Planera Motivering Kontrollera
Bygga ut
den huvudsakliga

Säkerställa informationssäkerhet för handelsföretag, detaljhandelskedjor och deras infrastruktur. Säkerställa informationssäkerhet för handelsföretag, detaljhandelskedjor och deras infrastruktur Säkerhetskomponenterna i e-handel är

Antalet internetanvändare har nått flera hundra miljoner och en ny kvalitet har dykt upp i form av en ”virtuell ekonomi”. I den görs inköp via shoppingsajter, med nya affärsmodeller, egen marknadsföringsstrategi etc.

Elektronisk handel (EG) handlar om att sälja varor över Internet. Som regel finns det två former av EG:

    handel mellan företag (business to business, B2B);

    handel mellan företag och privatpersoner, d.v.s. konsumenter (business to consumer, B2C).

EC födde sådana nya koncept som:

    En elektronisk butik är ett utställnings- och handelssystem som används av tillverkare eller återförsäljare när det finns en efterfrågan på varor.

    Elektronisk katalog - med ett brett utbud av produkter från olika tillverkare.

    En elektronisk auktion är en analog av en klassisk auktion med internetteknik, med en karakteristisk länk till ett multimediagränssnitt, en internetåtkomstkanal och som visar en produkts egenskaper.

    Ett elektroniskt varuhus är en analog av ett vanligt varuhus, där vanliga företag visar sina varor, med ett effektivt produktmärke (Gostiny Dvor, GUM, etc.).

    Virtuella grupper (grupper) där köpare organiseras av intressegrupper (fanklubbar, föreningar etc.).

Internet inom EG ger betydande fördelar:

    besparingarna hos stora privata företag från överföringen av inköp av råvaror och komponenter till internetbörser når 25 - 30%;

    deltagande i auktionen av konkurrerande leverantörer från hela världen i verklig skala tid leder till en minskning av de priser som de programmerat för leverans av varor eller tjänster;

    högre priser på varor eller tjänster till följd av konkurrens från köpare från hela världen;

    besparingar genom att minska antalet erforderliga anställda och mängden pappersarbete.

Den dominerande ställningen i EG i västländer har blivit B2B -sektorn, som 2007, enligt olika uppskattningar, kommer att nå från 3 till 6 biljoner. dollar.

De första som gynnades av överföringen av sin verksamhet till Internet var företag som säljer hårdvara och programvara och tillhandahåller dator- och telekommunikationstjänster.

Varje onlinebutik innehåller två huvudkomponenter: en elektronisk butik och ett handelssystem.

Den elektroniska butiksfönstret innehåller information om de produkter som säljs på webbplatsen, ger åtkomst till butiksdatabasen, registrerar kunder, arbetar med kundens elektroniska "korg", lägger order, samlar in marknadsföringsinformation och överför information till handelssystemet.

Handelssystemet levererar varorna och förbereder betalningen för det. Handelssystemär en samling butiker som ägs av olika företag leasar utrymme på en webbserver som ägs av ett separat företag.

Onlinebutikens fungerande teknik är följande:

    Köparen på den elektroniska butiken med en katalog över varor och priser (webbplats) väljer önskad produkt och fyller i ett formulär med personuppgifter (namn, post- och e-postadresser, önskad leverans och betalning). Om du betalar via Internet, ägnas särskild uppmärksamhet åt informationssäkerheten.

    Överföring av de beställda varorna till handelssystemet i onlinebutiken, där beställningen slutförs. Handelssystemet fungerar manuellt eller automatiserat. Det manuella systemet fungerar på principen om Sendtorg, när det är omöjligt att köpa och sätta upp ett automatiserat system, som regel, med en obetydlig mängd varor.

    Leverans och betalning av varor. Leverans av varor till köparen sker på ett av de möjliga sätten:

    av kuriren i butiken i staden och det omgivande området;

    specialiserad budtjänst (inklusive från utlandet);

  • självhämtning;

    telekommunikationsnät levererar en sådan specifik produkt som information.

Betalning för varor kan göras på följande sätt:

    preliminär eller vid mottagandet av varan;

    kontanter till kuriren eller när du besöker en riktig butik;

    med postorder;

    Banktransaktion;

    postförskott;

    med kreditkort (VISA, MASTER CARD, etc.);

genom elektroniska betalningssystem genom enskilda affärsbanker (TELEBANK, ASSIST, etc.).

Nyligen har e-handel eller handel via Internet utvecklats ganska snabbt i världen. Naturligtvis utförs denna process med direkt deltagande av finansinstitut. Och denna handelsmetod blir mer och mer populär, åtminstone där den är ny elektronisk marknad du kan dra nytta av en betydande del av företagen och befolkningen.

Kommersiell verksamhet i elektroniska nät tar bort vissa fysiska begränsningar. Företag kan, genom att ansluta sina datasystem till Internet, ge kunderna support 24 timmar om dygnet, sju dagar i veckan. Produktorder kan accepteras när som helst var som helst.

Denna "medalj" har dock sin baksida. Utomlands, där e-handeln är mest utvecklad, är transaktioner eller varukostnader ofta begränsade till $ 300-400. Detta beror på otillräcklig lösning av informationssäkerhetsproblem i datornätverk. Enligt FN: s kommitté för brottsförebyggande och kontroll har datorbrott blivit ett av de internationella problemen. I USA ligger denna typ av kriminell verksamhet på tredje plats när det gäller lönsamhet efter vapen- och narkotikahandel.

Världsomsättning e -handel via Internet 2006, enligt prognoser från Forrester Tech., Kan vara från 1,8 till 0,2 biljoner. Ett så brett prognosintervall bestäms av problemet med att tillhandahålla ekonomisk säkerhet e -handel. Om säkerhetsnivån förblir på den nuvarande nivån kan e-handelns globala omsättning bli ännu lägre. Det följer av detta att det är den låga säkerheten i e-handelssystemet som är avskräckande för utvecklingen av e-handel.

Lösningen på problemet med att säkerställa den ekonomiska säkerheten för e-handel är främst förknippad med lösningen av frågor om skydd av informationsteknik som används i den, det vill säga med att säkerställa informationssäkerhet.

Integrationen av affärsprocesser i internetmiljön leder till en grundläggande förändring av säkerhetsläget. Generering av rättigheter och skyldigheter på grundval av ett elektroniskt dokument kräver ett omfattande skydd mot hela hotet, både av avsändaren av dokumentet och dess mottagare.

Tyvärr är e-handelsföretagsledare fullt medvetna om hur allvarliga informationshot är och vikten av att organisera skyddet av sina resurser först efter att de utsatts för informationsattacker. Som du kan se relaterar alla ovanstående hinder till informationssäkerhetsområdet.

Bland de viktigaste kraven för att genomföra kommersiella transaktioner är sekretess, integritet, autentisering, auktorisering, garantier och sekretess.

För att uppnå säkerheten för information, säkerställa dess tillgänglighet, konfidentialitet, integritet och juridisk betydelse är grundläggande uppgifter ... Varje hot måste beaktas när det gäller hur det kan påverka dessa fyra egenskaper eller kvaliteter av säker information. Sekretess innebär att begränsad information endast ska vara tillgänglig för den avsedda mottagaren. Under integritet information förstås som dess egenskap att existera i en oförvrängd form. Tillgänglighet information bestäms av systemets förmåga att i tid ge obegränsad tillgång till information för personer som har rätt behörighet att göra det. Juridisk betydelse information blir allt viktigare under de senaste åren, tillsammans med skapandet av ett regelverk för informationssäkerhet i vårt land.

Även om de fyra första kraven kan uppfyllas med tekniska medel, beror uppfyllandet av de två sista på både de tekniska medlen och ansvaret för enskilda och organisationer, samt efterlevnad av lagar som skyddar konsumenten från eventuella bedrägliga säljare.

Inom ramen för att säkerställa omfattande informationssäkerhet är det först och främst nödvändigt att lyfta fram nyckeln e-affärssäkerhetsproblem , som inkluderar: skydd av information under överföringen via kommunikationskanaler; skydd av datasystem, databaser och elektronisk dokumenthantering; säkerställa långsiktig lagring av information i i elektroniskt format; säkerställa transaktionernas säkerhet, sekretess för kommersiell information, autentisering, skydd av immateriella rättigheter etc.

Det finns flera typer av e-handelshot:

    Penetration in i systemet utifrån.

    Obehörig åtkomst inom företaget.

    Avsiktlig avlyssning och läsning av information.

    Avsiktlig kränkning av data eller nätverk.

    Felaktig (bedräglig) användaridentifiering.

    Hacka hårdvara och mjukvaruskydd.

    Obehörig användaråtkomst från ett nätverk till ett annat.

    Virusattacker.

    Förnekande av tjänsten.

    Ekonomiskt bedrägeri.

För att motverka dessa hot används ett antal metoder baserade på olika tekniker, nämligen: kryptering - datakryptering, förhindra att den läses eller förvrängs; digitala signaturer som verifierar avsändarens och mottagarens identitet; smygteknik med elektroniska nycklar; brandväggar; virtuella och privata nätverk.

Ingen av skyddsmetoderna är universella, till exempel, brandväggar söker inte efter virus och kan inte säkerställa dataintegritet. Det finns inget absolut tillförlitligt sätt att motverka hackning av automatiskt skydd, och det är bara en tidsfråga innan det hackas. Men tiden för att bryta ett sådant skydd beror i sin tur på dess kvalitet. Jag måste säga att mjukvara och hårdvara för att säkra anslutningar och applikationer på Internet har utvecklats länge, även om ny teknik introduceras något ojämnt.

Vilken sort hot vänta på ett e-handelsföretag i varje steg :

    byte av e-butiksserverns webbsida (omdirigering av förfrågningar till en annan server), vilket gör tillgänglig information om klienten, särskilt om hans kreditkort, till tredje part;

    skapande av falska order och olika former av bedrägeri från anställda i en elektronisk butik, till exempel manipulering med databaser (statistik indikerar att mer än hälften av datorincidenter är associerade med deras egna anställdas verksamhet);

    avlyssning av data som överförs via e-handelsnätverk;

    inkräktarnas inträngning i företagets interna nätverk och kompromissen med komponenterna i den elektroniska butiken;

    implementering av denial of service-attacker och avbrott eller störning av en e-handelssajt.

Som ett resultat av genomförandet av sådana hot tappar företaget kundförtroende, förlorar pengar från potentiella och / eller ofullständiga transaktioner, stör driften av elektronikbutiken, spenderar tid, pengar och personalresurser för att återställa dess funktion.

De hot som är förknippade med avlyssning av information som överförs via Internet är naturligtvis inte bara inneboende inom e-handeln. Av särskild betydelse i förhållande till det senare är det faktum att information som är av stor ekonomisk betydelse cirkulerar i dess system: kreditkortsnummer, kontonummer, kontraktens innehåll etc.

Vid första anblicken kan det tyckas att varje sådan incident inte är annat än en intern affär för en specifik e-affärsenhet. Kom dock ihåg år 2000, som präglades av massiva avbrott i de ledande e-business-servrarna, vars verksamhet verkligen är rikstäckande: Yahoo!, EBay, Amazon, Buy, CNN, ZDNet, Datek och E * Trade. En undersökning från FBI visade att dessa servrar gick ner på grund av att antalet serviceförfrågningar som skickades till dem multipliceras på grund av genomförda DoS -attacker. Till exempel överskred flödet av förfrågningar till köpservern genomsnittet med 24 gånger och gränsen - 8 gånger. Enligt olika uppskattningar varierar den ekonomiska skada som den amerikanska ekonomin drabbas av dessa aktier kring markeringen på en och en halv miljard.

Att säkerställa säkerhet är inte bara en förutsättning för ett framgångsrikt e-företag, utan också grunden för förtroendefulla relationer mellan motparter. Själva kärnan i e-business innebär aktivt informationsutbyte, transaktioner genom ett oskyddat offentligt nätverk, som helt enkelt är omöjliga utan ett förtroendefullt förhållande mellan affärsenheter. Därför är säkerheten komplex, inklusive uppgifter som åtkomst till webbservrar och webbapplikationer, autentisering och auktorisering av användare, dataintegritet och konfidentialitet, implementering av elektroniska digitala signaturer och så vidare.

Med den ökande kommersialiseringen av Internet ägnas allt mer uppmärksamhet åt skyddet av information som överförs över nätverket. Specialiserade protokoll utformade för att organisera säker interaktion över Internet (till exempel SET, SOCKS5, SSL, SHTTP, etc.) har fått stor acceptans över hela världen och används framgångsrikt av utländska utvecklare för att skapa bank- och handelselektroniksystem baserade på Internet.

Utomlands är ett oberoende konsortium, Internet Security Task Force (ISTF), ett oberoende konsortium, som består av representanter och experter från leverantörer av informationssäkerhet, e-business och internetleverantörer.

ISTF -konsortiet fördelar tolv områden av informationssäkerhet , som e-business-arrangörernas uppmärksamhet först och främst bör fokuseras på:

    mekanism för objektiv bekräftelse av identifierande information;

    rätten till personlig, privat information;

    definiera säkerhetshändelser;

    skydd av företagets omkrets;

    identifiering av attacker;

    kontroll av potentiellt farligt innehåll;

    åtkomstkontroll;

    administrering;

    reaktion på händelser.

Det är känt att användningen av elektroniska digitala signaturalgoritmer (EDS) möjliggör tillförlitligt skydd mot många hot, men detta gäller endast om dessa algoritmer är sammanvävda i sunda interaktionsprotokoll, en rättsligt korrekt struktur för relationer och ett logiskt slutet förtroende -system.

Informationssäkerhet bygger på den enkla logiken i processerna för att beräkna en digital signatur och verifiera den med ett par motsvarande nycklar, men logiken är baserad på grundläggande matematisk forskning. Endast ägaren till den privata nyckeln kan beräkna en digital signatur, och alla som har en offentlig nyckel som motsvarar den privata nyckeln kan verifiera den.

Naturligtvis bör specialister inom detta område vara involverade i att säkerställa informationssäkerhet, men cheferna för statliga myndigheter, företag och institutioner, oavsett ägandeform, som är ansvariga för vissa ekonomiska enheters ekonomiska säkerhet, måste ständigt behålla dessa frågor inom deras synfält. För dem finns nedan de viktigaste funktionella komponenterna i organisationen av ett integrerat informationssäkerhetssystem:

    kommunikationsprotokoll;

    medel för kryptografi;

    medel för åtkomstkontroll till arbetsplatser från nätverk allmänt bruk;

    antiviruskomplex;

    intrångsdetekterings- och granskningsprogram;

    medel centraliserad förvaltning kontroll av användaråtkomst, liksom säker utbyte av datapaket och meddelanden från alla applikationer över öppna nätverk.

På Internet har det länge funnits ett antal kommittéer, mestadels volontärorganisationer, som noggrant vägleder föreslagen teknik genom standardiseringsprocessen. Dessa kommittéer, som utgör huvuddelen av Internet Engineering Task Force (IETF), har standardiserat flera viktiga protokoll, vilket påskyndar deras antagande på Internet. Protokoll som TCP / IP-familjen för dataöverföring, SMTP (Simple Mail Transport Protocol) och POP (Post Office Protocol) för e-post och SNMP (Simple Network Management Protocol) för nätverkshantering är direkta resultat av IETF: s ansträngningar. Vilken typ av skyddsprodukt som används beror på företagets behov.

Protokoll för säker dataöverföring är populära på Internet, nämligen SSL, SET, IP v.6. De listade protokollen dök upp på Internet relativt nyligen, som ett behov av skydd värdefull information, och blev genast de facto standarder. Låt oss komma ihåg att Internet skapades för flera decennier sedan för det vetenskapliga utbytet av information som har ett litet värde.

Tyvärr är de i Ryssland fortfarande mycket försiktiga med möjligheten att införa Internet i de verksamhetsområden som är förknippade med överföring, behandling och lagring av konfidentiell information. Sådan försiktighet förklaras inte bara av konservatismen av inhemska finansstrukturer, av rädsla för internetets öppenhet och tillgänglighet, men delvis av det faktum att det mesta av programvaran för informationssäkerhet från västerländska tillverkare kommer in på vår marknad med exportrestriktioner gällande kryptografin algoritmer implementerade i dem. Exempelvis har exportversioner av programvaran för WWW-servrar och webbläsare från tillverkare som Microsoft och Netscape Communications begränsningar för nyckellängden för krypteringsalgoritmer med en nyckel och två nycklar som används av SSL, vilket inte ger fullt skydd vid arbete på internet.

Men e-handelsapplikationer, förutom interna hot, utsätts också för externa hot från Internet. Och eftersom det är opraktiskt att tilldela varje anonym besökare ett separat inloggnings -ID (eftersom appen inte blir större) måste företag använda en annan typ av autentisering. Dessutom måste du förbereda dina servrar för att avvärja attacker. Slutligen bör du vara extremt försiktig med kritisk data som kreditkortsnummer.

Datakryptering

Företagets webbplats behandlar känslig information (t.ex. konsumentens kreditkortsnummer). Överföring av sådan information över Internet utan något skydd kan leda till oåterkalleliga konsekvenser. Vem som helst kan lyssna på överföringen och därmed få tillgång till konfidentiell information. Därför måste data krypteras och överföras över en säker kanal. För att implementera säker dataöverföring används protokollet Secure Sockets Layer (SSL).

För att implementera denna funktionalitet måste du köpa ett digitalt certifikat och installera det på dina server (er). För ett digitalt certifikat kan du kontakta ett av certifieringsorganen. Välkända kommersiella certifieringsorgan inkluderar: VerySign, CyberTrust, GTE.

SSL är ett schema för protokoll som HTTP (kallas HTTPS om det är säkert), FTP och NNTP. När du använder SSL för dataöverföring:

    data är krypterade;

    en säker anslutning upprättas mellan källservern och destinationsservern;

    serverautentisering är aktiverad.

När en användare skickar in ett kreditkortsnummer med SSL, krypteras data omedelbart så att en hackare inte kan se dess innehåll. SSL är oberoende av nätverksprotokollet.

Netscape -serverprogramvaran tillhandahåller också autentisering - certifikat och digitala signaturer - för att verifiera användarens identitet och meddelandets integritet och för att säkerställa att meddelandet inte ändrar sin rutt.

Autentisering innebär bekräftelse av användarens identitet och digitala signatur för att verifiera äktheten av dokument som är involverade i utbyte av information och finansiella transaktioner. En digital signatur är data som kan bifogas ett dokument för att undvika förfalskning.

Intrångsdetektering

Intrångsdetekteringssystem (IDS) kan identifiera mönster eller spår av attacker, generera larm för att varna operatörer och få routrar att koppla från inkräktarkällor. Dessa system kan också förhindra försök att orsaka denial of service.

Dataskydd för webbplatser

För att skydda webbplatsdata är det nödvändigt att analysera data som används av webbplatsen och definiera en säkerhetspolicy. Denna data kan vara HTML -kod, kund- och produktinformation som lagras i databasen, kataloger, lösenord och annan autentiseringsinformation. Här är några grundläggande principer som kan användas när du definierar en datasäkerhetspolicy:

    Behåll känslig data bakom en intern brandvägg i ett säkert internt nätverk. Ett minimum av åtkomstpunkter bör tillhandahållas för känsliga uppgifter. Det bör komma ihåg att att lägga till säkerhetsnivåer och komplicera åtkomst till systemet påverkar systemets funktion som helhet.

    Databaser som lagrar data med låg känslighet kan finnas på DMZ-servrar.

    Lösenord kan lagras efter konvertering med envägsalgoritmer. Detta gör det dock omöjligt att implementera den allmänt accepterade (och populära) förmågan att hantera meddelanden som "Jag glömde mitt lösenord, skicka mig ett e -postmeddelande", även om du kan skapa ett nytt lösenord och skicka det som ett alternativ.

    Känslig information som kreditkortsnummer kan lagras i databaser efter kryptering. Endast auktoriserade användare och applikationer kan dekryptera det varje gång behovet uppstår. Detta påverkar dock också systemets hastighet som helhet.

Du kan också skydda webbplatsdata genom att använda komponenter i mellannivå. Dessa komponenter kan programmeras för att autentisera användare, så att endast auktoriserade användare kan komma åt databasen och dess komponenter och skydda dem mot externa hot.

Du kan implementera ytterligare säkerhetsfunktioner på serversidan av systemet. Till exempel kan du använda anpassade SQL Server -säkerhetsfunktioner för att förhindra obehörig intern databasåtkomst.

Observera att det är lika viktigt att skydda säkerhetskopior som innehåller konsumentinformation.

Situationen förvärras av att varje vecka upptäcks fler och fler nya sätt att penetrera eller skada data, som bara professionella organisationer som är specialiserade på informationssäkerhet kan övervaka.

Integrationen av handeln på Internet utlovar en grundläggande förändring av säkerhetsläget. Med den ökande kommersialiseringen av Internet ägnas allt mer uppmärksamhet åt skyddet av information som överförs över nätverket. Därför avgör framsteg inom informationssäkerhet i stor utsträckning utvecklingen av e-handelsprocessen.

I Ryssland begränsas utvecklingen av e-handel av:

    Frånvaron eller svag utveckling av EG -infrastrukturen, i synnerhet en pålitlig och allestädes närvarande infrastruktur för att leverera varor till köparen (budtjänster etc.), särskilt genom en "elektronisk butik" i en annan stad.

    Eftersläpande praxis för statens brottsbekämpning och därmed frånvaro eller svaga garantier för genomförandet av transaktioner som slutits i elektronisk form.

    Förekomsten av objektiva och subjektiva förutsättningar för utveckling av bedrägerier i samband med användning av Internet för handel.

    Svag marknadsföringsstudie av EG -projekt.

    Svårigheter med att återbetala varor, särskilt brist på allmänhetens förtroende för affärsbanker.

Den låga inkomstnivån för majoriteten av befolkningen i Ryssland gör pengar till en betydande rikedom än tid, så många ryssar går inte med på att betala leveranskostnader tillsammans med kostnaden för varorna och föredrar att handla i vanliga butiker. Därför kan EG sprida sig mycket i Ryssland först efter en betydande förbättring av den ekonomiska situationen i landet.

Säkerhet - tillståndet för skydd mot eventuella skador, förmågan att begränsa eller parera farliga påverkan, samt att snabbt kompensera för den skada som orsakats. Säkerhet innebär att systemet bibehåller stabilitet, stabilitet och möjlighet till självutveckling. Ett av de mest populära diskussionsämnena är säkerheten för e-handel.

Men fram till nu, trots alla värdefulla åsikter och uttalanden, finns det ingen praktisk, ”jordisk” guide till vad som fortfarande är föremål för e-handelssäkerhet. Denna artikel ger några synpunkter på denna fråga och försök att skilja myter från verkligheten. Låt oss försöka svara på några grundläggande frågor som är uppenbara för experter.

System kan göras säkra. System kan endast skyddas från kända hot, med antalet associerade risker reducerade till en acceptabel nivå. Bara du själv kan hitta rätt balans mellan önskad riskminskning och kostnad för lösningen. Säkerhet i allmänhet är en av aspekterna av riskhantering. Och informationssäkerhet är en sammanställning sunt förnuft, affärsriskhantering och grundläggande tekniska färdigheter under kontroll av anständig hantering, vettig användning av specialprodukter, kapacitet och expertis och rätt utvecklingsteknik. Samtidigt är en webbplats bara ett sätt att leverera information till en konsument.

Webbplatsens säkerhet är en rent teknisk fråga. Alltför ofta är säkerhet mer en kontroll över utvecklingsprocessen, korrekt konfigurationshantering operativ system och övergripande konsekvent platshantering. Sann säkerhet är under din direkta kontroll - vad som är acceptabelt i designen interna system kanske inte är lämpliga för helt delade tjänster. Systemproblem som bara påverkar några få betrodda anställda inom ett företag blir uppenbara när de flyttar till delade miljöer.

Media rapporterar regelbundet om alla säkerhetsbrister och risker. Ofta rapporterar media bara om de problem som kan locka allas uppmärksamhet och inte kräver speciella färdigheter för att förstå det bakomliggande problemet. Sådana meddelanden återspeglar sällan verkliga hot mot verksamheten ur ett säkerhetsperspektiv och har ofta inget att göra med säkerhet alls.

Kreditkortsinformation på Internet är inte säker. Faktum är att kreditkortsinformation är mycket mindre känslig för stöld vid överföring över Internet än från en närliggande butik eller restaurang. En skrupelfri verksamhet kan vara intresserad av obehörig användning av sådan information, och hur du arbetar med den - via Internet eller inte - är inte längre så viktigt. Det är möjligt att öka säkerheten för själva informationen som överförs genom att använda säkra överföringskanaler och pålitliga webbplatser. En viktig ingrediens i många e-handelssystem är behovet av pålitlig konsumentidentifiering. Identifieringsmetoden påverkar inte bara riskgraden direkt, utan även typen av straffrättsligt åtal.

Lösenord identifierar människor. Lösenord ger endast grundläggande verifiering - att någon som är auktoriserad att använda ett visst system ansluter. Människor tenderar att inte dölja sina lösenord för mycket för andra - särskilt för nära släktingar och kollegor. Mer sofistikerad autentiseringsteknik kan vara mycket mer kostnadseffektiv. Graden av autentisering som används bör återspegla risken för slumpmässiga personers tillgång till information, oavsett dess faktiska ägares samtycke.

När den är konfigurerad och installerad förblir en säkerhetslösning pålitlig över tid. Företag installerar inte alltid system korrekt, affärsändringar och det gör hot också. Du måste se till att systemen upprätthåller säkerhetsprofiler och att din profil kontinuerligt omvärderas när det gäller affärsutveckling och den yttre miljön. Teknik är lika viktig, men den bör ses som en del av ett bredare spektrum av säkerhetskontroller. Brandväggar kallas vanligtvis lösningen för att skydda innehållet på e-handelssajter, men även dessa har sina svaga punkter.

Brandväggar är ogenomträngliga. Genom att implementera en brandvägg kan du vila på lagrarna i försäkran om att inkräktare aldrig kommer att ta sig igenom den. Problemet är att de måste konfigureras så att viss trafik fortfarande flyter genom dem, och i båda riktningarna. Du måste tänka noga på vad du försöker skydda. Att förhindra en attack på din webbplats hemsida är i grunden annorlunda än att förhindra att din webbserver används som en väg till dina serversystem, och brandväggskraven är väldigt olika i båda fallen. Många system kräver komplex säkerhet i flera lager för att säkerställa att endast auktoriserade användare kan komma åt mer känslig data. E-post är vanligtvis nyckeln till alla e-handelssajter. Det introducerar dock ett antal säkerhetsutmaningar som inte kan ignoreras, som faller in i två huvudkategorier:
Skydda e -postinnehåll - det kan förvrängas eller läsas.
Skydda ditt system från inkommande attacker e-post.
Om du tänker arbeta konfidentiellt eller känsligt för e -postinformationens integritet finns det många produkter som skyddar den.

Virus är inte längre ett problem. Virus utgör fortfarande ett allvarligt hot. Den senaste hobbyen för virusskapare är filer bifogade till bokstäver som, när de öppnas, kör makron och utför åtgärder som inte är auktoriserade av mottagaren. Men andra sätt att sprida virus utvecklas också - till exempel via HTML -webbsidor. Du måste se till att dina antivirusprodukter är uppdaterade. Om de är utformade för att söka efter virus kan det visa sig att de bara kan upptäcka virus, men inte eliminera dem.

Ett företag som har ett offentligt nyckelcertifikat från en respekterad certifieringsmyndighet (CA) är redan självförtroendefull. Certifikatet innebär helt enkelt något i stil med: "Vid tidpunkten för certifikatförfrågan har jag, CA, utfört kända åtgärder för att verifiera företagets identitet. Du kanske är nöjd. Jag är inte bekant med detta företag och jag vet inte om det går att lita på, och till och med - vad är egentligen hennes sak.Tills jag informeras om att den offentliga nyckeln har diskrediterats, vet jag inte ens att den till exempel har stulits eller överförts till någon annan , och det är upp till dig att kontrollera, inte avbryts. Mitt ansvar är begränsat till bestämmelserna i policydokumentet, som du bör läsa innan du använder nycklarna som är kopplade till detta företag. "

Digitala signaturer är den elektroniska motsvarigheten till handskrivna signaturer. Det finns vissa likheter, men det finns många mycket betydande skillnader, så det är orimligt att betrakta dessa två typer av signaturer som likvärdiga. Deras tillförlitlighet beror också på hur noggrant det är fastställt att den privata nyckeln faktiskt är i privat bruk. De viktigaste skillnaderna är också att:
- Handskrivna signaturer kontrolleras helt av undertecknaren, medan digitala signaturer skapas med en dator och programvara som kanske fungerar på ett sätt som kan lita på att utföra de handlingar de utför.
- Handskrivna signaturer, till skillnad från digitala, har ett original som kan kopieras.
- Handskrivna signaturer är inte för nära besläktade med vad som är signerat med dem, innehållet i de signerade pappren kan ändras efter undertecknandet. Digitala signaturer är intrikat kopplade till det specifika innehållet i data som de signerade.
- Möjligheten att utföra en handskriven signatur kan inte utsättas för stöld, till skillnad från en privat nyckel.
- Handskrivna signaturer kan kopieras med olika grad av likhet, och kopior av digitala signaturer kan bara skapas med hjälp av stulna nycklar och har 100% identitet för signaturen till den verkliga ägaren av nyckeln.
- Vissa autentiseringsprotokoll kräver att du digitalt signerar data för dina räkning, och du vet aldrig vad som undertecknades. Du kan tvingas signera nästan vad som helst digitalt.

Säkerhetsprodukter kan klassas enligt deras funktionalitet, precis som affärssviter. De kräver också en bedömning av säkerheten för deras genomförande och de hot som de inte kan skydda mot (som kanske inte dokumenteras). I allmänhet väljs affärsapplikationer utifrån deras funktionalitet och användarvänlighet. Det tas ofta för givet att funktionerna fungerar som förväntat (till exempel beräknar skatteberäkningspaketet skatter korrekt). Men detta är inte rättvist för säkerhetsprodukter. Den största frågan här är hur skyddsfunktionerna implementeras. Till exempel kan ett paket erbjuda kraftfull lösenordsautentisering för användare, men ändå lagra lösenord i en vanlig textfil som nästan alla kan läsa. Och det skulle inte vara uppenbart alls och kan skapa en falsk känsla av säkerhet.

Säkerhetsprodukter är enkla att installera. De flesta produkter levereras med standardinställningar. Organisationer har dock olika säkerhetspolicyer och konfigurationer för alla system och arbetsstationer matchar sällan. I praktiken bör installationen anpassas till organisationens säkerhetspolicy och var och en av de specifika plattformskonfigurationerna. Att validera underhållsmekanismer för snabbt växande antal användare och andra attribut för att skapa en säker miljö för hundratals befintliga användare kan vara en komplex och tidskrävande process.

PKI-produkter skyddar e-handeln direkt. PKI -produkter tillhandahåller en grundläggande verktygslåda för att implementera säkerhetslösningar, men bara som en del av hela paketet, som också innehåller juridiska, processuella och andra tekniska element. I praktiken är detta ofta mycket svårare och dyrare än att skapa ett grundläggande PKI.

Säkerhetskonsulter förtjänar absolut förtroende. Kom ihåg att säkerhetskonsulter kommer att ha tillgång till alla dina mest känsliga processer och data. Om de inbjudna konsulterna inte arbetar för ett välrenommerat företag är det nödvändigt att få information från en ointresserad källa om deras kompetens och erfarenhet - till exempel prata med sina tidigare kunder. Det finns många konsulter som hävdar att de är informationssäkerhetsproffs, men faktiskt har liten eller ingen aning om vad det är. De kan till och med skapa en falsk känsla av säkerhet genom att övertyga dig om att dina system är säkrare än de verkligen är.

Slutsatser.

Så innan du bläddrar igenom de mest uppdaterade säkerhetsbroschyrerna, reda ut det väsentliga:
- Beräkna noggrant vilka typer av risker som hotar din e-handelsverksamhet och vad de skulle kosta dig, och lägg inte mer på skydd än den beräknade riskkostnaden.
- Skapa en balans mellan processuella och tekniska säkerhetskontroller.
- Utveckla ett komplett projekt där säkerhet skulle vara en av de grundläggande komponenterna, och inte skulle införas efter faktum, efter en viss fundering.
- Välj säkerhetsprodukter som är lämpliga för detta projekt.

Informationssäkerhet för elektronisk handel (EG)

Antalet internetanvändare har nått flera hundra miljoner och en ny kvalitet har dykt upp i form av en ”virtuell ekonomi”. I den görs inköp via shoppingsajter, med nya affärsmodeller, egen marknadsföringsstrategi etc.

Elektronisk handel (EG) handlar om att sälja varor över Internet. Som regel finns det två former av EG:

* handel mellan företag (business to business, B2B);

* handel mellan företag och individer, dvs. konsumenter (business to consumer, B2C).

EC födde sådana nya koncept som:

* Elektronisk butik - en utställning och handelssystem som används av tillverkare eller återförsäljare när det finns en efterfrågan på varor.

* Elektronisk katalog - med ett stort sortiment av varor från olika tillverkare.

* En elektronisk auktion är en analog av en klassisk auktion som använder Internetteknik, med en karakteristisk länk till ett multimediagränssnitt, en internetåtkomstkanal och som visar en produkts egenskaper.

* Ett elektroniskt varuhus är en analog av ett vanligt varuhus, där vanliga företag visar sina varor, med ett effektivt produktmärke (Gostiny Dvor, GUM, etc.).

* Virtuella grupper (grupper) där köpare organiseras av intressegrupper (fanklubbar, föreningar etc.).

Internet för EG ger betydande fördelar:

* besparingarna för stora privata företag från överföringen av inköp av råvaror och komponenter till internetbörser når 25 - 30%;

* Deltagande i auktionen av konkurrerande leverantörer från hela världen i realtid leder till en sänkning av de priser som de programmerar för leverans av varor eller tjänster;

* höjning av priserna på varor eller tjänster till följd av konkurrens från köpare från hela världen;

* besparingar genom att minska antalet erforderliga anställda och mängden pappersarbete.

Den dominerande ställningen i EG i västländer har blivit B2B -sektorn, som 2007, enligt olika uppskattningar, kommer att nå från 3 till 6 biljoner. dollar. De första som gynnades av överföringen av sin verksamhet till Internet var företag som säljer hårdvara och programvara och tillhandahåller dator- och telekommunikationstjänster.

Varje webbutik innehåller två huvudsakliga beståndsdelar:

elektroniskt utställnings- och handelssystem.

Den elektroniska butiksfönstret innehåller information om de produkter som säljs på webbplatsen, ger åtkomst till butiksdatabasen, registrerar kunder, arbetar med kundens elektroniska "korg", lägger order, samlar in marknadsföringsinformation och överför information till handelssystemet.

Handelssystemet levererar varorna och förbereder betalningen för det. Ett handelssystem är en samling butiker som ägs av olika företag som hyr ut plats på en webbserver som ägs av ett separat företag.

Onlinebutiks fungerande teknik som följer:

Köparen på den elektroniska butiken med en katalog över varor och priser (webbplats) väljer önskad produkt och fyller i ett formulär med personuppgifter (namn, post- och e-postadresser, önskad leverans och betalning). Om du betalar via Internet, ägnas särskild uppmärksamhet åt informationssäkerheten.

Överföring av de färdiga varorna till nätbutikens handelssystem,

där orderplockning sker. Handelssystemet fungerar manuellt eller automatiserat. Det manuella systemet fungerar på principen om Sendtorg, när det är omöjligt att köpa och sätta upp ett automatiserat system, som regel, med en obetydlig mängd varor.

Leverans och betalning av varor... Leverans av varor till köparen sker

ett av de möjliga sätten:

* av kuriren i butiken i staden och det omgivande området;

* specialiserad budtjänst (inklusive från utlandet);

* självhämtning

* över telekommunikationsnät sådan specifik

vara som information.

Betalning för varor kan göras på följande sätt:

* preliminärt eller vid mottagandet av varan;

* kontanter till kuriren eller när du besöker en riktig butik;

* postorder;

* Banktransaktion;

* postförskott;

* med kreditkort (VISA, MASTER CARD, etc.);

genom elektroniska betalningssystem genom separat kommersiell

banker (TELEBANK, ASSIST, etc.).

Nyligen har e-handel eller handel via Internet utvecklats ganska snabbt i världen. Naturligtvis denna process

genomförs med direkt deltagande av kredit- och finansinstitut. Och denna handelsmetod blir mer och mer populär, åtminstone där den nya elektroniska marknaden kan användas av en betydande del av företagen och befolkningen.

Kommersiell verksamhet i elektroniska nät tar bort vissa fysiska begränsningar. Företag som ansluter sina datasystem till

Internet, kan ge kunderna support 24 timmar om dygnet utan helgdagar och helger. Produktorder kan accepteras när som helst var som helst.

Denna "medalj" har dock sin baksida. Utomlands, där e-handeln är mest utvecklad, är transaktioner eller varukostnader ofta begränsade till $ 300-400. Detta beror på otillräcklig lösning av informationssäkerhetsproblem i datornätverk. Enligt FN: s kommitté för brottsförebyggande och kontroll har datorbrott blivit ett av de internationella problemen. I USA ligger denna typ av kriminell verksamhet på tredje plats när det gäller lönsamhet efter vapen- och narkotikahandel.

Volymen av den globala omsättningen för e-handel via Internet 2006,

enligt prognoser från Forrester Tech. -företaget kan det vara från 1,8 till 0,2 biljoner. Ett så brett prognosintervall bestäms av problemet med att säkerställa den ekonomiska säkerheten för e-handel. Om säkerhetsnivån förblir på den nuvarande nivån kan e-handelns globala omsättning bli ännu lägre. Det följer av detta att det är den låga säkerheten i e-handelssystemet som är avskräckande för utvecklingen av e-handel.

Lösningen på problemet med att säkerställa den ekonomiska säkerheten för e-handel är främst förknippad med lösningen av frågor om skydd av informationsteknik som används i den, det vill säga med att säkerställa informationssäkerhet.

Integrationen av affärsprocesser i internetmiljön leder till en grundläggande förändring av säkerhetsläget. Generering av rättigheter och skyldigheter på grundval av ett elektroniskt dokument kräver ett omfattande skydd mot hela hotet, både av avsändaren av dokumentet och dess mottagare. Tyvärr är e-handelsföretagsledare fullt medvetna om hur allvarliga informationshot är och vikten av att organisera skyddet av sina resurser först efter att de utsatts för informationsattacker. Som du kan se relaterar alla ovanstående hinder till informationssäkerhetsområdet.

Bland de viktigaste kraven för att genomföra kommersiella transaktioner är sekretess, integritet, autentisering, auktorisering, garantier och sekretess.

För att uppnå säkerheten för information, säkerställa dess tillgänglighet, konfidentialitet, integritet och juridisk betydelse är grundläggande uppgifter ... Varje hot måste beaktas när det gäller hur det kan påverka dessa fyra egenskaper eller kvaliteter av säker information.

Sekretess innebär att begränsad information endast ska vara tillgänglig för den avsedda mottagaren. Under integritet information förstås som dess egenskap att existera i en oförvrängd form. Tillgänglighet information bestäms av systemets förmåga att i tid ge obegränsad tillgång till information för personer som har rätt behörighet att göra det. Juridisk betydelse information blir allt viktigare under de senaste åren, tillsammans med skapandet av ett regelverk för informationssäkerhet i vårt land.

Även om de fyra första kraven kan uppfyllas med tekniska medel, beror uppfyllandet av de två sista på både de tekniska medlen och ansvaret för enskilda och organisationer, samt efterlevnad av lagar som skyddar konsumenten från eventuella bedrägliga säljare.

Inom ramen för att säkerställa omfattande informationssäkerhet är det först och främst nödvändigt att lyfta fram nyckeln elektroniska säkerhetsproblem företag vilket innefattar:

skydd av information under överföringen via kommunikationskanaler; skydd av datasystem, databaser och elektronisk dokumenthantering;

säkerställa långsiktig lagring av information i elektronisk form; säkerställa transaktionernas säkerhet, sekretess för kommersiell information, autentisering, skydd av immateriella rättigheter etc.

Det finns flera typer av e-handelshot:

 Penetration in i systemet utifrån.

 Obehörig åtkomst inom företaget.

 Medvetet avlyssning och läsning av information.

 Avsiktlig kränkning av data eller nätverk.

 Felaktig (bedräglig) identifiering

användare.

 Hacka hårdvara och mjukvaruskydd.

 Obehörig användaråtkomst från ett nätverk till ett annat.

 Virusattacker.

 Förnekelse av tjänst.

 Ekonomiskt bedrägeri.

För att motverka dessa hot används ett antal metoder baserade på olika tekniker, nämligen: kryptering - datakryptering, förhindra att den läses eller förvrängs; digitala signaturer som verifierar avsändarens och mottagarens identitet; smygteknik med elektroniska nycklar; brandväggar; virtuella och privata nätverk.

Ingen av skyddsmetoderna är universella, till exempel, brandväggar söker inte efter virus och kan inte säkerställa dataintegritet. Det finns inget absolut tillförlitligt sätt att motverka hackning av automatiskt skydd, och det är bara en tidsfråga innan det hackas. Men tiden för att bryta ett sådant skydd beror i sin tur på dess kvalitet. Jag måste säga att mjukvara och hårdvara för att säkra anslutningar och applikationer på Internet har utvecklats länge, även om ny teknik introduceras något ojämnt.

Vilken sort hot vänta på ett e-handelsföretag i varje steg :

 Byte av e-butiksserverns webbsida (omdirigering av förfrågningar till en annan server), som gör tillgänglig information om klienten, särskilt om hans kreditkort, till tredje part.

 upprättande av falska order och olika former av bedrägeri från anställda i en elektronisk butik, till exempel manipulering av databaser (statistik indikerar att mer än hälften av datorincidenter är associerade med deras egna anställdas verksamhet).

• avlyssning av data som överförs via e-handelsnätverk;

• inträngning av inkräktare i företagets interna nätverk och kompromiss med komponenterna i den elektroniska butiken;

Begreppet "säkerhet" på ryska tolkas som en stat där det inte finns någon fara, det finns skydd från det. Språkmässigt är begreppet ”säkerhet” motsatsen till begreppet ”fara”. Det kännetecknar ett visst tillstånd i alla system (sociala, tekniska eller andra), processer eller fenomen.

Säkerhet är en stat där det inte finns någon möjlighet att orsaka skada på relationernas behov och intressen.

Hotet, enligt ordboken för det ryska språket, definieras som en omedelbar fara. Faran är av allmän, potentiell karaktär, men eftersom motsättningar mellan relationernas ämnen ständigt uppstår, kan faran för intressen existera ständigt.

En av de accepterade definitionerna är följande: ett säkerhetshot är en uppsättning villkor och faktorer som skapar ett hot mot vitala intressen, det vill säga ett hot representeras av en viss uppsättning omständigheter (villkor) och orsaker (faktorer).

Ur juridisk synvinkel definieras begreppet "hot" som avsikt att åsamka ondska (skada).

Således kan ett säkerhetshot definieras som ”aktiviteter som ses som intressefientliga”.

Med alla olika typer av hot är de alla sammankopplade och påverkar intressen som regel på ett komplext sätt. Därför skapas ett säkerhetssystem för att försvaga, neutralisera och parera dem.

Begreppet "skydd" ("säkerhet") innebär skydd av ämnet för relationer från hot.

Att säkerställa säkerhet är en särskilt organiserad aktivitet som syftar till att upprätthålla ett föremåls inre stabilitet, dess förmåga att motstå de destruktiva, aggressiva effekterna av olika faktorer, samt att aktivt motverka befintliga arter hot.

Säkerhetssystemet är utformat för att identifiera hot mot intressen, för att upprätthålla krafternas beredskap och sätt att säkerställa säkerheten och kontrollera dem, för att organisera säkerhetsanläggningars normala funktion.

När det gäller e-handel kan definitionen av säkerhet formuleras enligt följande.

E-handelssäkerhet- detta är tillståndet för att skydda intressen för ämnen i relationer, utföra kommersiella transaktioner (transaktioner) med hjälp av e-handelsteknik, från hot om materiella och andra förluster.

Att säkerställa säkerhet, oavsett äganderätt, är nödvändigt för alla företag och institutioner, allt från statliga organisationer och slutar med ett litet tält förlovat detaljhandeln... Skillnaderna kommer bara att bestå i vilka medel och metoder och i vilken utsträckning som krävs för att säkerställa deras säkerhet.

Marknadsförhållandena med deras integrerade del - konkurrens bygger på principen om "överlevnad" och kräver därför nödvändigtvis skydd mot hot.

Enligt den etablerade internationella säkerhetspraxis är skyddsobjekten, med beaktande av deras prioriteringar, följande:

  • - Mänskliga;
  • - information;
  • - materiella värden.

Baserat på säkerhetsbegreppet och skyddsobjekt som anges ovan kan vi säga att begreppet ”säkerhet” för alla företag eller organisationer inkluderar (bild 120):

  • ? fysisk säkerhet, som förstås som ett skydd mot intrång i de anställdas liv och personliga intressen;
  • ? ekonomisk säkerhet, vilket förstås som skyddet av de ekonomiska intressena hos relationerna. Inom ramen för den ekonomiska säkerheten övervägs också frågorna om att säkerställa skydd av materiella tillgångar från brand, naturkatastrofer, stölder och andra intrång.
  • ? informationssäkerhet, vilket innebär skydd av information från modifiering (snedvridning, förstörelse) och obehörig användning.

Daglig praxis visar att de största hoten mot fysisk säkerhet inkluderar:

  • - psykologisk terror, hot, utpressning, utpressning;
  • - rån i syfte att ta materiella värden eller handlingar i besittning;
  • - kidnappning av företagets anställda eller deras familjemedlemmar;
  • - mord på en företagsanställd.

Ris. 120.

Numera kan ingen känna sig trygg. Utan att beröra specifika frågor om att säkerställa fysisk säkerhet kan vi säga att för att begå ett brott samlar kriminella först in information om offret och studerar hennes ”svaga punkter”. Utan nödvändig information om målet för attacken ökar riskgraden för kriminella avsevärt. Därför är en av huvudprinciperna för att säkerställa fysisk säkerhet att dölja all information om företagets anställda, som kriminella kan använda för att förbereda ett brott. I allmänhet kan följande typer av hot mot den ekonomiska säkerheten formuleras:

  • - allmän insolvens;
  • - förlust av medel för transaktioner med falska dokument;
  • - undergräver förtroendet för företaget.

Praktiken visar att förekomsten av dessa hot främst beror på följande huvudorsaker:

  • - läckage, förstörelse eller modifiering (till exempel snedvridning) av kommersiell information;
  • - brist på fullständig och objektiv information om företagets anställda, partners och kunder;
  • - spridning av partisk information som äventyrar företaget av konkurrenter.

Informationssäkerhet är en av nyckelpunkterna i företagets säkerhet.

Enligt västerländska experter leder läckaget av 20% av kommersiell information i sextio fall av hundra till företagets konkurs. Därför är fysisk, ekonomisk och informationssäkerhet mycket nära sammankopplade.

Kommersiell information har olika former av presentation. Detta kan vara information som överförs oralt och dokumenterad information som spelats in på olika fysiska medier (till exempel på papper eller på en diskett) och information som överförs via olika kommunikationslinjer eller datornätverk.

Angripare inom informationsområdet använder olika metoder för att få information. Detta inkluderar "klassiska" metoder för spionage (utpressning, mutor, etc.), metoder för industriellt spioneri, obehörig användning av medel datorteknik, analytiska metoder... Därför är utbudet av hot mot informationssäkerhet extremt stort.

Den utbredda användningen av datorteknik och e-handelsteknik öppnar upp ett nytt område för industrispionage och olika andra brott.

Genom tekniska medel industriellt spioneri inte bara olika sätt de avlyssnar eller spionerar på konkurrenternas handlingar, men får också information som bearbetas direkt i datorteknik. Den största faran här är angriparnas direkta användning av datorteknik, vilket har gett upphov till en ny typ av brott - datorbrott, det vill säga obehörig tillgång till information som behandlas i en dator, inklusive med hjälp av e -handelsteknik.

Att bekämpa datorbrott är svårt, främst på grund av:

  • ? problemets nyhet och komplexitet;
  • ? komplexiteten i tid upptäckt av ett datorbrott och identifiering av angriparen;
  • ? möjligheten att utföra ett brott med hjälp av fjärråtkomstmedel, det vill säga att angriparen kanske inte alls befinner sig på platsen för brottet;
  • ? svårigheter att samla in och legalisera bevis för ett datorbrott.

Genom att sammanfatta ovanstående typer av säkerhetshot kan vi skilja på tre komponenter i säkerhetsproblemet:

  • - lagligt skydd;
  • - organisatoriskt skydd;
  • - teknik och tekniskt skydd.

Betydelsen av den rättsliga skyddsbestämmelsen följer av själva namnet.

Organisationsskydd inkluderar organisering av säkerhet och drift av anläggningen.

Teknik och tekniskt skydd förstås som en uppsättning teknik, programvara och andra medel som syftar till att eliminera säkerhetshot.

Principerna för skapande och drift av säkerhetssystem kan delas in i tre huvudblock: allmänna skyddsprinciper, organisatoriska principer, principer för implementering av skyddssystemet (bild 121).

1. Generella principer ge skydd

Osäkerhetsprincipen på grund av det faktum att när man tillhandahåller skydd är det inte känt vem, när, var och hur kommer att försöka kränka det skyddade föremålets säkerhet.


Ris. 121.

Principen om omöjligheten att skapa ett idealiskt skyddssystem. Denna princip följer av osäkerhetsprincipen och begränsade resurser, som i regel har ett säkerhetssystem.

Princip minimal risk ligger i det faktum att när du skapar ett skyddssystem är det nödvändigt att välja minsta riskgrad baserat på egenskaperna hos säkerhetshot, tillgängliga resurser och de specifika förhållanden som det skyddade objektet när som helst befinner sig i.

Principen att skydda alla från alla. Denna princip innebär behovet av att skydda alla ämnen i relationer mot alla typer av hot.

2. Organisatoriska principer

Laglighetsprincipen. Vikten av att följa denna uppenbara princip kan inte överbetonas. Men med uppkomsten av nya rättsförhållanden i rysk lagstiftning, tillsammans med välkända lagföremål, till exempel "statlig egendom", "statshemligheter", dök nya upp - "privat egendom", "företagsfastighet", "intellektuell egendom "," affärshemligheter "," konfidentiell information "," information med begränsad åtkomst ". Det rättsliga regelverket för säkerhetsfrågor är fortfarande ofullkomligt.

Principen om personligt ansvar. Varje anställd i företaget, företaget eller deras klient är personligen ansvarig för att säkerställa säkerhetssystemet inom ramen för sin myndighet eller relevanta instruktioner. Ansvaret för brott mot säkerhetsregimen måste specificeras och personifieras i förväg.

Principen om maktdelning. Sannolikhet för kränkning byta hemligheter eller företagets normala funktion är direkt proportionell mot antalet kunniga personer med information. Därför bör ingen introduceras till konfidentiell information om det inte krävs för att utföra sitt jobb.

Principen om interaktion och samarbete. En intern säkerhetsatmosfär uppnås genom ett förtroendefullt förhållande mellan anställda. Samtidigt är det nödvändigt att se till att personalen i företaget korrekt förstår behovet av att vidta åtgärder för att säkerställa säkerheten och i sina egna intressen bidra till säkerhetstjänstens verksamhet.

3. Principer för implementering av skyddssystemet

Principen om komplexitet och individualitet. Säkerheten för det skyddade objektet garanteras inte av någon enda åtgärd, utan endast av en uppsättning komplexa, sammanhängande och överlappande åtgärder, implementerade med en individuell hänvisning till specifika förhållanden.

Principen om successiva linjer. Genomförandet av denna princip gör att du i tid kan upptäcka ett intrång i säkerheten och organisera ett konsekvent svar på hotet i enlighet med graden av fara.

Skyddsprincip för skyddsutrustningär en logisk fortsättning av principen att skydda ”allt från alla”. Med andra ord måste alla skyddsåtgärder i sig vara tillräckligt skyddade. Till exempel måste ett skydd för försök att göra ändringar i databasen skyddas av programvara som genomför differentiering av åtkomsträttigheter.

säkerhet omfattande skydd objekt är i allmänhet en individuell uppgift, vilket beror på ekonomiska överväganden, i vilket tillstånd skyddsobjektet ligger och många andra omständigheter.

Metoden för att konstruera ett säkerhetssystem visas i fig. 122.

Ris. 122.

Innan man fortsätter med skapandet av ett säkerhetssystem är det nödvändigt att bestämma skyddsobjekten, vars förstörelse, modifiering eller obehörig användning kan leda till kränkning av intressen, förluster etc.

Efter att ha identifierat skyddsobjekten är det nödvändigt att identifiera områdena av deras intressen och analysera de många hoten mot skyddet av skyddsobjekten. Om säkerhetshoten är avsiktliga måste du utveckla en påstådd angriparmodell. Därefter måste du analysera möjliga hot och källor till deras förekomst, välja lämpliga medel och metoder för skydd och på så sätt formulera uppgifter och bestämma strukturen för säkerhetssystemet.

För att analysera problemet med att säkerställa säkerheten för elektronisk handel är det nödvändigt att fastställa intressen för ämnena i relationer som uppstår i processen för elektronisk handel.

Det är vanligt att särskilja följande kategorier av e-handel: business-to-business, business-to-consumer, business administration. Samtidigt, oavsett kategori av e-handel, finns det tre ämnesklasser: finansinstitut, kunder och företagsorganisationer (bild 123).

Finansinstitut kan vara olika, men först och främst är det banker, eftersom det är i dem som alla andra e-handelsämnen har konton som återspeglar rörelsen av medel. Reglerna och villkoren för förflyttning av dessa medel bestäms av det betalningssystem som används.

Kunder (köpare, konsumenter) kan vara både individer och juridiska personer.

Affärsorganisationer är alla organisationer som säljer eller köper något över Internet.

Ris. 123.

Internetteknikernas öppna natur, tillgängligheten av information som överförs över webben innebär att e-handelsämnens gemensamma intressen är att säkerställa informationssäkerheten för e-handel. Informationssäkerhet inkluderar att säkerställa autentisering av interaktionspartners, integritet och konfidentialitet för information som överförs över nätverket, tillgänglighet av tjänster och hanterbarhet av infrastrukturen.

Intresset för e-handelsämnen inom informationssäkerhet kan delas in i följande huvudkategorier:

  • - tillgänglighet (möjligheten att få den service som krävs inom rimlig tid);
  • - integritet (informationens relevans och konsekvens, dess skydd mot förstörelse och obehöriga ändringar).
  • - sekretess (skydd av information från obehörig bekantskap).

Informationssäkerhet är en av de viktigaste komponenterna i den integrerade säkerheten för e-handel.

Antalet attacker mot informationssystem runt om i världen fördubblas varje år. Under sådana förhållanden måste informationssäkerhetssystemet för e-handel kunna klara många och varierande interna och externa hot.

De viktigaste hoten mot informationssäkerheten för e-handel är relaterade (bild 124):

  • - med avsiktlig kränkning av e-handelsämnens intressen (datorbrott och datavirus).
  • - med oavsiktliga handlingar från servicepersonal (misstag, utelämnanden, etc.);
  • - med påverkan av tekniska faktorer som kan leda till förvrängning och förstörelse av information (strömavbrott, programvarufel);

Ris. 124.

Med påverkan av så kallade konstgjorda faktorer (naturkatastrofer, bränder, storskaliga olyckor, etc.).

Den utbredda introduktionen av Internet kunde inte annat än påverka utvecklingen av elektroniska affärer.

En av typerna av e-handel är e-handel. I enlighet med FN -dokument erkänns ett företag som elektroniskt om minst två av dess fyra komponenter (produktion av varor eller tjänster, marknadsföring, leverans och avvecklingar) utförs via Internet. Därför antas det i denna tolkning vanligtvis att köpet tillhör e-handel, om marknadsföring (efterfrågestyrning) och avräkningar görs med hjälp av Internet. En smalare tolkning av begreppet "elektronisk handel" kännetecknar systemen för kontantlösa betalningar baserade på plastkort.

Säkerhet är en nyckelfråga för att implementera e-handel.

Den höga nivån av bedrägerier på nätet hindrar utvecklingen av e-handel. Köpare, återförsäljare och banker är rädda för att använda denna teknik på grund av risken för ekonomiska förluster. Människor använder främst Internet som en informationskanal för att få information av intresse för dem. Bara lite mer än 2% av alla katalog- och databasesökningar på Internet slutar med inköp.

Här är en klassificering av de möjliga typerna av e-handelsbedrägeri:

  • transaktioner (icke-kontanttransaktioner) som utförs av bedragare som använder rätt kortinformation (kortnummer, utgångsdatum, etc.);
  • erhålla kunddata genom databashackning handelsföretag eller genom att fånga upp kundens meddelanden som innehåller hans personuppgifter;
  • Fjärilbutiker, som i regel dyker upp för en kort stund för att försvinna efter att ha fått pengar från köpare för obefintliga tjänster eller varor;
  • en ökning av varans värde i förhållande till det pris som erbjuds köparen eller upprepade debiteringar från kundens konto;
  • butiker eller försäljningsagenter som är avsedda att samla in information om kortuppgifter och andra personuppgifter om köparen.

SSL -protokoll

Protokoll SSL(Secure Socket Layer) utvecklades av det amerikanska företaget Netscape Communications. SSL säkrar data mellan serviceprotokoll (som HTTP, NNTP, FTP, etc.) och transportprotokoll (TCP / IP) med hjälp av modern punkt-till-punkt-kryptografi. Tidigare var det möjligt, utan några speciella tekniska tweaks, att se data som utbyts mellan klienter och servrar. En speciell term har till och med myntats för detta - "sniffer".

SSL -protokollet är utformat för att lösa traditionella problem med att säkerställa skyddet av informationsinteraktion:

  • användaren och servern måste vara ömsesidigt säkra på att de utbyter information inte med falska prenumeranter, men med dem som behövs, inte begränsat till lösenordsskydd;
  • efter att ha upprättat en anslutning mellan servern och klienten måste hela informationsflödet mellan dem skyddas från obehörig åtkomst;
  • och slutligen, vid utbyte av information, måste parterna vara säkra på att det inte sker någon oavsiktlig eller avsiktlig snedvridning i överföringen.

SSL -protokollet gör att servern och klienten kan autentisera varandra, förhandla om en krypteringsalgoritm och generera gemensamma kryptografiska nycklar innan informationskommunikation startas. För detta ändamål använder protokollet två nycklar (asymmetriska) kryptosystem, i synnerhet RSA.

Sekretessen för information som överförs via en etablerad säker anslutning säkerställs genom att kryptera dataströmmen på den genererade gemensamma nyckeln med hjälp av symmetriska kryptografiska algoritmer (till exempel RC4_128, RC4_40, RC2_128, RC2_40, DES40, etc.). Integriteten för de överförda datablocken styrs med hjälp av de så kallade meddelandeautentiseringskoderna (Message Autentification Code, eller MAC), beräknade med hjälp av hashfunktioner (till exempel MD5).

SSL -protokollet innehåller två interaktionsstadier mellan parterna i den skyddade anslutningen:

  • upprätta en SSL -session;
  • dataflöde skydd.

Vid upprättandet av en SSL -session autentiseras servern och (valfritt) klienten, parterna enas om de kryptografiska algoritmer som ska användas och bildar en gemensam "hemlighet", på grundval av vilken gemensamma sessionsnycklar skapas för efterföljande skydd av anslutningen. Detta steg kallas också "handskakningsproceduren".

I det andra steget (dataflödesskydd) skärs informationsmeddelanden på applikationsnivå i block, en meddelandeautentiseringskod beräknas för varje block, sedan krypteras data och skickas till den mottagande sidan. Mottagarsidan utför de motsatta åtgärderna: dekryptering, verifiering av meddelandeautentiseringskoden, sammansättning av meddelanden, överföring till applikationsskiktet.

Det vanligaste mjukvarupaketet för SSL -stöd är SSLeay. Den innehåller C -källkod som kan vara inbäddad i applikationer som Telnet och FTP.

SSL använder offentlig (offentlig) nyckelkryptografi, även känd som asymmetrisk kryptografi. Den använder två nycklar, en för att kryptera och den andra för att dekryptera meddelandet. De två nycklarna är matematiskt kopplade på ett sådant sätt att data som krypteras med en nyckel bara kan dekrypteras med den andra, som är ihopkopplad med den första. Varje användare har två nycklar - offentliga och hemliga (privata). Användaren gör den offentliga nyckeln tillgänglig för alla korrespondenter i nätverket. Användaren och alla korrespondenter med den offentliga nyckeln kan vara säkra på att data som är krypterade med den offentliga nyckeln endast kan dekrypteras med den privata nyckeln.

Om två användare vill vara säkra på att informationen de utbyter inte kommer att tas emot av den tredje, måste var och en av dem överföra en komponent i nyckelparet (nämligen den offentliga nyckeln) till den andra och lagra den andra komponenten (den hemliga nyckeln ). Meddelanden krypteras med den offentliga nyckeln, dekrypteras endast med den hemliga nyckeln. Så här kan meddelanden överföras över ett öppet nätverk utan rädsla för att någon läser dem.

Meddelandets integritet och autentisering säkerställs genom att använda en elektronisk digital signatur.

Nu är frågan hur du distribuerar dina offentliga nycklar. För detta (och inte bara) uppfanns en speciell blankett - ett certifikat. Certifikatet består av följande delar:

  • namnet på den person / organisation som utfärdar certifikatet.
  • certifikatets ämne (för vilket detta certifikat utfärdades);
  • ämnes offentliga nyckel;
  • vissa tidsparametrar (giltighetstid för certifikat, etc.).

Certifikatet "signeras" med den privata nyckeln till personen (eller organisationen) som utfärdar certifikaten. Organisationer som utför sådana operationer kallas Certificate Authority (CA). Om du går till säkerhetsavsnittet i en vanlig webbläsare som stöder SSL, kommer du att se en lista över kända organisationer som "signerar" certifikat. Det är tekniskt enkelt att skapa en egen CA, men du måste också reda ut den juridiska sidan av saker, och det kan vara ett stort problem.

SSL är det överlägset vanligaste protokollet som används för att bygga e-handelssystem. Med dess hjälp genomförs 99% av alla transaktioner. Det utbredda införandet av SSL beror främst på att det är en integrerad del av alla webbläsare och webbservrar. En annan fördel med SSL är enkelheten i protokollet och transaktionens höga hastighet.

Samtidigt har SSL ett antal betydande nackdelar:

  • köparen är inte autentiserad;
  • säljaren autentiseras endast av webbadressen;
  • den digitala signaturen används endast för autentisering i början av SSL -sessionen. För att bevisa transaktionen i händelse av konfliktsituationer krävs det att antingen lagra hela dialogen mellan köparen och säljaren, vilket är dyrt när det gäller minnesresurser och inte används i praktiken, eller att lagra papperskopior som bekräftar mottagandet av varorna av köparen;
  • sekretessen för kortuppgifterna för handlaren är inte säkerställd.

SET -protokoll

Ett annat säkert transaktionsprotokoll på Internet är UPPSÄTTNING(Security Electronics Transaction). SET är baserat på användning av digitala certifikat enligt X.509 -standarden.

Det säkra transaktionsprotokollet SET är en standard som utvecklats av MasterCard och VISA med betydande bidrag från IBM, GlobeSet och andra partners. Det tillåter kunder att köpa varor över Internet med hjälp av den säkraste betalningsmekanismen som finns idag. SET är ett öppet multilateralt standardprotokoll för säkra betalningar med plastkort på Internet. SET tillhandahåller korsautentisering av kortinnehavarens, handlarens och handelsbankens konto för att kontrollera betalningens beredskap för varorna, meddelandets integritet och sekretess, kryptering av värdefulla och känsliga uppgifter. Därför kan SET kallas en standardteknik eller ett system med protokoll för att göra säkra betalningar med plastkort över Internet.

SET tillåter konsumenter och säljare att autentisera alla deltagare i en transaktion som äger rum på Internet med hjälp av kryptografi, med hjälp av bland annat digitala certifikat.

Potentiell e-handelsförsäljning begränsas genom att uppnå den informationssäkerhet som köpare, säljare och finansinstitut tillsammans ger som är oroliga för att säkra onlinebetalningar. Som nämnts tidigare är de grundläggande uppgifterna för att skydda information att säkerställa dess tillgänglighet, konfidentialitet, integritet och juridisk betydelse. SET, till skillnad från andra protokoll, låter dig lösa de angivna problemen med informationssäkerhet.

Som ett resultat av att många företag utvecklar sin egen e-handelsprogramvara uppstår ett annat problem. Vid användning av denna programvara måste alla deltagare i operationen ha samma applikationer, vilket är praktiskt taget omöjligt. Därför behövs ett sätt att tillhandahålla en mekanism för kommunikation mellan applikationer från olika utvecklare.

På grund av ovanstående problem har VISA och MasterCard, tillsammans med andra tekniska företag (t.ex. IBM, som är en nyckelutvecklare i utvecklingen av SET -protokollet), definierat specifikationen och uppsättningen protokoll för SET -standarden. Denna open source-specifikation blev mycket snabbt de facto-standarden för e-handel. I denna specifikation garanterar kryptering av information dess sekretess. Digitala signaturer och certifikat ger identifiering och autentisering (autentisering) av deltagare i transaktioner. En digital signatur används också för att säkerställa dataintegritet. En öppen protokollsvit används för att tillhandahålla interoperabilitet mellan olika leverantörsimplementeringar.

SET tillhandahåller följande specifika säkerhetskrav för e-handelstransaktioner:

  • sekretess för betalningsuppgifter och sekretess för orderinformation som överförs tillsammans med betalningsuppgifter;
  • upprätthålla integriteten hos betalningsuppgifter; integritet säkerställs med en digital signatur;
  • speciell kryptografi med en offentlig nyckel för autentisering;
  • kortinnehavarens autentisering med hjälp av en digital signatur och kortinnehavarcertifikat;
  • autentisering av säljaren och hans förmåga att ta emot betalningar med plastkort med hjälp av säljarens digitala signatur och certifikat;
  • bekräftelse på att säljarens bank är en driftsorganisation som kan ta emot betalningar med plastkort genom kommunikation med bearbetningssystemet; denna bekräftelse tillhandahålls med hjälp av en digital signatur och certifikat från handelsbanken;
  • villighet att betala för transaktioner till följd av certifikatautentisering för allmänna nycklar för alla parter;
  • säkerhet för dataöverföring genom den övervägande användningen av kryptografi.

Den största fördelen med SET jämfört med många befintliga informationssäkerhetssystem är användningen av digitala certifikat (X.509 -standard, version 3), som kopplar kortinnehavaren, handlaren och handelsbanken till ett antal bankinstitut i betalningssystemen VISA och MasterCard.

  • en öppen, fullt dokumenterad standard för finansindustrin;
  • baserat på internationella standarder för betalningssystem;
  • förlitar sig på befintlig teknik och juridiska mekanismer i finansindustrin.

För övrigt tillåter ett gemensamt projekt mellan IBM, Chase Manhattan Bank USA NA, First Data Corporation, GlobeSet, MasterCard och Wal-Mart innehavare av Wal-Mart MasterCard utfärdat av Chase Bank att köpa varor från Wal-Mart Online, som är en från största noder e-handel USA.

Låt oss närmare överväga processen för interaktion mellan deltagare i en betalningstransaktion i enlighet med SET -specifikationen, som visas i figuren från IBM: s webbplats:

På bilden:

  • Korthållare- en köpare som gör en beställning.
  • Köparens bank - finansiell struktur som utfärdade ett kreditkort till köparen.
  • Försäljare- en elektronisk butik som erbjuder varor och tjänster.
  • Säljarens bank- en finansiell struktur som tillhandahåller tjänster till säljarens verksamhet.
  • Betalningsport- ett system, vanligtvis kontrollerat av handelsbanken, som behandlar förfrågningar från säljaren och interagerar med köparens bank.
  • Certifierande organisation- en förtroendefull struktur som utfärdar och verifierar certifikat.

Förhållandet mellan deltagarna i operationen visas i figuren med kontinuerliga linjer (interaktioner som beskrivs av standarden eller SET -protokollet) och streckade linjer (några möjliga operationer).

Dynamiken i relationer och informationsflöden i enlighet med specifikationen för SET -standarden inkluderar följande åtgärder:

  1. Deltagare begär och får certifikat från en certifierande organisation.
  2. Ägaren till plastkortet tittar igenom den elektroniska katalogen, väljer ut varorna och skickar ordern till säljaren.
  3. Säljaren uppvisar sitt intyg för kortinnehavaren som en legitimation.
  4. Kortinnehavaren presenterar sitt intyg för handlaren.
  5. Handlaren ber betalningsgatewayen att slutföra verifieringen. Gatewayen verifierar informationen som tillhandahålls med informationen från banken som utfärdade det elektroniska kortet.
  6. Efter verifiering returnerar betalningsgatewayen resultaten till säljaren.
  7. En tid senare ber handlaren betalningsporten att utföra en eller flera finansiella transaktioner. Gateway skickar en begäran om att överföra ett visst belopp från köparens bank till säljarens bank.

Det presenterade interaktionsschemat stöds när det gäller informationssäkerhet av Chip Electronic Commerce -specifikationen, skapad för användning av smartkort av EMV -standarden på Internet (www.emvco.com). Det utvecklades av Europay, MasterCard och VISA. Kombinationen av EMV -mikroprocessorstandarden och SET -protokollet ger en oöverträffad säkerhetsnivå i alla stadier av transaktionen.

Den 20 juni 2000 publicerade RosBusinessConsulting-företaget på sin webbplats ett meddelande som ett av världens största betalningssystem VISA publicerade den 19 juni 2000 sina initiativ inom e-handelssäkerhet. Stegen är utformade för att göra online shopping säkrare för köpare och säljare, sa systemet. VISA tror att införandet av nya initiativ kommer att minska antalet tvister om transaktioner på Internet med 50%. Initiativet har två huvuddelar. Den första delen är Payment Authentication Program, som är utformat för att minska risken för obehörig användning av kortinnehavarens konto och förbättra tjänsten för onlineshoppare och handlare. Det andra är Global Data Security Program, som syftar till att skapa säkerhetsstandarder för e-handelsföretag för att skydda kortinnehavarens och kortinnehavarens data.

Jämförande egenskaper hos SSL- och SET -protokoll

Betalningssystem är den mest kritiska delen av e-handel och framtiden för deras närvaro i nätverket beror till stor del på möjligheterna för informationssäkerhet och andra servicefunktioner på Internet. SSL och SET är två välkända dataöverföringsprotokoll, som alla används i internetbetalningssystem. Vi kommer att försöka jämföra SSL och SET och utvärdera några av deras viktigaste egenskaper.

Så, låt oss överväga den viktigaste autentiseringsfunktionen (autentisering) i den virtuella världen, där de vanliga fysiska kontakterna saknas. SSL tillhandahåller endast punkt-till-punkt-kommunikation. Vi kommer ihåg att det finns minst fyra parter involverade i en kreditkortstransaktion: konsumenten, handlaren, den utfärdande banken och den mottagande banken. SET kräver autentisering från alla parter som är involverade i transaktionen.

SET förhindrar att handlaren får tillgång till information om plastkortet och den utfärdande banken från att få tillgång till kundens privata information angående hans beställningar. SSL tillåter kontrollerad åtkomst till servrar, kataloger, filer och annan information. Båda protokollen använder modern kryptografi och digitala certifikatsystem för att certifiera digitala signaturer interagerande parter. SSL är främst avsett att säkra kommunikation på Internet. SET ger säkerhet för e-handelstransaktioner i allmänhet, vilket säkerställer den juridiska relevansen av den värdefulla information som skyddas. Samtidigt är transaktionen genom SET långsammare än i SSL, och kostnaden är mycket högre. Den senare egenskapen är mycket relevant för dagens ryska marknad, där risker och driftskostnader ännu inte beaktas.

Det bör tilläggas att genom att använda SSL riskerar konsumenterna att avslöja detaljerna i sina plastkort till säljaren.

Implementeringen och driften av SET har genomförts i många år i flera dussin projekt runt om i världen. Till exempel genomfördes den första SET -transaktionen den 30 december 1996 på PBS (danska banken) i ett gemensamt projekt mellan IBM och MasterCard. Liknande arbete utfördes 1997 i den största japanska banken Fuji Bank, där protokollet måste anpassas till specifik japansk lagstiftning. Under den senaste tiden har sådana implementeringsprojekt gjort det möjligt att utarbeta protokollets funktioner och motsvarande dokumentation.

Förresten, IBM har en komplett uppsättning produkter som täcker alla viktiga aspekter av komplex användning av SET i allmänhet och ger en utvecklad infrastruktur:

  • IBM Net.commerce Suite för e-handelshandlare;
  • IBM Consumer Wallet för kortinnehavare;
  • IBM Payment Gateway - betalningsgateway för banker;
  • IBM Net. Betalningsregistret är en autentiserings- och certifieringsprodukt.

SET fungerar på en mängd olika datorplattformar från företag som IBM, Hewlett Packard, Sun Microsystems och Microsoft.

I sin tur används SSL främst i webbapplikationer och för att säkra kommunikation på Internet. Det finns också en gratis version av SSL som heter SSLeay. Den innehåller C -källkod som kan vara inbäddad i applikationer som Telnet och FTP. På grund av dessa egenskaper har SSL blivit utbredd på företags intranät och i system med färre användare.

Trots den tekniska förfining av SET -protokollet är dess användning i världen mycket begränsad. Det finns många anledningar till detta, den avgörande är de höga kostnaderna för att implementera ett e-handelssystem baserat på SET-protokollet (kostnaden för en SET-lösning varierar från $ 600 till 1500 tusen).

SSL -protokollet ger endast sekretess för transaktionsdata när den överförs över det offentliga nätverket, men samtidigt är den betydligt billigare att implementera. Som ett resultat använder de allra flesta moderna e-handelssystem SSL.

Experterna och utvecklarna av SET -protokollet hade fel när de förutspådde den snabba och utbredda antagandet av denna standard. Dessutom talas det ihållande om att SET -protokollet redan är igår och att dess chanser att överleva är försumbara.

Sådana samtal började redan sommaren 2000, då VISA International gjorde ett uttalande enligt vilket 3D SET -protokollet (ett slags SET) håller på att bli standarden för länderna i Europeiska unionen, Latinamerika och några andra europeiska länder, inklusive Ryssland. På den största amerikanska marknaden proklamerades samtidigt 3D SSL -protokollet (ett annat namn för protokollet är 3D Payer) som en standard.

Chef för det ryska representationen för Visa Int. Lu Naumowski håller med om att SET inte har hittat efterfrågan:

"Detta är en mycket bra teknik. Men att döma av bankernas reaktion, inte bara ryska, utan också utländska, är det dyrt. En utfärdande bank som använder SET -protokollet för att spåra korttransaktioner måste hålla en databas över förvärvande banker och handlare. i sig. Vi försökte hitta ett billigare alternativ till detta protokoll. "

I maj 2001 publicerades specifikationerna för 3D Secure -standarden, som hävdar rollen som en global autentiseringsstandard i Visa -betalningssystemet. Genom ett beslut från Europeiska unionen i juli 2002 identifierades alla onlinebutiker på samma nivå som detta protokoll. Därför måste den förvärvande banken för sådana onlinebutiker kunna förse dem med detta protokoll. I avsaknad av 3D Secure bär han själv hela ansvaret för omtvistade transaktioner. Om han använder 3D Secure, men den utfärdande banken inte gör det, tar den senare ansvar.

Principen för 3D Secure är att det finns tre olika domäner - den utfärdande banken, webbutiken och Visa, genom vilken det finns ett meddelande mellan köparen, säljaren och bankerna. Det är mycket viktigt att alla meddelanden skickas över Internet. Samtidigt säkerställer Visa sekretess för information. När köparen klickar på slogan Verified by Visa på webbplatsen och anger sitt lösenord, går denna information till den utfärdande banken och identifiering sker. Den utfärdande banken skickar en begäran till onlinebutiken via Visa -domänen, varefter denna butik identifieras av sin förvärvande bank. Kortinnehavarens data är således endast kända för den utfärdande banken. Samtidigt är kortinnehavaren övertygad om att denna butik har Verified by Visa, det vill säga att den är certifierad av Visa via en förvärvande bank. Om den utfärdande banken inte får någon bekräftelse från Visa -domänen att butiken har Verified by Visa, kommer transaktionen inte att äga rum.

Naturligtvis kan kortinnehavaren göra inköp i andra onlinebutiker som inte har statusen Verified by Visa. Då är den utfärdande banken ansvarig för de kontroversiella transaktionerna, och den måste varna sina kunder för det.



Hittade du inget svar på din fråga? Titta här
Världens snabbaste båt!Världens snabbaste båt!
Off-White-märkets historiaOff-White-märkets historia
Habakkuk: hur britterna försökte bygga ett hangarfartyg av is Varför projektet begränsadesHabakkuk: hur britterna försökte bygga ett hangarfartyg av is Varför projektet begränsades