Интернет магазин

SET хорош тем, что выводит операцию, которая полностью удовлетворяет протоколу, из класса обслуживания по телефону. То есть при совершении покупки по протоколу SET держатель карточки может опротестовать сделку, но он не вернет деньги так, как это произошло бы в случае обычной покупки через Internet. Технология SET предполагает наличие двух сред - Internet, по которой общается покупатель с продавцом электронного магазина, и среды платежной системы, по которой общаются банки "эквайер" и "эмитент". В операции участвует сертификат покупателя и сертификат торговца. А поскольку вся информация шифруется, то торговец не будет знать номера карточки покупателя. Операция в шифрованном виде доходит до банка эквайера, где она полностью дешифруется и направляется в платежную систему. Эмитент дает (или не дает) подтверждение на операцию, эквайер шифрует это сообщение в соответствии с протоколом SET и отправляет его торговцу.

После принятия этого протокола в правила Visa был добавлен еще один тип операции - электронная коммерческая операция, которая при наличии сертификата владельца карточки и сертификата торговца уже не принадлежит к классу обслуживания по телефону или почте. Это означает, что она имеет обычный уровень риска, и поэтому банк при выполнении таких операций берет обычную комиссию у торговца, как если бы он работал через пост-терминал.

Однако в розничных операциях через Сеть оплачиваются, как правило, небольшие суммы, а пластиковые карточки для микроплатежей (платежей на сумму меньше доллара) неэффективны. Решения же на основе SET пока еще очень дороги. В России их предлагают только два производителя, и они настолько дороги, что не соответствуют не только доходам, но даже ожидаемому обороту. Кроме того, в SET применяется стандарт шифрования DES и RSA, что, естественно, не приветствуется ФАПСИ. Поэтому именно в России логично рассматривать альтернативные механизмы оплаты через Internet, а наиболее популярной альтернативой являются электронные деньги.

Наиболее перспективным способом передачи платежных поручений, возможно, является перевод средств в системе бизнес - бизнес. Использование общедоступных средств оплаты через Internet, как уже говорилось, связано с определенным риском. Если же все участники финансовой операции заранее известны, как это бывает в случае платежей между совместно работающими компаниями, то договориться об использовании того или иного платежного средства и протокола значительно проще. Поэтому, вероятно, развитие платежных систем через Internet должно начинаться с обслуживания крупных сделок между компаниями и банками в определенной межкорпоративной среде. Это поможет разорвать замкнутый круг, который упоминался в самом начале статьи.

Вот что говорит по этому поводу Сергей Петров, начальник департамента Морбанка: "Сейчас российским банкам достаточно сложно прийти в Internet для обеспечения розничных операций, так как отсутствует правовая база и стандарты на ведение банковской деятельности и на защиту информации. Гораздо более перспективным представляется направление бизнес - бизнес, то есть ведение деловых отношений между партнерами, которые уже имеют присутствие в Internet и пользуются электронными средствами обмена сообщениями".

Такой сценарий развития электронной коммерции возможен еще по одной причине - из-за неготовности массового пользователя к работе с Internet, а тем более к осуществлению платежей через нее. В Internet еще нет массового пользователя, а ведь именно на него рассчитаны розничные операции, как по кредитным карточкам, так и с помощью системы электронных денег. Обычный пользователь просто не знает, как пользоваться Internet и что с его помощью можно сделать. "Реальная ситуация такова, - говорит Анатолий Ясинсткий, директор "Компьютерного дома на Руставели" компании Formoza, - мы продаем компьютеры, в который встроен факс-модем с бесплатными часами работы в Internet. Когда же мы собираем статистику за полгода (обзваниваем клиентов и спрашиваем: "Ну, как вам Internet?"), то половина клиентов только после нашего звонка понимают, что у них в компьютере стоит тот самый факс-модем".

Электронные деньги строятся на основе все той же электронной подписи. Естественно, переводом денег из бумажной формы в электронную должен заниматься банк, который действует, например, по следующей схеме. Банк получает от клиента деньги, выписывает расписку в том, что он получил определенное количество денег, и заверяет эту расписку своей электронной подписью. Таким образом, расписка превращается в купюру, которая будет во всем аналогична бумажной, за исключением того, что она хранится в электронном виде на каком-либо носителе.

Электронные деньги аналогичны наличным деньгам, то есть это платежное средство, которое обладает следующими свойствами.

При совершении операции продавец может проверить его платежеспособность, причем для этого ему не нужно связываться с банком, выдавшим электронную купюру.

Операции с электронной наличностью совершаются анонимно.

Например, когда покупатель приходит в обычный магазин и дает продавцу купюру, то продавцу для проверки ее платежеспособности не нужно запрашивать центральный банк. Да и на самой купюре нет никаких сведений о покупателе. Реализовать такие свойства можно, например, с помощью смарт-карточек. Уже сейчас появляются устройства для чтения смарт-карт, которые вставляются наподобие дискет в обыкновенный дисковод. Однако использование дополнительного оборудования для платежей через Сеть - не самое оптимальное решение проблемы. Вполне достаточно электронных сертификатов в виде последовательности байтов, которые могут храниться как на дискете, так и внутри программы-кошелька или просто в защищенном месте компьютера.

Основной вопрос, связанный с электронными деньгами, - как исключить возможность копирования электронной купюры и изготовления "фальшивых денег". Видимо, для этого все-таки потребуется связь с банком, который изготовил электронную купюру, чтобы проверить, была ли она использована ранее. Однако необходимость прямой связи с банком существенно ограничивает распространение электронной валюты, так как не всякий магазин, а тем более пользователь может позволить себе прямое подключение к Сети. Собственно, поэтому разработчики программного обеспечения для обслуживания электронных денег и стремятся свести к минимуму обмен информацией между банком, выдавшим электронную купюру, и продавцом, который эту купюру получает.

На сегодняшний день невозможно без связи с банком в реальном времени подтвердить платежеспособность электронных денег, которые не связаны с какими-либо дополнительными устройствами типа карточек. Чтобы проверить, не использовалась ли ранее данная купюра, продавцу приходится подключаться к специальному центру и запрашивать у него всю необходимую информацию. А это означает, что для надежности всех этапов электронной операции необходимо запрашивать много различной проверочной информации. А ведь такие операции и их поддержка стоят определенных денег, поэтому оказывается, что работа с электронной наличностью не столь дешева, как это предполагалось изначально. Впрочем, есть вариант платежной системы, где кроме продавцов и покупателей фигурирует еще одно дополнительное звено - брокеры, которые имеют относительно постоянную клиентуру среди торговцев и среди покупателей. В такой системе некоторые платежные операции с небольшими суммами могут авторизоваться без прямого подключения к банку. В общем случае всегда можно найти некий компромисс между безопасностью и эффективностью платежного средства.

Кроме того, клиенты банков, у которых уже есть кредитные карточки, скорее всего, не захотят использовать электронные деньги. Ведь с карточкой всегда связан единый счет в банке, на котором хранятся средства держателя карточки. Если же появится возможность покупать через Internet с помощью другого платежного средства, например электронных денег, то клиенту придется часть своих средств с карточного счета перевести в электронные деньги. Это не всегда удобно, так как держатель карточки будет вынужден отдельно приобретать другие платежные средства, хотя у многих людей, в том числе и в России, средства тем или иным образом автоматически попадают на карточный счет. Например, некоторым служащим зарплата выдается через карточки. Карточка аккумулирует средства на одном счету, она широко распространена, везде принимается, и ее владельцы, вероятно, не захотят отказываться от такого платежного средства.

Хотя Банк России очень консервативен, в его недрах уже создается группа по электронным деньгам, в которую будут входить представители коммерческих банков. Есть и другие инициативы, которые, например, выдвигал заместитель председателя главного управления Центрального банка по Москве, возглавивший рабочую группу по новым платежным инструментам. Эта группа около года назад рассматривала идею по разработке национальной системы платежных карточек. К сожалению, она не реализована до сих пор.

Технологически нет никаких сложностей с реализацией системы электронных денег - есть другие проблемы. Например проблема налоговая, так как в случае внедрения пластиковых денег, через Internet можно будет переводить огромные суммы, которые не будут контролироваться государством. Скажем, покупатель из России хочет приобрести товар в электронном магазине в Америке. Он переводит деньги получает товар (к примеру, оцифрованный видеофильм). Продавец получил прибыль, однако абсолютно непонятно, по какому закону и кто должен платить налоги, если сервер, на котором происходит сделка, находится, например, в Антарктиде. Вот что говорит об этой проблеме Анатолий Лебедев: "Возможность анонимной оплаты через Internet - это проблема не технологическая, а политическая, так как первыми, кто захочет переводить миллионы долларов через Сеть, будут торговцы наркотиками и оружием".

"РОЦИТ - это организация, которая смогла стать неким авторитетом, - говорит Валерий Торхов, эксперт АРБ. - Вообще же компьютерный мир отличается неким радикализмом, что особенно заметно в открытых сетях. Ведь есть, например, ФАПСИ или какие-либо провайдеры, которые делают бизнес в Internet, а РОЦИТ - это центр, который может объединить. Объединить прежде всего провайдеров и электронных торговцев. В отличие от других платежей в платежах по Internet более заинтересованы продавцы, сейчас это Internet-провайдеры, потом может появиться кто-либо другой. Я надеюсь, что к РИФ-98 сформируется решение, которое будет представлять совместное мнение РОЦИТ и АРБ, и продвигать принятые к тому моменту концепции. На РИФ можно будет относительно легко предложить эти концепции и договориться с ведущими банками, действующими на рынке розничных операций с частными лицами. На Форуме будет больше участников, которые делают бизнес в Internet, и тех, кто заинтересован в том, чтобы решения появились. Но, с другой стороны, и финансовые структуры, уважая запросы клиентов, смогут принять пусть не очень выгодный для себя, но перспективный в будущем инструмент".

Такое же мнение выражает и Анатолий Лебедев: "В отличие от формальных мероприятий - в Госдуме, Совете безопасности и так далее - на этом Форуме разговоры с государственными чиновниками могут носить гораздо более содержательный характер, так как госаппаратчики не смогут так давить на слушателей, как на государственных собраниях. На общественных форумах есть другой диктат - не нашего государства и не Клинтона - там есть диктат Билла Гейтса, у которого огромные деньги и глобальные идеи.

Главный вопрос, на который нужно ответить на Форуме, - что для общества полезней: жесткое регулирование государства по защите информации или, наоборот, свободное".

Таковы основные проблемы, связанные с электронной коммерцией, и возможные пути их решения. К сожалению, мне не удалось поговорить с представителями крупных банков, хотя их мнение может оказаться достаточно интересным, что еще раз подтверждает отсутствие должной заинтересованности банков в электронной коммерции. Будем надеяться, что представители крупных финансовых структур согласятся участвовать во втором Российском Интернет-Форуме, - милости просим.

Те, кто выпускает цифровые сертификаты, равно как и те, кто пользуется ими, должны, как и в случае с обыкновенными кредитными карточками, гарантировать, что эти сертификаты (используемые для подтверждения платежей или санкционирования транзакций) действительны. Если сертификат утерян, например в результате кражи компьютера, или аннулирован, так как его обладатель не заплатил по счетам, организация, выпускающая сертификаты, должна так или иначе уведомить об этом компании, осуществляющие электронную торговлю. Формирующаяся в настоящее время структура электронной торговли основана на так называемых перечнях аннулированных сертификатов (certificate revocation lists, CRL). Эти файлы очень похожи на списки недействительных кредитных карточек, которые используются в обычной торговле.

Однако основатели ValiCert утверждают, что с ростом популярности электронной торговли и с увеличением числа цифровых сертификатов, которые растут как грибы после дождя, перечни СRL будут "разбухать", что затруднит быструю обработку транзакций в режиме реального времени.

ValiCert сумела решить эту проблему, собрав воедино перечни различных организаций, выпускающих сертификаты, и создав "деревья" аннулированных сертификатов при помощи специального математического алгоритма. Снабдив каждый сертификат перечня ярлыком с различными уровнями соответствующей информации о нем, можно усовершенствовать процесс поиска нужных данных, так как отпадает необходимость исследования всего объема информации. Сертификат указывает место данных в структуре. Для обеспечения целостности данных при поддержке деревьев будет использоваться кэширование, что позволит создать небольшие зашифрованные версии таких данных.

В состав консультативного совета ValiCert входит эксперт по шифрованию Мартин Хеллман - один из авторов технологии шифрования открытым ключом Диффи-Хеллмана. Он рассказал, что новая технология поможет устранить самое серьезное препятствие, которое грозит замедлить проверку сертификатов.

Однако для того чтобы технология ValiCert заработала, необходимо многое. Она должна быть встроена в самые разнообразные приложения для электронной торговли, ее должны одобрить все крупнейшие организации, контролирующие выпуск сертификатов, и, наконец, компании, осуществляющие электронную торговлю, должны избрать для проверки сертификатов именно ее.

О поддержке концепции ValiCert заявили несколько крупнейших участников рынка электронной торговли, в числе которых Entrust Technologies и GTE CyberTrust. Однако еще предстоит выяснить, насколько действенна эта концепция. Хотелось бы знать, будет ли для разработки реальных приложений поддержки этой концепции использоваться инструментальный набор ValiCert.

Для некоммерческого использования и тестирования инструментальный набор ValiCert можно бесплатно загрузить с Web-узла компании. Годовая стоимость лицензий на разработку приложений - 995 долл. Сервер ValiCert будет лицензироваться организациям, выпускающим сертификаты.

Есть мнение, что расцвет использования цифровых сертификатов начнется не раньше конца 1998 года. Старт ValiCert получился многообещающим. Теперь компании необходимо подождать реакции рынка и определить, станет ли ее технология столь же популярной, как сами сертификаты.

Как утверждает Роберт Зипплис, менеджер по деловому развитию DigiCash, пользователи готовы платить по Internet небольшие суммы (микроплатежом считается любая сумма ниже 10 долл.) за различные товары и услуги, например предоставление метеорологических сводок, продажу коллекционных марок, отдельных газетных статей, сборников рецептов или полезных советов.

Однако трудно сказать, в каком направлении будет развиваться этот вид бизнеса, поскольку сейчас по Internet в основном продают компьютерное оборудование и ПО. "Ассортимент продуктов и контингент потенциальных пользователей пока нестабилен", - отметил Зиплис.

Система, разработанная DigiCash, используется в первом в Германии экспериментальном проекте электронной коммерции, осуществляемом Deutsche Bank AG.

1500 клиентов банка, участвующих в эксперименте, установили ПО компании DigiCash на свои домашние машины, получив возможность создавать с его помощью электронные "монеты". Когда клиент "отправляется за покупками", приложение DigiCash связывается с банковским сервером, чтобы узнать, не превышает ли количество "созданных" электронных монет реальную сумму на счету.

Приобретение товара у одного из 35 участвующих в тестировании продавцов (среди которых, к примеру, служба продажи по почте Online Versandhaus) осуществляется с помощью щелчка мышью. После получения подтверждения о платежеспособности продавцу переводятся деньги, а он отправляет покупателю товар.

Клиенты банка могут приобрести много различных товаров и услуг, в том числе и таких, которые предусматривают микроплатежи. Эксперимент Deutsche Bank будет длиться до января.

Для защиты покупателя и продавца используется алгоритм шифрования с закрытым ключом. Кроме того, ПО позволяет покупателю не называть своего имени; нельзя идентифицировать клиента и по монетам.

Есть и другие меры предосторожности, скажем, исключающие повторное использование монет и обеспечивающие возможность их восстановления в случае сбоя жесткого диска.

Технология DigiCash используется и в других схожих проектах, осуществляемых в США, Голландии, Австралии, Австрии, Норвегии и Японии.

Участники эксперимента Deutsche Bank могут рассчитываться только немецкими марками, но со временем ПО обеспечит возможность работы с любой валютой, как это сделано в PSIWeb WorldPay и других системах электронной оплаты.

Зиплис не отрицает, что электронные деньги, электронные кошельки и смарт-карты еще не скоро станут популярными способами "виртуальной" оплаты, но аналитики высоко оценили потенциал технологии.

Проведенное недавно для MasterCard исследование показало, что 88% покупок по Internet совершаются по кредитным картам, 11% - по чекам, а 1% - путем оплаты по факту. В ходе исследования людям, интенсивно использующим Internet, задали вопрос, какой метод оплаты они предпочитают. 10% назвали электронные деньги, 44% - кредитные карты.