Безопасность Электронной коммерции

Следует добавить, что, используя SSL, потребители подвергаются риску раскрытия реквизитов своих  пластиковых карточек продавцу.

Внедрение и эксплуатация SET осуществляется много лет в  нескольких десятках проектов во всем мире. Например, первая транзакция SET была проведена 30-го декабря 1996 в PBS (Датский  банк) в совместном проекте IBM и MasterCard. Аналогичная работа проведена в 1997 г. в крупнейшем японском банке Fuji Bank, где пришлось адаптировать протокол к специфическому японскому законодательству. За прошедшее время подобные внедренческие проекты позволили отработать функции протокола и соответствующую документацию.

Кстати, IBM имеет полный набор продуктов, который охватывает все ключевые аспекты комплексного использования SET в целом и обеспечивает развитую инфраструктуру:

• IBM Net.commerce Suite для продавцов, организующих интернет-магазины;
• IBM Consumer Wallet для держателей карточек;
• IBM Payment Gateway - шлюз платежей для банков;
• IBM Net. Payment Registry - продукт для аутентификации и сертификации.

SET функционирует  на разных вычислительных платформах  таких компаний, как IBM, Hewlett Packard, Sun Microsystems и Microsoft.

В свою очередь SSL используется в основном в Web-приложениях и для защиты коммуникаций в Интернете. Существует также свободно распространяемая версия SSL, называемая SSLeay. Она содержит исходный код на C, который может быть встроен в такие приложения, как Telnet и FTP. Благодаря этим качествам SSL получил широкое распространение в корпоративных интранет-сетях и в системах с небольшим количеством пользователей.

Несмотря на технологическое  совершенство протокола SET, его использование  в мире весьма ограничено. Тому имеется  множество причин, решающей среди  которых является высокая стоимость  внедрения системы электронной  коммерции на базе протокола SET (стоимость SET-решения колеблется от $600 до 1500 тыс.).

Протокол SSL обеспечивает лишь конфинденциальность данных транзакции при их передачи через сеть общего пользования, но при этом является существенно более дешевым для внедрения. В результате подавляющее число современных систем электронной коммерции используют протокол SSL.

Эксперты и разработчики протокола SET ошиблись, предсказывая быстрое  и повсеместное внедрение этого  стандарта. Более того, ведутся настойчивые  разговоры о том, что протокол SET уже является вчерашним днем и  его шансы на выживание ничтожны.

Такие разговоры  начались еще летом 2000г., когда VISA International сделала заявление, в соответствии с которым протокол 3D SET (разновидность SET) становится стандартом для стран Евросоюза, Латинской Америки и некоторых других европейских стран, включая Россию. В то же время на самом крупном американском рынке в качестве стандарта был провозглашен протокол 3D SSL (другое название протокола - 3D Payer).

Глава российского  представительства Visa Int.  Л. Наумовский согласен с тем, что SET не нашел спроса:

"Это очень хорошая  технология. Но, судя по реакции  банков, не только российских, но  и зарубежных, - она дороговата. Банку-эмитенту, использующему протокол SET для отслеживания  операций по картам, приходится  самому держать базу данных  банков-эквайреров и торговых точек. Мы пытались найти более дешевую альтернативу этому протоколу".

В мае 2001 г. были опубликованы спецификации на стандарт 3D Secure, претендующий на роль глобального стандарта аутентификации в платежной системе Visa. По решению Европейского союза в июле 2002 г. все интернет-магазины получили идентификацию на уровне этого протокола. Следовательно, банк-эквайрер таких интернет-магазинов должен иметь возможность предоставить им этот протокол. В случае отсутствия 3D Secure всю ответственность при спорных трансакциях несет он сам. Если он использует 3D Secure, а банк-эмитент нет, то ответственность берет на себя последний.

Принцип работы 3D Secure в том, что есть три различных домена - банка-эмитента, интернет-магазина и Visa, через домен которой идет сообщение между покупателем, продавцом и банками. Очень важно, что все сообщения идут через интернет. При этом Visa обеспечивает конфиденциальность информации. После того как покупатель нажимает на интернет-странице на лозунг Verified by Visa и вводит свой пароль, эта информация идет к банку-эмитенту и происходит идентификация. Банк-эмитент через домен Visa отправляет запрос в интернет-магазин, после чего этот магазин идентифицируется своим банком-эквайрером. Таким образом, данные держателя карты известны только банку-эмитенту. В то же время владелец карты уверен в том, что данный магазин имеет Verified by Visa, то есть сертифицирован Visa через банк-эквайрер. В том случае, если банк-эмитент не получит от домена Visa подтверждения, что магазин имеет Verified by Visa, транзакция не произойдет.

Конечно, владелец карты  может сделать покупки и в  других, не имеющих статуса Verified by Visa, интернет-магазинах. Тогда ответственность по спорным сделкам несет банк-эмитент, и он должен будет предупреждать своих клиентов об этом. 
 
 
 
 
 
 
 
 
 
 
 

Использованная  литература:

1. http://web-protect.net/
2. http://www.klerk.ru/soft/articles/6795/
3. ВИКИПЕДИЯ
4. http://bankir.ru/tehnologii/s/bezopasnost-i-zaschita-internet-platejei-5899180/