81

încasarea de taxe pentru reclamă, ii) vânzarea de bunuri şi servicii, iii) vânzarea de conţinut digital şi iv) taxarea procesării tranzacţiilor care apar între două părţi pe Web.

Există câteva modele de comerţ electronic, aşa cum se arată în continuare:

• Vânzare cu amănuntul online (online retailing). Magazinele electronice folosesc web-ul pentru a vinde clienţilor bunuri materiale precum cărţi, haine, calculatoare, etc. clienţilor le este pus la dispoziţie un complicat catalog electronic de produse, care include imagini, detalii despre produse, preţuri, mărimi, etc.

• Licitaţii online (online auctions). Website-urile de licitaţiile electronice oferă o varietate de articole de la antichităţi la aparatură electronică, de la articole de sport la bilete de avion şi calculatoare. In forma tradiţională vânzătorul şi cumpărătorul au acces la licitaţie printr-un intermediar (auctioneer), iar în cazul licitaţiei electronice printr-un website specializat. Sunt foarte populare pentru că permit achiziţionarea unor produse deosebite la costuri scăzute faţă de cele di magazine.

• Portaluri, sunt adevărate porţi către website-uri cu aceeaşi temă cu cea a portalului (de aceea se mai numesc portaluri de conţinut). Pentru a atrage trafic, portalurile adăugă valoare serviciilor furnizate utilizatorilor, cum ar fi o interfaţă web consistentă, poziţionarea favorizată a link-urilor şi informaţii oportune.

• Distribuţie. Anumite site-uri B2B furnizează componente şi accesorii pentru producţie. De exemplu, pe piaţa de componente electronice, distribuitorii online oferă produse ca semiconductoare, conectori, componente pentru computere şi periferice, dar şi accesorii pentru producţie (maşini de lipit, aparate de măsură, testere, etc).

• Servicii. Multe companii folosesc modelul B2B pentru a vinde servicii. Sunt foarte cunoscute serviciile online de rezervări turistice, de călătorie cu avionul sau vaporul, asigurări, etc.

• Publicaţii. Ziarele, revistele şi enciclopediile sunt exemple de publicaţii online. Unele edituri încasează taxe pentru consultarea conţinutului (vezi Academia Caţavencu http://www.catavencu.ro sau Ziarul Financiar http://www.zf.ro), altele oferă acces gratuit dar însoţit de reclame şi publicitate făcută altor firme, contra cost (ziarele Gândul, http://www.gandul.info, AutoNews, http://www.autonews.ro, etc.)

Alegerea modelului potrivit se poate face după clarificarea mai multor aspecte printre care: i) care este scopul şi misiunea afacerii, ii) ce ţinteşte afacerea, iii) care sunt obiectivele măsurabile, iv) care este dimensiunea pieţei, v) piaţa electronică este deschisă sau restricţionată anumitor grupuri, vi) care este modelul pentru venituri?

5.2 Arhitectura unui sistem de comerţ electronic Arhitectura unui sistem de comerţ electronic acoperă componentele care alcătuiesc sistemul, modul în care ele se structurează şi legăturile care se stabilesc între acestea. Există, şi aici, mai multe arhitecturi posibile, unele implementate, altele aflate doar în fază de concepţie. Oricare ar fi, însă, arhitectura aleasă, ea trebuie să răspundă câtorva cerinţe de bază:

a) performanţa

b) disponibilitate şi mentenabilitate

c) scalabilitate

Performanţa se referă la modul în care sistemul răspunde nevoilor clienţilor şi solicitărilor la care este supus. Lipsa performanţei duce cel mai rapid la pierderea clienţilor; incapacitatea serverului web de a face fată unui număr mare de cereri care pot apărea, de exemplu pe durata unei promoţii, va conduce la afişarea unui mesaj de eroare clienţilor care accesează magazinul

82

virtual. Performanţa este afectată şi de factori externi, cum ar fi banda limitată pe care ISP o oferă clienţilor. În ciuda faptului că banda disponibilă a serverului de web este arhisuficientă pentru traficul înregistrat, că aplicaţiile sunt optimizate şi serverul de baze de date este foarte rapid, la clienţii din reţeaua Internet lucrurile ar putea să pară diferit, tocmai vitezei mici a conexiunii lor.

Disponibilitatea şi a mentenabilitatea reprezintă măsura în care magazinul este disponibil clienţilor şi în care el poate fi făcut disponibil dacă apar probleme. Lipsa disponibilităţii duce la pierderi masive de venituri pentru magazinul virtual, în aceeaşi măsură în care un magazin real este găsit frecvent cu uşile închise. Se obişnuieşte să se spună că un magazin virtual asigură accesul clienţilor 24 de ore din 24, 365 de zile pe an. În realitate lucrurile nu stau chiar aşa; disponibilitatea se măsoară în procente, de exemplu 99,9% sau 99,99%, reprezentând raportul dintre timpul cât serviciul este disponibil într-o anumită perioadă de timp. Astfel, un procent de 99,9% conduce, pentru un an calendaristic, la circa 8,8 ore de nefuncţionare, ceea ce poate fi inacceptabil. De aceea sistemele trebuie să asigure o disponibilitate mai mare, uzual peste de 99,99%. Mentenabilitatea este strâns legată de disponibilitate. Cu cât mentenabilitatea este mai ridicată, cu atât timpul de repunere în serviciu a magazinului este mai scurt şi astfel, disponibilitatea mai ridicată.

Scalabilitatea, se referă la măsura în care sistemul asigură serviciile adecvate atunci când apar suprasolicitări. Supraîncărcarea site-ului poate apărea, de exemplu, în cazul publicaţiilor electronice, în urma unui eveniment major, când foarte multă lume, peste numărul obişnuit, accesează paginile cu informaţii. Un site poate creşte în două moduri, pe verticală (scaling up) prin înlocuirea serverului cu altul, de capacitate mai mare, sau pe orizontală (scaling out) prin adăugarea de servere noi.

Figura 5 ilustrează o arhitectură standard N-Tier• în contextul interacţiunii cu reţeaua Internet.

Figura 57 Arhitectura N-Tier a comerţului electronic

Arhitectura cuprinde elementele din dreapta liniei punctate: server Web, server de aplicaţii şi server de baze de date. Comerciantul trebuie, de asemenea, să dispună de un sistem de distribuţie a mărfurilor către clienţi, fie că acesta este propriu fie că este a unui terţ.

• Serverul Web este o combinaţie de platformă hardware şi software. Programul server, cunoscut şi sub numele de server HTTP, este programul care controlează fluxul de date de intrare şi ieşire pe un computer conectat la Internet sau Intranet. El ascultă cererile care vin din reţeaua Internet, stabileşte conexiunile dintre el şi clienţii din reţea şi furnizează documentele solicitate.

• Serverul de aplicaţii primeşte cererile clienţilor prin intermediul serverului web, le procesează conform logicii afacerii şi, după caz, poate interacţiona cu serverul de

• joc de cuvinte, citit entaiə: însemnă întreagă, completă

83

baze de date. Întotdeauna, însă, serverul de aplicaţii generează răspunsul pe care serverul web trebuie să îl returneze clientului. Aplicaţiile pot fi scrise în diverse limbaje de programare: Java, C++ ; ASP, PHP, etc.

• Serverul de baze de date este cel care păstrează datele cu privire la produsele sau serviciile oferite de comerciant. Informaţiile pot fi simplu text (cum ar fi informaţiile privitoare la preţ, caracteristici sau date calendaristice), imagini (pentru ilustrarea produselor) sau chiar sunet şi filme (mostre ale produselor multimedia comercializate). El primeşte cereri de la serverul de aplicaţii şi pe baza rezultatelor returnate serverul de aplicaţii construieşte, dinamic, documentele care vor fi trimise, sub formă de răspuns, clientului.

Arhitectura de bază discutată poate fi completată cu alte sisteme menite, de exemplu, să crească gradul de securitate, cum ar fi paravanele (fire-wall) interpuse între diversele niveluri ale arhitecturii.

5.3 Anatomia comerţului electronic

5.3.1 Aspecte generale privind asigurarea securităţii datelor în sistemele informatice economice. Securitatea informaţiilor, în orice domeniu de activitate, trebuie să fie o activitate continuă pentru a se putea face faţă noilor ameninţări la adresa securităţii în general şi a datelor în particular.

Sistemul informaţional economic este un ansamblu de resurse umane şi de capital investite într-o unitate economică în vederea colectării şi prelucrării datelor necesare producerii informaţiilor, care vor fi folosite la toate nivelurile decizionale ale conducerii şi controlului activităţii organizaţiei. Sistemul informatic reprezintă un ansamblu de elemente intercorelate funcţional, în scopul automatizării obţinerii informaţiilor necesare conducerii în procesul de fundamentare şi elaborare a deciziilor .

Securitatea datelor în sistemele informatice economice poate fi definită ca fiind ansamblul de măsuri luate la nivelul agentului economic necesare asigurării secretului informaţiei împotriva accesului neautorizat.

Obiective în asigurarea securităţii datelor. Securitatea calculatoarelor îşi propune să protejeze atât calculatorul, cât şi elementele asociate - clădirile, imprimantele, modem-urile, cablurile, precum şi suporturile de memorie, atât împotriva accesului neautorizate, cât şi altor ameninţări care pot să apară. Securitatea calculatoarelor poate fi definită ca fiind ansamblul de măsuri necesare asigurării secretului informaţiei împotriva accesului neautorizat. În principal se urmăreşte asigurarea securităţii informaţiei stocate sau transmise. Din această cauză, securitatea calculatoarelor este deseori numită securitatea informaţiei sau securitatea datelor.

Asigurarea securităţii datelor presupune realizarea a patru obiective:

1. Confidenţialitatea, uneori numită secretizare, îşi propune să interzică accesul neautorizat al persoanelor la informaţia care nu le este destinată. Confidenţialitatea reprezintă ţelul suprem al securităţii calculatoarelor. Pentru asigurarea confidenţialităţii trebuie ştiut care sunt informaţiile care trebuie protejate şi cine trebuie sau cine nu trebuie să aibă acces la ele. Aceasta presupune să existe mecanisme de protecţie a informaţiilor care sunt stocate în calculatoare şi care sunt transferate în reţea între calculatoare. În Internet, confidenţialitatea capătă noi dimensiuni sub forma unor măsuri de control al confidenţialităţii. Ţările dezvoltate ca Statele Unite, Canada, Australia, Japonia etc., au reglementat prin lege controlul confidenţialităţii.

84

2. Integritatea, uneori numită acurateţe, îşi propune ca datele stocate în calculator sau transmise prin reţea să nu poată fi alterate sau să nu poată fi modificate decât de persoane autorizate. Prin alterarea datelor se înţelege atât modificarea voit maliţioasă, cât şi distrugerea accidentală a acestora. În acest caz se impune să existe un plan de recuperare şi refacere a datelor (existenţa unei copii de siguranţă).

3. Disponibilitatea îşi propune ca datele stocate în calculatoare să poată să fie accesate de persoanele autorizate. Utilizatorii trebuie să aibă acces doar la datele care le sunt destinate. Se pot distinge aici două categorii de utilizatori, cu drepturi de acces diferite: administratorii de sistem şi utilizatorii generali, excepţie făcând anumite sisteme de operare care echipează calculatoarele desktop.

4. Nerepudierea, termen recent apărut în literatura de specialitate, îşi propune să confirme destinatarului unui mesaj electronic faptul că acest mesaj este scris şi trimis de persoana care pretinde că l-a trimis. În acest fel se asigură încrederea părţilor. Expeditorul nu poate să nege că nu a trimis el mesajul. Nerepudierea stă la baza semnăturilor digitale, asigurând autenticitatea acestora, în noua piaţă a comerţului electronic (E-Commerce).

5.3.2 Vulnerabilitatea datelor şi măsuri de contracarare. Vulnerabilitatea poate fi definită ca o slăbiciune în ceea ce priveşte procedurile de sistem, arhitectura sistemului, implementarea acestuia, controlul intern, precum şi alte cauze care pot fi exploatate pentru a trece de sistemele de securitate şi a avea acces neautorizat la informaţii. Orice calculator este vulnerabil la atacuri. Politica şi produsele de securitate ale firmei pot reduce probabilitatea ca un atac asupra calculatorului să aibă puţine şanse de reuşită.

Principalele vulnerabilităţi în sistemele de calcul sunt: fizice, naturale, hardware, software, medii de stocare, radiaţii, comunicaţii, umane.

Toate aceste vulnerabilităţi vor fi exploatate de persoane răuvoitoare. Referitor la scara vulnerabilităţilor putem să distingem trei mari categorii:

• vulnerabilităţi care permit refuzul serviciului (DoS - Denial of Service);

• vulnerabilităţi care permit utilizatorilor locali să-şi mărească privilegiile limitate, fără autorizare;

• vulnerabilităţi care permit utilizatorilor externi să acceseze reţeaua în mod neautorizat.

Vulnerabilităţile care permit refuzul serviciului fac parte din categoria C şi exploatează viciile (en. Holes) din sistemul de operare, mai precis viciile la nivelul funcţiilor de reţea. Aceste vicii sunt detectate uneori la timp şi acoperite de către producător prin programe -patch-uri.

Acest tip de atac permite ca unul sau mai mulţi indivizi să exploateze o particularitate a protocolului IP (Internet Protocol) prin care să interzică altor utilizatori accesul autorizat la informaţie. Atacul, cu pachete TCP SYN, presupune trimiterea către calculatorul-ţintă a unui număr foarte mare de cereri de conexiune (en. flooding), ducând în final la paralizarea procesului. În acest fel, dacă ţinta este un server, accesul la acesta e blocat şi serviciile asigurate de acesta sunt refuzate.

Vulnerabilităţile care permit utilizatorilor locali să-şi mărească privilegiile ocupă o poziţie medie, B, pe scara consecinţelor. Un utilizator local, adică un utilizator care are un cont şi o parolă pe un anume calculator, va putea, în sistemele de operare de tip UNIX, să-şi crească privilegiile până la cele de root.

Vulnerabilităţile care permit utilizatorilor externi să acceseze reţeaua în mod neautorizat fac parte din clasa A, pe scara consecinţelor. Aceste atacuri sunt cele mai periculoase şi mai distructive. Multe atacuri se bazează pe o slabă administrare a sistemului sau pe configurarea greşită a acestuia. Ca exemple se pot da următoarele cazuri:

85

• fişierul test.cgi, distribuit cu primele versiuni de ApacheWeb Server. Acesta conţinea o eroare care permitea intruşilor din exterior să citească conţinutul directorului CGI14.

• fişierul convert.bas a reprezentat o vulnerabilitate a serverelor HTTP de pe platformele Novell. Scriptul era scris în Basic şi permitea utilizatorilor de la distanţă să citească orice fişier sistem15.

• multiple vulnerabilităţi au fost descoperite la serverele IIS (versiunea 5.0, 5.1) de la Microsoft16.

Vulnerabilităţile din clasa A pot fi întâlnite şi la următoarele programe: FTP, Goopher, Telnet, NFS, ARP, Portmap, Finger. În concluzie, ameninţările la adresa securităţii se pot clasifica în trei categorii: naturale şi fizice, accidentale, intenţionate.

1. Ameninţările naturale şi fizice vin din partea fenomenelor naturale sau a altor elemente fizice care interacţionează cu calculatoarele. Se pot enunţa aici cutremurele, inundaţiile, furtunile, fulgerele, căderile de tensiune şi supratensiunile etc. Se poate acţiona în sensul minimizării efectelor ameninţărilor sau chiar al eliminării acestora. Se pot instala dispozitive de avertizare în caz de dezastre naturale sau dispozitive care să elimine efectul acestora.

2. Ameninţările cu caracter neintenţionat vin din partea oamenilor. Aceştia pot produce ameninţări şi dezastre asupra calculatoarelor din cauza neglijenţelor în manipularea diferitelor componente, insuficientei pregătiri profesionale, citirii insuficiente a documentaţilor etc.

3. Ameninţările intenţionate sunt şi cele mai frecvente. Aceste ameninţări pot fi categorisite în: interne; externe.

a. ameninţările interne vin din partea propriilor angajaţi. Aceştia au acces mai uşor la informaţie, având de trecut mai puţine bariere şi ştiind şi o parte din politica de securitate a firmei.

b. ameninţările externe vin din partea mai multor categorii, şi anume: agenţii de spionaj străine; terorişti şi organizaţii teroriste; criminali; raiders; hackeri şi crackeri.

Agenţiile de spionaj străine au tot interesul să intre în posesia de informaţii referitoare la noile tehnologii. Firmele producătoare de înaltă tehnologie sunt ţinta atacurilor care vin din partea acestora. Se impune ca aceste firme să folosească tehnologii şi programe de criptare foarte sofisticate pentru a proteja informaţiile.

5.3.3 Tehnologii de securizare a datelor şi administrarea acestora. Tehnologiile de restricţie sunt menite să limiteze accesul la informaţie. Din această categorie fac parte:

• Controlul accesului este un termen folosit pentru a defini un set de tehnologii de securitate care sunt proiectate pentru restricţionarea accesului. Aceasta presupune ca numai persoanele care au permisiunea vor putea folosi calculatorul şi avea acces la datele stocate. Termenul de control al accesului (acces control) defineşte un set de mecanisme de control implementate în sistemele de operare de către producători pentru restricţionarea accesului. De această facilitate beneficiază sistemele de operare Windows, UNIX, Linux etc.

14 http://insecure.org/sploits/test-cgi.html 15 http://www.securityfocus.com/bid/2025/discuss 16 http://www.securityfocus.com/bid/6068/discuss

86

• Identificarea şi autentificarea, folosindu-se de conturi şi parole, permit doar accesul utilizatorilor avizaţi la informaţie. Identificarea şi autentificarea poate fi făcută şi cu ajutorul cartelelor electronice (smart card) sau prin metode biometrice. Acestea presupun identificarea după amprentă, voce, irisul ochiului etc.

• Firewall-ul reprezintă un filtru hardware sau software care stopează un anumit trafic prestabilit din reţea şi permite trecerea altuia. Firewall-ul se interpune între reţeaua internă şi Internet şi filtrează pachetele care trec. De asemenea, firewall-ul poate fi folosit şi în interiorul propriei reţele pentru a separa subreţele cu nivele diferite de securitate.

• VPN-urile permit comunicarea sigură între două calculatoare aflate într-o reţea. O conexiune VPN se poate realiza atât în reţeaua locală, cât şi în Internet. VPN foloseşte tehnologii de criptare avansată a informaţiei care face ca aceasta să nu poată să fie modificată sau sustrasă fără ca acest lucru să fie detectat.

• Infrastructura cu chei publice (PKI) îşi propune să asigure securitatea în sisteme deschise, cum ar fi Internetul, şi să asigure încrederea între două persoane care nu s-au cunoscut niciodată. Într-o structură PKI completă, fiecare utilizator va fi complet identificat printr-o metodă garantată, iar fiecare mesaj pe care-l trimite sau aplicaţie pe care o lansează este transparent şi complet asociat cu utilizatorul.

• Secure Socket Layer (SSL) reprezintă un protocol Web securizat care permite criptarea şi autentificarea comunicaţiilor Web utilizând PKI pentru autentificarea serverelor şi a clienţilor. Lucrează foarte bine cu servere WWW. Este implementat în mai multe versiuni. Versiunea SSL2 este cea mai răspândită, iar versiunea SSL3 e cea mai sigură, dar este mai greu de implementat.

• Semnătură doar o dată (SSO) doreşte să debaraseze utilizatorul de mulţimea de conturi şi parole care trebuie introduse de fiecare dată când accesează şi reaccesează programe. Pentru aceasta utilizatorul trebuie să se autentifice o singură dată. Dezideratul este greu de realizat datorită varietăţii de sisteme. Deocamdată acest lucru se poate realiza în cadrul firmelor care au acelaşi tip de sisteme. Web-ul foloseşte un subset SSO numit Web SSO, funcţionarea fiind posibilă datorită faptului că serverele Web folosesc aceeaşi tehnologie.

Pe lângă tehnologiile de restricţionare, securitatea sistemelor trebuie administrată, monitorizată şi întreţinută. Pentru aceasta trebuie efectuate următoarele operaţii:

• administrarea;

• detectarea intruşilor;

• scanarea vulnerabilităţilor;

• controlul viruşilor.

Administrarea sistemelor de calcul presupune şi controlul şi întreţinerea modului de acces la acestea de către utilizatori. Un utilizator care foloseşte o parolă scurtă sau care este uşor de ghicit va face ca acel calculator să fie uşor de penetrat. Atunci când un angajat este concediat sau pleacă pur şi simplu din alte motive de la firma respectivă, trebuie schimbate denumirile utilizatorului şi parola.

Denumirea user-ului şi a parolei trebuie făcută cu foarte mare atenţie şi mare responsabilitate.

Sarcina este de competenţa persoanei însărcinate cu securitatea. Parolele vor conţine atât cifre, cât şi litere, pentru a face ghicirea lor cât mai grea, şi vor fi schimbate periodic. Divulgarea parolei altor persoane va fi sancţionat. administrativ.

Detectarea intruşilor trebuie făcută permanent. Pentru aceasta există programe care controlează traficul şi care ţin jurnale de acces (log). Verificarea se va face la nivelul fiecărui calculator din

87

firmă. Trebuie făcută aici distincţie între încercările de intruziune din afară şi cele din interior. De asemenea, trebuie separate încercările de acces neautorizat din reţeaua internă de accesul neautorizat la un calculator lăsat nesupravegheat de către utilizator.

Scanarea vulnerabilităţii, care este de fapt o analiză a vulnerabilităţii, presupune investigarea configuraţiei la nivel intern pentru detectarea eventualelor găuri de securitate. Acesta se face atât la nivel hardware, cât şi software. Folosirea unui scanner de parole va avea ca efect aflarea parolei în câteva secunde, indiferent de lungimea acesteia.

Controlul viruşilor se va face pentru a detecta şi elimina programele maliţioase din sistemele de calcul. Acestea se pot repede împrăştia la toate calculatoarele din sistem şi pot paraliza funcţionarea acestora sau pot produce distrugeri ale informaţiei. Se impune obligatoriu să fie instalate programe antivirus, actualizarea semnăturilor de viruşi să se facă cât mai des, iar scanarea pentru detectarea viruşilor să se facă de oricâte ori este nevoie.

În concluzie:

1. Asigurarea securităţii datelor în cadrul firmelor este strâns legată de posibilităţile financiare ale firmei în a investi în asigurarea securităţii. Firmele mari şi medii, care au şi câştiguri pe măsură, fac investiţii în securitate. Firmele mici nu fac astfel de investiţii decât foarte rar şi insuficient pentru a se asigura o securitate minimă.

2. Asigurarea securităţii datelor în cadrul firmelor depinde în mare măsură de cât de conştientă este conducerea firmei de faptul că trebuie asigurată o minimă securitate. Conducerea firmelor mari este asigurată de către un consiliu de administraţie (board), unde decizia de a se investi în securitate este luată de un grup de oameni care ştiu ce înseamnă riscurile. Acesta va trebui să fie conştient că trebuie asigurată securitatea datelor şi să dispună alocarea de resurse financiare îndeplinirii acestui deziderat. Unii manageri din această categorie văd asigurarea securităţii datelor ca un fel de gaură neagră, unde banii se duc şi nu aduc nici un beneficiu. Un rol important în conştientizarea asigurării securităţii datelor îl au, în acest caz, consultanţii pe probleme de securitate sau membrii echipei IT&C (dacă există) din firmă.

3. În cadrul firmelor mari există personal specializat cu asigurarea securităţii datelor. Acesta va implementa politica de securitate a firmei şi va testa periodic calculatoarele din firmă pentru descoperirea golurilor de securitate.

4. În cazurile în care firma, indiferent de mărime, nu are personal specializat cu studiul, implementarea şi gestionarea măsurilor de securitate, se poate face apel la firme specializate care să implementeze şi să gestioneze serviciile de securitate. Se poate opta şi pentru soluţia mixtă în care studiul şi implementarea să se facă de către o firmă specializată, iar gestionarea acestora să se facă de către beneficiar, urmând ca periodic să se facă testări de către firma specializată.

5. Programele aplicative la nivelul firmelor mari şi medii sunt elaborate luându-se în considerare şi securitatea datelor. Firmele mici folosesc ori programe piratate, ori aplicaţii create de nespecialişti care nu numai că nu au elemente de securitate încorporate, dar, în anumite cazuri, funcţionează şi defectuos, alterând datele.

6. Personalul angajat al unei firme nu are întotdeauna pregătirea necesară utilizării calculatorului. Firmele mari îşi permit să angajeze personal cu calificare înaltă, în timp ce firmele mici nu-şi pot permite acest lucru. Firmele mari fac eforturi pentru pregătirea angajaţilor, în timp ce firmele mici fac eforturi reduse sau deloc în ceea ce priveşte pregătirea personalului. În noua structură a societăţii informaţiei şi comunicaţiilor activităţile comerciale se împletesc cu tehnologia, iar structurile tradiţionale comerciale devin mai puţin importante. In lucrarea menţionată se subliniază următorul lucru: creşterea accelerată a comerţului mondial şi obţinerea unor beneficii substanţiale e

88

posibilă prin utilizarea tehnologiei informaţiei şi comunicaţiilor, care trebuie să conveargă cu reducerea constrângerilor de natură juridică, procedurală, fizică, care pot să îngreuneze acest proces.

Una dintre noţiunile nou apărute este promovarea produselor şi serviciilor, prin utilizarea celor mai potrivite tehnici de marketing cu ajutorul tehnologiilor informaţiilor şi comunicaţiilor numita cybermarketing. Astfel, în viziunea ITC, mixul de cybermarketing are drept componente: produsul; utilizatorii ţintă; preţ/plată; publicitate/media; logistică.

Aşadar, cei interesaţi de noua abordare sunt cei direct implicaţi în comerţul electronic, ei necesitând asistenţă şi pregătire de specialitate la diferite nivele:

• exportatori: atât manageri, cât şi operatori (IMM-uri şi companii mari);

• servicii implicate în activitatea comercială: transportatori, instituţii financiare şi de

asigurări, avocaţi, consultanţi marketing, agenţii de publicitate;

• instituţii de facilitare a comerţului, organizaţii de promovare ale exporturilor, asociaţii, puncte comerciale Trade Points, Camere de Comerţ,

• furnizorii de servicii Internet;

• instituţii guvernamentale;

• centre de perfecţionare şi scoli de afaceri, specializate în marketingul internaţional.

5.3.4 Criptografia Criptografia17 este un sistem potrivit căruia datele sunt modificate prin intermediul unui algoritm, astfel încât să nu mai poată fi citite decât de către posesorul unei chei de decriptare, adică un alt algoritm care reface textul iniţial.

În criptografie criptarea este procesul de ascundere a informaţiei pentru a o face indescifrabilă pentru cei fără cunoştinţe speciale în domeniu. Criptarea a fost folosită de secole, dar numai organizaţiile şi persoanele cu nevoi speciale de secretizare au folosit-o. La mijlocul anilor 1970, au apărut metode puternice de criptare din nevoia de a păstra secretele agenţiilor guvernamentale americane, dar astăzi ele sunt folosite pentru protecţia sistemelor larg răspândite precum comerţul electronic, reţelele de telefonie mobilă şi automatele bancare.

Criptarea poate fi folosită pentru a asigura secretizarea, dar mai e nevoie de alte tehnici pentru a face comunicarea sigură, în mod special pentru a verifica integritatea şi autenticitatea mesajelor. O alta chestiune ce trebuie luată în calcul este protecţia împotriva analizei traficului.

Sistemele criptografice au patru componente:

• textul de bază - textul înainte de criptare, care poate fi citit fără nici o modificare;

• textul criptat - textul de bază, după aplicarea algoritmului de criptare;

• algoritmul de criptare - un program, ce cuprinde o suită de operaţii, care modifică textul iniţial, astfel încât nu mai poate fi citit în forma rezultată;

• cheia - un algoritm ce preia textul criptat şi îl readuce la forma iniţială a textului de bază, care poate fi astfel citită.

În ceea ce priveşte algoritmul de criptare, în prezent sunt cunoscuţi folosiţi următorii: RSA, DES/3DES, Blowfish, IDEA, SEAL şi RC4. RSA este intens folosit în comerţul electronic în timp ce RC4 este cunoscut pentru lungimea foarte mare a cheilor de criptare, până la 2048 biţi.

17 Bob, C.A. – Comerţ eletronic, Editura Dacia Europa Nova, Lugoj, 2001, p.168-180

89

Teoretic, un fişier criptat nu poate fi accesat decât de posesorul cheii. În practică, însă, nu s-a descoperit încă sistemul de criptare perfect, putând fi folosite astfel, câteva metode pentru decriptarea ilegală a datelor18:

• criptanaliza - constă în încercarea de a reconstitui textul iniţial plecând de la fragmente rămase necriptate în cadrul textului criptat. De aceea, rezultatul unui algoritm bun de criptare trebuie să nu poată fi deosebit de zgomotul aleator;

• ghicirea cheii - se face cu ajutorul aşa numitelor "atacuri cu forţa brută" ce constau în încercarea succesivă a tuturor combinaţiilor posibile pe care le poate lua cheia, până la găsirea cheii potrivite. Se realizează cu ajutorul unor programe pentru a exploata posibilitatea calculatoarelor de a executa mii sau zeci de mii de operaţii pe secundă. Astfel, succesul acestei operaţii depinde în mod direct de lungimea cheii (o cheie pe 16 biţi prezintă 65.536 de posibilităţi, pe care calculatorul le poate epuiza în câteva secunde, o cheie pe 40 de biţi - o mie de miliarde de posibilităţi, 128 de biţi 10 la puterea 38 posibilităţi, mai mult decât toate moleculele de apă din Oceanul Planetar). Teoretic, chiar şi o cheie pe 128 de biţi poate fi găsită, însă costurile pe care le implică fac nerentabilă o astfel de operaţie;

• metode de ocolire a sistemului de criptare - găsirea fişierului necriptat, descoperirea de scăpări în programul de criptare, dar şi o metodă folosită de foarte multe ori cu un succes neaşteptat de mare: ingineria socială ("social engineering") adică păcălirea persoanelor care deţin cheia pentru obţinerea acesteia.

Sisteme de criptare Metodele moderne de criptare pot fi împărţite în algoritmi cu chei simetrice (criptografia cu cheie privata) şi algoritmi cu chei asimetrice (criptografia cu cheie publică).

În continuare sunt prezentate sintetic cele două sisteme de criptare.

A. Criptografia simetrică (cu cheie secretă)

În criptografia simetrică, este folosită aceeaşi cheie şi la criptare, şi la decriptare, cheie pe care o posedă numai corespondenţii. Aceasta înseamnă că între persoanele care comunică există un acord prin care s-a stabilit o cheie unică, pe care expeditorul o foloseşte la criptarea textului iniţial, iar destinatarul o foloseşte la decriptarea mesajului recepţionat. Pe Internet însă se pune problema comunicării între persoane care nu s-au întâlnit niciodată, deci nu se pot pune de acord în prealabil asupra cheii. Aceasta metodă poate fi folosită în grupuri restrânse de utilizatori. Odată cu creşterea numărului de utilizatori, păstrarea secretului cheii devine imposibil, iar odată descoperită, poate fi utilizată la decriptarea oricărui mesaj care a folosit-o. Exemple de algoritmi cu criptare simetrică sunt: DES (Data Encryption Standard), Triple DES, IDEA (International Data Encryption Algorithm).

B. Criptografia cu cheie publică (asimetrică)

În algoritmul cu cheie asimetrică (exemplu RSA), există două chei distincte: cheia publică şi cheia privată. Cheia publică este distribuită (publicată) şi dă posibilitatea oricărui transmiţător să realizeze criptarea. Cheia privată este păstrată secretă de către primitor şi îi permite numai lui să realizeze decriptarea. Aceste perechi de chei, publică şi privată, sunt generate împreună şi au proprietatea remarcabilă că nici una nu poate fi dedusă din cealaltă; cine deţine cheia publică nu poate deduce cheia privată şi reciproc.

Aşadar fiecare participant la criptare are o pereche de chei personale unice:

• cheia publică, distribuită oricui o doreşte;

18 Roşca I. – Comerţul electronic, Editura Economică, Bucureşti, 2004

90

• cheia privată, pe care nu o cunoaşte decât utilizatorul respectiv.

Mesajele criptate cu cheia privată pot fi decriptate numai cu cheia publică şi invers. Pentru a trimite cuiva un mesaj, trebuie găsită cheia publică a persoanei respective şi criptat mesajul. Mesajul astfel criptat nu va putea fi decriptat decât cu ajutorul cheii private a destinatarului.

Dimensiunea cheii şi vulnerabilitatea În atacurile matematice pure (cum ar fi exploatarea slăbiciunilor algoritmului sau a altor informaţii care pot ajuta la spargerea codului) contează, în principal, trei factori:

• Progresele în matematică, care permit noi atacuri sau descoperirea şi exploatarea unor slăbiciuni.

• Puterea de calcul disponibilă, cum ar fi puterea calculatorului utilizat în rezolvarea problemei

• Mărimea (lungimea) cheii folosite pentru criptarea unui mesaj. Cu cât lungimea cheii creşte, cu atât creşte complexitatea căutării brute, până se ajunge la imposibilitatea spargerii directe a criptării. În prezent se folosesc curent chei cu lungimea de la 40 la 128 biţi, cea din urmă fiind considerată suficientă pentru a împiedica decriptarea într-un timp rezonabil.

Rezumatul textului În criptografie se foloseşte frecvent rezumatul unui text (message digest), adesea pentru a verifica integritatea textului. Rezumatul textului este un şir de caractere, rezultat din aplicarea unui algoritm sau funcţii hash textului original. Deşi sunt cunoscute mai multe funcţii hash, cel mai frecvent sunt folosite SHA-1, MD5 şi RIPEMD-160. Fiecare funcţie hash produce un rezumat de lungime fixă, indiferent de lungimea textului căruia îi este aplicată. Rezumatul trebuie să aibă următoarele proprietăţi:

a) Dat fiind un rezumat trebuie să fie foarte greu de găsit un alt text, diferit de primul, care să aibă acelaşi rezumat,

b) Trebuie să fie foarte dificil a găsi două mesaje diferite care să aibă acelaşi rezumat.

Aceste proprietăţi sunt folosite pentru a verifica integritatea unui mesaj: dacă mesajul a fost modificat atunci se modifică şi valoarea rezumatului. Necongruenţa dintre rezumatul mesajului original şi cel al mesajului recepţionat indică alterarea mesajului, alterare care poate fi accidentală, urmare a unei erori de transmitere, sau intenţionată.

Iată, în figura de mai jos, rezultatul aplicării funcţiei MD5 pe trei texte diferite:

Figura 58 Rezumatul MD5 a trei texte diferite

Altă aplicaţie utilă a funcţiilor hash este semnătura digitală prin care se probează că mesajul aparţine unui anume expeditor, aşa cum vom vedea mai departe.

91

Semnătura digitală Semnătura digitală identifică semnatarul şi asigură integritatea datelor semnate. Figura 7 descrie, pas cu pas, procesul creării datelor semnate digital. Pentru a crea o semnătură digitală expeditorul are nevoie de cheia lui privată. Trebuie reţinut că doar rezumatul textului transmis (message digest) este criptat cu cheia privată a semnatarului19. Acest lucru este justificat de faptul că mesajele pot avea dimensiuni foarte mari iar criptarea cu cheia publică poate fi foarte lentă. În plus, semnând rezumatul textului în locul textului propriu-zis asigurăm şi integritatea datelor.

Figura 59 Algoritmul de obţinere a semnăturii digitale

Receptorul nu are nevoie de nici un element de informaţie secret pentru a verifica semnătura digitală. Figura 8 arată, pas cu pas, cum se realizează acest lucru.

În Legea nr. 455 din 18 iulie 2001 privind semnătura electronică sunt definite două tipuri de semnături electronice, simplă şi extinsă. Semnătura electronică simplă reprezintă, în înţelesul legii, date in formă electronică, care sunt ataşate sau logic asociate cu alte date in formă electronică şi care servesc ca metodă de identificare.

Figura 60 Algoritmul de verificare a semnăturii digitale

Semnătura electronică extinsă reprezintă semnătură electronică care îndeplineşte cumulativ următoarele condiţii:

- este legată în mod unic de semnatar

- asigură identificarea semnatarului

- este creată prin mijloace controlate exclusiv de semnatar

- este legata de datele în formă electronică, la care se raportează în aşa fel încât orice modificare ulterioară a acestora este identificabilă.

NUMAI semnătura electronică extinsă are valoare probatorie în justiţie.

Legea nr.455/2001 privind semnătura electronică, în vigoare la data de 31 iulie 2001, transpune integral prevederile Directivei nr. 99/93/CE. Normelor tehnice şi metodologice pentru aplicarea Legii nr. 455/2001 (HG nr. 1259/2001, M.O. nr. 847 din data de 28 decembrie 2001), completează cadrul general de reglementare a serviciilor societăţii informaţionale în România.

19 Mohan Atreya, Digital Signatures, Osborne/McGraw-Hill, 2002

92

Semnătura electronică (sau digitală) este pentru documentele electronice ceea ce este o semnătura olografă pentru documentele tipărite. Prin ea se demonstrează că o anumită persoană a scris sau a fost de acord cu documentul căruia i s-a ataşat semnătura. O semnătură digitală furnizează un grad mult mai mare de securizare decât semnătura olografă. Destinatarul mesajului semnat digital poate verifica atât faptul ca mesajul original aparţine persoanei a cărei semnătură a fost ataşata cât şi faptul ca mesajul n-a fost alterat, intenţionat sau accidental, de când a fost semnat. Mai mult, semnătura digitală nu poate fi negată; semnatarul documentului nu se poate disculpa mai târziu invocând faptul că a fost falsificată (se spune că semnătura digitală asigură non-repudierea).

Cu alte cuvinte, semnăturile digitale permit autentificarea mesajelor digitale, asigurând destinatarul de identitatea expeditorului şi de integritatea mesajului

Semnătura electronică NU este semnătură scanată, iconiţă, poză, hologramă sau un smart card.

Plicurile digitale Semnătura digitală se poate ataşa atât mesajelor necriptate (text clar) dar şi mesajelor criptate. Pentru transmiterea datelor sensibile, prima soluţie este inacceptabilă, de aceea se impune criptarea mesajelor. Deşi sistemele de criptografie asimetrică par foarte potrivite pentru transmiterea mesajelor criptate prin Internet, ele totuşi au un mare dezavantaj: sunt prea lente pentru transmiterea unor fişiere de mari dimensiuni. Plicurile digitale rezolva această problemă prin combinarea sistemelor de criptate cu cheie simetrică şi chei asimetrice. Expeditorul generează o cheie secretă aleatoare, simetrică, Data Encryption Key (DEK), numită cheie de sesiune pentru că dispare după terminarea comunicării. Criptează mesajul folosind cheia de sesiune şi un algoritm simetric la alegere. Criptează cheia de sesiune cu cheia publică a receptorului, creând un "plic digital". Trimite mesajul criptat, împreună cu plicul digital. Când receptorul primeşte mesajul, foloseşte cheia sa privată pentru a decripta cheia de sesiune, apoi o foloseşte pe aceasta din urmă pentru a decripta mesajul propriu-zis. Mesajul este asigurat, pentru că este criptat cu un algoritm simetric, cunoscut doar de emiţător şi receptor, iar cheia de sesiune este, de asemenea, asigurată pentru că este criptată în aşa fel încât doar receptorul o poate decripta20.

5.3.5 Autorităţi de certificare În calea utilizării criptării cu cheie publică există o mică problemă: aceasta funcţionează doar dacă ştii cheia publică a receptorului. Deoarece pe Internet există sute de mii de servere şi milioane de persoane conectate, o persoană nu poate avea în permanenţă la îndemână o listă cu toate cheile tuturor persoanelor. Pe de altă parte nici nu poate cere receptorului cheia sa printr-o conexiune nesigură, pentru că nu are nici o garanţie că persoana de la capătul firului este într-adevăr cine pretinde că este. Cea mai practică soluţie găsită până acum este bazarea pe o a treia persoană, numită "autoritate de certificare" (AC) şi care se ocupă cu validarea cheilor publice. AC-urile sunt întreprinderi comerciale cunoscute şi de încredere care garantează pentru identitatea persoanelor fizice sau juridice. înainte de a se trimite un mesaj cuiva, se poate cere certificatul digital, semnat de una dintre aceste AC, certificat din care reiese identitatea şi cheia publică a persoanei. Cea mai cunoscută firmă care se ocupă cu eliberarea de certificate digitale este VeriSign. Există două mari tipuri de certificate: personale şi pentru servere21.

20Mohan Atreya, Digital Signatures & Digital Envelopes. http://www.rsa.com/products/bsafe/overview/Article5-SignEnv.pdf 21Roşca I. – Comerţul electronic, Editura Economică, Bucureşti, 2004

93

Browserele Web stochează certificatele principalelor autorităţi de certificare, dar pot importa şi certificate ale altor site-uri web. Figura 9 reproduce ferestrele cu certificatele stocate de browserele Mozilla Firefox (stânga) şi Internet Explorer 7 (dreapta).

Certificatele personale (sau identitatea digitală - Digital ID) sunt legate de o adresa de e-mail şi pot fi utilizate pentru a senina mesajele e-mail sau pentru a primi mesaje criptate. De asemenea, pot fi utilizate pe post de "paşaport electronic" pentru identificare la intrarea pe site-uri cu acces restricţionat.

Figura 61 Ferestrele Gestionar certificate (Mozilla Firefox) şi Certificates (IE7)

Certificatul este publicat în lista VeriSign, unde poate fi găsit de oricine. VeriSign garantează o despăgubire de 1.000 dolari în cazul în care distrugerea, pierderea sau folosirea de către altă persoană a provocat pierderi materiale proprietarului de drept al certificatului.

Un astfel de certificat poate fi cumpărat cu 10 dolari pe an. Certificatele de server garantează identitatea serverului şi permit conexiuni criptate cu utilizatorii. Pot fi cumpărate la preţuri între 350 şi 1.300 dolari şi includ chei de 40 sau 128 de biţi (în funcţie de preţ) şi garanţii de la 25.000 la 250.000 dolari.

În aprilie 2003 E-Sign Romania S.A a fost prima Autoritate de Certificare înregistrată oficial ca furnizor de servicii de certificare calificată din România. In octombrie 2003, MCTI, în calitate de autoritate şi supraveghere pentru semnătura electronică, a primit o a doua notificare cu privire la intenţia unei noi autorităţi de certificare calificată care şi-a exprimat dorinţa de a intrare pe piaţa românească.

Numai în primele luni de funcţionare, e-Sign România a furnizat peste 8000 de certificate digitale şi peste 150 de certificate pentru servere. Aceste date indică atât o creştere a pieţei pentru semnătura electronică, dar şi un nivel ridicat de educare a utilizatorilor serviciilor societăţii informaţionale.

5.3.6 SSL (Secure Sockets Layer) Criptarea, semnătura digitală şi certificarea nu sunt invenţii ale Internetului. Ele există de mult timp şi pot fi folosite, de exemplu, pentru a semna sau cripta orice document electronic, chiar dacă acel document nu va circula niciodată prin reţeaua Internet. Problema care se pune este cum se implementează aceste tehnologii pentru transportul datelor printr-o reţea TCP/IP, deci şi pe Internet. Odată cu creşterea informaţiilor sensibile transmise prin Internet (carduri bancare, informaţii personale, etc.) au apărut doua ameninţări majore la adresa confidenţialităţii acestor date:

94

- Omul din Mijloc (Man in the middle) - Este un fapt al reţelelor TCP/IP (Internet) că toate datele ce trec printr-o maşina, indiferent de destinaţia finală, pot fi văzute şi capturate. Datele dintr-un simplu formular simplu HTML, între care se găsesc şi informaţiile despre cardul bancar, călătoresc prin câteva computere (routere) către destinaţia finală. O persoană cu suficient acces la unul dintre computerele aflate pe această cale (sau un alt computer aflat in reţea cu maşinile respective) poate citi datele in timp ce acestea trec, fără a indica celorlalte părţi faptul că acesta interceptare a avut loc. Daca datele in cauza sunt transmise în 'clar', atunci nici un efort nu este necesar din partea lor - au o copie a informaţiilor trimise.

- Imitare Gazda (phising) - Cealaltă ameninţare majoră la adresa confidenţialităţii datelor este imitarea destinatarului. Un router setat rău-intenţionat va redirecţiona cererea unui browser către un site web spre un altul, care imită pe primul, dar al cărui scop este doar de a intra in posesia datelor cardului bancar al utilizatorului.

SSL este acronimul lui Secure Sockets Layer - o tehnologie dezvoltată acum câţiva ani, pentru rezolvarea acestor două probleme majore, privind transferul de date sensibile pe Internet. Clientului final, SSL-ul oferă două caracteristici pentru îndreptarea slăbiciunilor descrise mai sus:

• Criptarea. SSL oferă varii nivele de criptare, de la 40-bit (US export Grade) şi până la 128-bit (US Domestic Grade). Aşa cum am arătat, cu cât mai mulţi biţi, cu atât mai puternică este criptarea.

• Autentificarea. Aceasta este cerinţa unei legături cu adevărat sigure între client şi server, amândouă părţile trebuind să aibă asigurarea identităţii celeilalte. Există căi pentru a se dovedi matematic identitatea părţii aflate la distanţă, la capătul unei legături securizate.

SSL este un nivel de transport - în care alte protocoale de Internet pot fi transportate într-un mod criptat. Cea mai des întrebuinţată metodă este aceea a HTTP over SSL. Când HTTP-ul călătoreşte prin SSL, acest lucru este indicat printr-un URL diferit care începe cu https:// in loc de http:// .

Figura 62 Fereastra Certificate atenţionează

asupra neîncrederii pe care o prezintă un anumit certificat, dând, însă, posibilitatea

instalării lui

În plus, pe bara de stare a unor browsere apare pictograma unui lacăt închis sau culoarea de fundal a barei de adrese devine galbenă.Pana astăzi, nu au fost găsite slăbiciuni semnificative in protocolul SSL şi este larg acceptat ca standard pentru securitatea transmiterii de date. Acest lucru se datorează în parte reţelei stabilite de servere autoritare care distribuie certificate SSL. Tehnologia SSL este inclusă în majoritatea browserelor şi serverelor, astfel încât simpla instalare a unui certificat digital permite oricui criptarea de date folosind acest protocol.

Ori de câte ori este accesat un website cu certificat SSL care nu se află în lista certificatelor de încredere a browserului şi dacă certificatul nu a fost instalat anterior pe calculatorul clientului, browserul atenţionează asupra acestui lucru, figura 10.

95

Aceasta deoarece oricine poate fabrica un certificat pe care să îl instaleze pe server, dar nefiind eliberat de o autoritate de certificare recunoscută trebuie privit cu rezerve.

Mulţi deţinători de servere folosesc certificate „fabricate” de ei pentru a asigura transportul securizat al unor date sensibile, cum ar fi datele de autentificare pentru serverul de e-mail cu interfaţă web. Un astfel de certificat poate fi instalat, însă, pe calculatorul clientului, obţinându-se astfel cheia publică a serverului, cu care vor fi criptate datele ce vor fi trimise către acesta. După instalare, la o accesare ulterioară a website-ului, atenţionarea nu va mai fi făcută.

5.4 Sisteme electronice de plată Sistemele electronice de plată au fost realizate în vederea efectuării transferului de bani din contul bancar al clientului în contul bancar al comerciantului, dar nu oricum, ci în anumite condiţii. Astfel, din motive evidente, comerciantul nu trebuie să intre în posesia datelor cardului cumpărătorului iar banca nu trebuie să ştie ce anume a cumpărat acesta din urmă, ci doar valoarea cumpărăturilor. De asemenea, datele schimbate între client – bancă, client – vânzător, vânzător – bancă, bancă - bancă trebuie să nu poată fi citite şi/sau modificate de către o terţă persoană.

Există şi sunt utilizate, în prezent, mai multe sisteme de plată electronice, câteva dintre acestea fiind prezentate în continuare. Ele sunt sisteme de plată în timp real bazate pe carduri de credit, pe bani electronici - eCash- sau pe carduri inteligente - smartCard.

5.4.1 SET (Secure Electronic Transactions) Este un protocol specializat pentru criptarea tranzacţiilor bazate pe cărţi de credit sau de debit, creat de un grup de companii condus de Visa şi Mastercard. El asigură:

a) autentificare (a clientului, comerciantului, a băncii care a emis cardul, a băncii comerciantului);

b) confidenţialitate;

c) integritatea mesajelor (nu pot fi modificate de terţi);

d) legătura (permite trimiterea unei persoane a unui mesaj cu o anexă ce nu poate fi citită decât de altă persoană - pentru a împiedica citirea numărului de card, permiţând doar aprobarea tranzacţiei).

Protocolul SET reprezintă o suită de contacte între 4 părţi: posesorul de carte de credit, comerciantul, banca emitentă a cardului, banca comerciantului.

SET utilizează perechi de chei publice/private şi certificate semnate pentru stabilirea identităţii părţilor şi pentru a permite comunicarea între acestea.

Tranzacţiile SET22 se desfăşoară după cum urmează:

a) Clientul începe achiziţionarea, ceea ce declanşează protocolul SET;

b) Programul clientului trimite informaţiile referitoare la comandă şi plată - un mesaj pentru fiecare (plata e criptată cu cheia publică a băncii comerciantului);

c) Comerciantul trimite informaţiile legate de plată către banca sa;

d) Banca verifică validitatea cardului la banca emitentă;

e) Banca emitentă verifică cartea de credit - dacă există şi ce sold are;

f) Banca comerciantului autorizează tranzacţia;

22 Wayatt L. A. - Succes cu Internet, Editura All Educational, Bucureşti, 2003

96

g) Serverul comerciantului finalizează tranzacţia - trimite bunurile sau prestează serviciile;

h) Comerciantul confirmă tranzacţia, către banca sa, se scot banii de pe cardul clientului şi sunt viraţi în contul comerciantului;

i) Banca emitentă a cardului trimite factura clientului, în fiecare etapă are loc autentificarea părţilor pentru a preveni implicarea unei alte persoane în tranzacţie.

Reprezentarea unui sistem global de plată electronică este reprodus în figura 11.

Figura 63 Arhitectura generică, globală, a unui sistem electronic de plăţi23.

Se disting 3 nivele orizontale, unul al serviciilor primare (Web-shop), unul al sistemului electronic de plăţi prin Internet şi al treilea al sistemului financiar de plată, furnizat de sectorul financiar.

Distingem, de asemenea, sistemele orientate pe partea de client şi pe partea comerciantului.

5.4.2 Componentele SET Portofelul electronic (e-wallet)

Portofelul electronic este o componentă software în care utilizatorul (cumpărătorul, în speţă) păstrează numerele cardurilor de credit şi alte informaţii personale. El este pus la dispoziţia cumpărătorilor de website-ul care găzduieşte afacerea on-line şi permite efectuarea tranzacţiilor electronice sigur şi rapid. El poate exista atât pe calculatorul cumpărătorului (ca un plug-in în browser-ul web) cât şi pe serverul comerciantului. Portofelul electronic este, în fapt, o modalitate de transport a banilor electronici aşa cum portofelul clasic transportă banii pentru a putea efectua plăţi într-un magazin real.

23 Sander Hille, Petra van der Stappen. Electronic payment put in context.2002. Raport de cercetare.

97

Registrul cash Internet Este o aplicaţie software care asigură preluarea datelor financiare ale clientului, pe o conexiune securizată, prelucrarea acestora şi efectuarea serviciilor de plată. Suporta mai multe sisteme de plată, inclusiv off-line.

Poarta de plăţi Poarta de plăţi (Payment Gateway –PG) conectează două reţele diferite de comunicaţie, în cazul de faţă o reţea publică de comunicaţii (cum ar fi Internet-ul, reţeaua GSM sau GPRS) şi reţeaua financiară. Ea integrează diversele protocoale de securitate ale reţelelor pe care le interconectează, fiind punctul final al protocoalelor de securitate din cele două reţele. Astfel informaţiile decriptate privind tranzacţia se pot regăsi în interiorul sistemului de plăţi. PG este situat, de regulă, în interiorul sistemului financiar, dar poate fi găzduit şi de o terţă parte, considerată de încredere, dar unde sistemul financiar poate controla şi superviza sistemul de securitate.

Dubla semnătură Când sistemul SET trimite o cerere de autorizare de la e-wallet la programul POS (Post of Sale – punct de vânzare) al vânzătorului el trimite atât informaţiile privind comanda cât şi cele privind plata. Aşa cum am menţionat anterior, SET maschează informaţiile despre plată faţă de vânzător dar le lasă să treacă către poarta de plăţi. În acest scop SET utilizează un mesaj cu dublă semnătură. Ilustrarea creării dublei semnături este redată în figura 12.

Să presupunem că portofelul electronic vrea sa trimită un mesaj compus din două părţi punctului de vânzare (POS) al comerciantului. O parte a mesajului este destinată comerciantului iar a doua parte porţii de plăţi (PG).

Figura 64 Procesul de creare al dublei semnături

Software-ul portofelului electronic creează un plic digital destinat comerciantului folosind cheia publică a acestuia şi un plic digital destinat porţii de plăţi, folosind cheia publică a acesteia. (pasul 1). În acelaşi timp un rezumat al ambelor mesaje este creat folosind algoritmul SHA-1 (pasul 2). Ambele rezumate sunt concatenate, (pasul 3).şi se generează un nou rezumat al mesajelor unite, folosind acelaşi algoritm hash (pasul 4). Rezumatul este apoi criptat folosind algoritmul RSA cu cheia privată a portofelului electronic (pasul 5). Rezultatul este semnătura dublă a mesajului. Pe de altă parte, fiecare rezumat al celor două mesaje sunt criptate folosind RSA cu cheia privată a portofelului electronic (pasul 6). Rezultă astfel semnătura digitală pentru

98

fiecare mesaj. Mesajul dublu semnat se obţine prin concatenarea plicului mesajului 1, a semnăturii mesajului 1, plicului mesajului 2, semnăturii mesajului 2 şi dublei semnături.

Când comerciantul primeşte un mesaj cu dublă semnătură, el nu poate deschide plicul digital adresat porţii de plăţi. El poate deschide plicul digital ce-i este adresat şi poate verifica semnătura, aşa cum se arată în figura 13.

Figura 65 Deschiderea mesajului cu dublă semnătură la comerciant

În pasul 1 comerciantul deschide plicul şi recuperează mesajul original prin decriptarea cu cheia privată a comerciantului. În pasul următor comerciantul calculează rezumatul mesajului 1, folosind acelaşi algoritm SHA-1 ca la client. În pasul 3 se recuperează rezumatul mesajului 2 folosind cheia publică a portofelului electronic. Cele două rezumate sunt concatenate şi în pasul 4 se calculează rezumatul celor două rezumate concatenate. Pe de altă parte semnătura dublă este decriptată folosind RSA şi cheia publică a portofelului electronic (pasul 5) rezultând rezumatul rezumatelor concatenate care stăteau la baza dublei semnături. Aşadar, rezumatul rezumatelor mesajelor a fost calculat pe două căi: i) prin decriptarea mesajului 1, calcularea rezumatului, concatenarea cu rezumatul mesajului 2 obţinut din semnătura mesajului doi şi ii) prin decriptarea semnăturii duble.

Cele două rezultate, obţinute pe căi diferite, sunt identice dacă: a) mesajul cu dublă semnătură provine de la portofelul electronic al clientului, b) mesajul 1 a fost adresat comerciantului şi semnat de client şi c) mesajul2 a fost semnat de client. Numai dacă cele două rezultate sunt identice se poate considera că datele transferate de nu au fost modificate pe parcurs.SET reprezintă un cadru general, paradigma tranzacţiilor electronice iar în practică el este implementat în sisteme comerciale diverse, cu nume care sugerează sfera de aplicabilitate a sistemului. Astfel, în România, prin efortul conjugat al Băncii Naţionale, al comunităţii bancare, la care s-a adăugat si cel al Trezoreriei Statului si al Societăţii de Transfer de Fonduri si Decontări - TransFonD S.A., au fost create şi au devenit operaţionale mai multe sisteme de plată electronică. Astfel, in luna aprilie 2005 a intrat în funcţiune sistemul ReGIS pentru plăţile de mare valoare, cu procesare pe baza brută şi decontare în timp real, deţinut şi operat de Banca Naţională a României. Sistemul ReGIS procesează, în condiţii de securitate şi cu risc de decontare minim, plăţile de mare valoare sau urgente, care reprezintă peste 90% din totalul fondurilor vehiculate prin sistemele de plăţi şi decontări din România24. La scurt timp, în mai 2005, a intrat în funcţiune sistemul SENT, casa de compensare automată, care a preluat

24 Market Watch IT&C, nr.86, Iunie. 2006. Sistemul Electronic de Plăţi – perspective de dezvoltare

99

procesarea tuturor ordinelor de plată interbancare. Sistemul, deţinut şi operat de TransFonD, procesează automat plăţile de mică valoare. Au rămas în afara sistemului doar instrumentele de debit, respectiv cecuri, cambii si bilete la ordin. Cea de a treia componentă a sistemului - sistemul de procesare a operaţiunilor cu titluri de stat, SaFIR – a intrat în funcţiune in luna octombrie 2005. SaFIR, sistemul de înregistrare şi decontare a operaţiunilor cu titlurile emise de Ministerul Finanţelor Publice si gestionate de banca centrală în calitate de agent al acestuia, este deţinut si operat de Banca Naţională a României.

5.4.3 PayPal (CyberCash) PayPal este un alt sistem de plată electronic, foarte popular în SUA dar aflat în creştere de popularitate şi în restul lumii. Această popularitate se datorează simplităţii în utilizare, siguranţei şi faptului că plata se poate face inclusiv între persoane fizice, situaţie în care cardul de credit este inutilizabil. Condiţia este ca atât cumpărătorul cât şi vânzătorul să deţină un cont PayPal. Contul este oferit de compania cu acelaşi nume (PayPal este şi o afacere - deţinută de eBay - şi un sistem de plată, sic!). Cumpărătorul, după ce se autentifică pe website-ul PayPal (http://www.paypal.com) cu adresa de e-mail şi parola comunicate la crearea contului, completează un formular simplu cu adresa de e-mail a vânzătorului, adresa proprie şi suma de plată, specificând semnificaţia plăţii (achiziţie de servicii, bunuri sau avans de plată). Poate alege moneda de plată dintre 16 monede acceptate, printre care şi zlotul polonez şi coroana cehă. La apăsarea butonului de expediere a banilor, aceştia sunt transferaţi din sursa de finanţare a contului PayPal a cumpărătorului (cont de bancă, card de credit) în contul PayPal al vânzătorului. Acesta este notificat prin e-mail asupra intrării banilor în cont, bani care pot fi viraţi în contul bancar al vânzătorului sau pot rămâne în contul PayPal al acestuia, pentru a face plăţi din acest cont. Datele financiare rămân confidenţiale, nefiind dezvăluite părţilor implicate în tranzacţie. Deşi sistemul funcţionează în 103 ţări25 şi regiuni, în România nu este disponibil.

Afacerea constă în perceperea de comisioane, de exemplu circa 5% pentru efectuarea plăţilor din surse precum caruri de credit sau debit, 2,5% pentru conversie valutară, etc. Trimiterea de bani, crearea contului şi alimentarea lui sunt gratuite.

5.4.4.netCash NetCash este un sistem de plată electronic, bazat pe bani electronici, în care nu este implicat nici un fel de card. Cumpărătorul trebuie să aibă un cont NetCash, creat la orice bancă care oferă acest serviciu, sau creat online, pe Internet. Contul poate fi alimentat fie cu bani cash, la bancă, fie prin Internet Banking. Plata către comercianţii care acceptă sistemul se face din acest cont, în limita sumei aflate în cont. Sistemul asigură anonimitatea cumpărătorului.

5.4.5 Mondex este un sistem de plăţi electronice bazat pe carduri inteligente. Acestea păstrează informaţiile despre valoarea banilor disponibili pe un chip integrat intr-un card, asemănător ca aspect cardurilor bancare. Permite efectuarea plăţilor prin Internet, telefon mobil sau televiziunea interactivă.

25 PayPal website. http://www.paypal.com