получать WM, отправленные другим участником;
переводить WM на банковские счета;
обсуждать с предполагаемыми партнерами условия торговой сделки по встроенной в WM Keeper защищенной системе обмена сообщениями.
В системе реализовано два типа платежей:
Обычный платеж. Покупатель производит оплату. При этом с его кошелька списывается, а в кошелек магазина зачисляется сумма в размере стоимости товара. После чего магазин осуществляет доставку товара.
Двухфазный платеж (с протекцией торговой сделки). Покупатель оплачивает счет, задавая при этом секретный пароль — код протекции. Деньги переводятся в кошелек продавца, но остаются при этом заблокированными – продавец не может воспользоваться ими до тех пор, пока полностью не выполнит своих обязательств, и покупатель не сообщит ему код протекции.
2. Устройство электронных платежных систем.
При всем многообразии электронных платежных систем, присутствующих на рынке, им присуще некоторые общие черты. В каждой системе присутствует как минимум плательщик (payer) и получатель (payee). Перемещение денег от плательщика к получателю обеспечивается определенной последовательностью действий - протоколом электронного платежа. Теоретически обе стороны могут связываться и напрямую (современный криптографический аппарат позволяет это), но практически такая схема оказывается ненадежной и приходится вводить так называемые "финансовые институты", которые соотносят электронный перевод с реальным перемещением денежных средств. В роли "финансового института" могут выступить и банк, и любая другая уважаемая контора, которой доверяют участники обмена. Кстати, банки очень настороженно относятся к рискованным экспериментам с виртуальной наличностью. В основном финансовыми институтами становятся сами разработчики платежных систем, которые в принципе не способны обеспечить все электронные единицы живыми деньгами. Налицо превышение эмиссионного права. Чтобы хоть как-то сгладить углы и удержать систему от падения, привлекаются дополнительные игроки...
Финансовый институт, принимающий денежные средства от плательщика, называется эмитентом (issuer). Институт, передающий их получателю, - эквайр (acquirer). Эмитент и acquirer могут осуществлять перевод любым платежным протоколом, и даже быть единым, обслуживающим и плательщиков, и получателей.
Если все собрано в одно, платежная система называется централизованной, что, во-первых, означает постоянный "перегруз" центрального сервера, во-вторых - подрыв доверия к системе (возможность оппортунистического поведения). Вот почему центральный финансовый институт обычно делегирует часть своих прав сторонним конторам, контролируя их деятельность или не контролируя. В контроле есть как положительные так и отрицательные стороны. "Полоожтельные "в том что центр в ответе за все: если эмитент скрылся с чужими деньгами, их оплачивает "материнская" организация. С другой стороны, в такой системе задавлена инициатива и отсутствует конкуренция, значит, спектр предоставляемых услуг невелик...
Если контроль отсутствует, работать с электронными деньгами может любой желающий. Добиваться одобрения "центра" необязательно, и потому можно вводить любые услуги, лишь бы существовал спрос. Ценой за это становится отсутствие каких бы то ни было гарантий. Если вас кто либо обманул, можно обращаться только в прокуратуру, но добиваться возврата наличности от других участников рынка бессмысленно (хотя в условиях свободного рынка обязательно появятся лица, которые предложат услуги подобного рода, так что ситуация не совсем безнадежна).
В банковском мире действует первая схема. Центробанк следит за всеми коммерческими банками и в случае малейших подозрений немедленно устраивает разбирательства. А если банк, в который положены деньги, вдруг пропал, все долги перебрасываются на Центробанк. Но и спектр предоставляемых услуг остается на недоразвитом уровне, так как он контролируется Центробанком. Электронные платежные системы могут использовать либо первую, либо вторую схему, либо их комбинацию. Тогда на рынке будут присутствовать и "доверенные" конторы, и "серые" участники, которым люди доверяют только на свой страх и риск.
3. Безопасность и анонимность
Удаленное обслуживание в банке позволяет повысить эффективность частного бизнеса при минимальных усилиях со стороны его владельцев. При этом обеспечиваются: экономия времени (не нужно приходить в банк лично, платеж можно выполнить в любое время); удобство работы (все операции производятся с персонального компьютера в привычной деловой обстановке); высокая скорость обработки платежей (банковский оператор не перепечатывает данные с бумажного оригинала, что дает возможность исключить ошибки ввода и сократить время обработки платежного документа); мониторинг состояния документа в процессе его обработки; получение сведений о движении средств по счетам.
Однако, несмотря на очевидные преимущества, электронные платежи в России пока не очень популярны, поскольку клиенты банков не уверены в их защищенности. Это прежде всего связано с распространенным мнением, что компьютерные сети легко может "взломать" какой-нибудь хакер. Этот миф прочно укоренился в сознании человека, а регулярно публикуемые в СМИ новости об атаках на очередной веб-сайт еще сильнее укрепляют это мнение. Но времена меняются, и электронные средства связи рано или поздно заменят личное присутствие плательщика, желающего сделать безналичный банковский перевод с одного счета на другой.
Безопасность электронных банковских операций сегодня можно обеспечить. Гарантией этому служат современные методы криптографии, которые используются для защиты электронных платежных документов. В первую очередь это ЭЦП, соответствующая ГОСТ 34.10-94. С 1995 г. она успешно применяется в Банке России. Вначале он ввел систему межрегиональных электронных расчетов всего в нескольких регионах. Сейчас она охватывает все регионы Российской Федерации и представить без нее функционирование Банка России практически невозможно. Так стоит ли сомневаться в надежности ЭЦП, если ее использование проверено временем и уже так или иначе касается каждого гражданина нашей страны?
Электронно-цифровая подпись - гарантия безопасности. Согласно типовому договору между банком и клиентом наличие под электронным документом достаточного количества зарегистрированных ЭЦП уполномоченных лиц служит основанием для совершения банковских операций по счетам клиента. В Федеральном законе от 10.01.02 г. N 1-ФЗ "Об электронной цифровой подписи" определено, что ЭЦП должна формироваться и проверяться сертифицированным ФАПСИ программным обеспечением. Сертификация ЭЦП является гарантией того, что данная программа выполняет криптографические функции согласно нормативам ГОСТ и не совершает деструктивных действий на компьютере пользователя.
Чтобы проставить на электронный документ ЭЦП, необходимо иметь ее ключ, который может храниться на каком-нибудь ключевом носителе информации. Современные ключевые носители ("e-Token", "USB-drive", "Touch-Memory") по форме напоминают брелоки, и их можно носить в связке обычных ключей. В качестве носителя ключевой информации можно также использовать дискеты.
Если клиент желает использовать в расчетах с банком электронные платежи, нужно заключить договор, получить от банка документацию и необходимое программное обеспечение. Потом надо настроить на своем компьютере программное обеспечение (согласно документации) и сформировать ключи ЭЦП. Подписать документ электронной цифровой подписью можно автоматически, вставив ключевой носитель в компьютер. Затем носитель следует извлечь и убрать в надежное место - без ключа личную электронную подпись никто не сможет подделать. Для защиты платежных документов от просмотра информация в них шифруется при передаче в банк и обратно.
Каждый ключ ЭЦП служит аналогом собственноручной подписи уполномоченного лица. Если в организации бумажные "платежки" обычно подписывают директор и главный бухгалтер, то в электронной системе лучше всего сохранить тот же порядок и предусмотреть для уполномоченных лиц разные ключи ЭЦП. Впрочем, можно использовать и одну ЭЦП - данный факт необходимо отразить в договоре между банком и клиентом.
Ключ ЭЦП состоит из двух частей - закрытой и открытой. Открытая часть (открытый ключ) после генерации владельцем представляется в Удостоверяющий центр, роль которого обычно играет банк. Открытый ключ, сведения о его владельце, назначение ключа и другая информация подписываются ЭЦП Удостоверяющего центра. Таким образом формируется сертификат ЭЦП, который нужно зарегистрировать в системе электронных расчетов банка.
Закрытая часть ключа ЭЦП (секретный ключ) ни при каких условиях не должна передаваться владельцем ключа другому лицу. Если секретный ключ был передан даже на короткое время другому лицу или оставлен где-нибудь без присмотра, считается, что ключ "скомпрометирован" (т.е. подразумевается вероятность копирования или нелегального использования ключа). Иначе говоря, в этом случае лицо, не являющееся владельцем ключа, получает возможность подписать несанкционированный руководством организации электронный документ, который банк примет к исполнению и будет прав, так как проверка ЭЦП покажет ее подлинность. Вся ответственность в данном случае ложится исключительно на владельца ключа. Действия владельца ЭЦП в этой ситуации должны быть аналогичны тем, которые предпринимаются при утере обычной пластиковой карты: этот человек должен сообщить в банк о "компрометации" (утере) ключа ЭЦП. Тогда банк заблокирует сертификат данной ЭЦП в своей платежной системе и злоумышленник не сможет воспользоваться своим незаконным приобретением.
Предотвратить нелегальное применение секретного ключа можно и с помощью пароля, который накладывается как на ключ, так и на некоторые виды ключевых носителей. Это способствует минимизации ущерба при утере, поскольку без пароля ключ становится недействительным и у владельца будет достаточно времени, чтобы сообщить банку о "компрометации" своей ЭЦП.
3. Заключение.