capitolul 4 - plati electronice
TRANSCRIPT
CAPITOLUL IVSISTEME I MODALITI DE PLAT ELECTRONIC N AFACERILE INTERNAIONALE
Comerul electronic, ca tip de comer nou, a stimulat direct cererea pentru noi sisteme i modaliti adecvate de plat. n acest context, dezvoltarea unor activiti comerciale ntre participani situai la mari distane geografice unii de alii nu poate fi conceput fr folosirea unor sisteme electronice de pli. Aceste noi mijloace de plat permit transferarea comod, sigur i foarte rapid a banilor ntre partenerii de afaceri. De asemenea, nlocuirea monedelor i bancnotelor (actualele forme tradiionale de numerar) prin ceea ce denumim bani electronici conduce, pe lng reducerea costurilor de emitere i meninere n circulaie a numerarului, i la o sporire a flexibilitii i securitii sistemelor de pli. n domeniul sistemelor i modalitilor electronice de plat, cercetrile sunt n plin proces de desfurare113. Exist numeroase sisteme n curs de experimentare, altele abia au fost cercetate i supuse analizei. Este normal ca prudena i securitatea s fie cuvintele cheie ale acestor demersuri114. Vom prezenta n continuare cteva dintre modalitile de plat electronice mai cunoscute, n tranzaciile internaionale.
Vezi, Roca Gh. I. (coord) Opera cit. Cap. 5, p. 75-90; Patriciu V., Sisteme electronice de pli, PC Report, august 1999; Cioat M., Pli electronice Net Report, februarie 2001. 114 Loab L., Secure Electronic transactions: Introduction and Tehnical Reference, Hardcover, Arteech House, Aprl. 1998113
157
X 4.1 Sisteme electronice de pliComerul electronic nseamn, n accepiune tradiional, utilizarea n reele cu valoare adugat a unor aplicaii de tipul transferului electronic de documente (EDI), a comunicaiilor fax, codurilor de bare, transferului de fiiere i a potei electronice. Extraordinara dezvoltare a interconectivitii calculatoarelor n Internet, n toate segmentele societii, a condus la o tendin tot mai evident a companiilor de a folosi aceste reele n aria unui nou tip de comer, comerul electronic n Internet, care s apeleze pe lng vechile servicii amintite i altele noi. Este vorba, de exemplu, de posibilitatea de a se efectua cumprturi prin reea, consultnd cataloage electronice on pe Web sau cataloage off pe CD-ROM i pltind prin intermediul crilor de credit sau a unor portmonee electronice. Pentru alii, aa cum am vzut, comerul electronic reprezint relaiile de afaceri care se deruleaz prin reea ntre furnizori i clieni, ca o alternativ la variantele de comunicaii tradiionale prin fax, linii de comunicaii dedicate sau EDI pe reele cu valoare adugat. n fine, o alt form a comerului pe Internet implic transferul de documente de la contracte sau comenzi pro forma, pn la imagini sau nregistrri vocale. Un sistem electronic de pli se refer la totalitatea obiectelor care conlucreaz pentru asigurarea plii tranzaciilor ce se efectueaz. Sunt implicate, n general, trei entiti care interacioneaz: o banca B, un cumprtor C i un vnztor V. Sistemul electronic de pli conine i o mulime de protocoale care permit cumprtorului C s fac pli ctre vnztorul V. Sistemele electronice de pli pot fi privite ntr-o structur ierarhic pe nivele, derivate din arhitectura sistemelor ISO-OSI.
158
bani electronici
Emitent bani electronici
bani electronici
bani reali Emitent bani reali bani cash cont
bani reali
bani electronici Cumprtor marfa servicii Vnztor
Schema nr. 3. Arhitectura unui sistem electronic de pli
Aa cum rezult din schema de mai sus, un Sistem Electronic de Pli este format din dou nivele:
nivelul utilizator, care constituie nivelul ierarhic superior, const
din mulimea utilizatorilor i a tranzaciilor care au loc ntre acetia. Utilizatorii sunt grupai dup diverse roluri, dup modul n care interacioneaz n relaiile de afaceri dintre ei: cumprtorul, vnztorul, emitentul de bani electronici (banca), etc.
nivelul sistem, care constituie nivelul ierarhic inferior, const din
mulimea entitilor fizice i a relaiilor care se stabilesc ntre ele. Entitile pot juca unul dintre urmtoarele roluri: purttor de bani electronici sau registru de casa. 4.1.1. Sisteme de pli n comerul electronic bazate pe carduri bancare Sistemul de carduri a fost creat cu intenia de a-i permite cumprtorului s-i satisfac imediat dorina de cumprare de bunuri i servicii115. Prin cartea de credit, riscul este transferat de la vnztor la instituia financiar care a emis cartea de credit. Procesul cuprinde urmtorii pai: cumprtorul prezintVezi, I. Rou Hamzescu (coord), Plile de plat n Romnia, Editura Mondo-Ec, Craiova, 1998.115
159
vnztorului cartea de credit; vnztorul trimite numrul crii de credit i detaliile tranzaciei la un sistem de autorizare; acesta fie autorizeaz direct tranzacia, fie o direcioneaz la banca emitent a crii de credit, pentru aprobare; periodic (de exemplu zilnic), vnztorul trimite detaliile tranzaciilor aprobate ctre banca sa; aceste informaii sunt trimise la asociaia emitorilor de cri de credit dup ce au fost procesate tranzaciile pentru care banca respectiva este i colectoare i emitoare de cri de credit; la sfritul lunii, consumatorul primete facturile pe care trebuie s le achite, altfel va plti dobnda pentru creditul acordat de banca care a emis cartea de credit.
Cumprtor
Vnztor
Sistem de autorizare
Banca emitent consumator -
Banca colectoare vnztor -
Schema nr. 4 Plata prin card bancar
Diverse cumprri de bunuri i servicii prin Internet se fac pltindu-se cu carduri bancare obinuite (Visa, MasterCard etc.)116. ns tranzaciile cu carduri conin informaii confideniale privind cardul i informaiile personale ale clienilor, informaii ce pot fi interceptate n timpul transmisiei prin Internet. Fr un soft special, orice persoan care monitorizeaz traficul pe reea poate citi coninutul acestor date confideniale i le poate folosi ulterior. A fost necesar elaborarea unor standarde specifice sistemelor de pli, care s permit116
Ilie A., Cardurile folosite tot mai mult pe internet, in a Week, nr. 139. 160
coordonarea prilor legitime implicate n transfer i folosirea corect a metodelor de securitate. n 1996, MasterCard i Visa au convenit s consolideze standardele lor de pli electronice ntr-unul singur, numit SET (Secure Electronic Transaction). Protocolul SET i-a propus urmtoarele obiective de securitate n eCommerce: s asigure confidenialitatea instruciunilor de plat i a informaiilor de cerere care sunt transmise odat cu informaiile de plat; s garanteze integritatea tuturor datelor transmise; s asigure autentificarea cumprtorului precum i faptul c, acesta este utilizatorul legitim al unei mrci de card; s asigure autentificarea vnztorului precum i faptul c acesta accept tranzacii cu carduri prin relaia sa cu o instituie financiar achizitoare; s foloseasc cele mai bune metode de securitate pentru a proteja prile antrenate n comer; s fie un protocol care s nu depind de mecanismele de securitate ale transportului i care s nu mpiedice folosirea acestora; s faciliteze i s ncurajeze interoperabilitatea dintre furnizorii de soft i cei de reea. Aceste cerine sunt satisfcute dup prerea noastr de urmtoarele caracteristici ale acestei specificaii: Confidenialitatea informaiei Pentru a facilita i ncuraja comerul electronic folosind crile de credit, este necesar asigurarea deintorilor de cartele c informaiile de plat sunt n siguran. De aceea, contul cumprtorului i informaiile de plat trebuie s fie securizate atunci cnd traverseaz reeaua, mpiedicnd interceptarea numerelor de cont i datele de expirare de ctre persoane neautorizate. Criptarea mesajelor SET asigur confidenialitatea informaiei. Integritatea datelor Aceast specificaie garanteaz c nu se altereaz coninutul mesajelor n timpul transmisiei acestora prin reea. Informaiile de plat trimise de cumprtor la vnztor conin informaii de cerere, date personale i instruciuni de plat. Dac una din aceste informaii este modificat,
161
tranzacia nu se va face corect. Protocolul SET folosete semntura digital pentru integritatea datelor. Autentificarea cumprtorului Vnztorul are nevoie de un mijloc de verificare a clientului sau a faptului c acesta este utilizatorul legitim al unui numr de cont valid. Un mecanism care face legtura dintre posesorul crii de credit i un numr de cont specific va reduce incidena fraudei i, prin urmare, costul total al procesului de plat. SET utilizeaz semntura digital i certificatele cumprtorului pentru autentificarea acestuia. Autentificarea vnztorului Aceast specificaie furnizeaz un mijloc de asigurare a clientului c furnizorul are o relaie cu o instituie financiar, permindu-i acestuia s accepte crile de credit. SET utilizeaz semntura digital i certificatele vnztorului pentru autentificarea acestuia. Interoperabilitate Protocolul SET trebuie s fie aplicabil pe o varietate de platforme hardware i soft. Orice cumprtor trebuie s poat s comunice, cu softul sau cu orice vnztor. Pentru interoperabilitate, SET folosete formate de mesaje i protocoale specifice. Cumprarea electronic ntr-un scenariu tipic de e-Commerce, etapele procesului de cumprare sunt urmtoarele:
Cumprtorul poate cuta bunuri i servicii avnd mai multe posibiliti, cum ar fi: folosete un browser pentru a consulta cataloage online din pagina de Web a vnztorului; consult un catalog suplimentar aflat pe un CDROM; consult un catalog pe hrtie.
Cumprtorul alege bunurile pe care dorete s le cumpere. Cumprtorului i este prezentat o list a bunurilor, incluznd preul acestora i preul total, cu tot cu taxe. Aceast lista trebuie furnizat electronic de serverul vnztorului sau de softul de cumprare electronic din calculatorul clientului. Uneori se accept negocierea preului.
Cumprtorul alege mijloacele de plat. S considerm c este ales ca mijloc de plat cartela de credit (cardul).162
Cumprtorul trimite vnztorului o cerere mpreun cu instruciunile de plat. n aceast specificaie, cererea i instruciunile de plat sunt semnate digital de ctre cumprtorii care posed certificate.
Vnztorul solicit autorizaia de plat a clientului sau de la instituia financiar a acestuia. Vnztorul trimite confirmarea cererii. Vnztorul trimite bunurile sau ndeplinete serviciile solicitate n cerere. Vnztorul solicit plata bunurilor i serviciilor de la instituia financiar a cumprtorului. Criptografia n SET - Pentru a asigura securitatea plilor, SET folosete
perechi de chei RSA pentru a crea semnturi digitale pentru secretizare. Prin urmare, fiecare participant n procesul de tranzacionare posed dou perechi de chei asimetrice: o pereche de chei de schimb folosit n criptare i decriptare i o pereche de semntur, pentru crearea i verificarea semnturii digitale. De menionat faptul c rolul cheilor de semntur este inversat n procesul de semnare digital unde cheia privat este folosit pentru criptare (semnare), iar cea public este folosit pentru decriptare (verificare a semnturii). Autentificarea este ntrit de utilizarea certificatelor. nainte ca un destinatar B sa primeasc un mesaj semnat digital de ctre un emitor A, el vrea sa fie sigur c deine cheia public a lui A i nu a altuia care s-a recomandat drept A prin reea. O alternativ ar fi ca receptorul B s primeasc cheia public direct de la A printr-un canal de comunicaie securizat. De cele mai multe ori, ns, aceast soluie nu poate fi practicat. Transmisia securizat a cheilor este realizat de un ter de ncredere numit Autoritate de Certificate (AC), care-l asigur pe B c A este proprietarul cheii publice pe care o deine. Autoritatea de Certificate furnizeaz certificate care fac legtura dintre un nume de persoan i o cheie public. Utilizatorul A prezint AC-ului informaii de identitate. AC-ul creeaz un mesaj cu numele lui A i cheia public a acestuia. Acest mesaj, numit certificat, este semnat digital de ctre Autoritatea de Certificate. El conine163
informaii de identificare a proprietarului, precum i o copie a cheii publice (de schimb sau de semntur). Participanii SET vor avea, de asemenea, dou certificate pentru cele dou perechi de chei: certificate de semntur i certificate de schimb. Certificatele sunt create i semnate n acelai timp de ctre AC. Protocolul SET introduce o nou aplicaie a semnturilor digitale, i anume conceptul de semntur dual. S considerm urmtorul scenariu: vnztorul B trimite o ofert cumprtorului A i o autorizaie bncii sale pentru a transfera banii, dac A accept oferta. ns B dorete ca banca s nu vad termenii ofertei, i nici cumprtorul informaiile sale de cont. n plus, B vrea s fac o legtur dintre ofert i transfer, astfel nct banii vor fi transferai doar dac A accept oferta sa. El realizeaz toate acestea semnnd digital ambele mesaje ntr-o singur operaie care creeaz semntur dual. O semntur dual este generat prin calcularea rezumatelor ambelor mesaje i concatenarea celor dou rezumate. Rezultatului obinut i se calculeaz, la rndul sau, un rezumat i, n cele din urm, acest ultim rezumat este cifrat cu cheia privat de semntura a emitorului. Trebuie inclus i rezumatul celuilalt mesaj pentru ca oricare din cei doi primitori s valideze semntura dual. Un primitor al oricrui mesaj i poate verifica autenticitatea prin generarea rezumatului acestuia, concatenarea cu rezumatul celuilalt mesaj, i calcularea rezumatului rezultatului concatenrii. Dac noul rezumat se potrivete cu semntura dual decriptat, primitorul poate fi sigur de autenticitatea mesajului. Daca X accept oferta lui Y, trimite un mesaj bncii indicnd acceptul su i incluznd rezumatul ofertei. Banca poate verifica autenticitatea autorizaiei de transfer a lui Y i se asigur c acceptul este pentru aceeai ofert prin utilizarea rezumatului autorizaiei pe care l-a primit de la Y i a rezumatului ofertei prezentat de X pentru a valida semntura dual. Astfel, banca poate controla autenticitatea ofertei, dar nu poate vedea termenii ofertei.
164
n cadrul protocolului SET, semntura dual este folosit pentru a face legtura dintre un mesaj de comand trimis vnztorului i instruciunile de plat coninnd informaii de cont trimise achizitorului. Cnd vnztorul trimite o cerere de autorizaie achizitorului, include instruciunile de plat primite de la cumprtor i rezumatul informaiilor de comand. Achizitorul folosete rezumatul primit de la vnztor i calculeaz rezumatul instruciunilor de plat pentru a verifica semntura dual. n prezent, tot mai multe produse de eCommerce implementeaz protocolul SET, ceea ce confer securitate plilor Internet cu card, prin mijloace criptografice. Un sistem aparte de debitare a crii de credit este aa-numitul PIN Virtual. Serviciul PIN Virtual ofer un plus de securitate pentru clienii care ezit s furnizeze informaii confideniale pe Internet. Cum funcioneaz acest serviciu? De fapt, se emite un nou cod PIN pentru cumprtor, dup ce acesta a furnizat numrul crii sale de credit printr-un sistem de telefonie vocal. Astfel, cumprtorii vor utiliza PIN-ul Virtual n corelaie cu numrul crii de credit. Pentru fiecare aciune de cumprare, se transmite posesorului de PIN Virtual un mesaj prin pota electronic, solicitndu-se confirmarea tranzaciei n vederea autorizrii comerciantului s efectueze livrarea. Pentru tranzaciile de valoare mic ns, comisionul relativ mare ce trebuie pltit de ctre comerciant constituie o barier n utilizarea crilor de credit ca modalitate de plat n comerul electronic. Cri ATM / Cri de debit: Aceste cri sunt foarte utilizate n Europa i sunt cunoscute sub numele de EC cards. Avantajul major pe care l ofer comerciantului const n costurile semnificativ mai mici aferente tranzaciilor, n comparaie cu cele efectuate prin intermediul cecurilor obinuite. Cri de cumprtor: Acestea au acelai rol ca i crile de credit firmele emit astfel de cri de cumprtor pentru angajaii lor n vederea cumprrii de produse i servicii din anumite domenii de afaceri. Volumul tranzaciilor derulate prin crile de cumprtor (80 miliarde de Euro n SUA, n165
2005) va determina transformarea acestui gen de tranzacii n tranzacii de tip B2-B pe Internet. Cardurile inteligente (smart card) sunt populare n Europa Occidental i permit stocarea informaiilor suplimentare despre clieni n afar de pstrarea banilor pe cipul cardului. Banii de pe card sunt salvai ntr-o forma criptat i sunt protejai printr-o parol. Pentru a plti este necesar introducerea acestuia ntr-un terminal hardware. Dispozitivul necesit o cheie special emis de banc pentru a se transfera banii n alt direcie. Putem merge la banc, ncrca cardul i s pltim prin Internet. Avantaje: securitate, simplitatea utilizrii, efectuarea direct fr intermediari, costul sczut al tranzaciilor( Mondex - Marea Britanie, Geld-Karte Germania). 4.1.2. Plata prin CyberCash Fondat n august 1994, firma CyberCash Inc. din SUA a propus n aprilie 1995 un mecanism sigur de tranzacii de plat cu carduri, bazat pe un server propriu i oferind servicii client pentru vnztori. Folosirea serverului CyberCash asigur posibilitatea de trasare i control imediat al tranzaciilor. Pe de alt parte, trecerea prin server face sistemul mai lent i dependent de timpii de rspuns ai acestuia. Aceste lucruri fac CyberCash mai puin confortabil i mai costisitor, n special pentru tranzaciile de plat cu sume mici. ns cifrarea cu chei publice asigur un nivel nalt de securitate. CyberCash implementeaz un sistem care realizeaz protecia cardurilor de credit folosite n Internet. Compania - care furnizeaz soft att pentru vnztori, ct i pentru cumprtori - opereaz un gateway ntre Internet i reelele de autorizare ale principalelor firme ofertante de carduri. Cumprtorul ncepe prin a descrca softul specific de portofel, cel care accept criptarea i prelucrarea tranzaciilor. La fel ca un portofel fizic care poate conine mai multe carduri bancare diferite, portofelul soft al cumprtorului poate fi folosit de ctre166
client pentru a nregistra mai multe carduri, cu care va face ulterior plile. Un soft similar furnizeaz servicii la vnztor. Mesajele sunt criptate folosind un algoritm simetric (DES) cu cheie de 56 de bii generat aleator, anvelopat i ea n mesaj prin criptare cu cheia public a receptorului. Sistemul de criptare cu chei publice folosit este RSA, cu o lungime de 1.024 bii. Cheia public CyberCash este memorat n softul de portofel i n cel al vnztorului. Atunci cnd va nregistra n softul portofel cardurile cu care va face plile, cumprtorul i va genera i propria pereche cheie public cheie privat. Apoi cheia sa public va fi transmis la CyberCash, care o va nregistra ntr-o baz de date. Dei toi participanii n sistem (cumprtori, vnztori i CyberCash) au propriile lor perechi de chei publice i private, numai CyberCash tie cheile publice ale tuturor. Ca urmare, compania poate schimba informaii n mod sigur cu orice cumprtor sau vnztor, dar acetia comunic n clar unii cu alii. Revine ca sarcin lui CyberCash s autentifice toate semnturile, cu cheile publice pe care le deine n mod sigur. Atunci cnd se face o tranzacie, produsul dorit este selectat printr-un browser Web. Serverul vnztorului trimite portofelului cumprtorului un mesaj cerere de plat n clar, semnat criptografic, cerere care descrie cumprarea i tipurile de carduri care sunt acceptate pentru plat. Softul portofel afieaz o fereastr care permite cumprtorului s aprobe achiziia i suma i s selecteze cardul cu care se va face plata. Se trimite napoi vnztorului un mesaj de plat ce include o descriere a tranzaciei criptat i semnat digital de cumprtor, precum i numrul cardului folosit. Vnztorul trimite mai departe mesajul de plat la gateway-ul CyberCash, mpreun cu propria sa descriere a tranzaciei, criptat i semnat digital. CyberCash decripteaz i compar cele dou mesaje i verific cele dou semnturi. Dac lucrurile sunt OK, el autorizeaz cererea vnztorului trimind un mesaj specific la softul acestuia. Apoi softul vnztorului confirm plata portofelului cumprtorului.
167
CyberCash opereaz propriul su gateway ca un agent al bncii vnztorului. De aceea, el trebuie s fie de ncredere pentru a decripta mesajele i a le transfera pe reelele de autorizare convenionale ale bncilor. ntruct informaiile sunt criptate cu cheia public a lui CyberCash, cunoscut de softul ce opereaz sistemul, vnztorul nu poate vedea care este numrul cardului folosit de cumprtor, eliminndu-se riscul refolosirii acestui card la alte cumprturi neautorizate.cerere cumprare cerere plat plata prin carte de credit Cumprtor rspuns carte de credit cerere autorizare Vnztor rspuns plat CyberCash Gateway
Banca emitentului consumator
Banca colectoare vnztor
Schema nr. 5 Plata prin CyberCash
n ultimii ani, firma CyberCash a extins sistemul iniial de plat bazat pe transmisia sigur a cardurilor cu alte faciliti pentru pli cu bani electronici: Secure Cash/Check i Secure Check, precum i CyberCoin, folosit pentru valori mici. De asemenea, n strns legtura cu CyberCash, la Universitatea California de Sud au fost dezvoltate alte dou sisteme asemntoare: NetCash, pentru pli cu sume mici, bazate pe bani electronici i NetCheque, un sistem bazat pe cecuri electronice.
168
4.1.3. Sistem on-line de plat cu moned electronic Ecash ECash reprezint un exemplu de sistem electronic de pli, care folosete poa electronic sau Web-ul pentru implementarea unui concept de portofel virtual. A fost dezvoltat de ctre firma DigiCash Co. din Olanda, firm fondat de ctre celebrul cercettor al sistemelor criptografice, David Chaum. Prima demonstraie a sistemului a fost fcut n 1994 la prima Conferin WWW, printr-o legtur Web ntre Geneva i Amsterdam. Ulterior a fost implementat de bnci din SUA (Mark Twain Bank of Missouri), Finlanda i din alte ri. Este prima soluie totalmente soft pentru plile electronice. ECash reprezint un sistem de pli complet anonim, ce folosete conturi numerice n bnci i tehnica semnturilor oarbe. Tranzaciile se desfoar ntre cumprtor i vnztor, care trebuie s aib conturi la aceeai banc. Cumprtorii trebuie s ntiineze banca cu privire la faptul c doresc s transfere bani din conturile lor obinuite n aa numitul cont eCash Mint. n orice moment, cumprtorul poate interaciona de la distan, prin calculatorul su, cu contul Mint i, folosind un client soft, poate retrage de aici fonduri pe discul calculatorului sau. Formatul acestor fonduri este electronic - suite de 0 i 1 protejate criptografic. Ca urmare, discul cumprtorului devine un veritabil portofel electronic. Apoi, se pot executa pli ntre persoane individuale sau ctre firme, prin intermediul acestor eCash. Principiul funcionrii lui ECash - ECash are un caracter privat: dei banca ine o eviden a fiecrei retrageri eCash i a fiecrui depozit Mint, este imposibil ca banca s stabileasc utilizarea ulterioar a lui eCash. Aceast proprietate se datoreaz folosirii unor criptosisteme cu chei publice RSA, cu o lungime a cheii de 768 bii. Pe lng anonimitatea plilor, eCash asigur i nerepudierea, adic acea proprietate care permite rezolvarea oricror dispute ntre cumprtor i vnztor privind recunoaterea plilor. De asemenea, prin
169
verificare n baza de date a bncii, este mpiedicat orice dubl cheltuire a lui eCash. La fel ca i banii reali (bancnote, monede), banii electronici eCash pot fi retrai din conturi sau depozitai, pentru a fi tranzacionai. De asemenea, la fel ca n cazul banilor fizici, o persoan poate transfera posesia unui cont eCash unei alte persoane. ns, spre deosebire de banii convenionali, atunci cnd un client pltete unui alt client, banca electronic joac un rol aparent modest, dar esenial. ECash reprezint o soluie de pli soft on-line, care const n interaciunile dintre 3 entiti: banca, care emite monede, valideaz monedele existente i schimb monede reale pentru eCash; cumprtorii, care au cont n banc, din care pot ncrca monede eCash sau n care pot depune monede eCash; vnztorii, care accept monede ECash n schimbul unor bunuri sau servicii. ECash este implementat folosind criptografia cu chei publice RSA. Fiecare utilizator are propria-i pereche de chei (public - E i privat - D). Este nevoie de un soft special pentru gestiunea eCash: pentru client un program numit portofel electronic (cyberwallet); pentru vnztor un program special eCash. Retragerea de monede eCash de la banc - Software-ul cyberwallet al clientului calculeaz cte monede digitale i de ce valori sunt necesare pentru a satisface cererea de plat. Apoi, programul genereaz n mod aleator numere de serie pentru aceste monede. Aceste numere sunt suficient de mari (100 de cifre zecimale) pentru ca s fie foarte mic probabilitatea ca altcineva s genereze aceleai valori. Aceste numere de serie sunt apoi fcute anonime, cu ajutorul tehnicii semnturilor oarbe. Acest lucru se realizeaz prin multiplicarea lor cu factor aleator. Aceti bani anonimi sunt apoi mpachetai ntr-un mesaj, semnai digital cu cheia privat a clientului, cifrai cu cheia public a bncii i apoi trimii electronic la banc.
170
Cnd banca recepioneaz mesajul, ea verific semntura. Apoi suma retras poate fi debitat din contul clientului care a semnat cererea. Banca semneaz monedele electronice cu cheia sa privat i le returneaz la client, criptate cu cheia public a acestuia. Prin folosirea semnturii oarbe, se previne ca banca s poat recunoate monedele ca venind dintr-un anumit cont. n loc ca banca s creeze monezi electronice albe, calculatorul unui utilizator este cel care creeaz n mod aleator monezile. Apoi ascunde aceste monezi, fiecare ntr-o anvelop digital special, i le trimite pe rnd ctre banc. Banca retrage la fiecare recepie dolari din cont i construiete validarea digital a monedei, ca o tampil pe plicul pe care utilizatorul tocmai l-a trimis. Plicul astfel tampilat este returnat utilizator. Atunci cnd calculatorul utilizatorului va nltura plicul, va obine o moned digital dup cum i-a dorit, ns validat de tampila bncii. Dar pentru c banca nu a vzut moneda ascuns n plic, aceasta nu va putea spune, atunci cnd va recepiona o plat, din partea cui provine aceasta - adic cui aparin acei bani. Dup ce clientul primete banii anonimi semnai de banc, decripteaz mesajul i anuleaz anonimitatea banilor prin mprire la factorul aleator. Cei doi participani n tranzacia de retragere sunt banca i clientul. Moneda digital, care urmeaz s fie retras din contul utilizatorului din banc, va fi depozitat pe discul PC-ului su. Cheltuirea monedelor eCash - Atunci cnd utilizatorul are eCash pe discul su, poate cumpra ceva de la magazinul unui vnztor. Primind o cerere de plat de la vnztor, utilizatorul o aprob prin apsarea butonului Yes din fereastr. Programul su eCash va alege din portofelul lui (pe disc) monedele electronice potrivite pentru a forma totalul de plat. Dup aceasta, va terge aceste monede i le va trimite prin reea ctre magazinul vnztorului. Atunci cnd programul vnztorului a recepionat monedele, le va trimite automat ctre banc. Apoi va atepta pn cnd acestea sunt acceptate sau respinse, nainte de a trimite bunurile cumprate ctre utilizator.171
Clientul lanseaz n execuie softul cyberwallet i clientul Web. Cu acesta din urm navigheaz pn gsete un magazin virtual pe reea. Softul client eCash lucreaz mpreun cu serverul i clientul Web. Un magazin virtual nu este altceva dect un document HTML, cu URL-uri reprezentnd articolul cu produsele de vnzare. Pentru a cumpra un produs, clientul selecteaz un URL care reprezint articolul. Cumprarea se face n urmtorii pai: 1. Utilizatorul clientului Web trimite un mesaj HTTP de cerere a URL-ului ctre serverul Web al vnztorului. URL-ul va apela un program CGI (Common Gateway Interface). 2. Programul CGI apelat este softul eCash al vnztorului. Lui i se vor transmite detalii ale articolului selectat n URL. Localizarea calculatorului cumprtorului va fi transmis printr-o variabil de la server la softul eCash al vnztorului. 3. Softul vnztorului va contacta programul portofel al cumprtorului printr-o legtur TCP/IP, cerndu-i plata. 4. Cnd portofelul de la client primete cererea, el va ntreba cumprtorul dac accept plata. n caz afirmativ, va trimite ctre vnztor exact monedele electronice necesare. Acestea vor fi criptate cu cheia public a vnztorului: EVNZTOR (Monede) n cazul n care nu se dispune de monedele care s satisfac exact cererea de plat, se trimite un refuz vnztorului. 5. Cnd vnztorul primete monedele, le decripteaz cu cheia sa privat; apoi trebuie s verifice validitatea lor i eventuala dubl cheltuire. Pentru aceasta, se contacteaz banca i i se trimite un mesaj format din monedele, semnate cu cheia a vnztorului i apoi criptate cu cheia public a bncii: EBANCA (DVNZTOR (Monede)) 6. Banca decripteaz mesajul cu cheia sa privat i apoi valideaz banii, verificnd numerele de serie cu cele nscrise n baza sa de date ca fiind deja cheltuite. Dac seriile trimise de vnztor sunt gsite n baza de date, nseamn ca banii sunt invalidai, ei fiind deja cheltuii. Dac ns ei nu sunt n baza de172
date i sunt semnai corect de banc cu cheia sa privat, banii sunt validai. Valoarea lor crediteaz contul vnztorului, banii sunt distrui iar seriile le sunt memorate n baza de date. Softul bncii notific vnztorului ncheierea cu succes a depunerii. 7. Se returneaz un mesaj-chitan semnat electronic ctre softul portofel al cumprtorului. 8. Un mesaj de confirmare se trimite apoi de la portofel ctre serverul Web. 9. Serverul Web nainteaz informaia ctre clientul Web al cumprtorului. 4.1.4. Plata prin NetCash NetCash reprezint un alt exemplu de sistem electronic de pli de tip on-line. A fost elaborat la Information Science Institute de la University of Southern California. Cu toate c sistemul nu asigur anonimitatea total a plilor ca eCash (banii pot fi identificai), NetCash ofer alte mijloace prin care s se asigure plilor un anumit grad de anonimitate. Sistemul se bazeaz pe mai multe servere de monede distribuite, la care se poate face schimbul unor cecuri electronice (inclusiv NetCheque) n moned electronic. Sistemul NetCash const din urmtoarele entiti: cumprtori, vnztori i servere de moned (SM). O organizaie care dorete s administreze un server de moned va trebui sa obin o aprobare de la o autoritate central de certificare. Serverul de moned va genera o pereche de chei RSA, public i privat. Cheia public este apoi certificat prin semntura autoritii centrale de certificare. Acest certificat conine un identificator (ID), numele serverului de moned, cheia public a serverului de moned, datele de eliberare i expirare, toate semnate de autoritatea central: Dautoritatea-central (ID, Nume-SM, ESM , Data-eliberrii, Dataexpirrii)173
Monedele electronice eliberate de serverul SM constau n urmtoarele: Nume-SM; Adresa reea a SM; Data-expirrii; Numrul de serie; Valoarea. Banii sunt apoi semnai cu cheia privat a serverului SM: DSM (Nume-SM, Adresa-reea-SM , Data-expirrii, Numrul-serie, Valoarea) SM ine evidena tuturor seriilor de bani emii de el. n acest caz, validitatea i dubla cheltuire pot fi verificate de fiecare dat cnd se face o cumprare sau un schimb de cec. Atunci cnd se face verificarea unor bani ce se cheltuiesc, seriile lor sunt terse din baza de date a SM iar banii sunt nlocuii cu alte serii. Un cec electronic poate fi schimbat la un SM cu bani electronici. Pentru asigurarea anonimitii plilor, SM nu este autorizat s memoreze persoanele i adresele lor reea crora le emite bani electronici. Deintorul unor astfel de monede poate merge apoi la orice alt SM pentru a le schimba, cu alte monede emise de acel SM. Analiza pailor procesului de cumprare cu NetCash arat modul n care un cumprtor folosete NetCash pentru a achiziiona un articol de la un vnztor. n aceast tranzacie cumprtorul rmne anonim, ntruct vnztorul vrea s tie doar adresa de reea de unde acioneaz cumprtorul. NetCash face presupunerea c orice cumprtor poate obine cheia public a vnztorului, iar acesta din urm are cheia public a SM. Tranzacia de cumprare folosind NetCash se face n 4 pai: 1. Cumprtorul trimite monedele electronice n cadrul mesajului de plat, identificatorul serviciului de cumprare (S-Id), o cheie secret generat doar pentru acea tranzacie (KCUMPRTOR) i o cheie public de sesiune (ECUMPRTOR), toate criptate cu cheia public a vnztorului. Cheia secret K va fi folosit de vnztor pentru stabili un canal criptat cu cumprtorul. Cheia public E este folosit ulterior pentru verificarea cererilor de plat venite de la acel cumprtor.
174
EVNZTOR ( Monede, KCUMPRTOR, ECUMPRTOR , S-Id) 2. Vnztorul trebuie s verifice validitatea monedelor electronice primite. Pentru aceasta, le va trimite SM pentru a le schimba cu alte monede electronice sau cu un cec. Vnztorul genereaz o nou cheie secret simetric de sesiune KVNZTOR pe care o va trimite mpreun cu banii la SM. ntreg mesajul este criptat cu cheia public a serverului: ESM ( Monede, KVNZTOR, Tip-tranzacie) 3. Serverul SM verific faptul c banii sunt valizi, consultnd baza sa de date. Un ban este valid dac numrul sau serial apare n baza de date. SM va returna vnztorului noi monede electronice sau un cec, criptate cu cheia secret de sesiune a vnztorului: KVNZTOR (Noi-monede). 4. Primind noii bani (sau cecul), vnztorul se convinge c a fost corect pltit de cumprtor. Acum el va returna acestuia o confirmare, semnat cu cheia sa privat i cifrat cu cheia secret de sesiune a cumprtorului: KCUMPRTOR (DVNZTOR (Suma, Id-tranzacie, data)). Avantajele folosirii NetCash sunt scalabilitatea sistemului i securitatea. El este scalabil, ntruct se pot instala SM multiple. Securitatea este asigurat de protocoalele sale criptografice. ns spre deosebire de eCash, sistemul NetCash nu este complet anonim. Este dificil - dar nu imposibil - pentru un SM s pstreze nregistrri despre persoanele crora li se emite monede i de la care se primesc aceti bani napoi. Abilitatea cu care se folosesc mai multe servere SM crete gradul de anonimitate al plilor. 4.1.5. Plata prin ePay n Romnia plata direct prin card peste Internet este periculoas datorit nivelului potenial ridicat de fraud. Bncile nu accept n general pli prin carduri peste Internet dect, eventual, cu asumarea total a riscului de ctre175
comerciant. Se folosete mai plata prin ATM, dar aceasta nu are aceleai beneficii cu plata on-line. ePay este un sistem romnesc realizat de ctre SoftNet, care permite reducerea nivelului de fraud ct mai aproape de zero astfel: a fost introdus un model de plat cu trei actori: magazinul electronic,
posesorul de card (clientul) i banca ce a emis crdul i al crei client este posesorul de card; posesorul de card semneaz electronic la banc fiecare tranzacie. Doar
tranzaciile acceptate de ctre acesta i marcate ca atare ctre banc sunt autorizate; plata efectiv se efectueaz doar dup ce datele privind plata transmise de magazinul electronic sunt comparate cu cele nregistrate de client i se constat o coresponden perfect. ePay are urmtoarele caracteristici: numerele de card nu circul prin Internet i nu se stocheaz nici la client
nici n magazinul electronic; clientul nu poate folosi alte carduri dect cele deinute oficial la banc. Nu
se pot deci introduce numere de card furate; clientul nu poate nega efectuarea unei pli. Fiecare accept de plat este
semnat electronic i nregistrat la banc; autorizarea plii se face instantaneu, comunicaia ntre cele trei entiti
implicate fcndu-se prin Internet (cu criptare i autentificare). Un scenariu tipic de utilizare a sistemul de plat sigur prin Internet ePay este urmtorul: clientul acceseaz cu un browser, prin Internet, magazinul electronic. Aici
alege produsele dorite i le selecteaz pentru a fi introduse n coul virtual de cumprturi; clientul, dup ce a finalizat alegerea produselor, trece n pagina de plat
electronic. Aici selecteaz opiunea Plat prin ePay;176
Banc
ePayHTTPS + SOAP SOAP / XML
SOAP
ePayHTTPS SOAP / JAVA + XML
ewallet
ePay Aplicaie / sit magazin electronic Magazin electronicHTTPS
navigator Internet
client al bncii / magazinul electronic Schema nr. 6 Plata prin ePay
pe staia clientului se deschide o aplicaie de tip portofel electronic.
Aceasta se conecteaz la banc i solicit autentificarea clientului (nume/parol i token VASCO). Dup validarea cu succes, portofelul electronic prezint clientului lista cardurilor pe care acesta le deine la banc, invitndu-l s selecteze unul dintre card-uri pentru plata solicitat. Cardul selectat, mpreun cu informaii privind plata (sum, magazin, id comand) sunt nregistrate n serverul ePay de la banc; n portofelul electronic clientul aprob plata. Portofelul electronic se
nchide, cednd controlul din nou magazinului electronic, transmindu-i identificatorul acceptului clientului n sistemul ePay. Magazinul electronic solicit bncii efectuarea efectiv a plii, transmind mpreun cu solicitarea i informaiile legate de plat (sum, magazin, ID comand); ePay preia solicitarea i compar informaiile trimise de magazin cu cele
transmise de ctre client. Dac acestea corespund ntocmai, se efectueaz plata n sistemul bancar (prin emularea unei tranzacii obinuite POS);177
VPOS
Operaii carduri contabilitate
dac tranzacia s-a efectuat cu succes se transmite un mesaj de succes
ctre magazinul electronic. Aceasta transmite aceast informaie ctre aplicaiile de procesare de comenzi ale operatorului magazinului.
4.2. Sisteme de micro-pliExist deja, aa cum s-a vzut pn acum, un numr de protocoale de plat n comerul electronic destinate unor tranzacii mari, de 5 USD, 10 USD i mai mult. Costul per tranzacie este, de obicei, de civa ceni plus un procent din suma vehiculat. Atunci cnd aceste costuri sunt aplicate la tranzacii cu valori mici (50 de ceni sau mai puin), costul devine semnificativ n preul total al tranzaciei. Ca urmare, pentru a obine efectiv un pre minim pentru anumite bunuri i servicii ieftine ce urmeaz a fi cumprate, vor trebui utilizate noi protocoale. Exist o serie de servicii on-line, care promoveaz ziare, magazine, referine de munc i altele, toate avnd articole individuale care sunt ieftine dac sunt vndute separat. Avantajul de a cumpra articole individuale ieftine poate face aceste servicii mai atractive utilizatorilor ocazionali ai Internet-ului. Un utilizator care nu agreeaz ideea de a deschide un cont de zece dolari cu un editor de publicaii necunoscut, poate fi dispus s cheltuiasc civa ceni pentru a cumpra un articol interesant la prima vedere. O aplicaie ieftin frecvent o reprezint plata vizitrii siturilor n Internet. Sub form de concept i proiecte experimentale, micro-plile se adreseaz nevoii existenei unei scheme simple, ieftine, care s poat suporta economic pli foarte mici, civa dolari, ceni i chiar fraciuni de ceni. Vom analiza cteva propuneri din aceast categorie de sisteme electronice de pli. 4.2.1. MilliCent178
MilliCent este un protocol simplu i sigur pentru comerul electronic n Internet. A fost creat pentru a accepta tranzacii comerciale n care sunt implicate costuri mai mici de un cent. Este un protocol bazat pe o validare descentralizat a banilor electronici pe serverele vnztorilor, fr comunicaii adiionale, criptri scumpe sau procesri separate. Cheia inovaiei MilliCent este aceea de a introduce utilizarea brokerilor i a scrip-urilor. Brokerii (cei care vnd scrip-uri) au ca sarcin managementul conturilor, facturri, meninerea funcionalitii conexiunilor i stabilirea de conturi cu vnztorii. Scrip-ul este moned digital, specific fiecrui vnztor n parte. Vnztorii au sarcina de a valida local scrip-ul pentru a preveni furtul, cum ar fi de exemplu dubla cheltuire din partea clienilor. O piesa de scrip reprezint un cont al clientului, care a fost stabilit cu vnztorul. n orice moment, vnztorul are de rezolvat scrip-urile (conturile deschise) cu clienii cei mai receni. Balana contului este actualizat dup valoarea scrip-ului. Atunci cnd clientul face o cumprtur cu scrip, costul cumprturii este dedus din scrip-ul total, iar valoarea care rmne formeaz noul scrip (cu o nou valoare/balana cont), care este returnat ca rest. Atunci cnd clientul a terminat mai multe tranzacii, el poate ncasa valoarea rmas a scrip-ului (nchide contul). Broker-ii servesc drept conturi intermediare ntre clieni i vnztori. Clienii intr ntr-o relaie de lung durat cu brokerii, n mare cam n acelai mod cum s-ar face o nelegere cu o banc, o companie de carduri de credit sau un ISP (furnizor de servicii Internet). Brokerii cumpr i vnd scrip-uri aparinnd vnztorilor, ca un serviciu ctre clieni i vnztori. Serverele de scrip ale brokerilor au o moned comun pentru clieni (folosit pentru cumprarea scrip-ului vnztorilor) i pentru vnztori (pentru a returna banii pe scrip-ul nefolosit). MilliCent reduce costurile pe mai multe cai:179
- Costul comunicaiei este redus prin verificarea locala a scrip-ului, pe situl vnztorului; se elimin astfel costurile comunicaiilor (care sunt absente), costurile pentru aparatura informatic ce ar da o putere de calcul suficient pentru o derulare normal a unui numr mare de tranzacii; de asemenea, nu este nevoie de servere centralizatoare, de protocoale scumpe etc. - Costurile criptografice sunt reduse deoarece nu este necesar o schem criptografic puternic i scump la valorile foarte mici care sunt tranzacionate. Este nevoie de un cost care s nu depeasc valoarea scrip-ului nsui. - Costurile conturilor sunt reduse prin utilizarea brokerilor care mnuiesc conturile i facturile. Clienii stabilesc conturi cu un broker; brokerul stabilete propriul su cont cu vnztorul. Aceast separare reduce numrul total de conturi prin eliminarea tuturor combinaiilor client-vnztor. Modelul de securitate i ncredere - Modelul de securitate pentru MilliCent este bazat pe presupunerea c moneda scrip este folosit pentru pli mici. Oamenii obinuii i cei de afaceri trateaz monedele diferit, n funcie de valoarea lor; la fel se ntmpl i n cazul facturilor, cnd facturile mici sunt tratate diferit de facturile mari. Ca i atunci cnd un om cumpr o bomboan de la un automat i nu are nevoie de o chitan, el nu are nevoie de chitan nici atunci cnd cumpr un articol utiliznd scrip-ul. Dac o persoan nu dorete s plteasc pentru ceva, renun i va primi napoi suma implicat. Dac aceast sum (moned) se va pierde, persoana respectiv nu va fi foarte suprat. Se presupune c un utilizator va avea, la un moment dat, doar civa dolari sub forma de scrip. Rezult c nu este rentabil s se fure un scrip. Modelul de ncredere MilliCent se bazeaz pe o relaie asimetric de ncredere compus din trei entiti - clientul, brokerul i vnztorul. Brokerii sunt presupui ca fiind mult mai de ncredere dect vnztorii, i n final, clienii. Se tinde ca brokerii s fie instituii financiare redutabile, mari i bine cunoscute, (cum ar fi Visa, MasterCard, sau bncile) sau un mare furnizor de180
servicii Internet sau servicii on-line (cum ar fi CompuServe, NETCOM, sau AOL). Se ateapt sa fie muli vnztori, acoperind un spectru larg de activiti i, de asemenea, un numr mare de clieni, iar relaiile de ncredere s fie la fel ca i n lumea real. Trei factori fac ca frauda brokerilor n micro-pli s fie nerentabil: programele client i vnztor pot s analizeze n mod independent scrip-ul i s menin balana contului, deci orice fraud a brokerului poate fi detectat; clienii nu dein, la un moment de timp, multe scripuri - deci broker-ul va trebui sa comit mai multe tranzacii frauduloase pentru a obine vreun ctig, iar acest lucru l face mai uor de depistat; reputaia brokerilor este important pentru atragerea clienilor, iar un broker poate s piard rapid aceast reputaie dac exist probleme n tranzaciile clienilor si. Faptul de a avea muli clieni activi este mult mai valoros pentru un broker dect furtul de scrip din conturi. Frauda vnztorului const n nelivrarea bunului sau serviciului pentru un scrip valid. Dac acest lucru se ntmpl, clientul se va plnge la broker-ul su, iar broker-ul va renuna la un vnztor care a cauzat mai multe plngeri. Acest act nseamn un mecanism coercitiv, deoarece vnztorii au nevoie de brokeri pentru a li se facilita desfurarea afacerilor cu MilliCent. Ca urmare, protocolul MilliCent este ntrit pentru a preveni frauda clienilor (falsificarea i dubla cheltuire) i promoveaz detecia indirect a fraudelor brokerilor i vnztorilor. Securitatea tranzaciilor MilliCent cuprinde urmtoarele aspecte: - Toate tranzaciile sunt protejate: fiecare tranzacie cere ca clientul s tie parola asociat scrip-ului. Protocolul nu va trimite niciodat o parol n clar, deci este eliminat riscul ca cineva, trgnd cu urechea, s asculte ceva util. Nici o unitate de scrip nu poate fi reutilizat. Fiecare cerere este semnat cu o parol, deci nu exist nici o cale pentru a intercepta i a reutiliza un scrip. - Tranzaciile cu valoare mic limiteaz valoarea fraudelor: tranzaciile mici cer o securitate ieftin; nu este rentabil folosirea unor resurse181
computaionale scumpe pentru a fura scrip-uri ieftine. n plus, folosirea ilegal a scrip-ului n mai multe aciuni ilegale, pentru a strnge mai muli bani, face mult mai probabil depistarea hoului. Frauda este detectabil i eventual localizabil: detectarea se face atunci cnd clientul nu obine bunul dorit sau atunci cnd balana returnat ctre client nu este corect. Dac un client trieaz, atunci vnztorul pierde doar costul scrip-ul fals detectabil. Dac vnztorul trieaz, clientul va raporta problema brokerului. Atunci cnd broker-ul primete plngeri de la mai muli clieni mpotriva unui vnztor, poate localiza cine provoac frauda i va anula toate nelegerile cu respectivul vnztor. Daca brokerul trieaz, vnztorul va primi scrip fals de la mai muli clieni, toi avnd legtur cu un singur broker. Interaciunea dintre Client, Broker i Vnztor. Aceast interaciune prezint paii pentru o sesiune complet MilliCent, incluznd cumprarea de ctre broker a scrip-ului vnztorului. - Pasul iniial se petrece doar o sigur dat pe sesiune. Clientul face o conexiune sigur cu brokerul pentru a obine un scrip de la broker. Clientul cere un scrip de la broker, de exemplu la nceputul zilei. Brokerul returneaz scrip-ul broker iniial i secretul asociat. - Al doilea pas se petrece de fiecare dat cnd clientul nu mai are scrip pentru un vnztor. El contacteaz brokerul, folosind scrip-ul brokerului pe care l deine din pasul 1, cernd s cumpere un scrip vnztor. - Al treilea pas apare doar dac brokerul trebuie s contacteze vnztorul pentru a cumpra scrip. Daca brokerul nu are deja scrip de la vnztor, l cumpr. Va cere un scrip de la vnztor iar acesta i-l va returna mpreun cu secretul asociat. - n al patrulea pas brokerul furnizeaz scrip-ul vnztorului ctre client. Brokerul returneaz la client scrip-ul vnztorului i restul (n scrip broker). - n al cincilea pas clientul, utiliznd scrip-ul, face o cumprtur de la vnztor. Acesta returneaz restul (n scrip-ul vnztorului) la client.
182
ntr-o tranzacie tipic MilliCent, atunci cnd clientul are deja scrip-ul vnztorului, l utilizeaz direct pentru a face o cumprtur. Aici nu mai exist vreun mesaj suplimentar sau interaciune cu brokerul. 4.2.2. CyberCoin Sistemul de micro-pli CyberCoin poate realiza n Internet pli de la sume mici de civa ceni, pn la 10 $, acoperind astfel o zon n care sistemul ce utilizeaz crile de credit nu este economic. Vnztorii de pe Web ce vnd servicii i produse la preuri foarte mici i doresc s livreze imediat respectiva marf, au nevoie de o metod de plat diferit de cartelele cu microprocesor, dar asemntore cu plata cash ce se efectueaz i n magazine. Serviciul CyberCoin de la CyberCash a fost lansat n septembrie 1996, ca un prim sistem de micropli n Internet. Consumatorii pot folosi conturile existente deja n bnci pentru a transfera valori n softul portofel electronic propriu117. Alt posibilitate este de a ncrca fonduri direct de pe o carte de credit, printr-o tranzacie obinuit cu astfel de mijloace. n ambele cazuri, banii reali rmn n custodia bncilor. Odat portofelul umplut cu fonduri, consumatorul poate ncepe s efectueze micro-pli pe situri Web ce sunt nregistrate de CyberCash i dein un program numit CashRegister. Acest soft suport, de asemenea, i pli cu cri
117
Portofel digital: Acesta poate fi definit ca fiind o aplicaie electronic de codificare care acioneaz ca un portofel autentic in timpul tranzaciilor din comerul electronic. Un portofel poate pstra pentru utilizator o informaie aferent unei pli, un certificat digital pentru identificarea utilizatorului, precum i informaii despre livrare pentru a mri viteza de tranzacie. Consumatorul beneficiaz de codificarea informaiei i, astfel, de protecia acesteia mpotriva pirateriei; de asemenea, unele portofele vor insera automat condiii de livrare pe pagina comerciantului i vor oferi cumprtorului opiuni de plat prin cec sau numerar digital. Comercianii beneficiaz, la rndul lor, de protecie mpotriva fraudei. n general, portofelele sunt gzduite pe PC-ul utilizatorului, dar exist versiuni recente care plaseaz portofelele pe server-ul emitentului crii de credit. (Netscape i Microsoft aplica in prezent tehnologia portofelelor). Portofelul digital este o alt soluie pentru asigurarea securitii crilor de credit. n procesul de iniiere a portofelului, utilizatorul furnizeaz informaiile aferente crii de credit i primete n schimb un cod corelat cu cartea de credit. n timpul unei achiziii din cadrul unui magazin electronic, codul portofelului este decisiv pentru desfurarea tranzaciei, care va fi verificat de ctre firma emitent a crilor de credit.
183
de credit (VISA, MasterCard, American Express i Discover) i cecuri electronice PayNow. Din perspectiva utilizatorului, protocolul CyberCoin lucreaz asemntor cu un browser de Internet; trebuie aleas o adres URL - comanda HTML get. Comerciantul prezint n pagina sa HTML o adres de plat (payment URL), mpreun cu preul afiat. Utilizatorului nu-i rmne dect s selecteze adresa URL respectiv pentru a achiziiona bunul sau serviciul ales. Serviciul CyberCoin este implementat utiliznd un concept cunoscut sub numele de sesiune CyberCoin. O sesiune ndeplinete o singur funcie primar: iniierea unui sub-cont tranzitoriu, sub contul portofelului, pentru fiecare sum care este cheltuit sau colectat. O sesiune poate semna cu un carnet de cecuri ce conine n cecuri. Fiecare cec poate fi utilizat doar o singur dat. Sesiunea se termin atunci cnd s-au consumat toate cecurile sau acestea au expirat. Un cec poate fi folosit doar pentru o singur plat sau depozitare. Pe timpul rulrii unei sesiuni, protocolul CyberCoin realizeaz o vitez de procesare optim i un cost redus, prin criptarea mesajelor cu cifrul DES. Iniierea se face printr-un schimb al unei chei generate aleator i transportate (anvelopate) ntr-un mesaj criptat cu RSA, pe 768 de bii. Fiecare cec de plat utilizeaz o cheie de tranzacie DES unic. Deci prin spargerea cheii dup sesiune nu se poate obine nici un profit, deoarece aceasta nu mai este folosit la criptarea altor mesaje. 4.2.3. Pli prin cecuri electronice Cecuri electronice: Cecurile electronice au aceleai caracteristici ca i cecurile pe suport de hrtie. n forma lui cea mai simpl, acest sistem necesit completarea de ctre client a unui formular n cadrul magazinului electronic. Datele astfel furnizate vor fi transferate comerciantului, unde vor fi transpuse pe
184
un cec obinuit, prin listare la imprimant pe formulare de cec necompletate. Dar, aceast modalitate de plat se afl nc n faz incipient. Cecurile electronice au fost dezvoltate printr-un proiect al lui FSTC -Financial Services Technology Consortium. FSTC cuprinde aproape 100 de membri, incluznd majoritatea marilor bnci, furnizorii tehnologiei pentru industria financiar, universiti i laboratoare de cercetare. Partea tehnic a realizrii proiectului cecului electronic a fost realizat ntr-un numr de faze: generarea conceptelor originale, realizarea cercetrilor preliminare, construirea i demonstrarea unui prototip, formularea specificaiilor pentru un sistem pilot i implementarea acestui sistem. n prezent, cecurile electronice ncep s fie utilizate ntr-un program pilot cu Departamentul Trezoreriei Statelor Unite care pltete furnizorii Departamentului de Aprare. Cecurile electronice sunt create pentru a realiza pli i alte funcii financiare ale cecurilor pe hrtie, prin utilizarea semnturilor digitale i a mesajelor criptate, pe suportul reelei Internet. Sistemul cecurilor electronice este proiectat pentru a asigura integritatea mesajelor, autenticitatea i nerepudierea proprietii, toate condiii suficiente pentru a preveni frauda din partea bncilor sau a clienilor lor. Un cec este un document pe hrtie, semnat, care autorizeaz banca s plteasc o sum de bani din contul celui ce a semnat cecul, dup o dat specificat. Cecurile pe hrtie sunt cele mai utilizate instrumente de plat (dup folosirea banilor cash) n majoritatea statelor occidentale. Acestea au avantajul c pltitorul i cel care ncaseaz suma pot fi persoane individuale, mici afaceriti, bnci, corporaii, guverne sau orice alt tip de organizaii. Aceste cecuri pot fi transmise direct de la pltitor la ncasator. Cecurile electronice (e-cecurile) sunt bazate pe ideea c documentele electronice pot substitui hrtia, iar semnturile digitale cu chei publice pot substitui semnturile olografe. Prin urmare, e-cecurile pot nlocui cecurile pe hrtie, fr a fi nevoie s se creeze un nou instrument, nlturndu-se astfel185
problemele de legalitate, reglementare i practic comercial ce pot fi provocate de schimbarea i impunerea unui instrument de plat nou. Pentru c un e-cec trebuie s conin mputernicirea specific, informaiile opionale i semntura digital (criptografic), acesta este scris n limbajul FSML (Financial Services Markup Language), un limbaj specific, care utilizeaz standardul SGML (Standard Generalized Markup Language). Structura documentului i datele care compun un e-cec sunt delimitate de taguri, similar cu cele folosite n HTML (HyperText Markup Language), un alt limbaj definit utiliznd SGML. FSML este creat pentru a accepta structura de date i semnturile criptografice de care este nevoie pentru cecurile electronice, dar nu poate fi generalizat i extins pentru alte documente de servicii financiare. Cecurile electronice scrise n FSML vor conine toate informaiile care se gsesc n mod normal n cecurile clasice, incluznd pe cele scrise de mn, pre-tiprite i cele cu band magnetic. Structura FSML i mecanismul de semnare ofer posibilitatea de a ncapsula i cripta alte documente ataate, cum ar fi avize de plat, facturi, sau informaii de remitere. Pentru promovarea verificrilor semnturilor cu cheia public a ececurilor, este utilizat protocolul pentru certificate X.509. Banca emite un certificat atunci cnd un client i deschide un cont pentru cecuri electronice i va nnoi acest certificat nainte ca el s expire, realiznd cu aceasta o protecie a contului i a expunerii semnturii cu cheie privat a semnatarului. Certificatul X.509 doar informeaz verificatorul semnturii despre faptul c respectiva cheie public a fost legitimat n asociere cu un semnatar i un cont de banc, la data la care certificatul a fost emis. Un certificat X.509 nu implic faptul c e-cecul este garantat n ambele sensuri. Alte verificri asupra semnturii cecului electronic pot oferi ncredere c cecul a fost semnat cu o cheie privat ce aparine unui deintor legitim de cont pentru cecuri electronice i e-cecul nu a fost alterat.186
Pentru protejarea mpotriva furtului i folosirii abuzive a cecului electronic, este utilizat un smart-card. Utilizarea hardului criptografic al cardului ofer semnturii mai mult confidenialitate. Astfel, cheia privat pentru semnarea cecurilor nu este niciodat transferat ctre computerul semnatarului, deci nu este niciodat expus furtului din respectivul computer conectat n reea. Procesorul smart-cardului numeroteaz automat fiecare cec electronic, atunci cnd l semneaz, n ordine, pentru a se asigura unicitatea ececurilor i pstreaz o istorie a cecurilor pentru a fi consultat n cazul unei dispute. Smart-cardul este protejat prin introducerea unui cod PIN, cunoscut numai de posesorul cardului. Semnarea criptografic este suficient n sistemul cu cecuri electronice ca msur de securitate mpotriva fraudelor prin falsificri de mesaje. n afar de acestea, sistemul cu cecuri electronice i nivelul aplicaie criptografic pot fi exportate i utilizate internaional. Atunci cnd este nevoie de confidenialitate ntre oricare dou pri, criptarea poate fi folosit la nivelul legtur de date. Standardele actuale pentru cecuri electronice ntre bnci sunt ANSI X9.46 i X9.37. Electronic Check Clearing House Organization (ECCHO) a adoptat o serie de reguli pentru clearingul inter-bancar cu cecuri electronice, care sunt considerate a avea statutul de instrumente negociabile. Caracteristici ale prelucrrii cecurilor electronice - n cazul prelucrrii cecurilor electronice, tranzacia de afaceri ncepe cu trimiterea de ctre ncasator a unei facturi ctre pltitor. Atunci cnd sosete momentul pentru plata unei facturi, informaiile referitoare la aceast factur sunt trimise de la sistemul ncasatorului, iar aceste date sunt utilizate pentru a crea un cec. Acest cec electronic va include informaii din cecurile obinuite (cum ar fi numele ncasatorului, suma i data). Pentru a semna e-cecul, pltitorul introduce codul PIN pentru a debloca smart-cardul ce deine carnetul de cecuri. Formatul facturii nu este fix, putnd fi flexibil, cu condiia de a respecta lungimea, forma i datele ce trebuie coninute.187
Cecul electronic semnat i factura sunt transmise ctre ncasator (pltit) prin e-mail sau printr-o tranzacie Web. ncasatorul verific semntura pltitorului din e-cec i factur, separ informaiile facturii i pune suma pltit n contul de primire. ncasatorul introduce codul sau PIN pentru deblocarea smart-cardului sau, utilizeaz acest carnet electronic de cecuri pentru a aproba e-cecul i semneaz un depozit electronic pentru a ncasa suma din e-cec. Cecul aprobat (semnat de ncasator) este dat mai departe bncii ncasatorului pentru depozitare. Ambele bnci, cea a pltitorului i cea a ncasatorului, ntre care se realizeaz de fapt tranzacia real a sumelor, verific toate semnturile i aprobrile din e-cec, utiliznd dou nivele de certificate. Banca pltitorului verific dac cecul electronic transmis nu este duplicat, dac certificatul ncasatorului i contul sunt n prezent valide, dup care depoziteaz e-cecul n contul de stocare a cererilor pltitorului. n final, pltitorul primete un articol care descrie ntreaga tranzacie. Semnturi digitale pe cecuri electronice Atunci cnd este creat un cec electronic, n el este scris un set minim de informaii i cecul este semnat. Odat cu vehicularea e-cecului, alte informaii i alte semnturi sunt adugate atunci cnd acesta este transmis ntre pri. De exemplu, e-cecul trebuie s fie: creat de pltitor, co-semnat de co-pltitor, certificat de banc, aprobat de ncasator (pltit), co-aprobat de co-ncasator, depozitat i pltit. Unele din informaiile adiionale, cum ar fi certificatele i aprobrile, sunt pri permanente ale e-cecului i rmn intacte pn n momentul returnrii la pltitor. Alte informaii, cum ar fi timpul de ntrziere, pot fi asociate e-cecului pentru o perioad a existenei sale i vor fi nlturate i procesate separat. Acestea cer o structur flexibil a documentului i mecanismelor de semnare. Principalele caracteristici ale mecanismului FSML de semnare sunt: documentul const dintr-o secven de blocuri, iar blocurile trebuie s fie delimitate; semntura implementeaz algoritmi criptografici i/sau funcii hash, i exist188
blocuri speciale ce se refer la acestea; blocurile semntur referite prin blocurile nume sau numr serial, refer blocul certificat ce face corespondena cu cheia public. Semnatarul e-cecului poate opta pentru a include alte date personale, cum ar fi nume, adres, numr de telefon, adres e-mail etc. Aceste date sunt nregistrate n carnetul de cecuri electronice, la iniializare, de ctre banc i pot fi schimbate doar dup ce carnetul respectiv a fost de-protejat, utiliznd codul de administrare PIN al bncii. Aceast metod de promovare a informaiilor personale nu este la fel de sigur ca atunci cnd aceste informaii sunt incluse n certificatul X.509 sau n blocul cont. Carnetul de cecuri electronice O semntur olograf este influenat de micarea muchilor minii i de particularitile biometrice ale semnatarului. Acestea fac foarte dificil pentru un falsificator s realizeze o semntur fals perfect, chiar dac falsificatorul dispune de un exemplu al semnturii. n opoziie, o falsificare perfect a semnturii criptografice poate fi fcut de ctre orice persoan care deine cheia privat a semnatarului de drept. Este foarte greu s stabileti, dispunnd de o cheie public, dac un e-cec este autentic sau falsificat. Smart-cardurile ce conin carnete de cecuri electronice sau alte dispozitive hard criptografice sunt utilizate tocmai pentru a ajuta la asigurarea c o cheie privat este protejat ct mai bine i, n consecin, semnturile se realizeaz doar de ctre semnatarii legitimi. Aceste dispozitive hard standardizeaz i simplific generarea cheilor, distribuia i utilizarea lor, deci se poate stabili un nalt nivel de ncredere. Distribuia carnetelor de cecuri electronice poate diferi considerabil de la o banc la alta; rmn ns cerinele de baz care includ: certificatele X.509 semnate de bnci i conturile s corespund specificaiilor FSML; partea hard i soft a cecurilor electronice s corespund cerinelor i specificaiilor API referitoare la carnetele de cecuri electronice; politicile de autoriti de certificare ale bncilor s corespund cerinelor i reglementarilor legale.189
Unele dintre operaii, cum ar fi iniializarea cardului i autoritatea de certificare a bncii, pot fi ndeplinite de alte firme, ce acioneaz ca ageni ai bncii. Serverele bncilor Serverele de cecuri electronice din bnci sunt utilizate pentru recepionarea e-cecurilor de la clieni prin e-mail, procesarea e-cecurilor primite i realizarea unei interfee cu sistemul de meninere a nregistrrilor despre conturile cec - DDA. Funciile executate n mod tipic de un server de cecuri electronice dintr-o banc, sunt urmtoarele. Acest server primete de la ncasatori e-mail-uri care conin e-cecuri aprobate i depozite. E-cecurile sunt procesate i reinute n baza de date, pn cnd sunt pltite cu bani cash (clearingul). E-cecurile rmn pe server i depozitele sunt trimise la sistemul DDA pentru procesare. E-cecurile problematice sunt returnate ctre o staie special, pentru o analiz manual i intervenii. Din cele prezentate se poate spune c viteza cu care evolueaz tehnologia Internet-ului este impresionant. Dac acum se apreciaz c exist multe zeci de milioane de oameni care folosesc serviciile Internet n fiecare moment, numrul lor va crete exponenial n anii urmtori. Dintr-un recent sondaj a reieit c, dac cu un an n urma 70% din utilizatorii Internet-ului apreciau e-mail-ul ca principal beneficiu i doar 30% Web-ul, astzi 50% din persoane consider pe primul loc e-mail-ul, 40% Web-ul i, deja 10%, comerul i plile electronice. n acest domeniu revoluia abia a nceput: s observm c plile electronice reprezint un fel de e-mail n raport cu banii reali, aa cum pota electronic reprezenta, acum civa ani, o adevrat revoluie n comunicaiile dintre persoane. Departe de a fi rezolvate problemele de securitate i acceptabilitate necesare, sistemele electronice de plat, puternic cercetate i experimentate azi, vor progresa rapid, devenind o realitate a Cyberspace-ului anilor viitori.
4.3. Modaliti de plat pe web
190
Modalitile tradiionale de plat se rezum la transferarea banilor sub form de bani lichizi sau prin intermediul documentelor (cecuri, ordine de plat, etc.). De regul plata presupune deschiderea unui cont la o banc, deplasarea la sediul bancar pentru a depune banii i/sau a iniia transferul n contul comerciantului. Acesta poate cere sau nu confirmarea plii prin fax. Cea din urm i cea mai lung etap este livrarea prin reeaua de distribuie a comerciantului sau prin intermediul serviciului potal specializat. n cadrul comerului electronic nu este necesar deplasarea la banc pentru a plti ofertanii sau furnizorii de bunuri i servicii, rolul bncii fiind acela de a transforma banii lichizi n bii. Probabil c banii lichizi nu pot fi eliminai complet, dar n mod sigur ei se vor transforma din ce n ce mai mult n format electronic. n prezent exist mai multe sisteme de plat. Cea mai serioas problem legat de acestea este cea referitoare la securitate. Majoritatea mesajelor trimise prin pota electronic sunt necriptate, adic oricine poate intercepta mesajul. Standardele actuale de pli electronice folosesc criptarea i semnturile digitale. Prin utilizarea semnturilor electronice se poate face proba identitii unei persoane care acceseaz un depozit bancar sau o carte de credit. Banii electronici pot fi mprii n dou categorii: cu identitate i anonimi. Dac un cumprtor folosete banii cu identitate, atunci banca poate reconstitui traseul tranzaciilor i al banilor transferai (cri de credit). Dac n schimb se folosesc banii anonimi, nimeni nu poate reconstitui traseul banilor cheltuii. n comerul electronic o tranzacie poate fi neleas ca reprezentnd o serie de aciuni desfurate de trei participani: clientul, comerciantul (furnizorul) i banca. La iniierea tranzaciei electronice, comerciantul i banca se pun de acord cum s fie efectuat transferul banilor, folosindu-se unul sau mai multe sisteme electronice de plat. Apoi clientul poate comanda cte ceva de pe situl Web al comerciantului. Dup lansarea comenzii se pot derula diferite191
aciuni: comerciantul trimite clientului o confirmare prin e-mail, clientul i transfer ctre banc numrul crii sale de credit, banca verific informaia despre cartea de credit i verific solvabilitatea cumprtorului, iar dac totul este n regul, valoarea bunurilor cumprate este transferat n contul vnztorului. Articolul comandat este livrat ctre cumprtor i tranzacia este finalizat. n funcie de protocolul ncheiat dintre banc i furnizor, acesta din urm poate avea acces la datele de identificare ale cumprtorului sau acestea pot s rmn secrete. Ca i n sistemele tradiionale, cea mai mare problem const n asigurarea c nimeni nu poate copia banii digitali sau prelua informaiile crii de credit. Tranzaciile financiare electronice ntre bnci au fost realizate nainte de apariia Internetului - SWIFT (Society for World-wide Interbank Financial Comunication). Sistemele electronice de plat trebuie s ndeplineasc cteva cerine: - securizat - trebuie s permit efectuarea n condiii de siguran a tranzaciilor financiare n reelele deschise, cum ar fi Internetul. Din pcate, moneda electronic se poate rezuma la un simplu fiier, care poate fi copiat. Copierea sau dubla cheltuire a aceleiai sume de bani trebuie s fie prevenit de ctre sistemele de pli electronice; - anonim - identitatea clienilor i a tranzaciilor efectuate trebuie s rmn protejat; - convertibil - utilizatorii sistemului (clieni i furnizori) lucreaz cu bnci diferite, fiind necesar ca o moned emis de o banc s fie acceptat de alta. - utilizabil - sistemul de plat trebuie s fie uor de folosit i de acceptat. Comercianii, care vor s-i vnd produsele on-line nu au nici o ans de succes n cazul n care clienii nu agreeaz ideea de a face afaceri pe web; - scalabil - un sistem este scalabil dac poate suporta noi utilizatori i noi resurse fr a suferi scderi notabile de performan. Sistemul de plat trebuie s
192
permit clienilor i comercianilor s se integreze n sistem fr a se afecta infrastructura acestuia. - transferabilitate - se refer la capacitatea unei chitane electronice de a declana transferul banilor dintr-un cont n altul fr ca furnizorul sau clientul s contacteze n mod direct banca. - flexibil - este necesar ca sistemul s accepte forme alternative de plat n funcie de garaniile pe care le solicit prile care realizeaz tranzacia, de timpul necesar pentru efectuarea plii, de cerinele de performan i de valoarea tranzaciei. Infrastructura pe baz creia se efectueaz plile trebuie s suporte diverse metode de plat, incluznd cri de credit, cecuri personale i bani electronici anonimi. Aceste instrumente i metode de plat ar trebui integrate ntr-un cadru comun; - eficient - termenul de eficien se refer la costul necesar pentru a efectua o tranzacie. Un sistem de plat electronic eficient trebuie s fie capabil s asigure costuri reduse n comparaie cu beneficiile pe care le aduce; - integrabil - se impune ca sistemul s suporte aplicaiile existente, s ofere mijloace pentru integrarea cu alte aplicaii, indiferent de platforma hardware sau de reea; - de ncredere - sistemul de plat trebuie s fie permanent disponibil i s evite posibilele erori. Comerul electronic va putea evalua dincolo de un anumit nivel doar atunci cnd consumatorii obinuii vor percepe un mecanism de plat electronic la fel de sigur ca cel obinuit. - plata prin Internet - de ndat ce a fost pus n funciune un sistem de vnzri on-line, comerciantul va putea vinde 24 ore pe zi, 7 zile pe sptmn, peste tot n lume pe unde a ajuns Internetul. Mai mult, cumprtorii i clienii poteniali vor avea acces la informaii de ultim or referitoare la produse, servicii, preuri i disponibilitatea acestora. Dar comerciantul va trebui s se
193
asigure ca sistemul informatic s fie disponibil non-stop i n tot acest timp el va opera gestiunea comenzilor, facturarea, procesarea plilor i remiterea banilor; - soluiile de plat n timp real - cu excepia cazurilor off-line, obinerea banilor rezultai n urma unei vnzri de tip on-line presupune o serie de procese de interaciune cu bnci sau alte instituii financiare. n prezent achitarea unei facturi se realizeaz cu ajutorul crilor de credit (credit card), banilor electronici (e-cash), cecurilor electronice sau al cardurilor inteligente (smart card) care sunt principalele metode de plat folosite n comerul electronic. Metodele de plat pot fi integrate fie le nivelul comerciantului, n sistemul informatic al acestuia, fie oferite outsource de un furnizor de servicii de comer (CSP - Commerce Service Provider) care va gestiona/intermedia plile de la teri; - cartea de credit - reprezint cea mai utilizat form de plat prin Internet. Utilizarea acesteia este simpl: clienii care navigheaz n cadrul unui sit web i decid s achiziioneze un produs sau serviciu trebuie s introduc informaiile despre cartea de credit prin intermediul unui formular HTML. Coninutul completat (tipul cardului, numrul acestuia, numele proprietarului i data expirrii cardului) este trimis sitului web, unde informaia este colectat i trimis la banc. Dac situl comerciantului are stabilit o legtur direct cu banca, atunci este posibil plata pe loc n cazul n care creditul este suficient pentru a plti bunurile comandate. Tranzaciile on-line care folosesc plata cu carduri sunt protejate criptografic, iar modalitatea concret de criptare asigur faptul c numai banca sau furnizorul de servicii pentru cri de credit vor putea avea acces la numrul crii de credit, nu i comerciantul. O prim faz implic ncheierea unor aliane /contracte cu instituii financiare, utiliznd tehnologii avansate de criptare i autentificare pentru securizarea mesajelor trimise prin Internet. Comerciantul trebuie s-i deschid un cont la o banc oferind servicii de tranzacionare on-line bazate pe carduri. Tehnologia de criptare folosit n mod curent este SSL (Secure Socket Layer) elimin cu succes posibilitatea ca un intrus s obin numrul cardului, presupunnd c el intercepteaz datele astfel194
criptate. Dezavantajul const n faptul c SSL nu permite comerciantului s se asigure c persoana care folosete cardul ntr-o tranzacie este chiar deintorul acestuia. De asemenea, SSL nu ofer nici o cale prin care clientul s afle dac situl comerciantului este cu adevrat autorizat s accepte plata cu cri de credit i c nu este doar un sit pirat, proiectat cu scopul de a coleciona datele despre astfel de carduri (crackers). Problema a fost rezolvat prin apariia unor noi tehnologii denumite SET (Security Electronic Transaction), dezvoltate de MasterCard i Visa. SET rezolv problema autentificrii prin asignarea unor certificate digitale att clientului, ct i comerciantului. SET ofer o securitate sporita fa de cea tradiional. Pentru a nu mai da acces comerciantului la numrul de card al clientului, SET l cripteaz de o manier care asigur faptul c doar consumatorul i instituiile financiare abilitate au acces la el. Fiecare dintre actorii implicai ntr-o tranzacie (comerciant, client sau instituie financiar) folosete certificatul SET privat, care joac i rol de autentificare, n conjuncie cu cheile publice asociate certificatelor care identific pe ceilali actori. n practic, o companie ter (Verisign) ofer serviciul de a furniza certificate digitale clienilor si, deintorii de cri de credit. Ct privete comerciantul, procesul este similar: n momentul efecturii unei cumprturi online, nainte de a se realiza vreun schimb de date n vederea demarrii tranzaciei, software-ul care integreaz tehnologia SET valideaz identitatea comerciantului i a deintorului crii de credit, procesul de validare const n verificarea certificatelor emise de furnizori autorizai de astfel de servicii; - facturile de plat (e-invoice) - crile de credit reprezint cea mai comuna soluie n modelul B2C i B2B. Volumul tranzaciilor n sectorul B2B este mult mai mare fa de volumul tranzaciilor efectuate prin intermediul crii de credit. Un alt motiv este c majoritatea companiilor au utilizat deja acest instrument n forma sa clasic i schimbarea modalitii de plat ar necesita o reorganizare a proceselor economice, care ar necesita costuri prea mari. Procedura de plat prin e-invoice este urmtoarea - valoarea tranzaciei necesare195
este transmis automat la furnizori printr-un sistem informatic, acestea rspund printr-o factur care urmeaz a fi pltit prin diferite mijloace. Sunt necesare metode securizate pentru filtrarea accesului la bazele de date interne ale companiei. Standardul EDI (Electronic Data Interchange) ofer o infrastructur n acest scop. Problema major o constituie legislaia comercial a fiecrei ri care ar trebui s recunoasc valabilitatea facturilor electronice. Avantajele facturii electronice in de reducerea costurilor pentru transmitere i de micorarea posibilitilor de apariie a erorilor; - cecurile electronice (Internet cheques) NetCheque - un sistem dezvoltat la Information Sciences Institute of the Univercity of Southern California - www.usc.edu. Cumprtorul i vnztorul trebuie sa aib un cont deschis pe situl NetCheque. Pentru asigurarea securitii este folosit identificarea prin protocolul Kerberos i parol. Pentru a plti prin cec, trebuie instalat la client un software special care lucreaz asemenea unui carnet de cecuri. Un client poate trimite un cec criptat prin intermediul acestui software. Comerciantul poate ridica banii de la banc sau poate folosi cecul digital pentru o tranzacie cu alt furnizor. Un cont special din reea verific validitatea cecului i n caz afirmativ trimite un mesaj de accept comerciantului care va livra apoi bunurile. PayNow, serviciu dezvoltat de CyberCash - www.cibercash.com sau echech - www.echeck.org - Crile de debit (debit cards) necesit introducerea unui numr personal de identificare (PIN) i utilizarea unui dispozitiv hardware care s citeasc informaia de pe banda magnetic a crilor de credit. Nu este posibil plata pe Internet. Posibil s fie nlocuite benzile magnetice cu cipurile electronice folosite pentru smart card-uri, ce vor nlocui crile de credit. - Banii electronici (e-cash) - utilizeaz un software pentru a salva pe disc magnetic echivalentul banilor lichizi ntr-o form digital. Avantajul acestui sistem l reprezint costul transferului de bani care este aproape nul (costul196
conexiunii la Internet). Pentru a primi bani este necesar accesarea unei casierii automate (virtuale) disponibile pe web sau deplasarea la un automat bancar, de unde pot fi ridicai banii electronici direct din contul bncii sau prin sistemul de plat cu carte de credit118. Dificultatea folosirii e-cash reprezint implementarea unei securiti care s garanteze c acestea nu pot fi alterate. Utilizarea tehnologiilor de criptare, a semnturilor digitale, i a semnturilor electronice ajut la reducerea posibilitilor de fraud care s fac imposibil de utilizat mai mult de o singur dat. O alt condiie este c Banii electronici nu trebuie s dezvluie identitatea persoanei care a pltit cu ei, trebuie s fie anonimi. Sistemul de plat nu trebuie sa aib ca intermediar o banc, realizndu-se doar ntre cei doi parteneri implicai. Exemple: www.digicash.com www.cybercash.com www.milicent.digital.com Cnd vorbim de momentul efecturii plii electronice ne referim la faptul c: - Plata nainte de tranzacie - un sistem de acest gen funcioneaz prin salvarea banilor digitali pe un disc sau pe un smart card - care poate fi considerat ca o form digital a banilor obinuii. Un fiier care conine banii digitali este numit portofel virtual (virtual wallet) i poate fi folosit oricnd pentru a plti online produse i servicii. Avantajul portofelului virtual const n faptul c este anonim. Dezavantaj - dac portofelul virtual este pierdut, banii sunt pierdui. - Plata pe loc necesit accesul direct la baza de date intern a bncii i a ofertantului de plat electronic, iar securitatea trebuie s fie implementat mai strict (crile de debit); - Plata dup tranzacie. Sistemul crilor de credit este cea mai comun form de asemenea plat119.118 119
Vezi i Roca Ghe. I., Ppera cit, 2004, p 80-85
Ion Rou Hamzescu, Tratat privind Tranzaciile Internaionale, vol. I, Editura Universitaria, Craiova, 2005, p.36-41 197
Exist mai multe categorii de plat electronic: - micropli - (MycroPayment) - reprezint o surs de venituri pentru comercianii care ofer pe web produse i servicii de valori reduse ~5 euro/dolari; tranzaciile financiare sunt limitate, ns frecvente; - plata de tip consumator (Consumer Payment) ~ ntre 5 i 500 euro/dolari; - plata de tip business (Business Payment) Plata electronic impune o serie de cerine ntre care menionm: - Securitate 1. caracterul privat - o ter parte nu trebuie s fie capabil s monitorizeze o comunicaie de date, trebuind asigurat confidenialitatea datelor printr-un canal privat de comunicaie sau chei decriptare destul de puternice ca datele s nu poat fi decriptate de ctre persoane neautorizate. De asemenea pentru filtrarea informaiei se folosete un zid de protecie (firewall); 2. imposibilitatea negrii faptei comise - trebuie s fie posibil s se dovedeasc identitatea persoanei care a trimis sau nu un mesaj n caz de disput ntre pri. Se folosesc semnturile digitale, echivalente cu cele obinuite. 3. protecia mpotriva mesajelor reproduse necontrolat (un singur mesaj transmis de mai multe ori) se realizeaz prin gestionarea unor identificatori unici care s lege mesajele de tranzaciile efectuate. - Atomicitatea tranzaciilor electronice reprezint o alt cerin a e-commerce. Trebuie de prevzut c unele subsisteme antrenate n desfurarea tranzaciei s nu mai funcioneze. Exemple de sisteme de plat electronic - First Virtual www.fv.com - On-line Analyzis www.onanalyzis.com Sisteme de micropli. Pentru a descrie arhitectura unui sistem de micropli s considerm c participanii sunt clientul i comerciantul. Pentru client este necesar un navigator web, un modul numit Per Fee Link Handler (PELF) cu
198
rolul de identificator al tranzaciei, unul sau mai multe portofele electronice, iar pentru comerciant - un server web. Acest sit trebuie: - s fie simplu, permind utilizarea interfeelor de genul click and pay; - s minimizeze circulaia prin reea a datelor; - s foloseasc un standard care s fie recunoscut de toate navigatoarele existente sau viitoare; - s fie comun tuturor standardelor de micropli. n realitate mai apare i ofertantul de servicii de plat (Payment Service Provider), care opereaz intermediar ntre client i comerciantul on-line, asigurnd conversia valutar sau securitatea tranzaciilor electronice. Fluxul de date este urmtorul: 1. un comerciant on-line apeleaz la un ofertant de servicii de plat prin acionarea unei legturi hipertext ctre sistemul de plat al acestuia n cadrul aplicaiei sale web; 2. clientul apeleaz la ofertantul de servicii de plata, furniznd detaliile de plat i stabilind un cont electronic pentru asigurarea plilor viitoare; 3. clientul viziteaz situl web al comerciantului, alege un anumit produs pentru a-l achiziiona i selecteaz un PSP pentru a stabili o metod de plat a acestui produs; 4. comerciantul lanseaz aplicaia pus la dispoziie de PSP, clientul este verificat i achiziia este autentificat; 5. valoarea achiziiei este extras din contul clientului pentru onorarea plii; 6. se realizeaz periodic tranzaciile dintre PSP i comerciant, lundu-se n calcul onorariul tranzaciilor electronice dintre client i PSP. Dintre ofertanii de tehnologii pentru sisteme de micropli se pot enumera Cartio Micropayment, Jalda sau Pay2See (soluii comerciale) sau NetBILL sau NetCheck (soluii academice). Exist i un protocol specializat de transfer (Micro Payment Tranfer Protocol). Exist companii de tip PSP, care ofer servicii de plat on-line (PayPal ) sau Bill Point.
199