Подходы к разработке систем электронных платежей. Принципы функционирования платежных систем.

Электронной платежной системой называют совокупность методов и реализующих их субъектов, обеспечивающих в рамках системы использование банковских пластиковых карт в качестве платежного средства.

Пластиковая карта - это персонифицированный платежный инструмент, предоставляющий пользующемуся этой картой лицу возможность безналичной оплаты товаров и услуг, а также получения наличных средств в банковских автоматах и отделениях банков. Предприятия торговли и сервиса и отделения банков, принимающие карту в качестве платежного инструмента, образуют приемную сеть точек обслуживания карты.

Ядром платежной системы является ассоциация банков, объединенная договорными обязательствами. Кроме того, в состав электронной платежной системы входят предприятия торговли и сервиса, образующие сеть точек обслуживания. Для успешного функционирования платежной системы необходимы и специализированные организации, осуществляющие техническую поддержку обслуживания карт.

Банк, заключивший соглашение с платежной системой и получивший соответствующую лицензию, может выступать в двух качествах - как банк-эмитент и как банк-эквайер. Банк-эмитент выпускает пластиковые карты и гарантирует выполнение финансовых обязательств, связанных с использованием этих карт как платежных средств. Банк-эквайер обслуживает предприятия торговли и сервиса, принимающие к оплате карты как платежные средства, а также принимает эти платежные средства к обналичиванию в своих отделениях и через принадлежащие ему банкоматы. Основными неотъемлемыми функциями банка-эквайера являются финансовые операции, связанные с выполнением расчетов и платежей точками обслуживания.

В точках обслуживания используются автоматизированные торговые POS-терминалы и банкоматы. Реквизиты пластиковой карты считываются с ее магнитной полосы на встроенном в POS-терминал считывателе. Клиент вводит в терминал свой PIN-код, известный только ему. Элементы PIN-кода включаются в общий алгоритм шифрования записи на магнитной полосе и служат электронной подписью владельца карты. Терминал через встроенный модем обращается за авторизацией в соответствующую платежную систему. При этом используются мощности процессингового центра, услуги которого предоставляются торговцу банком-эквайером.

Процессинговый центр представляет собой специализированную сервисную организацию, которая обеспечивает обработку поступающих от банков-эквайеров или непосредственно из точек обслуживания запросов на авторизацию и протоколов транзакций - фиксируемых данных о произведенных посредством пластиковых карт платежах и выдачах наличными. Для этого процессинговый центр ведет базу данных, которая, в частности, содержит данные о банках-членах платежной системы и держателях пластиковых карт. Процессинговый центр хранит сведения о лимитах держателей карт и выполняет запросы на авторизацию в том случае, если банк-эмитент не ведет собственной базы данных. В противном случае процессинговый центр пересылает полученный запрос в банк-эмитент авторизируемой карты.

По виду расчетов, выполняемых с помощью пластиковых карт, различают кредитные и дебетовые карты.

Кредитные карты предъявляют на предприятиях торговли и сервиса для оплаты товаров и услуг. При оплате с помощью кредитных карт банк покупателя открывает ему кредит на сумму покупки, а затем присылает счет по почте. Покупатель должен вернуть оплаченный чек обратно в банк. Держатель дебетовой карты должен заранее внести на свой счет в банке-эмитенте определенную сумму.

В последние годы все большее внимание привлекают к себе электронные платежные системы с использованием микропроцессорных карт. Принципиальным отличием микропроцессорных карт от магнитных является то, что они непосредственно несут информацию о состоянии счета клиента. Все транзакции совершаются в режиме off-line в процессе диалога карта-терминал или карта клиента - карта торговца.

Безопасность электронных платежей.

С точки зрения информационной безопасности в системах электронных платежей существуют следующие уязвимые места:

- пересылка платежных и других сообщений между банком и клиентом и между банками;

- обработка информации внутри организаций отправителя и получателя сообщений;

- доступ клиентов к средствам, аккумулированным на счетах.

Одним из наиболее уязвимых мест в системе электронных платежей является пересылка платежных и других сообщений между банками, между банком и банкоматом, между банком и клиентом. Пересылка платежных и других сообщений связана со следующими особенностями:

- внутренние системы организаций отправителя и получателя должны быть приспособлены для отправки и получения электронных документов и обеспечивать необходимую защиту при их обработке внутри организации (защита оконечных систем);

- взаимодействие отправителя и получателя электронного документа осуществляется опосредовано - через канал связи.

- Эти особенности порождают следующие проблемы:

- взаимное опознавание абонентов (проблема установления взаимной подлинности при установлении соединения);

- защита электронных документов, передаваемых по каналам связи (проблемы обеспечения конфиденциальности и целостности документов);

- защита процесса обмена электронными документами (проблема доказательства отправления и доставки документа);

- обеспечение исполнения документа (проблема взаимного недоверия между отправителем и получателем из-за их принадлежности к разным организациям и взаимной независимости).

Для обеспечения функций защиты информации на отдельных узлах системы электронных платежей должны быть реализованы следующие механизмы защиты:

- управление доступом на оконечных системах;

- контроль целостности сообщения;

- обеспечение конфиденциальности сообщения;

- взаимная аутентификация абонентов;

- невозможность отказа от авторства сообщения;

- гарантии доставки сообщения;

- невозможность отказа от принятия мер по сообщению;

- регистрация последовательности сообщений;

- контроль целостности последовательности сообщений.

Качество решения указанных выше проблем в значительной мере определяется рациональным выбором криптографических средств при реализации механизмов защиты.