Платежные системы в электронной коммерции
Электронная коммерция развивается бурными темпами. По данным
консалтингового агентства The Boston Consulting Group, рынок только
розничной электронной торговли в Северной Америке достигнет в 2001 г.
уровня 65 млрд. долл. По оценкам экспертов консалитногвой фирмы McKinsey, к
2003 году объем розничной торговли через Интернет в России приблизится к 1
млрд. долл., а общий рынок электронной коммерции достигнет 5,2 млрд. долл.
Пережившие кризис электронные магазины укрепили свои позиции на
рынке, скупив ме-нее удачливых конкурентов. Гиганты оффлайнового бизнеса, в
1999 году стоившие в десятки раз дешевле своих онлайновых собратьев, после
кризиса тоже получили возможность выйти на рынок Интернета, предложив более
высокое качество услуг и громкое имя.
В России в сфере электронной коммерции традиционно работают фирмы,
либо выросшие на рынке предоставления доступа в Интернет, либо поставщики
Интернет-контента (web-порталы, поисковые машины, службы web-почты,
новостные Интернет-агенства). Здесь нет ни лидеров оф-флайнового рынка, ни
представительств крупных международных Интернет-компаний.
Традиционный рынок Интернет - коммерции зарождался как рынок
розничной торговли. Но постепенно на рынке стали появляется решения,
ориентированные не на конечных потребите-лей, а на организации, так
называемый рынок B2B, или business-to-business (в противоположность B2C,
business-to-customer). Первоначально, на рынке B2B предлагались продукты,
связанные с собственно организацией розничной торговли (готовые Интернет -
магазины, услуги по рекламе, внедрение Интернет - торговли в традиционные
бизнес - процессы и т.п.). Но постепенно через Интернет стали продаваться
решения, непосредственно с Интернет не связанные (коммерческое программное
обеспечение, услуги по автоматизации, оптовая торговля, брокерские услуги,
кон-салтинг и т.п.). По прогнозам агентства McKinsey, к 2003 году рынок B2B
будет занимать 90% всего рынка Интернет-услуг, и его объем превысит 400
млрд. долл. По прогнозу IDC, к тому же 2003 году объем всего рынка Интернет
превысит 1,6 триллиона долл., причем 1,4 триллиона будет приходиться на
B2B.
Платежные системы в Интернет - коммерции
В России выход на рынок услуг, связанный с принятием платежей по
банковским кредит-ным картам, традиционно затруднен. Уровень доверия
международных банков к российским ин-тернет - компаниям после
многочисленных инцидентов с "ложными" магазинами, снимавшими
деньги с украденных кредитных карт, низок. Крупные российские банки пока
только присматри-ваются к рынку, а мелкие не имеют технической возможности
бесперебойно обслуживать перевод денег со счета покупателя на счет
продавца, с немедленным информированием о совершении опе-рации. Кроме того,
при приеме платежей из-за рубежа необходимо получать множество лицензий и
разрешений (см. закон "О валютном регулировании").
Также сказывается слабость собственно рынка кредитных карт. Широко
распространенные "зарплатные" карты в большинстве случаев нельзя
использовать для платежей в Интернете. Карты международных платежных систем
(Visa, American Express, Eurocard/Mastercard, Dinners club) до-роги в
обслуживании. Кроме того, не все банки имеют агентские договора между собой
в рамках платежной системы; по этой причине платежи между двумя банками
могут не проходить. Особен-но это касается использования карт российских банков
в иностранных электронных магазинах.
В этой ситуации стали активно развиваться проекты альтернативных
платежных систем. Эти системы можно разделить на 3 группы:
·
Публичные карточные
операторы с высоким уровнем доверия.
·
Денежные суррогаты
(электронные деньги).
·
Интернет-банкинг.
Рассмотрим эти модели подробнее.
Системы цифровых наличных
Первой такой системой была ecash, созданная на основе технологии
"подписи вслепую", предложенной голландским криптографом Дэвидом
Чомом (David Chaum), основателем фирм Digicash BV и DigiCash, Inc. Сейчас
ключевые технологии находятся в распоряжении фирме eCash Technologies, Inc
[http://www.digicash.com/]. В
настоящий момент система продвигается несколь-кими банками Европы, Северной
Америки и Австралии, включая германский Deutsche Bank 24.
Основные характеристики систем цифровых наличных:
·
В системе обращаются
т.н. сертификаты на предъявителя, т.е. финансовые обязательства эмитента
(банка) по отношению к пользователю системы, предъявляющему их.
Сертифи-каты хранятся и передаются в цифровом виде;
·
Отсутствует разделения
на продавцов и покупателей. Любой пользователь монетарной системы может как
получать, так и передавать сертификаты другому пользователю;
·
Обеспечивается
анонимность участников сделки, т.е. математически доказанное отсутст-вие
возможности в рамках системы установить соответствие между платежом и его
источ-ником. Соответствие принципиально можно установить внешними для
системы средства-ми;
·
Эмитент не может
отказаться от своих обязательств отдельному плательщику. После пере-вода
средств в цифровую форму их невозможно изъять из обращения без знания
секретных ключей пользователя.
На российском рынке в настоящий момент представлены 2 работающие
системы цифро-вых наличных - WebMoney [http://www.webmoney.ru] и PayCash
[http://www.paycash.ru]. Системы цифровых наличных разделяются на 2 класса:
·
Онлайновые. Магазин
получает деньги после проверки банком, что цифровые сертификаты
используются для платежа первый раз.
·
Оффлайновые. Магазин
получает деньги сразу после получения сертификатов от покупа-теля и
проверки подписи банка под ними. При этом цепочка платежей без предъявления
сертификатов банку может быть достаточно длинной. Для выявления повторного
исполь-зования сертификатов существует ряд методов (предложенных Д. Чомом),
позволяющих раскрыть анонимного плательщика, если он использует цифровой
сертификат дважды. Цифровые сертификаты в таких системах больше всего
приближены к обычным наличным деньгам.
Системы PayCash и WebMoney являются онлайновыми.
Технологии "слепой подписи"
Для обеспечения анонимности участников сделки с цифровыми
сертификатами используются методы "подписи вслепую" (blind
signature). Алгоритм "ослепленного" получения цифровой монеты
таков:
·
Пользователь генерирует
случайное число X, которое является элементом очень большого множества;
·
Пользователь
"ослепляет" число X, специальной криптографической функцией,
параметр которой R известен только ему и получает число X'.Не зная R,
невозможно получить X из X' за приемлемое время;
·
Пользователь
подключается к банку, идентифицирует себя и передает число X' банку.
·
Банк подписывает
ослепленное число X' и передает пользователю подпись S'. Одновре-менно с
банковского счета пользователя списываются средства, равные номиналу монеты
+ комиссия банка за операцию;
·
Пользователь
"деослепляет" подпись S' при помощи R и получает подпись S числа
X;
·
Пара (X,S) становится
цифровой монетой в системе. Достоинство монеты определяется ключом, которым
она было подписана.
Очевидно, что клиент не может ввести в заблуждение банк, передавая
ему данные специально-го вида (например, передавая 2 раза одно и то же
значение X).
Также видно, что банк не может идентифицировать клиента по монете
(X,S) даже зная весь массив предъявленных ранее X', т.к. ему не известно R.
Более того, никто не сможет связать X и X', если R уничтожается клиентом
после получения S.
Описанная схема может быть усложнена. Например, в системе PayCash
вместо цифровой мо-неты используется цифровая книжка, содержащая сумму,
кратную некоторому номиналу, и банк подписывает книжку столько раз, сколько
номиналов лежит на ней.
Платежные системы
В ситуации, когда пользователь не доверяет в полной мере
Интернет-магазину, он может произво-дить платежи через своего доверенного
субъекта - оператора платежной системы. Таким оператором может быть
надежный банк или хорошо зарекомендовавшая себя Интернер-компания. Доступ к
карточному или лицевому счету клиента имеет только платежная система; она
же произ-водит перевод денежных средств со счета клиента на счет магазина.
Доступ к личному счету клиента может осуществляться:
·
либо по стандартному
протоколу SSL, встроенному во все современные web-броузеры, с
аутентификацией по паролю;
·
либо по протоколу SSL,
с предъявлением клиентом своего цифрового удостоверения;
·
либо по специально
разработанному протоколу, с предъявлением клиентом своего цифро-вого
удостоверения. Этот способ обычно используется, если в системе используются
оте-чественные криптографические алгоритмы.
Со стороны Интернет-магазина платежная система обычно предоставляет
ряд программных средств, помогающих передавать информацию об успешно
проведенных платежах в информаци-онную систему магазина. Также возможно
ведение магазина полностью на площадке платежной системы.
Чаще всего после формирования корзины заказов пользователя
перенаправляют с web-сайта магазина на web-сайт платежной системы, где он
может подтвердить или отвергнуть заказ. В не-которых системах пользователю
предлагают подписать электронный документ, содержащий опи-сание заказа, и
передать его магазину; после этого магазин передает этот документ оператору
пла-тежной системы, который осуществляет платеж.
В настоящий момент в России функционирует несколько систем расчета по
карточкам:
·
Киберплат [http://www.cyberplat.ru/]
·
АССИСТ [http://www.assist.ru/]
·
Russia Shopping Club [http://www.russianshopping.com/]
·
ЭлИт [http://www.elit.ru/]
·
Instant! [http://www.paybot.com/]
Протокол SET
Западные платежные системы (VISA, MasterCard, American Express, etc)
совместно с банками-эмитентами карточек и фирмами-разработчиками
программного обеспечения (IBM, Microsoft, etc) предложили (1996 г.)
протокол SET (Secure Electronic Transaction) [http://www.visa.com/SET],
обеспечивающий криптографическую защиту данных пластиковой карточки при
платежах через Интернет. Особенности протокола:
·
использует цифровые
сертификаты для идентификации всех сторон сделки;
·
независим от платежной
сети;
·
позволяет передавать
данные для авторизации непосредственно банку-эмитенту карточки без
разглашения финансовой информации;
·
является полностью
открытым (доступны исходные коды, документация для разработчи-ков ПО и пр.)
Алгоритм работы по протоколу SET:
·
Покупатель открывает
карточный счет в банке и устанавливает на своем компьютере ПО "кошелёк"
(digital wallet);
·
Покупатель получает
цифровой сертификат у своего банка. Банк, в свою очередь, получа-ет
сертификат от оператора сети (например, VISA).
·
Покупатель подключается
к web-сайту Продавца и выбирает необходимый товар.
·
Продавец передает "кошельку"
Покупателя счет, подписанный своим закрытым ключом вместе с цифровым
сертификатом, соответствующим ключу;
·
Покупатель проверяет
подпись под счетом, соглашается оплатить заказ и высылает циф-ровой чек
Продавцу. В цифровом чеке кроме параметров заказа передается информация о
пластиковой карточке Покупателя, зашифрованная на открытом ключе банка
Покупателя.
·
Магазин передает чек
своему банку;
·
Банк Магазина передает
чек банку Покупателя (здесь используется закрытая сеть опера-тора платежной
сети);
·
Банк Покупателя
авторизует платеж. Результат авторизации передается по цепочке обрат-но
Магазину;
·
Магазин отпускает
товар.
Существует 4 класса программного обеспечения, использующего протокол
SET:
·
Цифровой кошелёк
(digital wallet)
·
ПО Магазина (merchant software)
·
ПО сопряжения с сетями
карточных операторов (Payment Gateway server software)
·
ПО Сертификации (Certificate Authority
software)
Все используемое ПО должно соответствовать спецификации SET (SET
Specification) и пройти процедуру сертификации. Документы по спецификации
доступны на сайте компании SET Specification, LLC [http://www.setco.org].
Там же имеется список ПО, соответствующего спецификации SET и матрица
совместимости различных продуктов. ПО сертифицируется после прохождения
ряда специальных тестов. В настоящее время имеется 3 версии спецификации
(SET 1.0, SET 2.0 и SET 3.0). Многие ведущие производители ПО имеют
продукты, поддерживающие протокол SET. Это, в частности, CyberCash,
Entrust, Fujutsu, Hitachi, IBM, Microsoft, VeriSign.
В России системы, использующие протокол SET, пока не получили
распространения.
Системы класса "Интернет - банк"
Основное предназначение систем "Интернет-банк" -
осуществлять управление текущим счётом клиента через сеть Интернет. Однако
эти системы с успехом могут использоваться и для проведения покупок в сети
Интернет. Для этого обычно Интернет-магазину предлагается размес-тить
ссылку на сервер Интернет-банка, при переходе по которой клиентскому ПО
Интернет-банка передаются реквизиты магазина и сумма платежа. Если клиент
согласен с выставленным ему счё-том, он производит платеж через
Интернет-банк. Далее деньги переводятся на лицевой счет мага-зина по
обычным банковским каналам.
В частности, в настоящее время для физических лиц предлагаются
следующие решения клас-са Интернет - банк:
·
"Домашний
банк" Автобанка
·
"Телебанк"
Гута-банка
·
"Интернетбанк"
банка "Северная казна"
Заключение
В работе Интернет-магазина решающую роль играет не столько удобство
интерфейса и скорость доступа, сколько устойчивая работа всех бизнес-процессов,
начиная от поставки товаров на склад магазина и заканчивая расчетом с
покупателем. Даже используя современнейшие инфор-мационные технологии,
магазин с плохо поставленной логистикой не сможет справиться с наплы-вом
клиентов в канун праздников. Магазин с самым замечательным визуальным
дизайном, обнов-ляющий свой товарный ассортимент раз в полгода, не может
быть хорошей приманкой для поку-пателей. Товар магазина, поддерживающего
все известные типы кредитных карточек, не будет пользоваться спросом, если
каждую неделю 13-летние хакеры будут воровать списки этих самых карточек и
выкладывать их на общедоступный ftp-сервер.
Грамотно используя техническую и юридическую базу платежных систем,
можно постро-ить Интернет-магазин с меньшими затратами и лучшим качеством
обслуживания. Вместе с тем, пренебрежение малейшими нюансами сведет всю
эффективность использования внешней платеж-ной системы на нет. Например,
если выписки приходят из банка в Интернет-магазин по почте, и
обрабатываются вручную в течение недели, клиенту не за чем использовать
технологии, позво-ляющие переводить деньги за 5 минут. Если сервер магазина
работает под UNIX, вряд ли стоит подключаться к оператору, предлагающему
"маленькую удобную программу на Delphi для управ-ления вашим счетом в
платежной системе". Если все клиенты магазина - физические лица, вряд
ли следует вкладывать деньги в интеграцию российских систем шифрования и
электронно-цифровой подписи, можно воспользоваться стандартными средствами
иностранного производст-ва.
Решая вопрос о подключении Интернет-магазина к той или иной платежной
системе, его руководителям необходимо заранее оценить количество
пользователей системы, которым будет интересен ассортимент
Интернет-магазина. Обычно контингент пользователей платёжных систем почти
не пересекается. Часто пользователями системы являются клиенты отдельного
банка или Интернет-провайдера, предлагающего доступ к платежной системе в
пакете с прочими услугами. Необходимо помнить, что в большинстве случаев
использование платежной системы сужает круг потенциальных потребителей.
Поэтому на первом этапе работы магазина выгоднее зарегистриро-ваться в 2-3
платёжных системах, выбранных исходя из целевой группы предполагаемых
клиентов (например, жители города со средним доходом, студенты, обеспеченные
владельцы карт Visa и т.п.), и в случае успеха, двигаться к созданию
полноценной собственной системы принятия плате-жей.
М.Ю. Рягин -
инженер-программист отдела информационной
|