Стандарты безопасности международных платежных систем для расчетов через Интернет
С учетом все возрастающих объемов оплат покупок через сеть Интернет международными платежными системами были разработаны и внедрены новые стандарты Visa 3D и MasterCard Secure Code Program. С 1 апреля 2003 г. платежная система Visa обязала своих членов при осуществлении эквайринга интернет-магазинов реализовать поддержку протокола 3D-Secure и получить статус Verified by VISA (VbV) по эквайрингу. Суть новой технологии состоит в том, что она делает более безопасными расчеты в сети. До этого основные риски по мошенничеству нес банк-эквайрер, который на свой риск проводил (или не проводил) платеж. Как только эквайрер реализует у себя протокол 3D-Secure, большинство рисков начинает нести банк - эмитент карты. В этом случае при попытке использования пластика для расчета в сети покупатель переадресовывается на сервер банка-эмитента, который и будет идентифицировать владельца, решать, принимать его карту к оплате или нет. Таким образом, именно банк - эмитент карты осуществляет проверку законности использования карты. Проверка может проводиться путем ввода ответа на заранее известный эмитенту и держателю карты вопрос. По результатам проверки эмитентом формируется специальный код, который пересылается эквайреру в качестве подтверждения законности транзакции, причем все данные ответа подписываются секретным ключом эмитента, что делает невозможным их изменение. Технология построена таким образом, что держатель карты вводит данные пластиковой карты непосредственно на сервере банка. Затем данные пересылаются эмитенту через закрытый домен Visa, и платеж проводится только после подтверждения его законности от эмитента, что служит гарантией защиты от несанкционированного использования карты как самим магазином, так и третьими лицами. Соответственно уменьшается число тех претензионных платежей в интернет-магазинах, от которых держатель карты отказывается - операций charge back и за которые эквайрер штрафовался. Это позволяет платежной системе снизить материальную ответственность банков-эквайреров, которым, в свою очередь, предоставляется возможность подключать интернет-магазины с большим оборотом на более выгодных условиях. Другой плюс новой технологии для банков-эквайреров состоит в том, что теперь они смогут на безопасном уровне работать с электронными магазинами не только через специализированные платежные системы, но и напрямую. В этом случае комиссия магазина полностью поступает банку-эквайеру. Новую технологию безопасности электронных платежей разработала не только Visa, но и основной ее конкурент MasterCard. В своей программе MasterCard Secure Code Program компания разрешает использование протокола 3D-Secure наряду с собственным протоколом UCAF. Следует отметить, в отличие от Visa MasterCard пока не настаивает на том, чтобы банки переходили на новые технологии. Система лишь рекомендовала переходить на них с 1 июля 2004 г., однако ввела значительные штрафы за превышение показателей по платежам в Интернете, которые будут заявлены клиентами как chargeback. Внедрение новых технологий снимет один из основных барьеров развития интернет-коммерции: обезопасит платежи, снизит бремя материальной ответственности банков-эквайреров, что, в свою очередь, даст возможность подключать интернет-магазины с большим оборотом на более выгодных условиях. Практика банков, освоивших данную технологию, показывает, что расходы на сертификацию по эквайрингу окупаются в пределах полугода. Для лучшего понимания основных положений стандартов рассмотрим типичную последовательность операций при проведении платежа. При проведении электронного платежа картодержатель обычно совершает несколько последовательных шагов: 1. Выбор товара (Shaping) - как правило, осуществляется на сервере электронного магазина. В результате операций формируются "корзина покупателя" или "карта услуг". 2. Формирование счета (Checkout) - осуществляется с использованием информации "корзины покупателя", а также дополнительных данных, которые покупатель предоставляет электронному магазину (адрес, имя и т.д.). Магазины также могут применять методы регистрации покупателей, информация о покупателе сохраняется на сервере магазина и в последующих случаях может быть использована для подтверждения покупателем. 3. Оплата (Online Payment) - владелец карты осуществляет платеж путем указания данных карты на специальной платежной странице. Для проведения онлайн-платежа магазины могут использовать несколько решений: собственное программное обеспечение - магазин имеет собственное программное обеспечение для обмена данными с процессинговым центром и страницу для ввода клиентом данных своей карты. В этом случае данные карты клиента могут сохраняться на сервере магазина; использование программного обеспечения банка-эквайрера - в данном случае используется платежный механизм, предоставляемый банком-эквайрером. Клиент использует платежную страницу банка, которая уже содержит данные счета покупателя, предварительно переданные магазином; использование программного обеспечения платежной системы - случай аналогичен использованию программного обеспечения банка-эквайрера, но для платежа используется программное обеспечение платежной системы, т.н. Payment Service Provider (PSP). Для продвижения вперед программ электронной коммерции, компания Visa разработала программу Secure e-Commerce Initiative. Основная цель программы - увеличение числа электронных транзакций, обеспечение безопасности и увеличение числа участников электронной торговли. Одной из частей данной программы является программа аутентификации платежей Visa Authenticated Payment Program, которая осуществляет аутентификацию клиента в соответствии с моделью 3D (Three Domain Model) Протокол 3D-Secure был разработан компанией Visa в целях повышения безопасности платежей, проводимых в сетях Интернет, и мобильной коммерции. 3D-Secure - это технология аутентификации клиента, которая использует протокол SSL (Secure Sockets Layer) для защиты данных, передаваемых по открытым каналам, и модуль Merchant Plug-in (MPI), который осуществляет: - передачу данных между поставщиком услуг и участниками системы; - защиту конфиденциальных данных картодержателя (номер карты и т.д.). Протокол использует в сети Интернет структуру следующих трех доменов: домен эмитента; домен эквайрера; общий домен. Домен эмитента используется для обслуживания запросов картодержателей к сервису аутентификации. Данный процесс включает в себя: - идентификацию пользователя в процессе обращения к сервису (т.е. пользователь должен ввести данные, которые однозначно определяют его в базе данных эмитента);
"Рис. 1. Аутентификация владельца карты в соответствии с моделью 3D"
- аутентификацию в процессе платежа, т.е. клиент должен подтвердить разрешение на проведение платежной операции по своей карте путем ввода секретного кода (аутентификация может быть проведена несколькими способами: ввод секретного кода, использование смарт-карты для формирования криптограммы и т.д.). Домен эквайрера используется для обслуживания торговых точек: - обеспечивает процедуры для функционирования торговых точек в соответствии с протоколами, установленными стандартом; - осуществляет процессинг транзакций, прошедших аутентификацию. Общий домен обеспечивает взаимодействие двух других доменов путем предоставления средств передачи данных запросов и общих протоколов взаимодействия. Порядок проведения платежей с использованием 3D-Secure начинается с регистрации клиента. Регистрация клиента осуществляется эмитентом до начала проведения платежей в сети Интернет. Процесс регистрации производится на сервере эмитента, где у клиента запрашивается информация о данных его карты и секретных кодах, которые могут быть применимы для дальнейшей аутентификации клиента в ходе платежа, так, в качестве секретного кода может быть использован пароль, дополнительно может быть использован вопрос с заранее известным клиенту и эмитенту ответом. Сервер регистрации эмитента передает данные пользователя на сервер контроля доступа Access Control Server (ACS). Каждый раз, когда пользователь производит платеж, сервер контроля доступа осуществляет аутентификацию клиента для определения его участия в программе 3D-Secure. Платежная транзакция (рис. 2) осуществляется в несколько этапов. 1. Клиент производит выбор товара и переходит на страницу оплаты, которая находится на сервере магазина. 2. Модуль MPI производит запрос к серверу Directory Server (DS) для проверки факта участия карты в процессе 3D-Secure. В случае, если эмитент карты поддерживает стандарт 3D-Secure, сервер DS передает запрос на сервер эмитента ACS для проверки данных карты. Ответ, в котором содержится адрес ACS, передается модулю MPI. 3. Модуль MPI передает данные запроса на аутентификацию клиента серверу ACS, для этого используются браузер клиента и адрес, который был получен от ACS в процессе шага 2. 4. ACS производит аутентификацию пользователя путем проверки его пароля или другим способом. 5. ACS передает ответ на запрос модулю MPI через браузер клиента, а также сохраняет запись аутентификации на Authentication History Server.
"Рис. 2. Прохождение платежной транзакции"
6. Модуль MPI осуществляет контроль данных ответа сервера ACS и в случае успешной аутентификации клиента производит стандартную авторизационную процедуру для платежа. В 2002 г. компанией MasterCard была начата программа обеспечения безопасности электронных платежей, которая получила название MasterCard Site Data Protection (SDP) Service. Для содействия процессу принятия основных положений данной программы был разработан документ, получивший название MasterCard Site Data Protection Program. Данный документ предназначен для участников, ведущих прием электронных платежей, в том числе магазинов и сервис-провайдеров Member Service Provider (MSP). Практической стороной решения проблем безопасности является использование программы MasterCard Secure Code Program. Данная программа предоставляет участникам электронной сделки возможность четко разделить ответственность между участниками (эмитентом, эквайрером, владельцем карты и электронным магазином). MasterCard Secure Code предлагает гибкие и просто реализуемые решения, которые дают возможность эмитенту аутентифицировать владельца карты. Среди решений могут быть использованы следующие средства: подгружаемый модуль - решение содержит, как правило, модуль, который загружается на компьютер клиента и реализует алгоритм аутентификации SPA/UCAF; аутентификация при помощи смарт-карт - решение называется Chip Authentication Progarm (CAP), оно предоставляет возможность использовать смарт-карту с приложением EMV для аутентификации клиента. Данное решение использует подгружаемый аплет и криптограмму, которую формирует сама карта; 3D-Secure - решение предоставляет возможность осуществлять аутентификацию владельца карты без загрузки дополнительных программных модулей на компьютер клиента. К 1 октября 2004 г. сертифицированы системой Visa в соответствии с протоколом 3D-Secure по интернет-эквайрингу шесть российских банков: Альфа-Банк, ИМПЭКСБАНК, Росбанк, петербургские "Менатеп СПб" и "Балтийский" и Гута-банк, а сертификацию по UCAF и 3D-Secure в компании MasterCard прошли Альфа-Банк и Импэксбанк. Реализация технологии 3D-Secure предусматривает специальный порядок регистрации банками магазинов, подключаемых на интернет-эквайринг.
Ви переглядаєте статтю (реферат): «Стандарты безопасности международных платежных систем для расчетов через Интернет» з дисципліни «Пластикові картки»
