Elektronické peníze (1
Žijeme ve světě neustálých změn a přitom lidé zůstavají pořád stejní. Vlastnost, která možná trochu paradoxně stála u zroduspousty velkých objevů, byla lidská lenost nebo pohodlnost. A nejinak je tomu i v případě peněz a placení jimi. Proč u sebe nosit hotovost, když stačímít malou kartičku, na které je peněz dost, proč vůbec chodit do obchodu, když je tu internet? Odpovědi na tyto otázky stály u zrodu elektronického obchodování.Ale staré moudro říká, že vždy je něco za něco. A v tomto případě je daní vysoké riziko, že se někdo cizí dostane k informacím o vaší kartě. Hledají se proto způsoby,jak placení po internetu udělat bezpečnější a o tom bude i následující povídání.
Elektronikcé nákupy
V dnešním systému při osobní přítomnosti držitele karty při nákupu v obchodě začíná elektronické zpracování u obchodníkanebo u přijímající banky. Snaha obchodníků přiblížit místo prodeje co nejblíže zákazníkovi, "vnutit" se mu přímo domů, přivedla svět k novému fenoménu: elektronickému obchodování (electronic commerce, e-commerce).
Obchodníci umísťují nabídky svého zboží a služeb do katalogů na internet, otevírají se internetové obchodní domy, letenky seobjednávají přes síť atd., zákazník si vybere, vyplní elektronickou objednávku, doplní číslo své platební karty - a stiskem klávesnice odešle. Je to jednoduché,lákavé a pohodlné. Pak mohou nastat v podstatě čtyři případy:
- Zákazník po čase obdrží zboží a cena zboží je bankou stržena ze zákazníkova účtu. Jde o žádaný případ, ale zkušenosti dokládají, že tomu tak nemusí být vždy.
- Cena zboží je bankou odúčtována, ale zákazník zboží nikdy neobdrží.
- Zboží obdržíme, cena je z účtu odečtena, ale pak následují další platby na různá místa ve světě, a my platíme a platíme a ... Číslo náší karty se dostalo do špatných rukou, stalo se samo zbožím a je prodáváno dalším a dalším podvodníkům.
- Také se stává, že obchodník obdrží objednávku s číslem karty, zboží odešle, ale banka mu sdělí, že jím uvedené číslo karty k inkasu ceny zboží je číslo neexistující karty. Nebo držitel platbu neuhradí, neboť si zboží u tohoto obchodníka nikdy neobjednal. Obchodník byl podveden zákazníkem, který mu udal číslo karty někoho jiného.
Vidíme, že dnešní využívání internetu k e-komerci s sebou nese velká rizika. K nákupu přes síť se často používá ověřeného principu telefonních a písemných objednávek(MOTO - Mail Order, Telephone Order), i když s nástupem technologií typu WAP se vše rychle mění. K uskutečnění nákupu není nutná bezprostřední přítomnost držitele karty u obchodníka,jen je mu zapotřebí sdělit, co chceme nakoupit, číslo a dobu platnosti naší platební karty. A zde je riziko - volně sdělíme číslo své karty a dobu její platnosti - a nevíme komu!!! Důvěra v elektronické obchodování sice v poslední době výrazně vzrostla, ale to je především díky úsilí asociace platebních karet (VISA, Mastercard/Eurocard), která vyvinula standard pro bezpečnéelektronické obchodování - SET - Secure Electronic Transaction specification. Zákazník (držitel platební karty) sedí doma u počítače, prostřednictvím internetu si vybere zbožíu autentického poskytovatele zboží nebo služeb (merchant), tj. pouze u takového, který se může prokázat certifikátem vystaveným provozovatelem platebního systému (VISA neboMastercard). Obchodník na druhé straně přijme objednávku a odešle zboží jen takovému zákazníkovi, který předloží svůj certifikát platebního systému. Oproti dosavadnímu systému začínáelektronické zpracování u zákazníka, na jeho PC.
Požadavky na bezpečný platební systém
Důvěrnost informací. Bezpečný platební systém musí zaručovat důvěrnost informací jednak o vlastní objednávce zboží, tak i současně odesílaných instrukcích o placení. Toho se dosahuje na mnoha úrovních šifrováním zpráv. V technologii SET je k šifrování využívána technika tzv. "věřejného klíče" (viz. dále).
Integrita dat. Bezpečnostní systému komunikace musí zajistit, aby přijatá data byla identická s odeslanými daty, tj. že během přenosu je nikdo nemůže změnit. Objednávka zaslaná k obchodníkovi obsahuje kromě vlastní objednávkyještě osobní data a platební instrukce. Pokud by jakýkoli údaj byl změněn, transakce se nezpracuje správně. Digitální podpis (o němž se nedávno hlasovalo v Poslanecké sněmovně) zabránívzniku chyb nebo podvodným transakcím.
Autentičnost držitele karty. Obchodník musí mít zaručenu a ověřenu autentičnost držitele karty. Obchodník musí mít jistotu, že komunikace byla provedena právoplatnýmdržitelem bankovní karty. To zajišťuje certifikát držitele karty, vydávaný pověřeným pracovištěm a opatřený digitálním podpisem držitele karty.
Autentičnost obchodníka. Zákazník musí mít jistotu, že komunikuje s autentickým obchodníkem přijímajícím bankovní karty na základě smluvního vztahu s bankou, a ne spodvodníkem. To zajišťuje certifikát obchodníka, vydávaný pověřeným pracovištěm a opatřený digitálním podpisem obchodníka.
Interoperabilita. V platebním systému musí být zajištěna vzájemná návaznost na zpracování informací mezi mnoha účastníky a také mezi dodavateli softwaru a provozovatelisítí. Musí být definovány standardní protokoly výměny dat, formáty dat a algoritmy jejich zpracování. Protokoly nesmí být závislé na bezpečnosti přenosu, ani ji nesmí omezovat. Libovolný držitel kartyvybavený potřebným softwarem musí být schopen komunikovat s libovolným obchodníkem, jehož software vyhovuje přijatým principům.
Pro dnešek je to vše a příště si povíme o principu veřejného klíče - přesněji řečeno o celé normě SET. Za celou redakci vám přeji hezký zbytek dne.
