 |
Организация оплаты с использованием кредитной карты
|
|
|
|
В качестве решения начального уровня рассмотрим платежную систему Cyber Plat представленную на российском рынке банком «Платина» данная платежная система допускает использование кредитных карт для оплаты для пользователей, как зарегистрированных, так и не зарегистрированных в платежной системе.
Технология работы платежной системы Cyber Plat при обслуживании держателей банковских пластиковых карт, не зарегистрированных в системе, выглядит следующим образом:
1) покупатель через сеть Интернет подключается к информационному серверу магазина, формирует корзину товаров и выбирает форму оплаты по кредитным картам;
2) магазин формирует заказ и переадресует покупателя на сер вер авторизации, сообщая дополнительно код магазина, номер заказа и его сумму;
З) сервер авторизации устанавливает с покупателем соединение по защищенному протоколу (SSL) и принимает от покупателя параметры его кредитной карты (номер карты, дата окончания ее действия, имя держателя в той транскрипции, как указано на карте). Информация о карте передается в защищенном виде только на сервер авторизации и не предоставляется магазину при выполнении операций покупателем;
4) сервер авторизации производит предварительную обработку принятой информации и передает ее в банк;
5) банк проверяет наличие магазина в системе и соответствие операции установленным системным ограничениям. По результатам проверок формируется запрет или разрешение проведения авторизации транзакции в карточную платежную систему; при за прете авторизации банк передает серверу авторизации отказ от про ведения платежа, который, в свою очередь, передает отказы покупателю (с описанием причины) и магазину (с номером заказа);
|
|
|
6) при разрешении авторизации запрос на авторизацию пере дается через закрытые банковские сети банку — эмитенту карты покупателя или процессинговому центру карточной платежной системы, уполномоченному банком-эмитентом;
7) при положительном результате авторизации, полученном от карточной платежной системы, банк передает авторизационному серверу положительный результат авторизации, который, в свою очередь, передает положительные результаты авторизации покупателю и магазину (с номером заказа). Банк перечисляет средства на счет магазина в соответствии с существующими договорными отношениями между ним и магазином. Магазин оказывает услугу (отпускает товар).
При отказе в авторизации банк передает серверу авторизации отказ от проведения платежа, а сервер авторизации передает отказы покупателю (с описанием причины) и магазину (с номером заказа).
Более простой механизм организации платежа предусматривает предварительную регистрацию держателя пластиковой кар ты на авторизационном сервере. держатель банковской кредит ной карты (Visa, MasterCard, Diners Club и т.д.) регистрируется в платежной системе Cyber Plat указывая:
• персональные данные (фамилия, ИМЯ, отчество, паспортные данные, адрес электронной почты, телефон, почтовый адрес);
• параметры своей карты (название платежной системы, к которой она принадлежит, номер, дата окончания действия, имя
держателя в той транскрипции, как оно указано на карте).
Информация о карте передается в защищенном виде только в банк при регистрации покупателя и не предоставляется каким - либо иным участникам процесса.
Процедура покупки товаров в магазинах для пользователей, зарегистрирован на сервере авторизации, осуществляется по следующей технологии:
1) покупатель через Интернет подключается к информационному серверу магазина, формирует корзину товаров и направляет магазину запрос на выставление счета;
|
|
|
2) магазин в ответ на запрос покупателя направляет ему под писанный своей электронно-цифровой подписью (ЭЦП) счет, в котором указывает наименование и стоимость товара (услуги), код магазина, время и дату совершения операции. С гражданско-правовой точки зрения этот счет является офертой — предложением заключить договор;
3) покупатель подписывает своей ЭЦП предъявленный ему счет и отправляет его обратно в магазин, совершая тем самым акцепт. договор считается заключенным с момента подписания покупателем выставленного ему счета. В данной электронной системе счет, подписанный покупателем, становится чеком;
4) подписанный двумя ЭЦП (магазина и покупателя) чек направляется магазином в банк для авторизации;
5) банк производит обработку подписанного чека, т.е. проверяет наличие магазина и покупателя в системе, ЭЦП покупателя и магазина, соответствие операции на установленные системные лимиты, и сохраняет копию чека в базе данных банка. В результате проверок формируется разрешение или запрет проведения авторизации транзакции в карточную платежную систему. При запрете авторизации банк передает магазину отказ от проведения платежа, а покупатель получает отказ с описанием причины;
6) при разрешении авторизации в соответствии с договором между банком и покупателем банк увеличивает сумму оплаты на величину своей комиссии. Виды и размер комиссий определяются действующими тарифами банка. Запрос на авторизацию передается через закрытые банковские сети банку — эмитенту карты покупателя или процессинговому центру карточной платежной системы, уполномоченному банком-эмитентом;
7) при положительном результате авторизации, полученном от карточной платежной системы, банк передает магазину разрешение на оказание услуги (отпуск товара) и магазин оказывает услугу (отпускает товар). Банк осуществляет перечисление средств на счет магазина в соответствии с существующими договорными отношениями между банком и магазином. При отказе в авторизации банк передает магазину отказ от проведения платежа, а покупатель получает отказ с описанием причины. Покупатель полностью контролирует процесс совершения покупки.
|
|
|
В качестве документального подтверждения совершенной сделки у каждой из сторон остаются подписанные ЭЦП чеки, удостоверяющие факт совершения сделки и имеющие юридическую силу.
Основная проблема, присущая обоим вариантам рассмотренной платежной системы, состоит в необходимости хранить критическую информацию всех участников на сервере авторизации. Компрометация или подмена сервера авторизации приводит к серьезной компрометации всей системы.
Более поздней и в определенном смысле совершенной является система оплаты с использованием кредитной карты, предлагаемая ЗАО «Интервэйл», на базе карточных технологий системы DUET.
Система поддержки удаленных банковских транзакций фирмы «Интервэйл» позиционируется как система проведения расчетов между финансовыми институтами, бизнес - структурами и интернет пользователями в процессе покупки и продажи товаров и услуг через Интернет с использованием микропроцессорных карт DUET.
При разработке технологии были заявлены следующие основные требования к системе:
• надежность системы;
• высокая скорость платежа;
• универсальность платежного средства;
• соответствие правовым нормам Российской Федерации;
• документальное подтверждение платежа;
• безопасность информационного взаимодействия.
Надежность системы обеспечивается использованием сертифицированных средств криптографической защиты и использованием апробированных технологий управления ключевой информацией и взаимодействия субъектов совершения сделок. Высокая скорость платежа обеспечивается использованием Интернета в качестве среды доставки. Универсальность платежного средства и соответствие правовым нормам определяются тем, что используемые технологии базируются на российских стандартах.
Организационная структура системы включает ее пользователей, которые, в отличие от пользователей рассмотренных ранее систем, представляют следующие классы:
• продавцы (интернет - магазин или представительство организации в Интернете);
|
|
|
• покупатели (юридические и физические лица, имеющие карту DUET и выход в Интернет);
• система поддержки удаленных банковских платежей (выполняющая функции платежного шлюза).
дополнительно в организационную структуру системы входят удостоверяющие центры: центр управления ключевой системой (ЦУКС) и центры регистрации. Основное назначение удостоверяющих центров — решение задач управления системой формирования и распределения ключевой информации участников системы, формирования сертификатов открытых ключей участников системы и формирования списков отозванных сертификатов для всех участников системы.
Система поддержки удаленных банковских транзакций позволяет выполнять следующие функции:
• оплата покупателем товаров и услуг с использованием карты DUET;
• выполнение сервисных операций с картой покупателя;
• инкассация средств продавца на его расчетный счет в банке;
• подтверждение произведенной оплаты для продавца и покупателя.
Процедура покупки товаров у продавцов покупателями (физическими и юридическими лицами) осуществляется по следующей технологии, состоящей из четырех этапов:
I. Предъявление счета покупателю.
II. Предъявление счета на оплату системе.
III. Проведение платежной операции.
IV. Подтверждение оплаты.
Рассмотрим более подробно содержание и организацию взаимодействия участников на каждом из этих этапов.
I.. Предъявление счета покупателю. На данном этапе покупатель:
• устанавливает соединение с продавцом;
• формирует корзину товаров или услуг;
• указывает продавцу вид предстоящего платежа по системе DUET или Сберкарт;
• передает запрос на формирование счета продавцу.
Продавец, получив сформированную покупателем корзину, готовит электронный документ покупки, выполняя следующие действия:
• принимает указание о виде предстоящего платежа по системе DUET или Сберкарт;
• принимает запрос на формирование счета;
• формирует счет OI (Order Invoice), включающий следующие сведения: уникальный в рамках автоматизированной системы
номер магазина; уникальный в рамках магазина номер корзины; сумма к оплате (в копейках); код валюты платежа; дата и время формирования счета;
• вырабатывает подпись под счетом с использованием секретного ключа магазина;
• формирует электронный документ покупки OIs, состоящий из счета OI, подписи под счетом, сертификата открытого ключа
магазина, выданного центром регистрации, сертификата от крытого ключа данного центра регистрации, выданного ЦУКС, самоподписанного сертификата ЦУКС, справочника отозванных сертификатов платежных шлюзов (если он непустой);
|
|
|
• направляет электронный документ покупки OIs покупателю.
II. Предъявление счета на оплату системе. После завершения предыдущего этапа покупатель имеет сформированный магазином электронный документ покупки OIs. Перед началом следующего этапа покупателю предлагается проверить предъявленный ему счет. Для этого необходимо использовать специализированное программное обеспечение. Вставив в читающее устройство собственный носитель ключевой информации, пользователь выполняет проверку подписи под счетом OI.
В случае если подпись под счетом искажена или не прошла верификация цепочки сертификатов, предъявление счета на оплату будет невозможно. В случае если подпись под счетом верна, верифицирована цепочка сертификатов и самоподписанный сертификат ЦУКС из данной цепочки присутствует на магнитном носителе покупателя, инициализируется процесс предъявления счета на оплату.
Если в цепочке сертификатов ЦУКС®центр регистрации ® продавец используется сертификат ЦУКС, отсутствующий на магнитном носителе покупателя, то покупатель должен быть проинформирован об этом, и только после этого процесс предъявления счета на оплату может быть проинициализирован.
Следующей частью процесса взаимодействия покупателя с системой является авторизация работы с системой.
Покупатель формирует авторизационный запрос, включающий следующие элементы:
• запрос на проведение работ с системой поддержки удаленных банковских транзакций;
• признак запроса на проведение работ;
• сертификат открытого ключа покупателя, выданный центром регистрации;
• сертификат открытого ключа данного центра регистрации, выданный ЦУКС;
• самоподписанный сертификат ЦУКС.
Сформированный запрос посылается системе. При приеме данного запроса система проверяет цепочку сертификатов покупателя, отсутствие сертификата покупателя в списке отозванных сертификатов и в случае принятия положительного решения о возможности работы с данным покупателем направляет ему подтверждение о готовности системы к поддержке удаленных банковских транзакций.
Сформированное подтверждение включает следующие элементы:
• подтверждение о готовности системы к поддержке удаленных банковских транзакций и соответствующего признака готовности;
• сертификат открытого ключа системы, выданный ЦУКС;
• самоподписанный сертификат ЦУКС, который должен совпадать с сертификатом, принятым от покупателя.
Получив подтверждение о готовности системы к поддержке удаленных банковских транзакций, покупатель подготавливает счет, предъявляемый к оплате. Для этого он должен выполнить следующие действия:
• проверить отсутствие полученного сертификата системы в списке отозванных сертификатов, полученных от продавца;
• проверить цепочку сертификатов системы (сертификат в цепочке системы должен совпадать с сертификатом в цепочке покупателя);
• сформировать платежное поручение (PI), включающее описание метода платежа, код платежного средства, используемого покупателем, данные платежного средства клиента;
• зашифровать PI для передачи в систему;
• сформировать счет 0I2, состоящий из следующих элементов:
электронный документ покупки ОIs, зашифрованные данные Рi;
• сформировать подпись под счетом 0I2 с использованием секретного ключа покупателя;
• сформировать электронный документ покупки ОI2 включающий следующие элементы: счет 0I2, подпись покупателя под счетом, сертификат открытого ключа покупателя, выданного центром регистрации, сертификат открытого ключа данного центра регистрации, выданного центром управления ключевой системой, самоподписанный сертификат ЦУКС;
• направить электронный документ покупки ОI2s системе.
III. Проведение платежной операции. для проведения платеж пой операции системе прежде всего необходимо проверить целостность предъявленного электронного документа покупки и после проверки выбрать торговую карту по уникальному идентификатору продавца.
Получив ОI2s от покупателя, система поддержки удаленных банковских транзакций осуществляет следующие действия:
• проверяет цепочку сертификатов покупателя и отсутствие сертификата покупателя в списке отозванных сертификатов;
• проверяет подпись покупателя под ОI2;
• проверяет цепочку сертификатов продавца и отсутствие сертификата продавца в списке отозванных сертификатов;
• проверяет подпись продавца под ОI;
• расшифровывает данные PI;
• осуществляет выбор торговой карты по уникальному идентификатору продавца;
• производит обмен с торговой картой;
• формирует информацию для дебетования клиентской карты;
• зашифровывает информацию для дебетования клиентской карты и отправляет ее покупателю.
Покупатель расшифровывает информацию для дебетования и проводит обмен с клиентской картой. В ходе этого обмена клиентская карта формирует данные для кредитования торговой карты. Покупатель зашифровывает информацию для кредитования торговой карты и передает ее системе. Система принимает ин формацию для кредитования торговой карты, расшифровывает ее и производит обмен с торговой картой. Торговая карта формирует код завершения операции и передает его системе.
IV. Подтверждение оплаты. Система поддержки удаленных банковских транзакций формирует квитанцию, подтверждающую факт прохождения платежа.
Квитанция содержит следующую информацию:
• уникальный в пределах системы номер продавца;
• уникальный в пределах продавца номер корзины;
• сумма к оплате (в копейках);
• код валюты платежа;
• код платежного средства, используемого покупателем;
• код завершения операции;
• дата и время формирования OI3;
• код завершения операции, сформированный торговой картой. Система формирует подпись под квитанцией OI3 с использованием секретного ключа системы и готовит итоговый электронный документ покупки OI3s, состоящий из следующих элементов:
• квитанция OI3;
• подпись системы под квитанцией;
• сертификат открытого ключа системы, выданный центром управления ключевой системой;
• самоподписанный сертификат центра управления ключевой системой.
Итоговый электронный документ покупки OI3s передается и продавцу, и покупателю. Получив итоговый электронный документ OI3s от системы, продавец и покупатель проверяют цепочку сертификатов системы и их подпись под квитанцией. В случае если подпись системы верна, производится обработка завершения платежа.
Технология взаимодействия участников системы в процессе проведения платежа представлена на рис.5.1.
Рис. 5.1. Взаимодействие участников системы в процессе проведения платежа
Конечно, данная технология требует существенно более сложной организации системы. Наличие сложных механизмов взаимодействия обеспечивает более высокую степень безопасности для всех участников системы. В то же время необходимо отметить, что для пользователей системы многие дополнительные детали взаимодействия прозрачны. Формирование электронных документов, необходимых для прохождения платежа, осуществляется программным обеспечением. Покупатель вводит только информацию, необходимую для формирования корзины заказа, и предоставляет ключевую информацию. Программное обеспечение продавца в штатных ситуациях также работает практически в автоматическом режиме.
|
|
|
