Защита на системи за електронна търговия. Сигурност на електронната търговия Информационна сигурност търговия

Сигурността на всяка система за електронна търговия като цяло се състои в защита от различни видове намеса в нейните данни. Всички тези интервенции могат да бъдат разделени на няколко категории:

· кражба на данни (например кражба на номера на кредитни карти от база данни);

· смущения (например претоварване с данни на сайт, който не е предназначен за толкова голямо количество информация);

· изкривяване на данни (например промяна на суми във файлове с плащания и фактури или създаване на несъществуващи сертификати или сайтове за изпомпване на информация, отиваща към конкретен сайт);

· унищожаване на данни (например при предаване от сайта или към сайта от потребителя);

· отказ от предприетите действия (например от факта на подаване на поръчка или получаване на стоките);

· неумишлено злоупотреба със съоръженията на сайта от добросъвестен потребител;

· неоторизиран достъп до информация:

· неоторизирано копиране, актуализиране или друго използване на данни;

· неразрешени транзакции;

· неоторизирано разглеждане или предаване на данни (например показване на истински имена на посетители вместо прякори в чат или форум).

В същото време не може да не се вземе предвид, че по въпросите на сигурността в тази област има редица обективни проблеми от правно естество - технологиите се развиват много по-бързо от законодателната рамка, трудно е да се хване нападател в актът на престъпление, а доказателствата и следите от престъпления могат лесно да бъдат унищожени без следа. Всичко това налага компаниите внимателно да разработят политика за защита на своя електронен бизнес. Пълната и абсолютна сигурност е недостижима, тъй като системите за електронен бизнес са изградени върху множество готови и персонализирани софтуерни приложения от различни доставчици и значителен брой външни услуги, предоставяни от доставчици на услуги или бизнес партньори. Значителна част от тези компоненти и услуги обикновено са непрозрачни за ИТ специалистите на компанията клиент, освен това много от тях често се модифицират и подобряват от своите създатели. Невъзможно е всички те да бъдат щателно проверени за потенциални дефекти в сигурността, а още по-трудно е да се отстранят всички тези дефекти. И дори това да беше възможно, така нареченият човешки фактор не може да бъде изключен, тъй като всички системи се създават, променят и управляват от хора, а според изследване на Института за компютърна сигурност 81% от анкетираните отбелязват, че най-голяма загриженост за компаниите е вътрешната заплаха – умишлени или неумишлени действия на собствените служители.

Има два аспекта на проблема за защита срещу вътрешни заплахи: технически и организационен. Техническият аспект е желанието да се елиминира всяка възможност за неоторизиран достъп до информация. За тази цел се използват такива добре познати средства като:

поддържане на пароли и редовната им смяна; предоставяне на минималните права, необходими за администриране на системата;

Наличие на стандартни процедури за навременна промяна на групата за достъп по време на промени в персонала или незабавно унищожаване на достъпа при уволнение на служител.

Организационният аспект е да се разработи рационална вътрешна политика за сигурност, която превръща в рутинни операции такива рядко използвани методи за защита и предотвратяване на хакерски атаки от компании като:

· въвеждане на обща култура на безопасност във фирмата;

· тестване на софтуер за хакване;

· проследяване на всеки опит за хакване (без значение колко успешен е) и щателното му разследване;

· годишно обучение на персонала по въпросите на сигурността и киберпрестъпността, включително информация за конкретни признаци на хакерски атаки, за да се увеличи максимално броят на служителите, които имат способността да откриват такава дейност;

· въвеждане на ясни процедури за справяне със случаи на неволна промяна или унищожаване на информация.

За защита срещу външно проникване днес има много системи, които по същество са различни видове филтри, които помагат да се идентифицират опитите за хакване на ранните етапи и, ако е възможно, да се предотврати навлизането на нападател в системата през външни мрежи.

· рутери - устройства за управление на мрежовия трафик, разположени между мрежи от втори ред и управляващи входящия и изходящия трафик на мрежовите сегменти, свързани към него;

· защитни стени – средства за изолиране на частни мрежи от обществени мрежи с помощта на софтуер, който следи и потиска външни атаки към сайта, използвайки определен контрол върху видовете заявки;

шлюзовете за приложения са средствата, чрез които мрежовият администратор прилага политиката за сигурност, която ръководи рутери, които извършват филтриране на пакети;

· Системи за откриване на проникване (IDS) - системи, които откриват умишлени атаки и неволно злоупотреба със системни ресурси от потребителите;

· инструменти за оценка на сигурността (специални скенери и др.) – програми, които редовно сканират мрежата за проблеми и тестват ефективността на въведената политика за сигурност.

Като цяло, първото нещо, което една компания трябва да направи, е да разбере какво трябва да бъде защитено и от кого. Основните играчи в тази сфера са акционерите, потребителите, служителите и бизнес партньорите на компанията, като за всеки от тях е необходимо да се разработи собствена схема за защита. Всички изисквания за сигурност трябва да бъдат документирани, за да служат като ръководство за всички внедрявания на приложения за електронна търговия и техните мерки за сигурност в различните бизнес направления на компанията. В допълнение, това ще ви позволи да създадете отделен бюджет за обслужване на проблемите със сигурността в компанията и да оптимизирате разходите за тези нужди, като елиминирате дублирането на всякакви проблеми със сигурността при разработването на всеки отделен бизнес проект.

За съжаление днешната практика е такава, че политиката за сигурност е оставена на ръководството на ИТ отдела, чиито служители смятат, че технологичните въпроси са по-важни от някакви „хартиени“ инструкции и освен това не са специалисти в определени области на бизнеса които също изискват ясни процедури за защита в компанията.

В допълнение, при сдвояване на различен софтуер могат да възникнат специфични проблеми, които не са известни на производителите на всеки от интегрираните продукти. Изследванията на такива взаимодействия трябва да предхождат всякакви технологични и бюджетни решения. И досега твърде малко внимание е обърнато на това.

Въведение

Терминът „електронна търговия“ съчетава много различни технологии, включително EDI (електронен обмен на данни), електронна поща, интернет, интранет (обмен на информация в рамките на компанията), екстранет (обмен на информация с външния свят).

Областите на приложение на една система за електронна търговия са доста разнообразни. Те включват широк спектър от бизнес транзакции (бизнес транзакции) и транзакции, по-специално:

установяване на контакт между потенциален клиент и доставчик;

електронен обмен на необходимата информация;

поддръжка преди продажба и след продажба на клиент, закупил продукт в електронен магазин (предоставяне на подробна информация за продукт или услуга, предаване на инструкции за използване на продукта, бързи отговори на въпроси, които купувачът има);

пряко извършване на действието по продажба на продукт или услуга;

електронно плащане за покупки (използване на електронен паричен превод, кредитни карти, електронни пари, електронни чекове);

доставка на продукта до клиента, включително както управление на доставката, така и проследяване за физически стоки и директна доставка на стоки, които могат да бъдат разпространявани по електронен път;

създаването на виртуално предприятие, което е група от независими компании, които комбинират своите различни видове ресурси, за да получат възможности за предоставяне на продукти и услуги, които не са достъпни за независимо работещи фирми;

внедряване на независими бизнес процеси (набор от взаимосвързани операции и процедури, чрез които се реализира конкретна търговска цел на дейността на компанията в рамките на определена организационна структура), съвместно извършвани от производствената компания и нейните търговски партньори.

Сферите на дейност, в които може да се извършва електронна търговия, са не по-малко разнообразни. Основните области на дейност, в които може да се извършва електронната търговия, включват:

електронен маркетинг (интернет маркетинг);

финансиране на създаването на електронни магазини, както и тяхното застраховане;

търговски сделки, включително поръчка, получаване на стоки и плащане;

съвместно разработване на нов продукт или услуга от няколко компании;

организиране на разпределено съвместно производство на продукти;

бизнес администрация (данъци, мита, разрешителни, концесии и др.);

транспортни услуги, транспортни техники и начини на доставка;

счетоводство;

разрешаване на конфликтни ситуации и спорни въпроси.

Електронната търговия може да се извършва на различни нива:

национален;

международен (международен).

Сигурност на електронната търговия.

Сигурността е състояние, при което няма възможност за нанасяне на щети на нуждите и интересите на субектите на отношенията.

Осигуряването на информационна сигурност е един от ключовите аспекти за гарантиране на сигурността на предприятието. Според западни експерти изтичането на 20% от търговската информация в шестдесет случая от сто води до фалит на предприятието. Следователно физическата, икономическата и информационната сигурност са много тясно свързани помежду си.

Търговската информация има различни форми на представяне. Това може да бъде информация, предавана устно, и документирана информация, записана на различни материални носители (например на хартия или на дискета), и информация, предавана по различни комуникационни линии или компютърни мрежи.

Киберпрестъпниците използват различни методи за получаване на информация. Това включва „класически“ методи на шпионаж (изнудване, подкупи и др.), методи на индустриален шпионаж, неоторизирано използване на компютърно оборудване и аналитични методи. Следователно диапазонът от заплахи за информационната сигурност е изключително широк.

Нова област за индустриален шпионаж и различни други престъпления се отваря от широкото използване на компютърни технологии и технологии за електронна търговия.

С помощта на технически средства за промишлен шпионаж човек не само подслушва или шпионира действията на конкурентите по различни начини, но и получава информация, която директно се обработва в компютърните технологии. Най-голямата опасност тук е прякото използване на компютърни технологии от нападатели, което породи нов вид престъпления - компютърни престъпления, т.е. неоторизиран достъп до информация, обработвана на компютър, включително с помощта на технологии за електронна търговия.

Борбата с компютърните престъпления е трудна, което се обяснява основно с:

Новостта и сложността на проблема;

Трудности при навременното разкриване на компютърни престъпления и идентифициране на нападателя;

Възможността за извършване на престъпление с помощта на средства за отдалечен достъп, т.е. нападателят може изобщо да не е на местопрестъплението;

Трудности при събирането и законното документиране на доказателства за компютърно престъпление.

Принципите на създаване и функциониране на системите за сигурност могат да бъдат разделени на три основни блока: общи принципи на сигурността, организационни принципи и принципи на реализация на системата за сигурност.

Общите принципи на защита включват:

1) принципът на несигурността. Поради факта, че при осигуряване на охрана не се знае кой, кога, къде и как ще се опита да наруши сигурността на охранявания обект;

2) принципът на невъзможността за създаване на идеална система за защита. Този принцип следва от принципа на несигурността и ограничените ресурси, с които по правило разполага една система за сигурност;

3) принципът на минималния риск. Въпросът е, че при създаването на система за защита е необходимо да се избере минималната степен на риск въз основа на характеристиките на заплахите за сигурността, наличните ресурси и специфичните условия, в които се намира обектът на защита по всяко време;

4) принципът за защита на всеки от всеки. Този принцип предполага необходимостта от защита на всички субекти на отношенията срещу всички видове заплахи.

Организационните принципи включват:

1) принципът на законността. Важността на спазването на този очевиден принцип не може да бъде надценена. Въпреки това, с появата на нови правоотношения в руското законодателство, наред с добре познатите обекти на правото, като „държавна собственост“, „държавна тайна“, се появиха нови - „частна собственост“, „собственост на предприятието“, „ интелектуална собственост”, „търговска тайна”, „поверителна информация”, „информация с ограничен достъп”. Нормативната правна рамка, регулираща въпросите на сигурността, все още е несъвършена;

2) принципът на личната отговорност. Всеки служител на предприятие, фирма или техен клиент носи лична отговорност за осигуряване на режима на сигурност в рамките на своите правомощия или съответните инструкции. Отговорността за нарушаване на охранителния режим трябва да бъде предварително конкретизирана и персонифицирана;

3) принципът на разделение на властите. Вероятността от нарушаване на търговска тайна или нормалното функциониране на предприятието е правопропорционална на броя на осведомените лица, притежаващи информацията. Следователно, никой не трябва да бъде изложен на поверителна информация, освен ако това не е необходимо за изпълнение на служебните му задължения;

4) принципът на взаимодействие и сътрудничество. Вътрешната атмосфера на безопасност се постига чрез отношения на доверие между служителите. В същото време е необходимо да се гарантира, че персоналът на предприятието правилно разбира необходимостта от извършване на мерки за сигурност и в свой собствен интерес допринася за дейностите на службата за сигурност.

За да се анализира проблемът за осигуряване на сигурността на електронната търговия, е необходимо да се определят интересите на субектите на взаимоотношенията, които възникват в процеса на електронната търговия.

Прието е да се разграничават следните категории електронна търговия: бизнес към бизнес, бизнес към потребител, бизнес администрация. В същото време, независимо от категорията на електронната търговия, се разграничават класове субекти: финансови институции, клиенти и бизнес организации.

Отвореният характер на интернет технологиите и наличието на информация, предавана по мрежата, означава, че общите интереси на субектите за електронна търговия са в осигуряването на информационната сигурност на електронната търговия. Информационната сигурност включва гарантиране на автентификацията на партньорите за взаимодействие, целостта и поверителността на информацията, предавана по мрежата, наличността на услугите и управляемостта на инфраструктурата.

Обхватът на интересите на субектите на електронната търговия в областта на информационната сигурност може да бъде разделен на следните основни категории:

Наличност (възможност за получаване на необходимата услуга в разумен срок);

Цялостност (релевантност и последователност на информацията, нейната защита от унищожаване и неразрешени промени);

Конфиденциалност (защита на информацията от неоторизиран достъп).

Информационната сигурност е един от най-важните компоненти на интегрираната сигурност на електронната търговия.

Броят на атаките срещу информационни системи по света се удвоява всяка година. В такива условия системата за информационна сигурност на електронната търговия трябва да може да устои на множество и разнообразни вътрешни и външни заплахи.

Основните заплахи за информационната сигурност на електронната търговия са свързани с:

С умишлени атаки срещу интересите на субекти за електронна търговия (компютърни престъпления и компютърни вируси);

Неумишлени действия на обслужващия персонал (грешки, пропуски и др.);

Излагане на технически фактори, които могат да доведат до изкривяване и унищожаване на информацията (прекъсвания на захранването, софтуерни повреди);

Въздействие на техногенни фактори (природни бедствия, пожари, мащабни аварии и др.).

Заплахите за сигурността могат да бъдат свързани с действието на фактори, чието значение и влияние е почти винаги неизвестно. Следователно е невъзможно да се създаде напълно сигурна система. При създаването на система за сигурност на електронната търговия е необходимо да се сведе до минимум рискът от щети въз основа на характеристиките на заплахите за сигурността и специфичните условия на предприятието, занимаващо се с електронна търговия.

В този случай е необходимо да се основава на принципа на достатъчност, който се състои в това, че мерките, предприети в интерес на гарантиране на сигурността на електронната търговия, като се вземат предвид потенциалните заплахи, трябва да бъдат минимални и достатъчни.

Обхватът на предприетите мерки за сигурност трябва да съответства на съществуващите заплахи, в противен случай системата за сигурност няма да бъде рентабилна. В съответствие с това, за да се обоснове ефективността на мерките за гарантиране на сигурността на електронната търговия, се използват редица критерии, по един или друг начин базирани на сравнение на загубите, произтичащи от пробив в сигурността, и разходите за извършване на мерки за гарантира сигурността на електронната търговия.

Загубите, които могат да възникнат в предприятие за електронна търговия поради нарушение на информационната сигурност, могат да бъдат разделени на преки и непреки.

Преките загуби могат да бъдат изразени в стойност:

Възстановяване на повредена или физически изгубена информация в резултат на пожар, природно бедствие, кражба, грабеж, оперативни грешки, небрежност на персонала по поддръжката, хакване на компютърни системи и вируси;

Незначителни (незаконни) транзакции с парични средства и ценни книжа, извършени в електронна форма, чрез неразрешено проникване в компютърни системи и мрежи, както и злонамерена модификация на данни, умишлено увреждане на данни на електронни носители по време на съхранение, транспортиране или пренаписване на информация, предаване и получаване на фалшифицирани поръчки в електронни мрежи за пренос на данни и др.;

Обезщетение за физически и/или имуществени вреди, причинени на трети лица (субекти на електронна търговия – клиенти, потребители).

Косвените загуби могат да се изразят в текущите разходи за изплащане на заплати, лихви по заеми, наеми, амортизация и пропуснати ползи, които възникват, когато стопанската дейност на предприятието е принудена да бъде спряна поради нарушение на сигурността на предприятието.

Загубите и рисковете, свързани с тяхното възникване, принадлежат към финансови категории, чиито методи за икономическа оценка са разработени и известни. Затова няма да се спираме на техния подробен анализ.

Има два основни критерия, които ни позволяват да оценим ефективността на системата за защита:

Съотношението на цената на системата за защита (включително текущите разходи за поддържане на функционалността на тази система) към загубите, които могат да възникнат в случай на пробив в сигурността;

Съотношението на цената на система за сигурност към цената на хакването на тази система с цел компрометиране на сигурността.

Значението на тези критерии е следното: ако цената на система за защита, която осигурява дадено ниво на сигурност, е по-малка от цената за компенсиране на загубите, понесени в резултат на пробив в сигурността, тогава мерките за сигурност се считат за ефективни.

2. Витрина на онлайн магазин.















Библиография

1. Mayvold E. Електронна търговия: изисквания за сигурност http://www.intuit.ru/department/security/netsec/Електронен бизнес и сигурност / В. А. Биков.-М .: Радио и комуникации, 2013.

2. Авдошин С.М., Савелиева А.А., Сердюк В.А., Технологии и продукти на Microsoft за осигуряване на информационна сигурност - електронен ресурс http://www.intuit.ru/department/security/mssec/

В резултат на изучаването на материала в тази глава студентът трябва: зная

  • правни основи на информационната сигурност;
  • стандарти за сигурност при плащания с пластмасови карти;
  • правила за работа с електронни фактури; да бъде в състояние да
  • направете сигурно плащане с пластмасова карта;
  • правете безопасни покупки с пластмасови карти; собствен
  • познаване на съвременните информационни атаки и класификация на АРТ атаките;
  • познания за подобряване на сигурността на EDI и електронните плащания.

Сигурност за бизнеса в електронната търговия

Под сигурност на предприятието се разбира състоянието на неговата сигурност от външни и вътрешни заплахи. Концепцията за корпоративна сигурност включва:

  • защита на правната сигурност;
  • защита на личните данни;
  • физическа охрана;
  • икономическа и финансова сигурност;
  • информационна сигурност.

Най-често срещаните киберпрестъпления през 2014 г. и началото на 2015 г. са целенасочени атаки срещу корпоративни информационни системи (APT - усъвършенствана постоянна заплаха), опити за използване на уязвимости в приложения с отворен код, динамични техники за заобикаляне на сигурността (AET - усъвършенствани техники за укриване), заплахи във финансовия сектор, мобилни плащания, дистанционно банкиране, онлайн банкиране. Зловреден банков софтуер включва банкери, кийлогъри и програми за кражба на виртуални портфейли. Банкер (банкери) е специален вид системни залози в букмейкърите, при които се избират едно (или няколко) събития с очакван успешен изход. През 2014 г. експертите регистрираха 16 милиона заразявания на Windows компютри със зловреден банков софтуер и бяха открити 12 хиляди троянски коне за мобилно банкиране.

Заплахите за физическата сигурност включват атаки срещу живота и личните интереси на служителите на предприятието, такива действия срещу служители на предприятието като психологически терор, сплашване, изнудване, грабеж с цел завладяване на материални активи или документи, отвличане на служители, заплахи за живота, кражби, както и пожари и природни бедствия.

Икономическата и финансова сигурност включва защитата на икономическите и финансовите интереси на предприятието и неговите субекти. Заплахите за икономическата и финансовата сигурност са несъстоятелността на предприятието, компрометиране и подкопаване на доверието в предприятието, използване на фалшиви документи, изтичане на търговска информация, фалшифициране на финансови документи за получаване на заем, нарушаване на условията за плащане, разкриване на поверителна информация. финансова информация, условия за отпускане на кредити, фалшифициране на стоки и техните търговски марки и др.

Правната защита се постига чрез спазване от всеки субект на електронната търговия на законодателството на Руската федерация, наредби и правни актове, споразумения на страните по електронни транзакции, права и задължения в съответствие с правния статут на субекта, права и задължения в процедурата за извършване на електронна сделка. Участниците в електронните сделки са субекти и посредници на електронната търговия. От тях се изисква да предприемат действия за намаляване на рисковете, предотвратяване на заплахи и конфликти в процесите на електронната търговия. За да направят това, те трябва да използват средства за превенция и превенция на престъпността, като наблюдават правната подкрепа на своите дейности. Моделът на Закона за електронната търговия, приет с Резолюция на Междупарламентарната асамблея на държавите-членки на ОНД № 31-12 от 2008 г., определя основните мерки за гарантиране на сигурността на електронната търговия.

При провеждането на ЕК е важно да се спазват разпоредбите на Федералния закон от 29 юли 2004 г. № 98-FZ „За търговската тайна“. Законът дава следната дефиниция: „Търговска тайна е режим на поверителност на информация, който позволява на нейния собственик при съществуващи или възможни обстоятелства да увеличи доходите, да избегне неоправдани разходи, да поддържа позиция на пазара на стоки, работи, услуги, или да получите други търговски ползи.“

В съответствие с параграф 2 на чл. 3 от Закона за търговската тайна информация, представляваща търговска тайна, е информация от всякакъв характер, която има действителна или потенциална търговска стойност. Тя е юридически неизвестна на трети страни или собственикът на информацията е въвел режим на търговска тайна за нея. Информацията може да бъде от производствен, технически, икономически, организационен или друг характер. Член 15, част 1 от Гражданския кодекс на Руската федерация предвижда обезщетение за загуби, причинени от нарушаване на режима на търговската тайна. Под вреди се разбират разходите, необходими за възстановяване на нарушеното право. Те се поемат от лицето, чиито права са нарушени.

За да гарантира защитата на търговската тайна в предприятието, работодателят е длъжен да издаде „Правила за използване на корпоративната електронна поща“ и „Заповед за въвеждане на режим на търговска тайна“. В заповедта се посочва информация, която представлява търговска тайна в това предприятие. Правилникът и заповедта се довеждат до знанието на всички служители на предприятието под личен подпис. Собственикът на информация, представляваща търговска тайна, има право да използва, ако е необходимо, средства и методи за техническа защита на тази информация. Той може да прилага и други защитни мерки, които не противоречат на законодателството на Руската федерация. Това следва от чл. 34, клауза 1 от Конституцията на Руската федерация.

Забележка.Спазването на разпоредбите на Закона за търговската тайна е необходимо за студенти, които преминават практика в държавни или търговски предприятия. Информацията, включена в докладите за стажове и заключителни квалификационни работи, не трябва да разкрива търговските тайни на тези предприятия.

Сигурност на електронната търговия

Въведение

Появата и развитието на Интернет, усъвършенстването на информационните технологии, системите и стандартите за тяхното взаимодействие доведоха до създаването на ново направление на съвременния бизнес - електронният бизнес, като специална форма на бизнес, реализирана до голяма степен чрез въвеждането на информационни технологии в процесите на производство, продажба и дистрибуция на стоки и услуги.

Електронният бизнес е резултат от нови, качествени промени, свързани с въвеждането на информационни и комуникационни технологии в традиционно съществуващите бизнеси. В основата си идеята за е-бизнес е логично развитие на идеята за автоматизация и компютъризация.

Електронната търговия създава два ефекта на ниво предприятие: тя значително реорганизира пътя на продуктите от производството до крайния потребител и променя цялата структура на пазара. Също така позволява на малкия бизнес да се конкурира с големи и средни организации, без да разбива банката.

Развитието на информационните и комуникационните технологии доведе до развитието на бизнеса в Интернет, като по този начин се роди ново направление - виртуалната или мрежова икономика, а електронната търговия се превърна в един от начините за извършване на електронен бизнес от гледна точка на Интернет комуникации.

Системите за електронна търговия обаче са по-податливи на рискове за сигурността, отколкото традиционните бизнес системи, което прави критично важно да се осигури адекватна защита.

Причини за високи рискове за сигурността

Системите за електронна търговия са типичен пример за разпределена изчислителна система. При тях няколко клиента работят с един сървър, по-рядко с няколко сървъра. Така електронният магазин е застрашен от всички вътрешни и отдалечени атаки, присъщи на всяка разпределена компютърна система, която взаимодейства чрез предаване на данни през отворени мрежи.

Технологията на функциониране на типично предприятие в областта на електронната търговия, работещо на базата на онлайн магазин, включва следните етапи:

1. Избор на продукт на електронна витрина с каталог с продукти и цени (сайт). Купувачът въвежда своите лични данни в съответната форма.

2. Трансфер на готовия продукт в търговската система на онлайн магазина, където се извършва поръчката.

3. Доставка и плащане на стоки. Доставката на стоки до купувача се извършва по един от възможните начини:

– магазин куриер в рамките на града и околностите;

– специализирана куриерска услуга (включително от чужбина);

- по поща;

- Вдигни;

– такъв специфичен продукт като информацията се доставя чрез телекомуникационни мрежи.

4. Плащането на стоки може да се извърши по следните начини:

– предварително или в момента на получаване на стоката;

– в брой на куриера или при посещение в реален магазин;

– с пощенски превод;

- Банкова транзакция;

- наложен платеж;

– използване на кредитни карти (VISA, MASTER CARD и др.);

– чрез системи за електронни разплащания чрез отделни търговски банки (ТЕЛЕБАНК, АСИСТ и др.).

По време на тези етапи възникват следните възможни варианти за измама:

– получаване на данни за клиента чрез хакване на базата данни на търговски предприятия или чрез прихващане на съобщения на купувача, съдържащи негови лични данни;

– магазини за пеперуди, които се появяват по правило за кратко време, за да изчезнат след получаване на средства от клиенти за несъществуващи услуги или стоки;

– увеличение на цената на стоките спрямо предложената на купувача цена или многократни дебити от сметката на клиента;

– магазини или търговски агенти, предназначени да събират информация относно данните на картата и други лични данни на купувача.

– подмяна на страницата на уеб сървъра на електронен магазин. Основният метод за внедряване е пренасочване на потребителски заявки към друг сървър. Това се прави чрез замяна на записи в таблиците на DNS сървъра или таблиците на рутера. Това е особено опасно, когато клиентът въвежда номера на кредитната си карта.

– създаване на фалшиви поръчки и измами от страна на служители на електронния магазин. Проникването в базата данни и промяната на процедурите за обработка на поръчки позволява незаконно манипулиране на базата данни

– прихващане на данни, предавани в системата за електронна търговия. Особена опасност представлява прихващането на информация за кредитната карта на клиента.

– проникване във вътрешната мрежа на компанията и компрометиране на компонентите на електронния магазин.

– осъществяване на атаки за отказ на услуга и нарушаване на функционирането или дезактивиране на възел за електронна търговия.

Методи за защита

Мерките, предприети от участниците в електронната търговия за осигуряване на сигурни плащания в Интернет, са доста разнообразни. Основните методи ще бъдат обсъдени по-нататък:

1. Обучение на притежателите на банкови карти на минимални умения, за да гарантират собствената си безопасност. Методът включва следните препоръки: използване само на надеждни ресурси за достъп до Интернет, изучаване на процедурата за доставка на стоки и предоставяне на услуги, проверка на използването на сертифицирани протоколи от търговеца, които гарантират сигурността на предаваната информация.

2. Криптиране на данни. Днес почти всички банки, предоставящи услуги за интернет банкиране, използват SSL (Secure Socked Layer) - криптиране на данните, предавани от компютъра на потребителя към системата на банката и обратно. SSL протоколът, широко използван и почти задължителен в онлайн търговията, позволява на всички участници в търговията безопасно да прехвърлят голямо разнообразие от информация. Ако се опитате да прихванете данните, те ще бъдат затворени с криптиране, което не може да бъде разбито за подходящ период от време.
SSL протоколът надеждно защитава информацията, предавана по интернет, но все още не може да защити личната информация, съхранявана на сървъра на търговеца, като номера на кредитни карти. Когато търговец получи информация за кредитна карта заедно със заявка за покупка, информацията се дешифрира и съхранява на сървъра, докато заявката бъде изпълнена. Ако сървърът не е защитен и данните не са криптирани, тогава е възможен неоторизиран достъп до лична информация и по-нататъшното й използване за измамни цели.

3. Еднократни пароли, получени на банкомат. С такава система за защита, в допълнение към обичайните потребителско име и парола, за да влезе в системата и да потвърди транзакциите, потребителят трябва да въведе еднократна парола, чийто списък може да получи на банкомата на своята банка. От гледна точка на сигурността подобна система има предимство - за да извършва транзакции по картова сметка чрез интернет банкиране, човек трябва най-малко да има самата карта в ръка, както и да знае ПИН кода, за да получи списък с пароли на банкомат.

4. Еднократните SMS пароли са система, при която всяка операция, извършвана чрез онлайн банкиране, трябва да бъде потвърдена с еднократна парола, която потребителят получава в SMS съобщение на своя мобилен телефон. В този случай мобилният номер трябва да бъде „свързан“ с номера на сметката.
Тази система има следните предимства:

– лекота на използване – няма нужда от специално оборудване, а процедурата за потвърждаване на операцията отнема само няколко минути.

– защита на акаунта – дори ако измамниците научат данните за вход и паролата за влизане в системата, те няма да получат достъп до парите и потребителят ще научи за опит за извършване на неоторизирана операция от SMS съобщение.

Заключение

Невъзможно е да се реши проблемът с осигуряването на надеждността на информационната сигурност само с помощта на технически средства и софтуер. Според експерти защитата на корпоративните информационни системи зависи от редица фактори: 30% - от използваните технически решения; 40% - от извършената организационна дейност в институцията и 30% - от моралното състояние на обществото и общото културно ниво на ползвателя.
В момента всяка организация решава отделно въпросите за осигуряване на сигурността на онлайн търговските транзакции, като използва професионални инструменти за сигурност. Въпреки това, поради липсата на подходяща регулация в областта на електронната търговия, ще отнеме много време и усилия, преди да успеят да спечелят доверието на значителна маса клиенти.

Широкото навлизане на Интернет не може да не повлияе на развитието на електронния бизнес.

Един от видовете електронен бизнес е електронната търговия. В съответствие с документите на ООН един бизнес се признава за електронен, ако поне два от неговите четири компонента (производство на стоки или услуги, маркетинг, доставка и плащания) се извършват чрез интернет. Следователно, в тази интерпретация обикновено се смята, че една покупка се класифицира като електронна търговия, ако най-малко маркетингът (организиране на търсенето) и плащанията се извършват през интернет. По-тясна интерпретация на понятието „електронна търговия“ характеризира системите за безналични плащания, базирани на пластмасови карти.

Ключов въпрос за внедряването на електронната търговия е сигурността.

Високото ниво на измами в интернет е пречка за развитието на електронната търговия. Купувачи, търговци и банки се страхуват да използват тази технология поради риск от финансови загуби. Хората използват интернет предимно като информационен канал за получаване на информация, която ги интересува. Само малко повече от 2% от всички търсения в каталози и бази данни в Интернет завършват с покупки.

Ето класификация на възможните видове измами в електронната търговия:

  • транзакции (безкасови транзакции), извършени от измамници, използващи правилни данни за картата (номер на карта, дата на изтичане и др.);
  • получаване на данни за клиента чрез хакване на базата данни на търговски предприятия или чрез прихващане на съобщения на купувача, съдържащи личните му данни;
  • магазини пеперуди, които се появяват, като правило, за кратко време, за да изчезнат след получаване на средства от клиенти за несъществуващи услуги или стоки;
  • увеличение на цената на стоките по отношение на цената, предложена на купувача или повтарящи се дебити от сметката на клиента;
  • магазини или търговски агенти, предназначени да събират информация относно данните на картата и други лични данни на купувача.

SSL протокол

протокол SSL(Secure Socket Layer) е разработен от американската компания Netscape Communications. SSL осигурява сигурност на данните между сервизни протоколи (като HTTP, NNTP, FTP и др.) и транспортни протоколи (TCP/IP), използвайки усъвършенствана криптография през връзки от точка до точка. Преди това беше възможно да се видят данните, обменяни между клиенти и сървъри, без специални технически трикове. За това дори беше измислен специален термин - „снифър“.

SSL протоколът е предназначен за решаване на традиционни проблеми за осигуряване на сигурността на информационното взаимодействие:

  • потребителят и сървърът трябва да са взаимно уверени, че обменят информация не с фалшиви абонати, а с тези, които са необходими, без да се ограничават до защита с парола;
  • след установяване на връзка между сървъра и клиента, целият информационен поток между тях трябва да бъде защитен от неоторизиран достъп;
  • и накрая, когато обменят информация, страните трябва да са сигурни, че няма случайни или умишлени изкривявания при нейното предаване.

SSL протоколът позволява на сървъра и клиента да се удостоверяват взаимно, да съгласуват алгоритъм за криптиране и да генерират общи криптографски ключове, преди да започнат информационна комуникация. За тази цел протоколът използва двуключови (асиметрични) криптосистеми, по-специално RSA.

Поверителността на информацията, предавана по установена защитена връзка, се осигурява чрез криптиране на потока от данни с помощта на генериран споделен ключ, използвайки симетрични криптографски алгоритми (например RC4_128, RC4_40, RC2_128, RC2_40, DES40 и др.). Целостта на предадените блокове данни се наблюдава чрез използването на така наречените кодове за удостоверяване на съобщения (Message Authentification Code, или MAC), изчислени с помощта на хеш функции (например MD5).

SSL протоколът включва два етапа на взаимодействие между страните в защитената връзка:

  • установяване на SSL сесия;
  • защита на потока от данни.

На етапа на установяване на SSL сесия сървърът и (опционално) клиентът се удостоверяват, страните се договарят за използваните криптографски алгоритми и формират общ „секрет“, въз основа на който се създават общи сесийни ключове за последваща връзка защита. Този етап се нарича още „процедура на ръкостискане“.

На втория етап (защита на потока от данни) информационните съобщения на ниво приложение се нарязват на блокове, кодът за удостоверяване на съобщението се изчислява за всеки блок, след което данните се криптират и изпращат до приемащата страна. Приемащата страна извършва обратните действия: декриптиране, проверка на кода за удостоверяване на съобщението, сглобяване на съобщения, прехвърляне на ниво приложение.

Най-разпространеният софтуерен пакет за поддръжка на SSL е SSLeay. Той съдържа C изходен код, който може да бъде вграден в приложения като Telnet и FTP.

SSL използва криптография с публичен ключ, известна още като асиметрична криптография. Той използва два ключа: единият за криптиране, а другият за дешифриране на съобщението. Двата ключа са математически свързани по такъв начин, че данните, криптирани с помощта на един ключ, могат да бъдат декриптирани само с помощта на другия ключ. Всеки потребител има два ключа - публичен и секретен (личен). Потребителят прави публичния ключ достъпен за всеки мрежов кореспондент. Потребителят и всеки кореспондент, притежаващ публичния ключ, могат да бъдат сигурни, че данните, криптирани с помощта на публичния ключ, могат да бъдат декриптирани само с помощта на частния ключ.

Ако двама потребители искат да са сигурни, че информацията, която обменят, няма да бъде получена от трети, тогава всеки от тях трябва да прехвърли единия компонент на двойката ключове (а именно публичния ключ), другия и да съхрани другия компонент (частния ключ). ). Съобщенията се криптират с публичния ключ и се декриптират само с частния ключ. Ето как съобщенията могат да се предават през отворена мрежа, без никой да може да ги прочете.

Целостта и удостоверяването на съобщението се осигурява чрез използването на електронен цифров подпис.

Сега възниква въпросът как да разпределите вашите публични ключове. За това (и не само) е изобретен специален формуляр - сертификат. Сертификатът се състои от следните части:

  • име на лицето/организацията, издала удостоверението;
  • предмет на сертификата (за кого е издаден този сертификат);
  • публичен ключ на субекта;
  • някои времеви параметри (срок на валидност на сертификата и др.).

Сертификатът е "подписан" от частния ключ на лицето (или организацията), което издава сертификатите. Организациите, които извършват такива операции, се наричат ​​Сертифициращи органи (CA). Ако отидете в раздела за сигурност в стандартен уеб браузър, който поддържа SSL, можете да видите списък с известни организации, които „подписват“ сертификати. Технически, създаването на собствен CA е доста просто, но има и законности, които трябва да бъдат подредени и това може да създаде някои сериозни предизвикателства.

SSL днес е най-разпространеният протокол, използван при изграждането на системи за електронна търговия. Използва се за извършване на 99% от всички транзакции. Широкото използване на SSL се обяснява преди всичко с факта, че той е неразделна част от всички браузъри и уеб сървъри. Друго предимство на SSL е простотата на протокола и високата скорост на изпълнение на транзакцията.

В същото време SSL има редица съществени недостатъци:

  • купувачът не е удостоверен;
  • продавачът се удостоверява само чрез URL;
  • Цифровият подпис се използва само за удостоверяване в началото на установяване на SSL сесия. За доказване на транзакция в случай на конфликтни ситуации е необходимо или да се съхранява целият диалог между купувача и продавача, което е скъпо от гледна точка на ресурсите на паметта и не се използва на практика, или да се съхраняват хартиени копия, потвърждаващи получаването на стоките от купувача;
  • Поверителността на данните на картата за продавача не е гарантирана.

SET протокол

Друг протокол за сигурни транзакции в интернет е КОМПЛЕКТ(Сделка с електроника за сигурност). SET се основава на използването на цифрови сертификати по стандарта X.509.

Протоколът за сигурни транзакции SET е стандарт, разработен от MasterCard и VISA със значително участие на IBM, GlobeSet и други партньори. Той позволява на клиентите да купуват продукти онлайн, като използват най-сигурния механизъм за плащане, наличен днес. SET е отворен стандартен многостранен протокол за извършване на сигурни плащания с пластмасови карти в Интернет. SET осигурява кръстосано удостоверяване на сметката на картодържателя, търговеца и банката на търговеца, за да се провери готовността за плащане на стоките, целостта и секретността на съобщението и криптирането на ценни и уязвими данни. Следователно SET може да се нарече стандартна технология или система от протоколи за извършване на сигурни плащания с пластмасови карти през Интернет.

SET позволява на потребителите и търговците да проверяват самоличността на всички участници в онлайн транзакция, използвайки криптография, включително цифрови сертификати.

Потенциалните продажби в електронната търговия са ограничени от постигането на необходимото ниво на информационна сигурност, което се постига съвместно от купувачи, продавачи и финансови институции, загрижени за сигурността на плащанията през Интернет. Както бе споменато по-рано, основните цели на информационната сигурност са да се гарантира нейната наличност, поверителност, цялост и правна значимост. SET, за разлика от други протоколи, ви позволява да разрешите тези проблеми с информационната сигурност.

В резултат на това, че много компании разработват собствен софтуер за електронна търговия, възниква друг проблем. Ако се използва този софтуер, всички участници в транзакцията трябва да имат еднакви приложения, което е практически невъзможно. Следователно е необходим начин за осигуряване на механизъм за оперативна съвместимост между приложения от различни разработчици.

Поради горните проблеми VISA и MasterCard, заедно с други технически компании (като IBM, която е ключов разработчик в разработването на протокола SET), са дефинирали спецификацията и набора от протоколи за стандарта SET. Тази отворена спецификация бързо се превърна в де факто стандарт за електронна търговия. В тази спецификация криптирането на информация гарантира поверителността. Цифровите подписи и сертификати осигуряват идентификация и удостоверяване (автентификация) на участниците в транзакциите. Използва се и цифров подпис, за да се гарантира целостта на данните. Използва се отворен набор от протоколи, за да се даде възможност за оперативна съвместимост между реализации от различни доставчици.

SET предоставя следните специфични изисквания за сигурност за транзакции в електронната търговия:

  • поверителността на данните за плащане и поверителността на информацията за поръчките, предавана заедно с данните за плащането;
  • поддържане целостта на данните за плащане; целостта се гарантира с помощта на цифров подпис;
  • криптография със специален публичен ключ за удостоверяване;
  • удостоверяване на притежателя на кредитна карта, което се осигурява чрез използване на цифров подпис и сертификати на картодържател;
  • удостоверяване на продавача и способността му да приема плащания с пластмасови карти с помощта на цифров подпис и сертификати на продавача;
  • потвърждение, че банката на продавача е активна организация, която може да приема плащания с пластмасови карти чрез комуникация със системата за обработка; това потвърждение се предоставя с помощта на цифров подпис и сертификати от банката на продавача;
  • желание за плащане за транзакции в резултат на удостоверяване на публичен ключ за всички страни;
  • сигурност на предаването на данни чрез основно използване на криптография.

Основното предимство на SET пред много съществуващи системи за информационна сигурност е използването на цифрови сертификати (стандарт X.509, версия 3), които асоциират картодържателя, търговеца и банката на търговеца с редица банкови институции от платежните системи VISA и MasterCard.

  • отворен, напълно документиран стандарт за финансовата индустрия;
  • базирани на международни стандарти за платежни системи;
  • разчита на съществуващите технологии и правни механизми във финансовата индустрия.

Между другото, съвместен проект, реализиран от IBM, Chase Manhattan Bank USA N.A., First Data Corporation, GlobeSet, MasterCard и Wal-Mart, позволява на собствениците на карти Wal-Mart MasterCard, издадени от Chase bank, да купуват стоки на уебсайта на Wal-Mart Online , който е един от най-големите центрове за електронна търговия в Съединените щати.

Нека разгледаме по-подробно процеса на взаимодействие между участниците в платежна транзакция в съответствие със спецификацията SET, показана на фигурата от уебсайта на IBM:

На изображението:

  • Картодържател- купувач, който прави поръчка.
  • Банка на купувача- финансовата институция, издала кредитната карта на купувача.
  • Продавач- електронен магазин, предлагащ стоки и услуги.
  • Банката на продавача- финансова структура, ангажирана с обслужването на операциите на продавача.
  • Вход за плащане- система, обикновено контролирана от банката на продавача, която обработва заявки от продавача и взаимодейства с банката на купувача.
  • Сертифицираща организация- доверителна структура, която издава и проверява сертификати.

Отношенията между участниците в дадена операция са показани на фигурата с непрекъснати линии (взаимодействията, описани от стандарта или протокола SET) и пунктирани линии (някои възможни операции).

Динамиката на връзките и информационните потоци в съответствие със стандартната спецификация SET включва следните действия:

  1. Участниците изискват и получават сертификати от сертифицираща организация.
  2. Собственикът на пластмасовата карта преглежда електронния каталог, избира продукти и изпраща поръчката на продавача.
  3. Продавачът представя своя сертификат на картодържателя като идентификация.
  4. Картодържателят представя своя сертификат на продавача.
  5. Търговецът иска от шлюза за плащане да извърши операция за проверка. Порталът сверява предоставената информация с информацията на банката, издала електронната карта.
  6. След проверка шлюзът за плащане връща резултатите на търговеца.
  7. Известно време по-късно търговецът иска от платежния портал да извърши една или повече финансови транзакции. Шлюзът изпраща заявка за прехвърляне на определена сума от банката на купувача към банката на продавача.

Представената схема на взаимодействие се поддържа от гледна точка на информационната сигурност от спецификацията Chip Electronic Commerce, създадена за използване на смарт карти по стандарт EMV в Интернет (www.emvco.com). Разработен е от Europay, MasterCard и VISA. Комбинацията от микропроцесорния стандарт EMV и протокола SET осигурява безпрецедентно ниво на сигурност на всички етапи от транзакцията.

На 20 юни 2000 г. компанията Rosbusinessconsulting публикува на своя уебсайт съобщение, че една от най-големите платежни системи в света VISA разкрива своите инициативи в областта на сигурността на електронната търговия на 19 юни 2000 г. Според представители на системата тези стъпки са предназначени да направят онлайн пазаруването по-безопасно за купувачи и продавачи. VISA вярва, че въвеждането на нови инициативи ще намали броя на споровете за онлайн транзакции с 50%. Инициативата се състои от две основни части. Първата част е Програмата за удостоверяване на плащания, която е предназначена да намали риска от неоторизирано използване на акаунта на картодържателя и да подобри обслужването за купувачи и продавачи онлайн. Втората е Програмата за глобална сигурност на данните, която има за цел да създаде стандарти за сигурност за компаниите за електронна търговия, за да защити данните на картите и картодържателите.

Сравнителна характеристика на протоколите SSL и SET

Платежните системи са най-критичната част от електронната търговия и бъдещето на тяхното онлайн присъствие до голяма степен зависи от възможността за осигуряване на информационна сигурност и други обслужващи функции в Интернет. SSL и SET са два добре известни протокола за пренос на данни, като и двата се използват в системите за интернет разплащания. Ще се опитаме да сравним SSL и SET и да оценим някои от най-важните им характеристики.

Така че, нека разгледаме най-важната функция за удостоверяване (автентификация) във виртуалния свят, където няма обичайни физически контакти. SSL осигурява само комуникация от точка до точка. Спомняме си, че има поне четири страни, участващи в процеса на транзакция с кредитна карта: потребителят, търговецът, банката издател и банката получател. SET изисква удостоверяване от всички страни, участващи в транзакцията.

SET предотвратява достъпа на търговеца до информацията за картата и на банката издател от достъп до личната информация на клиента относно неговите поръчки. SSL позволява контролиран достъп до сървъри, директории, файлове и друга информация. И двата протокола използват модерна криптография и системи за цифрови сертификати, които удостоверяват цифровите подписи на взаимодействащите страни. SSL е предназначен основно за защита на комуникациите в Интернет. SET осигурява сигурност за транзакциите в електронната търговия като цяло, което гарантира правната валидност на ценната информация, която се защитава. В същото време транзакцията през SET е по-бавна, отколкото в SSL, а цената й е много по-висока. Последната характеристика е много подходяща за днешния руски пазар, където рисковете и оперативните разходи все още не се вземат предвид.

Трябва да се добави, че чрез използването на SSL потребителите са изложени на риск от разкриване на данните за картата си на търговеца.

Внедряването и експлоатацията на SET се извършва от много години в няколко десетки проекта по целия свят. Например, първата транзакция SET беше извършена на 30 декември 1996 г. в PBS (датска банка) в съвместен проект между IBM и MasterCard. Подобна работа беше извършена през 1997 г. в най-голямата японска банка Fuji Bank, където беше необходимо протоколът да се адаптира към специфичното японско законодателство. През изминалото време такива проекти за внедряване позволиха да се разработят функциите на протокола и съответната документация.

Между другото, IBM разполага с пълен набор от продукти, който покрива всички ключови аспекти на комплексното използване на SET като цяло и осигурява развита инфраструктура:

  • IBM Net.commerce Suite за продавачи, организиращи онлайн магазини;
  • IBM Consumer Wallet за картодържатели;
  • IBM Payment Gateway - платежен портал за банки;
  • IBM Net. Регистърът на плащанията е продукт за удостоверяване и сертифициране.

SET работи на различни компютърни платформи от компании като IBM, Hewlett Packard, Sun Microsystems и Microsoft.

SSL, от друга страна, се използва предимно в уеб приложения и за защита на комуникациите в Интернет. Има и свободно достъпна версия на SSL, наречена SSLeay. Той съдържа C изходен код, който може да бъде вграден в приложения като Telnet и FTP. Благодарение на тези качества, SSL стана широко разпространен в корпоративни интранет мрежи и системи с малък брой потребители.

Въпреки технологичното съвършенство на протокола SET, използването му в света е много ограничено. Има много причини за това, като решаващата е високата цена за внедряване на система за електронна търговия, базирана на протокола SET (цената на SET решение варира от $600 до 1500 хиляди).

SSL протоколът гарантира поверителността на данните за транзакциите само когато се предават през публична мрежа, но в същото време е значително по-евтин за внедряване. В резултат на това по-голямата част от съвременните системи за електронна търговия използват SSL протокола.

Експертите и разработчиците на протокола SET грешаха, като прогнозираха бързото и широко разпространение на този стандарт. Освен това упорито се говори, че протоколът SET вече е нещо от миналото и шансовете му да оцелее са нищожни.

Такива разговори започнаха през лятото на 2000 г., когато VISA International направи изявление, според което протоколът 3D SET (вид SET) стана стандарт за Европейския съюз, Латинска Америка и някои други европейски страни, включително Русия. В същото време протоколът 3D SSL (другото име на протокола е 3D Payer) беше провъзгласен за стандарт на най-големия американски пазар.

Ръководителят на руското представителство на Visa Int. Лу Наумовски се съгласява, че SET не е намерил търсене:

"Това е много добра технология. Но, съдейки по реакцията на банките, не само руски, но и чуждестранни, това е малко скъпо. Банката издател, която използва протокола SET за проследяване на транзакции с карти, трябва да поддържа база данни на придобиване на банки и търговски обекти. Опитахме се да намерим по-евтина алтернатива на този протокол."

През май 2001 г. бяха публикувани спецификации за стандарта 3D Secure, който претендира да бъде глобален стандарт за удостоверяване в платежната система Visa. С решение на Европейския съюз от юли 2002 г. всички онлайн магазини получиха идентификация на ниво този протокол. Следователно, приемащата банка на такива онлайн магазини трябва да може да им предостави този протокол. При липса на 3D Secure той носи пълна отговорност за оспорени транзакции. Ако той използва 3D Secure, но банката издател не го прави, тогава последната носи отговорност.

Принципът на работа на 3D Secure е, че има три различни домейна - банката издател, онлайн магазинът и Visa, през чийто домейн се осъществява комуникацията между купувач, продавач и банки. Много е важно всички съобщения да се изпращат през интернет. В същото време Visa гарантира поверителността на информацията. След като купувачът щракне върху слогана Verified by Visa на интернет страницата и въведе своята парола, тази информация отива в банката издател и се извършва идентификация. Банката издател изпраща заявка до онлайн магазина чрез домейна на Visa, след което този магазин се идентифицира от приемащата банка. По този начин данните на картодържателя са известни само на банката издател. В същото време притежателят на картата е уверен, че този магазин е потвърден от Visa, тоест сертифициран от Visa чрез приемащата банка. Ако банката издател не получи потвърждение от домейна на Visa, че магазинът е потвърден от Visa, транзакцията няма да се извърши.

Разбира се, картодържателят може да прави покупки и в други онлайн магазини, които нямат статус Verified by Visa. Тогава банката издател носи отговорност за оспорени транзакции и ще трябва да предупреди клиентите си за това.

Подобни материали

Разработка на урок по английски език по темата
Математика

Разработване на урок по английски език на тема "Благотворителност"

Умножение по четири Научете таблицата за умножение с 4
Математика

Умножение по четири Научете таблицата за умножение с 4

характеристики на образователния процес в русия
Математика

характеристики на образователния процес в русия