ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Система Интернет-коммерции (СИК) — это комплекс организационных, технических, коммуникационных и программных средств, предназначенных для создания и развития среды взаимодействия субъектов коммерческой деятельности в сети Интернет.
Оператор Системы Интернет-коммерции (Оператор СИК) – Юридическое лицо, осуществляющее обеспечение и сопровождение круглосуточной работы программно-технического комплекса Системы Интернет-коммерции, и предоставляющее в распоряжение участников системы торговые, платежные, криптографические и административные функции согласно заключенным с ними договорам. Оператор СИК несет ответственность перед участниками системы за целостность и сохранность информации, предоставленной ему на хранение, а также ее обработку, соблюдает конфиденциальность относительно доверенных ему сведений.
Клиент-плательщик СИК — физическое или юридическое лицо, имеющее договор с банком, зарегистрировавшим его, и осуществляющее просмотр каталогов, формирование заказов, инициирующее платежи через Систему Интернет-коммерции с применением полученных в банке средств криптографической защиты информации.
Предприятие торговли СИК – юридическое лицо, имеющее договор с Оператором Интернет-коммерции, использующее торговые и административные функции Системы Интернет-коммерции, принимающее к исполнению заказы клиентов и получающее оплату за них. Организует поставку товаров и услуг клиентам, несет ответственность за целостность и сохранность товаров до момента передачи его клиенту.
Платежный сервер Системы Интернет-коммерции СИК – программно-технический комплекс, являющийся частью программно-технического комплекса СИК, осуществляющий аутентификацию и шифрование/дешифрование сообщений, получаемых и передаваемых в процессе работы клиентами-плательщиками СИК и Платежным шлюзом СИК, а также осуществляющий хранение в зашифрованном и подписанном виде всеx полученныx и отправленныx сообщений клиентов, а также информацию, необходимую для аутентификации отправителей.
Платежный шлюз Системы Интернет-коммерции (Платежный шлюз СИК) — программно-технический комплекс, являющийся частью программно-технического комплекса СИК, осуществляющий аутентификацию и шифрование/дешифрование сообщений, получаемых и передаваемых клиентами-плательщиками СИК и Платежным сервером СИК в процессе работы; а также прием, передачу и хранение информации о клиентах от Пунктов регистрации клиентов; подготовку электронных файлов транзакций для авторизации, а также получение и передачу результатов авторизации на Платежный сервер СИК.
Пункт регистрации клиентов — специально выделенное помещение, в котором установлен программно-аппаратный комплекс, предназначенный для ввода и хранения данных о клиентах — плательщиках в Системе Интернет-коммерции (Регистрационный компьютер) и формирования исходных данных для средств криптографической защиты платежных транзакций и аутентификации отправителя сообщений в Системе Интернет-коммерции, а также для передачи данных о клиентах в Платежный шлюз Процессингового центра с последующей передачей части данных на Платежный сервер Системы Интернет-коммерции.
Заказ клиента СИК — электронный файл, содержащий информацию о плательщике/получателе товаров или услуг, предприятии, выполняющем поставку, сумме и номенклатуре товаров и услуг подлежащих поставке, а также номер и дату размещения клиентом заказа на поставку в Системе Инернет-коммерции.
Открытый ключ подписи – элемент пары ключевых параметров асимметричного криптоалгоритма, который известен другим субъектам, отличным от владельца данной пары; используется для проверки цифровой подписи.
Закрытый ключ подписи – элемент пары ключевых параметров асимметричного криптоалгоритма, который владелец данной пары держит в секрете и использует для создания цифровой подписи.
Актуальный ключ – не аннулированный ключ, срок действия которого не истек в данный момент времени.
Аннулированный ключ — ключ, выведенный из обращения, но хранимый в системе.
Цифровая подпись — величина, используемая для аутентификации (подтверждения подлинности источника сообщения) и проверки целостности сообщения; и полученная в результате использования закрытого ключа подписи асимметричного криптоалгоритма.
Средства защищенной передачи и хранения информации — средства, реализующие механизмы шифрования и цифровой подписи для передачи электронных файлов по каналам связи и хранения их в базах данных с ограниченным доступом.
Безопасная транспортировка транзакции — передача электронных файлов по каналам связи с применением средств защищенной передачи информации.
ВОПРОСЫ И ОТВЕТЫ
Зачем мне нужна Система Интернет-коммерции СИК?
— Если у Вас на работе или дома есть доступ в Интернет, то Вы можете воспользоваться платежной компонентой СИК для:
— Покупки товаров через магазины и каталоги СИК. Заказ Вам доставят по указанному Вами адресу вскоре после защищенной авторизации Вашей карточки. Это сэкономит Ваше время, силы и деньги, так как в СИК — все товары дешевле, чем в обычных магазинах, а при покупке более 3 единиц товара, Вы получаете скидку.
— Оплаты услуг Вашего интернет-провайдера, не затратив времени на посещение его офиса.
Вы сможете воспользоваться его виртуальной кассой, вход в которую расположен на его WEB-странице.
— Где в Интернет я могу совершать оплату, применяя систему защиты платежных транзакций СИК?
— Это разнообразные WEB-сайты, в основном принадлежащие фирмам, работающим на украинском рынке. Список этих фирм и их сайтов можно найти по адресу: https://www.int-commerce.com Убедитесь, что на WEB-сайте, где Вы собираетесь что-либо купить с помощью Вашей карточки есть логитип СИК. Если да — то это надежное место, здесь Вам поможет «ключевая дискета», которую Вам выдает банк.
— Какие опасности подстерегают пользователя Интернет, совершающего оплату по сети?
— В современном мире глобальная сеть Интернет — наиболее распостраненный и дешевый способ доступа к ресурсам информации. С ее помощью сегодня проводят и коммерческие, и финансовые операции. Однако именно вследствие своей общедоступности проведение финансовых транзакций в Интернет потенциально подвержено несанкционированному вмешательству посторонних лиц. Не стоит забывать об этом, сообщая какому-либо WEB-сайту данные своей кредитной карточки. Если эти данные передаются по сети в открытом виде, то они могут быть скопированы и затем использованы с целью мошенничества. Если Вы не можете проверить электронную цифровую подпись того WEB-сайта, на который Вы собираетесь отправить деньги, то возможно за ним не стоит серьезное торговое предприятие. Может оказаться, что Ваши деньги будут кем-то присвоены, а товары и услуги не будут предоставлены. Во избежание такого рода неприятностей и финансовых рисков мы предлагаем клиентам СИК адекватную систему защиты их платежных операций в сети.
— С помощью каких средств обеспечивается защита платежей в СИК?
— В Системе Интернет-коммерции все участники связаны между собой договорными отношениями, что создает реальную правовую основу для защиты их интересов. С помощью специальных организационных мер и применения криптографической защиты информации эта система позволяет обеспечить для всех участников:
— Конфиденциальность информации о платеже, кредитной карточке, а также содержании заказа клиента.
— Гарантию целостности, т.е. неизменяемости в процессе передачи по каналам связи всей информации.
— Гарантию подлинности клиента-плательщика — официального держателя карточки.
— Гарантию подлинности предприятия торговли, имеющего право принимать к оплате кредитные карточки в Системе Интернет-коммерции.
— Применение системной методологии защиты всех участников Интернет-коммерции, работающих в нормативно-правовом поле Украины.
— Зачем нужна регистрация в банке? В других системах не требуют куда-то приходить, чтобы получить свои ключи?
— Регистрируя в банке свою карточку для платежей в СИК, Вы составляете договор с банком, по которому обе стороны обязуются признавать цифровые подписи (ЦП) участников СИК на документах. Если карточка, которую Вы предъявляете для регистрации — действительна и принадлежит именно Вам, то договор визируется реальными подписями сторон, что создает правовую основу для дальнейшего совершения электронных платежных транзакций. В дальнейшем Вы будете уверены, что данные Вашей карточки, необходимые для регистрации и создания для Вас ключевой дискеты, стали известны только банку, которому Вы их доверили, и никому другому. Предприятие торговли, которое получит заказ, оплаченный такой карточкой, будет уверено, что его оплатил именно владелец карточки, что карточка у него действительно есть и она платежеспособна. Банк будет уверен, что воспользовавшись правилами международных платежных систем, Вы не откажетесь от проведенной транзакции, заявив, что нет документа с Вашей подписью, доказывающего, что ее сделали именно Вы, а не кто-нибудь другой.
— Что мне должны выдать в банке и как этим пользоваться?
— При регистрации в банке Вы получите экземпляр подписанного договора и дискету, на которой будет записан файл цифровых данных, полученных с помощью датчиков случайных последовательностей. У каждого клиента — свой уникальный файл. Повторения исключаются. На дискете среди прочего содержится Ваш секретный (закрытый) ключ для формирования Вашей цифровой подписи. Это конфиденциальная информация. Во избежание мошенничества позаботьтесь, чтобы дискета была доступна только Вам. Не передавайте ее посторонним и не оставляйте без присмотра. Посещая виртуальные торговые точки, подключенные в СИК, Вы можете выбрать форму оплаты Вашего заказа с помощью карточки. В этот момент к Вам на компьютер по сети будет передана «Клиентская программа», которая будет записана в определенный каталог на Вашем компьютере и позволит Вам воспользоваться средствами криптографической защиты информации, когда Вы вставите в дисковод «ключевую дискету». Информация, передаваемая по сети к Вам и от Вас, будет зашифрована несколькими способами и доступна для просмотра только получателем или отправителем. Для посещения страниц СИК с целью оформления заказа и оплаты своей карточкой используйте Microsoft Internet Explorer 4.*, установленный на Вашем компьютере.
— Что такое открытый и закрытый ключи?
— Эти понятия относятся к так называемым асимметричным криптосистемам. Определение асимметричных криптосистем было впервые дано в 1976 г. американскими математиками У. Диффи и М. Хеллманом. Суть их состоит в том, что процессы шифрования и расшифрования осуществляются с помощью двух различных ключей (открытого и закрытого), каждый из которых математически связан с другим, но при этом практически невозможно вычислить закрытый ключ из открытого без дополнительной информации, обладателем которой является владелец закрытого ключа. Осуществляя сделки в Интернет, в первую очередь необходимо убедиться, что важная информация надежно скрыта от посторонних лиц. Для этого предназначена технология шифрования, преобразующая простой текст в форму, которую невозможно прочитать, не обладая специальным шифровальным ключом.
Существует технология шифрования, в которой каждый пользователь имеет два ключа — открытый и закрытый (секретный). В основе шифрования с открытым ключом лежит довольно сложная математическая теория. Суть ее заключается в том, что каждое сообщение, зашифрованное с помощью открытого ключа, можно расшифровать только применяя соответствующий закрытый ключ. При этом подобрать закрытый ключ, имея открытый ключ, практически невозможно. Между закрытым и открытым ключом всегда существует взаимно однозначное соответствие. Другими словами они и только они подходят друг другу, как два кусочка разорванной картинки. При этом саму картинку целиком никто никогда не видел. Для шифрования требуется только открытый ключ, а закрытый ключ всегда остается у его владельца. Существует несколько математических алгоритмов такого шифрования, например, один из них — алгоритм асимметричного шифрования, аналог которого применяется в нашей системе.
— Что такое электронная цифровая подпись?
— В электронной коммерции применяется электронный эквивалент традиционной подписи — цифровая подпись. Цифровая подпись выполняет очень важную функцию — от нее невозможно отказаться. С ее помощью можно доказать не только то, что транзакция была инициирована определенным источником, но и то, что информация не была искажена во время передачи. Наложение цифровой подписи на документ — это специальное математическое преобразование. В нашей системе для формирования цифровой подписи используется асимметричный криптографический алгоритм (при этом требуется пара ключей — открытый и закрытый).
Предположим, А хочет послать сообщение Б, подписанное с помощью такого алгоритма. Применяя хеш-функцию, А создает уникальным образом сжатый вариант исходного текста — дайджест, выполняющий для идентификации текста такую же функцию, как отпечаток пальца при установлении личности. Эта хэш-функция гарантирует, что разные документы будут иметь разные электронные подписи, и что даже самые незначительные изменения документа вызовут изменение его дайджеста. Вернемся к А. Получив дайджест своего сообщения, А шифрует его с помощью закрытого ключа, и дайджест превращается в цифровую подпись, которую А посылает Б вместе с самим сообщением (зашифрованным или незашифрованным). Получив послание, Б расшифровывает цифровую подпись с помощью открытого ключа А и извлекает дайджест сообщения. Затем Б применяет для сообщения ту же хеш-функцию, что и А, получает свой сжатый вариант текста и сравнивает его с дайджестом, восстановленным из подписи. Если они совпадают, значит, подпись правильная и сообщение действительно поступило от А. В противном случае сообщение либо отправлено из другого источника, либо было изменено после создания подписи. Такое письмо Б решительно отвергает.
При аутентификации личности отправителя открытый и закрытый ключи играют роли, противоположные тем, что они выполняли при шифровании. Так, в технологии шифрования открытый ключ используется для зашифровки, а закрытый — для расшифровки. При аутентификации с помощью подписи все наоборот. Кроме того, подпись гарантирует только целостность и подлинность сообщения, но не его защиту от посторонних глаз. Для этого предназначены алгоритмы шифрования.Цифровая подпись позволяет проверить подлинность личности отправителя: она основана на использовании закрытого ключа автора сообщения и обеспечивает самый высокий уровень сохранности информации (так как любое изменение текста после наложения подписи нарушает подпись).
