretutindeni în sistem.

Sisteme de plati în Internet bazate pe card-uri bancare

Multe cumparaturi de bunuri si servicii prin Internet se fac platindu-se cu card-uri  obisnuite. Însa tranzactiile cu card-uri contin informatii confidentiale privind card-ul si informatiile personale ale clientilor, ce pot fi interceptate în timpul transmisiei prin Internet. Folosind un software special, o persoana care monitorizeaza traficul pe retea poate citi continutul acestor date confidentiale sau se poate interpune între entitatile comunicante, daca mesajele transmise sunt în clar. În acest caz este necesara elaborarea unor standarde specifice sistemelor de plati, care sa permita coordonarea partilor legitime implicate în transfer si folosirea corecta a metodelor de securitate. Aceasta clasa de protocoale urmareste securizarea transmisiei unor informatii private între patru entitati:

• un cumparator, care achizitioneaza un produs sau un serviciu;
• un vânzator, care ofera produse sau servicii cumparatorilor;
• un emitent, care furnizeaza un cont de card cumparatorului;
• un achizitor, care mentine o relatie financiara cu vânzatorul.

Dintre numeroasele propuneri din domeniul sistemelor de plati electronice acceptate de principalele banci amintim:

• SEPP (Secure Electronic Payment Protocol), acceptat de MasterCard, IBM si Netscape;
• STT (Secure Transaction Technology), dezvoltat de Visa si Microsoft.

3.4.1. Protocolul SET

În 1996, MasterCard si Visa au convenit sa consolidez standardele lor de plati electronice într-unul singur, numit SET (Secure Electronic Transaction).

Sistemele de plati si institutiile lor financiare au un rol semnificativ în stabilirea specificatiilor publice pentru tranzactiile cu card-uri care asigura transmisia confidentiala a datelor, autentifica partile implicate în comert, garanteaza integritatea instructiunilor de plata pentru cererile de bunuri si servicii si autentifica reciproc furnizorul si clientul. Datorita naturii anonime a retelelor de comunicatie metodele trebuie dezvoltate astfel încât sa le înlocuiasca pe cele existente folosite în tranzactiile prin posta sau prin telefon, incluzând autentificarea cumparatorului de catre vânzator. De asemenea, este nevoie ca si detinatorul cartii de credit sa se asigure ca furnizorul accepta tranzactii SET si este autorizat sa accepte card-uri.

Institutiile financiare sunt direct interesate de cresterea comertului electronic. Cumparaturile electronice necesita plata electronica; cea mai mare parte a acestor tranzactii folosesc azi cartile de credit în locul banilor cash sau al cecurilor.

Pentru a satisface necesitatile expuse mai sus, protocolul SET foloseste criptografia pentru:

• garantarea confidentialitatii informatiilor;
• asigurarea integritatii platilor;
• autentificarea reciproca a partilor implicate în tranzactii.

Cerinte SET

Protocolul SET îsi propune sapte obiective de securitate în e-commerce:

1. sa asigure confidentialitatea instructiunilor de plata si a informatiilor de cerere care sunt transmise o data cu informatiile de plata;
2. sa garanteze integritatea tuturor datelor transmise;
3. sa asigure autentificarea cumparatorului, precum si ca acesta este utilizatorul legitim al unei marci de card;
4. sa asigure autentificarea vânzatorului, precum si ca accepta tranzactii cu card-uri prin relatia sa cu o institutie financiara achizitoare;
5. sa foloseasca cele mai bune metode de securitate, pentru a proteja partile antrenate în comert;
6. sa fie un protocol care sa nu depinda de mecanismele de securitate ale retelei de comunicatie si care sa nu împiedice folosirea acestora;
7. sa faciliteze si sa încurajeze interoperabilitatea dintre furnizorii de software si cei de retea.

Aceste cerinte sunt satisfacute de urmatoarele caracteristici ale acestei specificatii:

Confidentialitatea informatiei

Pentru a facilita si încuraja comertul electronic folosind cartile de credit, este necesara asigurarea detinatorilor de cartele ca informatiile de plata sunt în siguranta. De aceea, contul cumparatorului si informatiile de plata sunt în siguranta. De aceea, contul cumparatorului si informatiile de plata trebuie sa fie securizate atunci când traverseaza reteaua, împiedicând astfel interceptarea numerelor de cont si a datelor corespunzatoare de catre persoane neautorizate. Criptarea mesajelor SET asigura confidentialitatea informatiei.

Integritatea datelor

Aceasta specificatie garanteaza nealterarea continutului mesajelor în timpul transmisiei acestora prin retea. Informatiile de plata trimise de cumparator la vânzator contin informatii de cerere, date personale si instructiuni de plata. Daca una din aceste informatii este alterata, tranzactia nu se va face corect. Protocolul SET foloseste semnatura digitala pentru integritatea datelor.