Опыт ведения Internet-коммерции в Украине

Опыт ведения Internet-коммерции в Украине

Современны системы электронной коммерции включают операции купли/продажи, средства стимулирования спроса на продукцию и услуги, автоматизацию административных функций, обработку заказов. Рассматривается организация этих операций в действующей в Украине системе SIC (с акцентом на проведение платежей).

Е.А. Чайка, А.М. Фаль

Под электронной коммерцией понимают продажу материальных и нематериальных (таких как информация) товаров и услуг электронным образом. Вообще говоря, системы электронной коммерции предназначены выполнять не только операции купли/продажи, но и сопровождение процессов стимулирования спроса на продукцию и услуги, автоматизацию административных функций, связанных с продажами и обработкой заказов, а также с совершенствованием обмена информацией между партнерами.

Принято выделять следующие шаги проведения электронной коммерции — on-line маркетинг, оформление заказов, проведение платежей и поддержка информации о доставке (для отдельных групп товаров и многих услуг сеть может служить и средством доставки).

В последние годы с поразительной скоростью развивается применение для этих целей Internet. Использование Internet-технологий в деловой жизни зарубежных компаний уже стало нормой и их используют уже не только для обмена сообщениями и доступа к информационным ресурсам, но и для проведения конкретных коммерческих операций (что приводит к сокращению издержек, ускорению бизнес-процессов и, как следствие, увеличению прибыльности деятельности компании).

Наиболее известны компании, торгующие в Internet товарами и услугами для конечных пользователей (примером обычно служит книготорговая фирма Аmа-zon.com). Но в последние годы многие зарубежные компании развивают деятельность через Internet и в сфере business-to-business (т. е. между компаниями). Начиная с крупных корпораций, таких как Cisco Systems, этот «вирус» постепенно захватывает средние и мелкие фирмы.

В настоящее время существует несколько стандартов de facto, активно применяемых при взаимодействии межкорпоративных информационных систем в процессе электронной коммерции. Стандарт OBI (Open Buying on the Internet), а также стандарт EDIFACT предназначены для унификации взаимодействия и создания приложений, позволяющих выполнять большое количество электронных транзакций на мелкие суммы.

Развитие моделей электронной коммерции, внедрение пилотных проектов в этой области, а также выработка общих юридических и правовых основ ведения бизнеса в Internet поддерживаются Европейской Комиссией в проекте ESPRIT. В материалах комиссии рассматриваются 11 моделей электронного бизнеса, среди которых:

электронный магазин;
электронный каталог-справочник;
электронный аукцион;
электронный торговый центр;
виртуальное сообщество;
виртуальный центр разработки;
информационный брокер;
провайдер бизнес-операций;
интегратор бизнес-операций и т. д.

Рассмотрим подробнее те виды электронной коммерции, которые используют исключительно (или в большинстве случаев) Internet-технологии.

Электронный магазин (e-shop) — это всегда Internet-магазин, т. е. специализированный WEB-сайт, принадлежащий фирме-производителю или торговой фирме и предназначенный для продвижения товаров на рынок, увеличения объема продаж, привлечения новых покупателей. Обычно на таких сайтах имеется возможность выбирать товары, оформлять заказы, а иногда — производить оплату через Internet. Как правило, есть и возможность в режиме on-line оформить документы для проведения оплаты обычным образом и отследить доставку.

Электронный справочник-каталог (e-procure-ment) — специализированный WEB-сайт для проведения тендеров среди поставщиков. Как правило, реализуется в виде каталога-справочника, с помощью которого клиент может выбирать поставщиков товаров для дальнейших переговоров. Отбор производится исходя из характеристик товаров, цен, условий поставки, номенклатуры, либо каких-то специфических условий. Применяется компаниями для улучшения условий участия в тендерах, для продвижения своей тортовой марки и снижения издержек по маркетингу.

Электронный аукцион (e-auction). В этом случае не всегда используются Internet-технологии, хотя примеры успешно действующих WEB-сайтов можно назвать, например www.ebay.com. Электронный аукцион в точности отображает процедуру торгов по лотам на обычном аукционе. Провайдер подобной системы зарабатывает на процентах от транзакций, а также на поставке программного обеспечения для участия в торгах.

Электронный торговый центр (e-mall) — WEB-сайт, содержащий несколько электронных магазинов и каталогов, объединенных общим местом расположения (зачастую под широко известной маркой) и совместно использующих ряд дополнительных функций,например систему проведения защищенных платежных транзакций. Важную роль играет провайдер e-mail, обеспечивающий его работу. Он выполняет роль оператора системы и зарабатывает на продаже программного обеспечения, сдаче в аренду своих программно-технических мощностей и обычно не участвует в бизнесе обслуживаемых магазинов.

Открытие магазина в широко известном торговом Internet-центре сулит продавцу широкий круг потенциальных покупателей и снижение издержек. Кроме того, расположение нового Internet-магазина под уже широко известной маркой обеспечивает доверие покупателей к новому виртуальному торговцу и повышает готовность не только войти и посмотреть, но и произвести покупку. Для покупателя обеспечивается удобный и быстрый доступ к группе магазинов, в которых он может использовать один и тот же механизм регистрации и оплаты.

Остальные модели электронной коммерции в большей степени связаны с интенсификацией обмена информацией и процессами совместного производства.

СИК — СИСТЕМА ИНТЕРНЕТ-КОММЕРЦИИ

Несмотря на относительно небольшое количество пользователей Internet в нашей стране, развитие в ней подобных форм бизнеса можно считать перспективным. Международный центр информационных технологий INT, занявшийся разработкой и внедрением Internet-коммерции около полутора лет назад, создал реально работающую систему, которую можно классифицировать как e-mail, иначе говоря — торговый центр в Internet. Система Интернет-Коммерции, сокращенно СИК (в английском варианте SIC — System for Internet Commerce) — проект, предусматривающий разработку и внедрение инфраструктурных компонентов Internet-коммерции в Украине, а также операционную деятельность в этой сфере. Говоря об инфраструктуре, имеется в виду как развитие сетевой инфраструктуры в Украине (т. е. организация широкого доступа к ресурсам Internet), так и создание (внедрение) специализированного программного обеспечения, позволяющего осуществлять торговые, платежные, учетные и другие операции в среде Internet.

Важным моментом развития деятельности является создание системы связей и договорных отношений между всеми участниками. Все звенья цепи осуществления торгово-закупочной операции должны быть четко определены, и за каждое из них должен отвечать один из участников (см. вставку «Участники СИК»). Строгая организация этой «виртуальной» деятельности — неотъемлемая предпосылка успешного развития, поскольку за WEB-сайтами и IP-адресами стоят реальные люди и юридические лица, а за картинками на HTML-страницах — реальные физические товары и услуги, существующие в правовом поле государства или государств. '

Клиентам СИК предоставляется возможность выбирать товар и оплачивать покупки в среде Internet. При этом они получают доступ к выполнению информационных, платежных, криптографических, коммуникационных и административных функций (сер-висов) в соответствии с правилами и договорными отношениями между участниками системы. Нужно отметить также, что СИК предполагает активное использование средств криптографической защиты информации в соответствии с принятыми в Украине правилами и нормативными документами.

В технологическом плане СИК — это интегрированный комплекс подсистем: платежная подсистема, торговая подсистема (т. е. back-office Продавца по управлению складом, витринами магазина, обработкой заказов), подсистема защиты (куда относятся криптографическая защита информации, мониторинг, административный контроль), а также подсистема Оператора, поддерживающего функционирование перечисленных подсистем и выполняющего административные функции. Хранение и обработка информации ведется на комплексе из UNIX-серверов (базы данных, WEB-сервер), сетевого оборудования маршрутизации и фильтрования потоков данных, а также специализированного оборудования поддержки защиты информации. .

Набрав в броузере адрес www.int-commerce.com, можно попасть на страницу с десятком магазинов и приступить к выбору книг, компьютеров, бытовой техники, одежды и др. (т. е. начать взаимодействие с торговым сервером, созданным с использованием средств разработки ORACLE). После сформирования в одном из магазинов заказа (порядок оформления см. рис. 1-4), который будет размещен в базе данных, контролируемой администратором этого магазина, клиент переходит к выбору удобной для него формы оплаты заказа.

ПЛАТЕЖНАЯ ПОДСИСТЕМА

Рассмотрим более подробно платежную подсистему СИК, а также основные принципы системы криптографической защиты информации. В настоящее время клиенты СИК имеют возможность выбора из нескольких способов проведения платежа за оформленный заказ.

Традиционно можно получить автоматически выписываемую счет-фактуру и оплатить ее обычным банковским пли почтовым переводом.

Однако существует и возможность проводить оплату при помощи пластиковых карточек (различных платежных систем), либо, непосредственно управляя своим счетом в банке, через Internet. Каждая из этих платежных компонент обладает многоуровневой системой защиты платежных транзакций.

Процесс внедрения карточной платежной компоненты Системы Интернет-Коммерции прошел несколько этапов, на которых вырабатывались (совместно с банком и процессинговым центром) принципы отношений между участниками системы, разделение их прав и обязанностей, а также усиливалась система защиты платежных транзакций, которые осуществляются в СИК. Поскольку речь идет о платежах в рамках украинского сегмента международных платежных систем VISA и MasterCard, то неизбежно приходится следовать мировым тенденциям развития систем защиты информации (в том числе методов и алгоритмов шифрования и аутентификации).

На рис. 5 можно проследить подготовительные действия клиента и сам процесс инициации и дальнейшей обработки платежной транзакции в Internet-магазине СИК.

Регистрация клиента

1. Клиент обращается в банк/эмитент лично, предъявляет документы и запрашивает регистрацию для проведения платежей в СИК.

2(а). Банк с помощью программно-аппаратного комплекса регистрации производит регистрацию клиента-плательщика СИК и его карточки и записывает на дискету (или чип-карту) средства криптографической защиты платежей клиента, включая открытый/закрытый ключи подписи, случайные последовательности для формирования сессионных ключей шифрования и ID клиента.

2(6). Банк и держатель карточки заключают договор, в котором клиент обязуется не отвергать транзакции, подписанные его цифровой подписью

3. Банк передает в платежный шлюз процессингового центра платежной системы следующие данные: ФИО держателя карточки, открытый ключ, срок действия открытого ключа, ID клиента, номер карточки, зарегистрированной для оплаты в СИК.

4. Платежный шлюз передает торговому серверу следующие данные: ФИО держателя карточки, открытый ключ, срок действия открытого ключа, ID карточки.

Покупка товара

5. Держатель карточки выбирает товары и оформляет заказ на торговом сервере СИК и после выбора им способа оплаты (карточкой) включается в работу ПО клиента. ПО торгового сервера формирует сообщение, содержащее информацию о заказе, вычисляет хэш-код этого сообщения и формирует цифровую подпись при помощи секретного (закрытого) ключа подписи, принадлежащего торговцу. Данное сообщение вместе с подписью сохраняется на торговом сервере, а также передается клиенту.

Программное обеспечение клиента проверяет цифровую подпись полученного сообщения при помощи открытого ключа подписи, принадлежащего торговцу (который предоставлен ему при регистрации). В случае успешного исхода, ПО клиента формирует сообщение для торгового сервера, содержащее личные данные клиента и информацию о заказе. Вычисляется хэш-код от этого сообщения, конкатенированного вместе с предыдущим, формируется платежное поручение для платежного шлюза процессингового центра и вычисляется хэш-код этого поручения. Два последних хэш-кода конкатенируются и поступают на вход хэш-функции. Получаемый в результате хэш-код преобразуется схемой цифровой подписи с использованием секретного (закрытого) ключа подписи, принадлежащего клиенту (результат принято называть двойной цифровой подписью).

К сообщению, предназначенному для торгового сервера, добавляются хэш-код платежного поручения, двойная цифровая подпись и идентификатор клиента. Генерируется первый сеансовый ключ симметричного криптоалгоритма, при помощи которого шифруется перечисленная ранее информация, предназначенная для торгового сервера. Сеансовый ключ шифруется асимметричным алгоритмом при помощи открытого ключа транспорта ключей, принадлежащего торговцу. Далее к платежному поручению добавляются хэш-код информации о заказе, двойная цифровая подпись и идентификатор клиента.

Затем генерируется второй сеансовый ключ, при помощи которого шифруется информация, предназначенная для платежного шлюза процессингового центра. Второй сеансовый ключ шифруется асимметричным алгоритмом при помощи открытого ключа транспорта ключей, принадлежащего платежному шлюзу процессингового центра.

Все сформированные данные клиента программное обеспечение передает торговому серверу. Информация о заказе содержит: дату, номер заказа, ФИО, содержание заказа. Платежное поручение содержит: дату, номер торговца на торговом сервере, ФИО, ID карточки, сумму заказа.

6(а). ПО торгового сервера расшифровывает свой сеансовый ключ при помощи секретного ключа транспорта ключей, применяя асимметричный алгоритм. С помощью этого сеансового ключа расшифровывается предназначенная торговому серверу информация. По полученному идентификатору ID клиента извлекается открытый ключ подписи клиента. Полученная информация и этот ключ позволяют провести процедуру проверки двойной цифровой подписи клиента. В случае успешного результата полученная информация заносится в базу данных о заказах.

ПО торговца проверяет совпадение ФИО покупателя из заказа с соответствующим значением в базе данных ключей. При совпадении, проверяется, не авторизован ли уже данный заказ, и если нет — формируется запрос на авторизацию, предназначенный для платежного шлюза процессингового центра. Затем программа вычисляет хэш-код этого запроса и преобразует его (при помощи своего секретного ключа асимметричного алгоритма), получая в результате цифровую подпись запроса на авторизацию.

После этого генерируется сеансовый ключ симметричного криптоалгоритма, с помощью которого запрос на авторизацию и его подпись зашифровываются. Этот сеансовый ключ шифруется открытым ключом транспорта ключей, принадлежащим, платежному шлюзу процессингового центра. Сформированные программой торговца данные объединяются с сообщением клиента (содержащим платежное поручение) и передаются платежному шлюзу процессингового центра.

При отрицательном результате проверок клиенту предлагается повторно ввести данные карточки.

6(6). Платежный шлюз получает транзакцию с платежным поручением клиента. ПО платежного шлюза процессингового центра применяет свой секретный ключ транспорта ключей для получения предназначенного ему сеансового ключа. С помощью этого сеансового ключа извлекаются платежное поручение, хэш-код сообщения для торговца и двойная цифровая подпись. Полученные данные позволяют проверить правильность цифровой подписи и в случае успешного исхода информация сохраняется в базе данных.

Аналогичные процедуры выполняются и с сообщением, содержащим запрос на авторизацию (в этом случае цифровая подпись является обычной, а не двойной). В случае успешной проверки подписи, данные сохраняются и проводится авторизация.

Результаты авторизации подписываются (с помощью секретного ключа подписи платежного шлюза), шифруются сеансовыми ключами (клиента и сгенерированным для торгового сервера) и оба сообщения передаются торговому серверу.

7. ПО торговца передает клиенту предназначенное ему сообщение, а предназначенное самому торговому серверу — обрабатывает по описанной ранее технологии. Если транзакция была авторизована, ПО торговца принимает заказ к исполнению и уведомляет о результате ПО клиента.

8. Торговец выполняет отгрузку заказа клиенту и получает документы, подтверждающие его получение.

9. Торговец сообщает об отгрузке товара торговому серверу. Торговый сервер посылает в платежный шлюз запрос на «разгрузку» транзакции (т. е. отправляет в платежную систему команду о снятии денег со счета клиента и переводе их на счет торговца).

10. Платежный шлюз производит «разгрузку» транзакции через процессинговый центр (с применением приведенной технологии криптографической защиты платежной транзакции).

11. Через банковскую систему производится оплата данного заказа со счета клиента в пользу торговца.

О БЕЗОПАСНОСТИ ...

Система защиты платежей по карточкам в С И К объединяет в себе как организационные меры, так и аппаратно-программные средства криптографической защиты информации.

Среди организационных мер — обязательная централизованная регистрация клиентов-держателей карточек и торговцев, принимающих платежи по карточкам в СИК. Как принято для международных платежных систем, деньги клиента блокируются при успешном прохождении авторизации, а снимаются с его счета только после получения им заказа.

Реализованы различные механизмы защиты интересов клиента-держателя карточки (от просмотра данных о его платеже) во время прохождения платежной транзакции через Internet. В частности, номер карточки не передается по каналам связи в открытом виде. Кроме того, номер карточки никогда не становится известным торговцу, а банку не становится известно содержание заказа, подлежащего оплате.

Для защиты интересов банка клиент подписывает специальное соглашение, по которому он обязуется не отвергать транзакции, подписанные его электронной подписью.

Для защиты интересов торговца клиент должен подписать квитанцию о получении заказа на его имя (к тому же, он может оплатить своей карточкой только тот заказ, который был оформлен на его имя).

При регистрации держатель платежной карточки получает в банке дискету или, по желанию, смарт-карту для хранения ключей подписи. Для большей надежности с целью предотвращения случайного или умышленного копирования рекомендуется использовать для хранения ключей смарт-карту.

Еще раз подчеркнем, что проведение финансовых операций в сети общего пользования, такой как Internet, потенциально подвержено несанкционированному вмешательству. Поэтому INT интенсивно занимается созданием надежных подсистем защиты платежной и другой информации. В наши задачи входит обеспечение: конфиденциальности информации о платеже, а также информации о заказах, поступающей вместе с платежом; целостности всей передаваемой информации; подлинности личности держателя карточки — официального пользователя карточки данного типа с соответствующим счетом в банке; подлинности торговца, имеющего право работать с данным типом карточек; открытости и масштабируемости системы в целом. Кроме того, предполагается создание протокола, не зависящего от механизмов защиты на транспортном уровне (и в то же время, не препятствующего их применению).

АППБ «Аваль» стал первым банком, который предоставляет своим клиентам новую услугу — безопасное проведения платежей через Систему Интернет-Коммерции (авторизацию платежей производит процессинговый центр UPC). В июне 1999 г. управлением кредитных карт АППБ «Аваль» начата регистрация клиентов-держателей карт в г. Киеве. Региональные отделения банка будут подключаться по мере поступления запросов от клиентов. Первым магазином, принимающим оплату по картам стал книжный магазин СИК.

Чайка Елена Азольдовна — руководитель проекта «Система Интернет-коммерции»

руководитель проекта «Система Интернет-Коммерции», Фаль Алексей Михайлович — канд. физ.-мат. наук, научный эксперт, Международный центр информационных технологий INT.