Проведения безопасных финансовых операций в сети Интернет (проведение финансовых транзакций по платежным карточкам международных систем VISA, MASTERCARD, EUROPAY).

Платежная
подсистема
СИК

В настоящее время клиенты СИК имеют возможность выбора среди нескольких способов проведения платежа за оформленный заказ. Традиционно можно получить автоматически выписанную счет-фактуру и оплатить ее обычным банковским или почтовым переводом. Однако существует несколько способов проведения электронного платежа с использованием пластиковых карточек разнообразных платежных систем либо непосредственно управляя своим счетом в банке через Интернет. Каждая платежная компонента обладает многоуровневой системой защиты платежных транзакций.

Процесс внедрения карточной платежной компоненты СИК прошел несколько этапов, на которых совместно с банком и процессинговым центром вырабатывались принципы отношений между участниками СИК, разделение прав и обязанностей, а также вырабатывалась и усиливалась система защиты платежных транзакций, проходящих в СИК. Здесь мы говорим о платежах в рамках украинского сегмента международных платежных систем VISA и MasterCard. Поэтому мы неизбежно следуем мировым тенденциям развития систем защиты в этой области, в частности, методов и алгоритмов шифрования и аутентификации.

На рис. 4 вы можете проследить пошагово подготовительные действия клиента и сам процесс инициации им и обработки платежной транзакции в Интернет-магазине СИК.

Последовательность операций проведения оплаты пластиковой карточкой в СИК с применением средств криптографической защиты

Регистрация клиента банком-эмитентом карточки

ШАГ 1:
Клиент обращается в банк лично, предъявляет документы и запрашивает регистрацию для проведения платежей в СИК.

ШАГ 2:

2.1 Банк с помощью програмно-аппаратного комплекса регистрации производит регистрацию клиента-плательщика СИК и его карточки и записывает на дискету или чип-карту средства криптографической защиты платежей клиента, включая открытый/закрытый ключи подписи.

2.2 Банк и владелец карточки заключают договор, в котором клиент обязуется не отвергать транзакции, подписанные его цифровой подписью.

ШАГ 3:
Банк передает в платежный шлюз процессингового центра платежной системы информацию о зарегистрированных клиентах.

ШАГ 4:
Платежный шлюз передает торговому серверу информацию о зарегистрированных клиентах- плательщиках СИК.
По завершении этих операций клиенты могут совершать покупки в интернет-магазинах СИК.

Операции при совершении покупки владельцем карточки, получившим в банке ПО клиента

ШАГ 5:
Владелец карточки выбирает товары и оформляет заказ на торговом сервере СИК.

После выбора клиентом способа оплаты карточкой включается в работу программное обеспечение клиента ПОК. Торговый сервер формирует сообщение, содержащее информацию о заказе, формирует цифровую подпись при помощи секретного (закрытого) ключа подписи, принадлежащего торговцу. Данное сообщение вместе с подписью сохраняется на торговом сервере, а также передается клиенту.

Клиент проверяет данные и подтверждает готовность оплатить заказ своей карточкой.

ПО клиента зашифровывает, формирует цифровую электронную подпись и передает транзакцию на торговый сервер.Информация о заказе содержит:

Дату
Номер заказа
Ф.И.О. клиента
ID карточки
Содержание заказа

Платежное поручение содержит:

Дату
Номер торговца на торговом сервере
Ф.И.О. клиента
ID карточки
Сумму заказа

ШАГ 6:

6.1 ПО торгового сервера расшифровывает сообщение от клиента проверяет совпадение ФИО заказа и ФИО в базе данных ключей. При удачном результате проверяет не авторизован ли уже данный заказ и формирует запрос на авторизацию, предназначенный для платежного шлюза процессингового центра. Сформированные ПО торгового сервера данные, предназначенные для платежного шлюза процессингового центра, объединяются с сообщением клиента, содержащим платежное поручение, и передаются платежному шлюзу процессингового центра в зашифрованном виде.

При отрицательном результате проверок торговый сервер предлагает клиенту заново ввести данные карточки.

6.2 Платежный шлюз получает транзакцию с платежным поручением клиента.

Сообщение расшифровывается. В случае успешного результата проверки подписи, данные сохраняются и проводится авторизация. Результаты авторизации подписываются с помощью секретного ключа подписи платежного шлюза, шифруются и оба сообщения передаются торговому серверу.

ШАГ 7:
ПО торговца передает клиенту сообщение, предназначенное для клиента. Свое сообщение обрабатывает по описанной выше технологии.

Если транзакция была авторизована, ПО торговца принимает заказ к исполнению и уведомляет о результате ПО клиента.

ШАГ 8:
Торговец совершает отгрузку заказа клиенту. Получает документы, подтверждающие получение заказа.

ШАГ 9:
Торговец сообщает об отгрузке товара торговому серверу. Торговый сервер посылает в платежный шлюз зашифровывает запрос на разгрузку транзакции.

ШАГ 10:
Платежный шлюз производит разгрузку транзакции через процессинговый центр с применением криптографической защиты платежной транзакции.

ШАГ 11:
Оплата данного заказа со счета клиента в пользу торговца через банковскую систему.

О безопасности этих шагов…

Система защиты платежей по карточкам в СИК объединяет в себе как организационные меры так и аппаратно-программные средства криптографической защиты информации.

Среди организационных мер — обязательная централизованная регистрация клиентов-владельцев карточек и торговцев, принимающих платежи по карточкам в СИК. Как обычно для международных платежных систем, деньги клиента только блокируются при успешном прохождении авторизации, а снимаются с его счета только после получения им заказа.

Применяются механизмы защиты интересов клиента – владельца карточки от просмотра данных его платежа во время прохождения платежной транзакции через Интернет. В частности, номер карточки не передается по каналам связи. Кроме того, номер карточки никогда не становится известным торговцу, а банку не становится известно содержание заказа, подлежащего оплате.

Для защиты интересов банка клиент подписывает специальное соглашение, по которому он обязуется не отвергать транзакции, подписанные его электронной подписью.

Для защиты интересов торговца клиент должен подписать квитанцию о получении заказа на его имя. К тому же, он может оплатить своей карточкой только тот заказ, который был оформлен на его имя.

При регистрации владелец платежной карточки получает в банке дискету или, по желанию, чип-карту. На дискете находится программная компонента шифрования сообщений и наложения/проверки электронной подписи. Ключи подписи также могут храниться на дискете. Для большей надежности с целью предотвращения случайного или умышленного копирования мы рекомендуем использовать для хранения ключей чип-карту.

Еще раз подчеркнем, что проведение финансовых операций в сети общего пользования такой как Интернет потенциально подвержено несанкционированному вмешательству. Поэтому INT серьезно занят созданием адекватных подсистем защиты платежной и другой информации. В наши задачи входит:

Обеспечить конфиденциальность информации о платеже, а также информации о заказах, поступающей вместе с платежом.
Гарантировать целостность всей передаваемой информации.
Обеспечить подлинность личности владельца карточки — официального пользователя карточки данного типа с соответствующим счетом.
Обеспечить подлинность торговца, имеющего право работать с данным типом карточек
Применить технологию безопасности и системную методологию для гарантированной защиты сторон – участников Интернет коммерции, работающих в нормативно-правовом поле Украины.
Создать протокол, не зависящий от механизмов защиты на транспортном уровне и, в то же время, не препятствующий их применению.
Обеспечить открытость и масштабируемость системы в целом.