Sisteme electronice de plati in e-commerce

Comertul electronic traditional se refera la utilizarea in retele cu valoare adaugata a unor aplicatii de tipul transferului electronic de documente (EDI), a comunicatiilor fax, codurilor de bare, transferului de fisiere si a postei electronice. Extraordinara dezvoltare a interconectivitatii calculatoarelor in Internet, in toate segmentele societatii, a condus la o tendinta tot mai evidenta a companiilor de a folosi aceste retele pentru a desfasura un nou tip de comert, comertul electronic in Interne, care sa apeleze, pe langa vechile servicii amintite si altele noi. Este vorba, de exemplu, de posibilitatea de a se efectua cumparaturi prin retea, consultand cataloage electronice "on" pe Web sau cataloage "off" pe CD-ROM si platind prin intermediul cartilor de credit sau a unor portmonee electronice. Pentru altii, comertul Internet reprezinta relatiile de afaceri care se deruleaza prin retea intre furnizori si clienti, ca o alternativa la variantele de comunicatii "traditionale" prin fax, linii de comunicatii dedicate sau EDI pe retele cu valoare adaugata. In fine, o alta forma a comertului Internet implica transferul de documente, de la contracte sau comenzi pro forma, pana la imagini sau inregistrari vocale.

Acest nou tip de comert a stimulat insa cererea pentru noi metode adecvate de plata. In cadrul noului concept de "sat global" (global village), dezvoltarea unor activitati comerciale intre participanti situati la mari distante geografice unii de altii nu poate fi conceputa fara folosirea unor sisteme electronice de plati. Aceste noi mijloace de plata permit transferarea comoda, sigura si foarte rapida a banilor intre partenerii de afaceri. De asemenea, inlocuirea monedelor si bancnotelor, actualele forme de numerar, prin bani electronici, conduce pe langa reducerea costurilor de emitere si mentinerea in circulatie a numerarului, si la o sporire a flexibilitatii si securitatii sistemelor de plati.

Domeniul sistemelor electronice de plati este foarte vast. El se intinde de la problemele arhitecturale si de software ale cartelelor inteligente, pana la fundamentele matematice ale criptografiei utilizate in vederea securizarii platilor, trecand prin cunostintele economice specifice gestiunii platilor in sistemele bancare clasice.

Viteza cu care evolueaza tehnologia Internetului este impresionanta. Daca acum se apreciaza ca exista cateva milioane de oameni care folosesc serviciile Internet in fiecare moment, numarul lor va creste exponential in anii urmatori. Dintr-un recent sondaj a reiesit ca, daca cu un an in urma 70% din utilizatorii Internetului apreciau e-mail-ul, 40% Web-ul, astazi 50% din persoane considera pe p 151b17b rimul loc e-mail-ul, 40% Web-ul si, deja 10%, comertul si platile electronice.

Card-uri bancare clasice

O buna parte din platile ce se fac in Internet folosesc deja "clasicele" card-uri.

Bank Americard (in prezent VISA International), emis de Bank of America, reprezinta primul card lansat in 1960 pentru revolutionarea modului de achizitionare de bunuri si servicii. In zece ani s-a ajuns la peste 20 milioane de detinatori de astfel de card-uri, in 1980 73 milioane, iar in 1991 peste 100 milioane.

In anul 1966, 17 banci finanteaza Asociatia Interbancara de Card-uri, care se ocupa cu procedurile de autorizare, clearing si decontare. In 1979 ea devine Mastercard, care cunoaste, la fel ca VISA, o dezvoltare rapida: peste 90 de milioane de utilizatori in 1990.

Avantajele acestui instrument de plata:

v      pentru detinatorii de card-uri: usurinta in utilizare, renuntarea la purtarea numerarului, renuntarea la inconvenientele folosirii cecurilor, obtinerea de credite instantanee, amanarea platilor cu circa o luna, urmarirea cu usurinta la sfarsit de luna a sumelor cheltuite;

v      pentru comercianti: usurinta incasarilor, utilizarea simpla a vanzarilor, cresterea volumului vanzarilor, acordarea de vanzari pe credit la scara foarte mare;

v      pentru banci: card-ul reprezinta o modalitate simpla de a acorda credite si a incuraja clientii sa se imprumute, veniturile bancii sporesc prin dobanzile incasate si prin comisioanele percepute comerciantilor pentru serviciile de prelucrare si decontare a tranzactiilor cu card-uri.

1. Tipuri de card-uri

Card-urile reprezinta instrumente de decontare care asigura posesorului achizitionarea de bunuri si servicii, fara prezenta efectiva a numerarului. Indiferent de tip si functii, card-urile au anumite trasaturi comune:

v      suport fizic de plastic, cu dimensiuni standard;

v      numele emitentului, numarul card-ului, perioada de valabilitate, numele posesorului - inscriptionate pe avers prin tiparire, gofrare sau gravare cu laser;

v      sigla emitentului, holograma de securitate, logo-ul organizatiei, pe avers;

v      banda magnetica (sau de curand cip) pentru criptarea elementelor de securitate si un spatiu pentru semnatura posesorului, pe revers.

Card-urile se pot clasifica pe mai multe criterii:

1. In raport cu modul de stocare a caracteristicilor de securitate:
• card-uri cu banda magnetica - care memoreaza pe trei piste informatii criptate despre utilizator, emitent, algoritmul de codare;
• card-uri cu microprocesor (smart-card-uri) - avand stocate in cip datele de securitate si permitand functionarea ca portofel electronic.
2. In raport cu sursa de acoperire a cheltuielilor:

debit-card-uri - care asigura utilizatorului achizitionarea de bunuri si servicii sau de retrageri de numerar, cu conditia prezervarii unor fonduri intr-un cont de card, si efectuarea de cheltuieli in limita soldului disponibil; desi aceste card-uri functioneaza pe principiul lichiditatii existente in cont, bancile stimuleaza in mod "prudent" unele cheltuieli de credit;

credit-card-uri - care asigura utilizatorului achizitionarea de bunuri si servicii sau retrageri de numerar pe baza unei linii de credit acordate posesorului de card. La randul lor, ele pot fi de doua tipuri:

Þ      Charge - caz in care posesorul trebuie ca in termen de 1 luna sa acopere depasirea de sold inregistrata sau creditul acordat;

Þ      Full - cu functiuni depline, caz in care posesorul poate cheltui fara restrictii, in limita unui plafon sau credit negociat anterior.

3. In raport cu calitatea emitentului:

card-uri emise de banci;

card-uri emise de societati non-bancare (lanturi de magazine, cluburi, parcaje)

Operatiuni cu card-uri

Etapele fundamentale care caracterizeaza operatiunile cu card-uri sunt: emiterea si acceptarea.

Emiterea card-urilor

O banca comerciala poate lansa pe piata doua tipuri fundamentale de card-uri: de debit si de credit. La fiecare dintre acestea, banca poate emite diferite variante, cu functiuni suplimentare fata de cele standard.

Fluxul operatiunilor de acceptare la plata a unor tranzactii cu card-uri

Orice program de emitere card-uri presupune patru etape:

Ø       proiectarea si lansarea produselor card;

Ø       analiza si aprobarea cererilor de emitere;

Ø       producerea si predarea card-urilor (tiparire, amborsare sau codare, generare PIN, creare fisier personal card emis, pregatire livrare-impachetare, criptare si livrare PIN la solicitant si card la filiala);

Ø       autorizarea si decontarea tranzactiilor (presupune existenta unui sistem informatic al bancii, care sa permita obtinerea in timp real a informatiilor legate de disponibilitatile cumparatorului.

Card-uri inteligente (Smart card-uri)

Derivand dinsimplele cartele magnetice, cartele (card-urile) inteligente au inregistrat o imensa crestere a cererii pe piata, depasind cu mult asteptarile. Spre deosebire de cartelele magnetice obisnuite, cartelele inteligente sunt astazi capabile sa execute programe complexe, cum ar fi algoritmii criptografici, ce dau posibilitatea folosirii acestora cu un grad de risc mult diminuat in aplicatii ce necesita o complexitate si securitate ridicate.

Tipuri de sisteme electronice de plati in Internet

Acest capitol sintetizeaza mecanisme de plata care se fac in circumstanta in care platitorul nu este prezent la punctul de vanzare sau service, dar are disponibila facilitatea unei conexiuni electronice, de obicei prin retea (Internet). Unele dintre ele folosesc card-uri (clasice sau portofele), celelalte se bazeaza pe protocoale criptografice in retea.

3.3.1. Sisteme bazate pe transmiterea criptata a card-urilor clasice

Card-uri de credit (Credit-card)

Multe plati pe Internet se fac folosind deja clasicele card-uri de credit. Se stie insa ca problema cea mai sensibila, in aceste cazuri, o reprezinta transmiterea numerelor de carti de credit in clar, furtul lor de catre "hacker-i" specializati si refolosirea lor neautorizata. De aceea, in ultimul timp s-au cautat solutii pentru a se rezolva transferul sigur al numerelor de carti de credit prin retelele publice.

• Transmiterea detaliilor card-urilor de credit prin e-mail: este usor utilizat de catre platitor, insa este total nesigura, daca se foloseste posta fara criptare.
• Transmiterea detaliilor card-urilor de credit prin conexiune comutata: exista un minim de protectie pentru protejarea detaliilor cartilor de credit, prin folosirea unei linii separate pentru validarea card-ului de catre intermediar (banca).
• Pre-inregistrari ale detaliilor card-ului: este o schema mult mai ambitioasa, ce prevede o pre-inregistrare la intermediar a cumparatorului, cu numarul cartii sale de credit. Atunci cand va dori sa cumpere un bun sau serviciu, acesta va trimite un mesaj de autorizare a platii catre intermediar. Intermediarul utilizeaza un mecanism conventional (EFT/POS, EFTS sau on-line, printr-o retea autorizata in unele cazuri), pentru a realiza efectiv plata catre firma vanzatoare in cauza. Aceasta schema este creata in moduri variate, astfel incat sa functioneze cu carti de credit, card-uri ATM sau cu card-uri de debit. Mesajul poate fi trimis de platitor direct celui ce primeste plata, iar acesta din urma ia legatura cu intermediarul sau cel care primeste plata trimite un mesaj intermediarului pentru a se convinge de legitimitatea celui care plateste. Intermediari in Internet sunt, de exemplu: First Virtual cu Infohaus, CyberCash, First Bank of the Internet (FBOI), CARI.

CyberCash (www.cybercash.com/) reprezinta un exemplu de sistem electronic de plata, implementat in 1995 de firma CyberCash Inc., Reston, SUA, pentru protejarea platilor cu cartele de credit prin Internet. Firma furnizeaza un software atat pentru cumparator, cat si pentru vanzator si opereaza o poarta (gateway) intre Internet si majoritatea bancilor care autorizeaza platile cu cartele de credit. Cumparatorii incep prin a instala software-ul de "portofel", cu care inregistreaza mai multe cartele de credit pe care le folosesc. In mod similar, vanzatorul instaleaza software-ul pereche. Mesajele tranzactiilor dintre cele doua componente se desfasoara criptat, cu o cheie simetrica, anvelopata cu ajutorul unei chei publice a lui CyberCash, pentru distribuire. Aceasta cheie este incorporata in soft-ul cumparatorului. Soft-ul genereaza, atunci cand se instaleaza cartelele de credit folosite, o pereche cheie publica - cheie privata pentru cumparator. Cheia publica se transmite la CyberCash, care memoreaza intr-o baza de date, alaturi de toate cheile publice ale cumparatorilor si vanzatorilor. Ca urmare, CyberCash poate autentifica semnaturile digitale ale tuturor participantilor. Mesajul de plata cu cartela de credit - descrierea tranzactiei, numarul cartelei de credit a cumparatorului si semnatura digitala a acestuia - se transmite portii CyberCash, care decripteaza mesajele si semnatura. Daca lucrurile sunt OK, el confirma plata catre software-ul vanzatorului, care la randul sau o trimite spre confirmare soft-ului "portmoneu" al cumparatorului. CyberCash opereaza ca un agent al bancii vanzatorului. Vom observa ca, deoarece informatiile privind tranzactia si numarul cartelei de credit sunt criptate cu cheia publica a lui CyberCash, vanzatorul nu poate utiliza ilegal, ulterior, cartela de credit a cumparatorului.

O solutie pentru transferul sigur al cartelelor de credit prin Internet, fara insa a apela la criptografie, o constituie FirstVirtual (www.fv.com:/80/). Este vorba de un mecanism prin care cumparatorii de informatii stabilesc un identificator propriu pe care-l fac cunoscut lui FirstVirtual prin fax sau telefon, impreuna cu numarul cartelei de credit. Atunci cand cumpara o informatie, cumparatorul furnizeaza vanzatorului identificatorul sau. Vanzatorul se conecteaza la serverul FirstVirtual, verifica identificatorul si, daca el corespunde, va furniza informatia cumparatorului. Apoi serverul FirstVirtual intreaba prin e-mail cumparatorul daca accepta plata informatiei. Daca raspunsul este "da", FirstVirtual va furniza numarul cartelei de credit catre un achizitor, care va incarca cartela cu suma de plata si, dupa 90 de zile, va transfera fondurile vanzatorului. Intrat in functiune in 1994, FirstVirual are astazi peste 180.000 de utilizatori.

• Transmiterea detaliile card-urilor de credit printr-o transmisie criptata:

prin e-mail: se pun detaliile cartii de credit intr-un mesaj care se cripteaza. Schema criptarii cu cheie simetrica (secreta) pare a fi improprie in acest caz, datorita problemelor de gestionare a cheilor, dar schema de criptare cu cheie asimetrica (publica) se poate folosi. Cumparatorul are nevoie de software-ul pentru criptare ce utilizeaza cheia publica a celui ce accepta plata; acesta din urma, la receptarea mesajului, poate descifra criptograma doar cu ajutorul cheii sale private. Un exemplu de soft pentru criptarea mesajelor e-mail, cu cheie publica, este PGP.

Prin Secure HTTP: protocolul "http" promoveaza si un mod de transmisie criptata: SHTTP, recognoscibil de catre browser prin identificatorul "shttps://". SHTTP poate oferi un canal sigur de comunicatie, dar nu ofera autenticitatea adresei si eliminarea riscului repudierii mesajelor.

Prin SET: in 1996, MasterCard si Visa au convenit sa consolideze standardele lor de plati electronice intr-unul singur, numit SET (Secure Electronic Transactions). El este destinat realizarii tranzactiilor cu cartele de credit pe Internet, fiind destinat sa opereze fie intr-un mediu de tip Web, fie in cazul e-mail. SET permite cumparatorilor, comerciantilor si bancilor sa opereze cu propriile lor componente software, care trebuie insa sa coopereze perfect, fara a fi produse publice ale participantilor, SET se bazeaza pe existenta unei ierarhii de autoritati de certificare, care furnizeaza cheile publice corecte ale utilizatorilor. Ca urmare, cumparatorii si vanzatorii trebuie sa schimbe certificatele inainte de a sti cu ce cheie publica sa cripteze mesajul adresat unui anumit corespondent.

Card-uri de debit (Debit card)

Tranzactiile care implica card-uri de debit necesita actualizari imediate in contul din banca, prin intermediul cititorului de card. In unele tari, pentru a efectua o tranzactie cu card-ul de debit trebuie sa se introduca codul PIN, ca o masura de securitate.

3.3.2. Sisteme bazate pe portofel si bani electronici

Card-uri inteligente au un cip incorporat in stratul de plastic, ceea ce ii confera acestuia proprietati de procesare, memorare si securizare mult sporite. Smart card-urile se pot folosi pentru a implementa scheme noi de plata, care permit asigurarea securitatii si reducerea riscului unor fraude. Se folosesc tehnici de autentificare prin protocoale criptografice, semnatura electronica etc. Exista mai multe solutii prezente deja in uz:

• portofel electronic, dedicat cumparaturilor mici (sub 20 USD);
• portofel electronic universal, pentru piete in formare, confruntate cu rata mare a inflatiei, lipsa de solvabilitate a clientilor, cu putine utilizari ale card-urilor. Valoarea inglobata in card este fie pre-platita, fie pre-autorizata. Acest produs se poate utiliza si pentru cumparaturi de mare valoare, intrucat fiecare tranzactie este pre-autorizata si urmarita (inregistrata);
• libretul electronic este un smart card asociat unui cont din banca al detinatorului, care inregistreaza tranzactiile, calculeaza soldul si permite retrageri de numerar off-line (este potrivit acolo unde nu exista un sistem national de comunicatii corespunzator). Ori de cate ori card-ul este folosit on-line (la sucursala bancii din orasul de domiciliu, la un ATM conectat) sunt actualizate ultima tranzactie si soldul contului. Atunci cand se afla in zone neconectate, clientul poate fi informat despre noul sold si poate retrage numerar de la ATM sau o sucursala locala a bancii.

Portofelul electronic poate opera in mai multe moduri:

• inchis/deschis - cand acelasi operator emite card-uri si accepta tranzactii sau cand se face compensarea tranzactiilor intre diferiti emitenti;
• pre-platit/pre-autorizat. Un portofel electronic pre-platit inglobeaza (sub forma electronica) bani reali, transferati dintr-un cont bancar sau dintr-un depozit de numerar. Un portofel electronic pre-autorizat inglobeaza valoarea (costul) unei cumparaturi, pe care operatorul portofelului o garanteaza (se bazeaza pe o linie de credit). In primul caz cumparaturile sunt anonime, in cel de-al doilea nu. De asemenea, daca in primul caz dobanda revine operatorului portofelului, in cel de-al doilea ea revine operatorului portofelului, in cel de-al doilea ea revine clientului bancii;
• domestic/international;
• de unica folosinta/reincarcabil

Schema dupa care se desfasoara o operatiune de creditare sau debitare a unui portofel este urmatoarea:

se autentifica card-ul cu ajutorul cheii avute la dispozitie de catre toti furnizorii de servicii;

se determina valoarea tranzactiei si verifica soldul card-ului;

se verifica detinatorul (prin PIN);

se face operatiunea de creditare/debitare;

se genereaza de catre card certificatul de debitare;

certificatul de debitare este verificat de cititorul de card.

Un sistem de plati bazat pe portofel electronic trebuie sa dispuna de urmatoarele componente de securitate:

portofelul, care contine identificatorul de card, un identificator pentru banca emitenta, pentru a se permite compensarea si decontarea, soldul, chei criptografice de creditare pentru securizarea reincarcarii, chei criptografice de debitare, pentru securizarea cumpararii, soldul maxim acceptat, inregistrarea ultimelor tranzactii;

card-ul comerciantului, care contine cheile secrete cu care POS-ul autentifica portofelul, verifica extrasul de cont cu soldul curent si debiteaza soldul portofelului cu valoarea bunurilor sau serviciilor, precum si un PIN pentru evitarea folosirii neautorizate;

EFT POS, cu capacitate de conectare a doua card-uri, display pentru afisarea valorii curente stocate in portofel si a tranzactiei. Verifica card-ul si certificatul de debitare, permite detinatorului sa-si dea acordul pentu cumparare, permite detinatorului sa-si introduca PIN-ul sau, tipareste pe hartie chitanta cu suma tranzactiei si memoreaza tranzactiile;

card-ul de colectare, care colecteaza datele referitoare la tranzactiile off-line din distribuitorul automat de produse si bani electronici, ce pot fi descarcati la un centru de procesare on-line (ATM sau un PC);

jurnalul tranzactiilor (registru de casa) reprezinta inregistrarea tuturor tranzactiilor efectuate de un comerciant, de obicei de-a lungul unei zile. Este pastrat in POS sau in card-ul comerciantului; la fiecare tranzactie se retine: suma, identificatorul bancii emitente a portofelului, identificatorul portofelului, identificatorul comerciantului, data si ora;

ATM sau alt dispozitiv de incarcare a portofelului, care este in legatura on-line cu banca emitenta unde sunt pastrate cheile secrete necesare pentru incarcarea portofelului. Poate, de asemenea, descarca card-ul comerciantului.

Aceasta schema presupune ca platitorul sa incarce bancnote si monede virtuale (in general bonuri valorice) de la o banca electronica si apoi sa le salveze in portofelul lui electronic pe un smart card. Exista insa sisteme de plata in care "portofelul" este amplasat pe hard disk-ul detinatorului. Ca urmare, se pot crea:

• portofele electronice fizice, pe card-uri inteligente;
• portofele electronice virtuale, sub forma unor fisiere disc ce contin moneda electronica.

In cazul unor portofele virtuale, pentru a efectua o plata cumparatorul trimite destinatarului e-mail-uri ce contin unul sau mai multe bonuri valorice. El are mai multe optiuni: sa opreasca bonurile valorice, sa le depoziteze intr-un cont dintr-o banca conventionala sau sa ceara transferul de valoare din cont la alta institutie financiara.

Mari firme au implementat scheme de plata electronica sub forma de portofel sau bani electronici. Iata cateva sisteme cunoscute:

• DigiCash (David Chaum), realizat cu spijinul bancilor Mark Twain Bank - USA, Deutsche Bank - Germania si Merita Bank - Finlanda si se bazeaza pe tehnologia eCash. Aceasta tehnologie a fost dezvoltata in Olanda, de catre firma Digicash Co. din Amsterdam. Este prima solutie totalmente software pentru platile electronice. Tranzactiile se desfasoara intre cumparator si vanzator, care trebuie sa aiba conturi la aceeasi banca. Cumparatorii trebuie sa instiinteze banca ca doresc sa transfere bani din conturile lor obisnuite in asa numitul cont eCash Mint. In orice moment, cumparatorul poate interactiona de la distanta, prin calculatorul sau folosind un client software, cu contul Mint si poate retrage fonduri de aici pe hard disk-ul calculatorului sau. Formatul acestor fonduri este electronic, suite de zero si unu protejate criptografic. Ca urmare, hard disk-ul cumparatorului devine un veritabil "portofel electronic". Apoi se pot executa plati intre persoane individuale sau catre firme, prin intermediul "acestor bani electronici".
• NetCash (Cliff Neuman) reprezinta un exemplu de sistem electronic de plati de tip on-line. A fost dezvoltat la Information Science Institute de la University of Southern California. Cu toate ca banii pot fi identificati, NetCash ofera mijloace prin care sa se asigure platilor un anumit grad de anonimiatate. Sistemul se bazeaza pe mai multe servere de monede distribuite, la care se poate face schimbul unor cecuri electronice (inclusiv NetCheque) in moneda electronica.
• Sistemul CAFE al Comunitatii Europene, bazat pe un card portofel electronic..

3.3.3. Sisteme de micro-plati

Un sub-set special, in faza actuala in forma de concept si proiect experimental, se adreseaza nevoii existentei unei scheme simple, ieftine, care sa poata suporta economic plati foarte mici, cativa dolari, centi si chiar fractiuni de centi. Cea mai frecventa aplicatie a microplatilor o reprezinta plata vizitarii site-urilor in Internet. Aceste sisteme se gasesc la:

• Cybercoin (proiect CyberCash)
• Milicent (proiect Digital);
• Protocolul Micro-Payment (Consortiul W3)

3.3.4. Instructiuni de plata electronica (transfer electroni de fonduri)

In aceste tipuri de scheme, platitorul trimite celui care primeste plata un document electronic ce contine date echivalente cu continutul unui cec: numele platitorului, institutia sa financiara, numarul de cont, numele celui care accepta plata si suma transferata. Sunt necesare masuri de protectie si securitate, metode speciale de criptare. Unele sisteme sunt dependente de mecanismul de autentificare a utilizatorului, cum ar fi smart card-urile detinute de cumparatori si vanzatori si cititoarele de smart card-uri de la fiecare statie de lucru. Este nevoie de un mecanism clar si de aceea institutiile financiare care promoveaza serviciile bancare catre cumparatori si vanzatori pot schimba electronic instructiunile de plata. Unele scheme sunt proiectate pentru a include verificarea a semnaturilor, utilizand software ce ruleaza pe masina vanzatorului.

Sisteme de cecuri electronice au fost folosite inca din anii `70. Ele utilizeaza structura de banci existente si elimina cecurile de hartie. Transferul electronic de fonduri foloseste sisteme de cecuri electronice, prezentand avantaje in raport cu cecurile de hartie:

timpul foarte mic de efectuare a platilor;

reducerea costurilor privind hartia folosita;

confirmarea instantanee a solvabilitatii platitorului;

flexibilitatea si marea varietate de implementare, de la tranzactii mici, folosind retele de automate de bani (ATM - Automatic Teller Machine), la marile retele internationale de clearing, cum ar fi CHIPS (Clearing House Interbank Payments System), format din peste 120 de banci din intreaga lume.

O slabiciune evidenta a acestui sistem de cecuri electronice il constituie caracterul privat si confidentialitatea platilor. In plus bancile sunt obligate, prin reglementarile in vigoare, sa poata documenta in detaliu fiecare transfer.

Pe Internet, cecul de hartie poate fi repede inlocuit de un cec electronic, semnat digital de emitent. Un consortiu de banci, FSTC - Financial Services Technology Consortium (www.fstc.org), a statuat un model de cec electronic, foarte asemanator cecurile clasice pe hartie. Platitorul foloseste un procesor, de tipul unui smart card PC, pentru a genera si semna digital un cec electronic ce va fi transmis prin posta electronica sau WWW. El se trimite fie bancii cumparatorului, care-l va onora prin verificarea semnaturii digitale, trimitand bani bancii vanzatorului, fie direct vanzatorului, care va verifica semnatura, il va semna la randul sau si il va trimite bancii sale. Modelul FSTC se bazeaza pe folosirea sistemelor criptografice cu chei publice pentru semnatura digitala si pleaca de la premisa ca toate cheile publice pentru semnatura digitala si pleaca de la premisa ca toate cheile publice ale participantilor si certificatele lor sunt cunoscute pretutindeni in sistem.

Sisteme de plati in Internet bazate pe card-uri bancare

Multe cumparaturi de bunuri si servicii prin Internet se fac platindu-se cu card-uri obisnuite. Insa tranzactiile cu card-uri contin informatii confidentiale privind card-ul si informatiile personale ale clientilor, ce pot fi interceptate in timpul transmisiei prin Internet. Folosind un software special, o persoana care monitorizeaza traficul pe retea poate citi continutul acestor date confidentiale sau se poate interpune intre entitatile comunicante, daca mesajele transmise sunt in clar. In acest caz este necesara elaborarea unor standarde specifice sistemelor de plati, care sa permita coordonarea partilor legitime implicate in transfer si folosirea corecta a metodelor de securitate. Aceasta clasa de protocoale urmareste securizarea transmisiei unor informatii private intre patru entitati:

• un cumparator, care achizitioneaza un produs sau un serviciu;
• un vanzator, care ofera produse sau servicii cumparatorilor;
• un emitent, care furnizeaza un cont de card cumparatorului;
• un achizitor, care mentine o relatie financiara cu vanzatorul.

Dintre numeroasele propuneri din domeniul sistemelor de plati electronice acceptate de principalele banci amintim:

• SEPP (Secure Electronic Payment Protocol), acceptat de MasterCard, IBM si Netscape;
• STT (Secure Transaction Technology), dezvoltat de Visa si Microsoft.

3.4.1. Protocolul SET

In 1996, MasterCard si Visa au convenit sa consolidez standardele lor de plati electronice intr-unul singur, numit SET (Secure Electronic Transaction).

Sistemele de plati si institutiile lor financiare au un rol semnificativ in stabilirea specificatiilor publice pentru tranzactiile cu card-uri care asigura transmisia confidentiala a datelor, autentifica partile implicate in comert, garanteaza integritatea instructiunilor de plata pentru cererile de bunuri si servicii si autentifica reciproc furnizorul si clientul. Datorita naturii anonime a retelelor de comunicatie metodele trebuie dezvoltate astfel incat sa le inlocuiasca pe cele existente folosite in tranzactiile prin posta sau prin telefon, incluzand autentificarea cumparatorului de catre vanzator. De asemenea, este nevoie ca si detinatorul cartii de credit sa se asigure ca furnizorul accepta tranzactii SET si este autorizat sa accepte card-uri.

Institutiile financiare sunt direct interesate de cresterea comertului electronic. Cumparaturile electronice necesita plata electronica; cea mai mare parte a acestor tranzactii folosesc azi cartile de credit in locul banilor cash sau al cecurilor.

Pentru a satisface necesitatile expuse mai sus, protocolul SET foloseste criptografia pentru:

• garantarea confidentialitatii informatiilor;
• asigurarea integritatii platilor;
• autentificarea reciproca a partilor implicate in tranzactii.

Cerinte SET

Protocolul SET isi propune sapte obiective de securitate in e-commerce:

1. sa asigure confidentialitatea instructiunilor de plata si a informatiilor de cerere care sunt transmise o data cu informatiile de plata;
2. sa garanteze integritatea tuturor datelor transmise;
3. sa asigure autentificarea cumparatorului, precum si ca acesta este utilizatorul legitim al unei marci de card;
4. sa asigure autentificarea vanzatorului, precum si ca accepta tranzactii cu card-uri prin relatia sa cu o institutie financiara achizitoare;
5. sa foloseasca cele mai bune metode de securitate, pentru a proteja partile antrenate in comert;
6. sa fie un protocol care sa nu depinda de mecanismele de securitate ale retelei de comunicatie si care sa nu impiedice folosirea acestora;
7. sa faciliteze si sa incurajeze interoperabilitatea dintre furnizorii de software si cei de retea.

Aceste cerinte sunt satisfacute de urmatoarele caracteristici ale acestei specificatii:

Confidentialitatea informatiei

Pentru a facilita si incuraja comertul electronic folosind cartile de credit, este necesara asigurarea detinatorilor de cartele ca informatiile de plata sunt in siguranta. De aceea, contul cumparatorului si informatiile de plata sunt in siguranta. De aceea, contul cumparatorului si informatiile de plata trebuie sa fie securizate atunci cand traverseaza reteaua, impiedicand astfel interceptarea numerelor de cont si a datelor corespunzatoare de catre persoane neautorizate. Criptarea mesajelor SET asigura confidentialitatea informatiei.

Integritatea datelor

Aceasta specificatie garanteaza nealterarea continutului mesajelor in timpul transmisiei acestora prin retea. Informatiile de plata trimise de cumparator la vanzator contin informatii de cerere, date personale si instructiuni de plata. Daca una din aceste informatii este alterata, tranzactia nu se va face corect. Protocolul SET foloseste semnatura digitala pentru integritatea datelor.