E PCap 6

Cap 6.
Comerul electronic, eComer
Capitolul 6. Comerul electronic, eComer
Cuprins capitol 6.
(Figuri 6-1/cap6.2., 6-2/cap6.3.,6-3/cap6.5.2.,6-4/cap6.5.2.,6-5/cap6.5.2.,6-6/cap6.6)
6.1. O clasificare a comerului electronic 6.2. Schema de principiu a comerului electronic 6.3. Elementele componente ale comerului electronic 6.4. Riscurile, fraudele i disputele n comerul electronic 6.5. Securitatea comerului electronic 6.5.1. Securitatea telecomunicaiilor protocoalele SSL i TLS 6.5.2. Securitatea tranzaciilor de plat protocoalele 3-D Secure, SecureCode, i SET 6.6. Anatomia unei tranzacii de eComer care folosete protocolul 3-D Secure 6.7. Exemple de eComer actual. Piee electronice, licitaii, furnizori de servicii de plat prin Internet 6.7.1. Comerul electronic ntre consumatori i companii, sau comerul electronic cu amnuntul (B2C) 6.7.2. Piee electronice, licitaii electronice 6.7.3. Furnizori de servicii de plat prin Internet 6.8. Comerul electronic n Romnia Note i bibliografie
Pli Electronice, 2004
dr.ing. Dan Vasilache
Cap 6. Comerul electronic, eComer
Reputata revist englezeasc The Economist a publicat n mai 2004 un raport special destinat comerului electronic din care vom cita cteva afirmaii semnificative: eComerul nu numai c a devenit ceva uria, n sine, dar a crescut ntr-un asemenea mod nct va schimba felul n care se fac afacerile, cu sau fr Internet; nici o companie nu i mai poate permite s ignore Internetul; competiia pe Internet este feroce.... transparena preurilor e o regul .... consumatorii au acces la un volum fr precedent de informaii asupra produselor.... comportamentul consumatorilor se schimb, ei folosesc Internetul pentru a lua decizii privind cumprturile pe care le fac i n afara Internetului; rspndirea conexiunilor rapide la Internet a constituit un factor cheie n creterea eComerului; ... ngrijorarea referitoare la fraude reprezint cel mai mare pericol pentru comerul pe Internet; companiile de software, proiectanii de situri i furnizorii de servicii care au contribuit la constituirea Internetului trebuie de urgen s-l fac un loc mai sigur pentru desfurarea afacerilor (1). Comerul electronic, eComerul, aprut prin 1994, este comerul care se desfoar prin mijloace electronice, adic prin calculatoare i sisteme de telecomunicaii. Cea mai mare parte a acestui comer desfurat ntre cumprtori persoane i comerciani - companii se desfoar prin reeaua public a Internetului, i de aceea a spune eComer echivaleaz cu a spune comer pe Internet, sau comer n timp real (online), dar acest comer poate avea loc i prin reele de telecomunicaii care nu sunt publice ci aparin unor sisteme private de pli i transfer de fonduri. O alt definiie, mai larg, descrie eComerul ca fiind constituit din toate plile n care datele tranzaciei (pltitor, destinatar, sum, etc) sunt transmise electronic, pltitorul i pltitul sunt implicai direct n tranzacie, iar toate informaiile necesare autorizrii plii sunt schimbate ntre cele dou pri, electronic (2). n 2002 existau aproximativ 170 de milioane de utilizatori de Internet n Europa, i cam acelai numr n America de Nord. Numrul de servere sigure (SSL), capabile de a gzdui situri (website) de comerciani era de circa 185.000. n Romnia, n anul 2003, numrul de utilizatori de Internet reprezenta circa 24% din populaie, numrul de calculatoare personale era de circa 2,1 milioane, iar numrul de furnizori de servicii de Internet (ISP) era de 400 (3). Aceste cifre indic existena unei infrastructuri impresionante i de neignorat, capabile s ofere toate serviciile necesare dezvoltrii eComerului, inclusiv n Romnia.
Simplu spus eComerul este un comer rapid, care se desfoar n timp real, i comod, iar cumprtorii i comercianii au drept pia, prin Internet, ntreaga lume, magazinele fiind deschise 24 din 24. Cel mai mare pericol al acestui tip de comer este riscul de fraud. Ultimele tehnologii ns, ca de exemplu protocolul de autentificare 3-D Secure adoptat de Visa i MasterCard, diminueaz substanial acest risc, iar eComerul este n prezent ntr-o dezvoltare puternic, inclusiv n Romnia. Instrumentele de plat n comerul electronic sunt cardurile bancare, cecurile electronice, scrisorile de credit electronice, ordinele de transfer electronice, i, n general, orice instrument bancar de iniiere a unei pli care poate fi pus sub form electronic i pentru care exist un sistem de procesare. Pentru desfurarea n bune condiii de securitate comerul electronic trebuie s ndeplineasc o serie de cerine: asigurarea confidenialitii i integritii datelor pe timpul pstrrii i transmiterii lor; autentificarea tranzaciilor (individualizarea fiecrei tranzacii); asigurarea independenei de natura punctului de acces la Internet (device independence), astfel ca cumprturile s se poat face de la un calculator personal, de la un asistent personal digital (PDA), telefon, etc; asigurarea interoperabilitii care permite pli globale, transfrontaliere; asigurarea unei complete evidene contabile care poate servi n caz de dispute, fraude, probleme legale, etc. n acest capitol vom face o clasificare a tipurilor de eComer, urmat de o prezentare a principiilor i elementelor constitutive ale comerului electronic, o descriere a anatomiei unei tranzacii de eComer prin Internet n care plata este iniiat prin carduri, o prezentare a riscurilor i a metodelor de asigurare a securitii, dup care vom face o scurt prezentare a unor sisteme existente de eComer, bazate pe Internet, inclusiv n Romnia.
6.1. O clasificare a comerului electronic
Comerul electronic poate fi mprit n dou categorii mari: comerul ntre persoane i companii (B2C, business-to-consumers, companii-consumatori), numit i comerul electronic cu amnuntul, i comerul ntre companii (B2B, business-tobusiness).
Comerul electronic cu amnuntul are loc ntre consumatorii (persoane fizice) care dispun de un calculator personal cuplat la Internet i comercianii care i expun produsele pe un sit, prin care persoanele vd i aleg produsele expuse pe sit, dup care iniiaz plata produselor cumprate cu un card bancar de plat. Acest tip de eComer deruleaz cel mai mare numr de trazacii, dar valoarea total anual a acestuia este totui nesemnificativ n raport cu valoarea tranzaciilor din comerul electronic dintre companii. Comerul electronic dintre companii const n mod majoritar din comerul dintre companiile care se aprovizioneaz (procurement) i cele care sunt furnizori de produse (suppliers). Furnizorii i expun marfa pe Internet iar companiile care achiziioneaz aleg i emit o comand (order) electronic de achiziionare (plata fiind, de regul, realizat ulterior electronic, sau ne-electronic, prin mijloacele bancare existente). n 2001, n SUA, valoarea acestui comer a depit 31 de trilioane de dolari, dar doar sub 1% din tranzaciile de plat au fost iniiate prin carduri de plat, vasta majoritate a plilor fiind iniiate prin cec i transfer de fonduri prin casele automatizate de transfer/decontri (ACH, Automated Clearing House) (4). Comerul electronic se poate desfura n ntregime n timp real (on-line), caz n care att autorizarea tranzaciei de plat, ct i decontarea interbancar, au loc n timp real. Sau se poate desfura doar parial n timp real (autorizarea n secunde, iar decontarea a 2-a zi, cum este cazul n care plata se face prin carduri de plat naionale sau internaionale), n care doar autorizarea de plat cu card se obine n timp real, iar decontarea interbancar se face ulterior prin sistemul de carduri, sau prin intermediul serviciilor bancare obinuite care pot fi, sau nu, electronice, sau n cazul n care decontarea este amnat pn n momentul n care comerciantul prezint documentul prin care cumprtorul certific faptul c a primit marfa comandat. Livrarea mrfii de ctre comerciant poate avea i ea loc n timp real, ca n cazul descrcrii (download) imediat dup autorizare, de pe Internet a unor astfel de produse cum ar fi muzic, imagini sau software, sau poate avea loc la cteva zile dup acceptarea comenzii. Este important ca autorizarea tranzaciei s aib loc n timp real pentru ca cumprtorul s perceap efectiv c, n cteva secunde, a fcut o cumprtur. O form foarte rspndit de eComer ntre consumatori i comercianii cu sit pe Internet este aceea n care comerciantul folosete situl su doar ca pe un catalog de prezentare a produselor (descriere, pre, condiii de plat i livrare, etc), iar cumprtorul alege, i d o comand de cumprare, nsoit de identificarea i adresa sa, fr ns a i plti. Comerciantul i va confirma primirea comenzii i va
livra marfa la domiciliu, moment n care va fi i pltit (de regul cu numerar sau prin ramburs, dar i cu cec sau cu card, dac operatorul care livreaz marfa dispune de un terminal de plat POS mobil). n acest caz comanda este electronic i n timp real, iar livrarea i plata se desfoar ulterior, de regul n cteva zile (modelul de plat pizza delivery). O alt form de comer electronic are loc n cadrul aa numitelor licitaii electronice (electronic auctions) care au loc pe Internet, cumprtorii i vnztorii fiind persoane sau companii. Vnztorii i expun pe un sit specializat produsele pe care doresc s le vnd, nsoite de un pre minim la care sunt dispui s l vnd, iar cumprtorii conectai la acel sit ofer preurile pe care sunt dispui s le plteasc. Vnztorul va alege cumprtorul care a oferit cel mai mult i va intra n contact direct cu acesta pentru a perfecta ulterior vnzarea i detaliile de realizare a acesteia, pe cale electronic, sau altfel. Comerul electronic se poate realiza direct ntre cele dou pri cumprtorul i comerciantul, sau se poate realiza prin intermediul unor companii specializate care furnizeaz servicii de plat prin Internet (PSP, Payment Service Provider). n acest caz situl comerciantului va fi cuplat (de regul tot prin Internet) la situl furnizorului de servicii de plat, iar acesta va prelua, n numele comerciantului i bncii acestuia, procesarea electronic a tranzaciei de plat cu card a cumprtorului (va obine autorizarea tranzaciei i va furniza comerciantului datele tranzaciei astfel ca acceptatorul acestuia s obin decontarea de la emitent). Marea majoritate a comerului electronic care are loc prin Internet sau prin reelele private de telecomunicaii este un comer domestic n care cumprtorul i comerciantul au aceiai moned, moneda rii. n cazul n care plata se face prin carduri internaionale, iar emitentul cardului i acceptatorul comerciantului sunt, ambii, membrii ai aceluiai sistem internaional de carduri (cum ar fi Visa, MasterCard sau JCB), atunci comerul se poate desfura i transfrontalier, moneda cumprtorului putnd fi diferit de moneda comerciantului. n cazul acestui comer transfrontalier dificultatea const n mecanismele de livrare a mrfii i n problemele de legislaie legate de reglementrile bancare i de rezolvare a eventualelor dispute care pot apare n actul de comer. Comerul electronic se poate desfura sub multe forme, cu toate sau numai unele dintre etapele actului de comer desfurndu-se electronic (prezentarea i alegerea produselor, lansarea comenzii, autorizarea plii, livrarea, decontarea final). Clasificarea prezentat mai sus, fr a fi exhaustiv, a urmrit n esen introducerea ideilor principale care stau la baza acestui tip de comer.
6.2. Schema de principiu a comerului electronic

n acest capitol vom prezenta schema de principiu a comerului electronic desfurat pe Internet ntre cumprtori, sau consumatori (persoane fizice), i comerciani, n care plata cumprturilor se face prin card bancar de plat, cardul fiind naional sau internaional.
n figura 6.1 se prezint schema general de principiu n care apar principalele elemente ale comerului electronic un sit de comerciant aflat pe un server de gzduire, cumprtorul cu calculatorul su personal cuplat software printr-un navigator (browser) la Internet, bncile emitent i acceptatoare a cardului cu care se face plata, i sistemul de carduri (naional sau internaional) din care fac ambele parte. Dreptunghiul figurat punctat i cuprinznd calculatorul personal, legtura prin Internet, i situl comerciantului este echivalent, din punctul de vedere al acceptatorului comerciantului, cu un terminal de plat cu card, adic reprezint un POS virtual (VPOS, Virtual POS; a nu se confunda cu situaia n care datele de card sunt introduse de la un calculator personal al unui comerciant n vederea obinerii unei autorizri prin Internet, caz care poart deasemenea numele de POS virtual). Schema este similar n cazul plii prin cec electronic, ordin de plat electronic, etc se nlocuiete doar cardul cu cecul, i sistemul de pli prin carduri cu cel de pli prin cecuri, etc.
O cumprtur pe Internet se desfoar, n principiu, astfel. Cumprtorul acceseaz situl unui comerciant prin intermediul navigatorului din calculatorul su (de exemplu MS Internet Explorer) cruia i furnizeaz adresa comerciantului (de exemplu www.comerciant.ro). Odat ajuns pe paginile magazinului virtual al comerciantului, va cerceta produsele prezentate i va selecta unul sau mai multe produse pe care le va pune apoi n coul, sau cruciorul, virtual de cumprturi (shopping cart). Rolul coului este de a aduna toate cumprturile i de a afia totalul de plat, astfel nct n momentul plii s se cear o singur autorizare pe totalul de plat i nu cte una pentru fiecare produs. Apoi programul specializat al sitului comerciantului l va invita pe cumprtor s-i introduc ntr-un formular (HTML form) pe care i-l afieaz, datele de identitate nume, adres de email, adres de facturare (billing address) i adres de livrare (shipping address), precum i datele de plat tip de card, numr de card, dat de expirare. Dup ce cumprtorul i citete datele de pe card i le introduce manual de la tastatur n formularul afiat, va apsa un buton special al formularului (inscripionat, de exemplu, cu Cumpr) a crui apsare echivaleaz cu generarea unei comenzi ferme de cumprare i, n acelai timp, cu acceptarea totalului de plat, i a regulilor i condiiilor de plat i de livrare a produselor pe care comerciantul le-a afiat pe sit, iar cumprtorul este obligat s le cunoasc. Programul specializat al sitului va aduga automat la datele cumprtorului o alt serie de date care descriu plata (sum, moned, numrul de identificare a tranzaciei) i identitatea comerciantului, i va forma din toate acestea un mesaj pe care l va transmite la sistemul de management de carduri, SMC, al acceptatorului comerciantului prin legtura de telecomunicaii dintre serverul care gzduiete situl, i acceptator. SMC-ul acceptatorului se afl acum, n principiu, n starea n care a primit un mesaj cu o cerere de autorizare de la unul din terminalele sale de plat POS instalat la unul din comercianii si. Mai departe autorizarea tranzaciei se desfoar ca n cazul unei tranzacii ce are loc la un POS dintr-un magazin real, adic acceptatorul emite prin sistemul de carduri o cerere de autorizare ctre emitentul cardului, de la care primete apoi un rspuns de autorizare. Rspunsul este trimis de acceptator la serverul care gzduiete situl comerciantului su, iar programul special din sit afieaz pe ecranul cumprtorului o pagin cu un raport prin care i confirm (sau infirm) acestuia efectuarea cumprturii, angajamentul implicit al comerciantului de a-i livra produsele i condiiile de livrare. Raportul afiat poate fi tiprit de cumprtor i este echivalent cu o chitan de plat. Dup un numr de zile produsele expediate de comerciant ajung la cumprtor, iar n momentul livrrii la
adresa de livrare care a fost indicat, cumprtorul va accepta livrarea mrfii prin semnarea unui document de recepie. Acest document va ajunge napoi la comerciant i va putea servi n eventualele rezolvri de dispute. Acceptatorul va putea credita imediat dup autorizare contul comerciantului su, dup care introduce tranzacia n fiierul su de tranzacii pe care l va trimite la emitent n vederea decontrii interbancare. Din momentul n care cumprtorul a apsat pe butonul Cumpr din formularul afiat, trimindu-i datele de card i ordinul de cumprare, i pn n momentul n care programul special din situl comerciantului i afieaz raportul de rspuns cu confirmarea efecturii cumprturii, timpul scurs este, de regul, de circa 5-10 secunde. Acest timp de rspuns se compune, n mare, din partea de circa 2-4 secunde petrecut de tranzacie n sistemul de carduri i din partea de 3-5 secunde petrecut n Internet (serverul sitului comerciantului, telecomunicaii cu protocol sigur SSL sau TLS). n cazul utilizrii unor protocoale de autentificare a deintorului de card, cum ar fi protocolul 3-D Secure, se mai adaug un interval de pn la 10-15 secunde necesare autentificrii cumprtorului, cardului i comerciantului. Tranzacia de plat descris este o tranzacie cu card de tipul cardul-nu-esteprezent, adic nici cumprtorul i nici cardul nu se afl n faa comerciantului atunci cnd se face plata, ceea ce conduce la un risc asumat de comerciant (i de acceptator) mai mare dect n cazul unei pli de tip cardul-este-prezent care are loc ntr-un magazin real. Ca urmare msurile de securitate luate n cazul eComerului prin Internet sunt mai puternice i mai cuprinztoare. Iat, pe scurt, n cele ce urmeaz, care sunt msurile uzuale de securitate. Legturile de telecomunicaii dintre calculatorul personal al cumprtorului i serverul care gzduiete situl comerciantului, precum i acelea dintre acest server i SMC-ul acceptatorului comerciantului, trebuie s fie legturi sigure care s asigure confidenialitatea datelor comunicate i s garanteze autenticitatea celor dou pri de la capetele transmisiei. Aceste telecomunicaii se implementeaz printr-un protocol special numit SSL (Secure Socket Layer protocol) sau prin succesorul acestuia, numit TLS (Transport Layer Security protocol), ambele asigurnd criptarea (simetric) a mesajelor i autentificarea ambelor pri. Legtura ntre serverul de gzduire i SMC-ul acceptatorului se poate face i direct, printr-o linie nchiriat care nu e public (cum ar fi n cazul Internetului), mai ales n cazul n care acceptatorul are mai multe situri de comerciant (un portal) pe un acelai server, securitatea i viteza transmisiunilor trebuind s fie astfel mult sporit.
Cardul cu care cumprtorul face cumprturi pe Internet poate fi un card obinuit al sistemului de carduri sau un card special destinat plii prin Internet, care asigur cumprtorului o siguran sporit. Astfel de carduri speciale pot avea, de exemplu, o limit maxim a sumei din cont, o perioad de expirare foarte scurt, sau pot fi carduri virtuale ce sunt folosite de regul numai pentru o singur cumprtur, dup care sunt rencrcate cu suma necesar urmtoarei cumprturi. Autentificarea prilor implicate ntr-o tranzacie de comer electronic este probabil cea mai important msur de asigurare a securitii tranzaciilor. Prile implicate sunt deintorii de carduri, emitenii cardurilor, comercianii i eventual porile de acces (gateway) de la Internet la sistemul de plat cu carduri. n prezent exist trei astfel de protocoale de autentificare utilizate n eComer: protocolul SET (Secure Electronic Transactions), protocolul 3-D Secure (Three-Domains Secure) i protocolul SecureCode (ultimele dou fiind asemntoare i aparinnd, respectiv, lui Visa i lui MasterCard). Vom reveni asupra acestor protocoale. Comerciantul va ncheia cu acceptatorul su de pli cu carduri prin Internet, un contract special de comerciant pe Internet, cu condiii i prevederi speciale, specifice acestui tip de comer. Comisionul pe care comerciantul l va plti acceptatorului per fiecare tranzacie de eComer este de regul mai mare decat n cazul comerului real, de exemplu de 3-10% din valoarea tranzaciei, fa de circa 1-3% n cazul comerului real. Contractul cu acceptatorul va prevede de asemeni modul de desfurare a disputelor ce pot apare ntre cumprtor i comerciant, cu indicarea clar a responsabilitilor acceptatorului i celor ale comerciantului, n cazul fraudelor sau a altor excepii.
6.3. Elementele componente ale comerului electronic
Vom face aici o scurt descriere a principalelor elemente conceptuale componente ale comerului electronic, iar n capitolele urmtoare vom detalia elementele mai importante legate de riscuri, fraude i securitate. Nu toate elementele componente se afl n toate sistemele de eComer. Principalele elemente componente ale unei activiti de comer electronic desfurat prin Internet sunt urmtoarele: a) comerciantul, acceptatorul su i situl (website) comerciantului pe Internet;
b) cumprtorul pltitor cu card, calculatorul su personal, portofelul su electronic i emitentul cardului; c) telecomunicaiile sigure ntre cumprtor i sit, i ntre sit i acceptatorul comerciantului; d) aplicaia de eComer a acceptatorului, distribuit, cu un modul client n situl comerciantului i un modul server n SMC-ul acceptatorului, i poarta de acces la Internet (gateway); e) serverul din Internet care asigur gzduirea siturilor de comerciant i legturile cu SMC-urile acceptatorilor (sau ale procesatorilor independeni adoptai de acetia); f) riscurile, fraudele i disputele; g) protocoalele de autentificare care asigur securitatea sporit a tranzaciei; h) costul tranzaciilor i microplile; i) pieele electronice, licitaiile. a) Comerciantul, acceptatorul su i situl pe Internet al comerciantului Comerciantul care dorete s vnd prin Internet i s accepte pli prin carduri, trebuie mai inti s-i gseasc o banc acceptatoare care s-i ofere un contract special de cont de comerciant pe Internet. Acest acceptator va trebui s dispun de un sistem de management de carduri, SMC, capabil de a procesa tranzacii de eComer, sau s externalizeze aceast procesare ctre un procesator independent specializat. Contractul de comerciant pe Internet, care se ncheie ntre comerciant i banca acceptatoare care ofer serviciile de eComer, este un contract cu clauze speciale destinate a acoperi riscurile mai mari ale acestui tip de comer, pe care i le asum acceptatorul. De regul acceptatorul va verifica bine comerciantul i credibilitatea lui nainte de a-l admite. Unele din riscurile mari ale acceptatorului sunt acelea ca comerciantul s nu livreze marfa pltit (cu tranzacia autorizat), caz n care cumprtorul va cere banii napoi de la acceptator prin intermediul emitentului su, sau acela c, dup livrarea mrfii, cumprtorul s nu recunoasc c a fcut tranzacia sau c tranzacia a fost fcut fraudulos (cazul tipic de I did not do it nu am fcut-o ) i s cear iar banii napoi. Pentru acoperirea acestor riscuri mrite acceptatorul poate cere un comision mai mare per fiecare tranzacie, clauze asiguratorii, etc. Comerciantul va apela apoi la un furnizor de servicii de Internet (ISP, Internet Service Provider) cruia i va cere s-i gzduiasc (hosting) un sit (website) propriu de comer, numit magazin virtual, i s-i furnizeze o adres de Internet de forma, de
10
exemplu, www.numecomerciant.com. Comerciantul i poate proiecta el nsui propriul sit, poate apela la serviciile unor companii specializate, sau poate recurge la oferta acceptatorului de a-i crea magazinul i de a i-l pune ntr-un portal de eComer al acceptatorului, alturi de magazinele virtuale ale altor comerciani ai si. Situl comerciantului se compune de regul dintr-o pagin de intrare cu rol de prezentare general a comerciantului i a magazinului, i dintr-un set de pagini cu prezentarea produselor (descriere, pre). O serie de pagini vor informa cumprtorii asupra condiiilor de plat i de livrare a produselor cumprate, i vor descrie responsabilitile comerciantului i cumprtorului n toate situaiile, normale sau de excepie, precum i avertizarea legal c dac apas butonul Cumpr, care d comanda de cumprare, atunci accept implicit toate condiiile comerciantului i toate responsabilitile care i revin, aa cum sunt afiate pe sit. Aproape ntotdeauna situl va conine i o pagin (cu programul aferent) care reprezint coul, sau cruciorul, virtual al cumprtorului (shopping cart). Cumprtorul selecteaz pe rnd produsele dorite i le trimite n co, iar coul va nsuma toate cheltuielile i va indica cumprtorului doar un total final de plat. Exist multe variante de programe care implementeaz un co virtual, unele dintre acestea fiind disponibile gratuit pe Internet. La sfritul cumprturilor, cumprtorul va examina coninutul coului i totalul de plat i dac e mulumit va apsa un buton prin care declar c e gata de plat. Un astfel de buton inscripionat de exemplu cu Dorii s pltii acum?, va trimite pe ecranul calculatorului cumprtorului un formular (form) de plat, invitnd cumprtorul s introduc datele sale de identificare i ale instrumentului su de plat. Dup introducerea n formular a datelor, cumprtorul apas butonul de generare a comenzii ctre comerciant, inscripionat de exemplu cu Cumpr, iar acesta va determina expedierea datelor comenzii (produsele selectate, datele de card ale cumprtorului, datele privind livrarea, datele comerciantului i altele) din sit ctre SMC-ul acceptatorului, prin intermediul programului su care rezideaz n sit i care reprezint modulul client de eComer al acceptatorului. Dup ce acceptatorul va primi rspuns de la emitent la cererea de autorizare a plii, programul su de eComer, adic modulul server de eComer din SMC-ul su, va expedia rspunsul ctre sit, iar modulul client din sit va afia cumprtorului un raport final care i indic efectuarea, sau neefectuarea, cumprturii, i acceptarea sau neacceptarea plii. Este posibil ca modulul client din sit s emita i un mesaj de pot electronic (email) ctre calculatorul cumprtorului pentru a-i confirma cumprtura i pentru
11
a-i aminti eventual i condiiile de livrare a produselor cumprate (adres i data de livrare, de exemplu). ntruct toate tranzaciile de eComer trec prin SMC-ul acceptatorului, modulul server de eComer al acestuia va genera periodic, de exemplu o dat pe zi, cte un fiier de comenzi (order file) pentru fiecare din comercianii si pe Internet. Fiierul de comenzi primit de un comerciant i indic acestuia toate livrrile ferme i cu plata acceptat, pe care trebuie s le fac ctre toi cumprtorii si. Comerciantul poate dispune i de o baz de date de comenzi chiar pe sit, iar modulul client de eComer poate furniza toate datele unei comenzi acceptate pentru a fi nscrise, comand cu comand, n aceast baz de date, caz n care nu mai este necesar fiierul descris anterior. Comerciantul va efectua livrrile pe baz de document de recepie semnat de cumprtor i va pstra aceste documente. Acceptatorul face decontarea interbancar cu emitenii cardurilor care au fcut cumprturile i poate credita contul comerciantului imediat dup autorizare, cernd documentul de recepie doar n cazurile de disput.
b) Cumprtorul pltitor cu card, emitentul cardului, calculatorul personal al cumprtorului i portofelul electronic, ePortofel Cumprtorii pe Internet pot folosi pentru plat orice card (cu band magnetic sau cu cip) emis cu permisiunea sau cu scopul de a fi folosit n acest fel de plat. innd seama de riscurile plilor pe Internet emitenii pot emite carduri speciale care urmresc, n caz de fraud, micorarea pe ct posibil a efectelor acesteia. Exist mai multe categorii de astfel de carduri cu risc redus pe Internet carduri nregistrate de emitent pentru a fi folosite cu un protocol de autentificare (cum este 3-D Secure), carduri cu parametri care reduc riscul, i carduri, sau conturi, virtuale. Cardurile nregistrate cu un protocol ca 3-D Secure sau SET ofer maxima siguran. Visa i MasterCard, i n curnd i JCB, ofer posibilitatea nregistrrii cardurilor lor de debit sau de credit n sistemul protocolului 3-D Secure (promovat de Visa i agreat i de celelalte dou). Vom reveni asupra acestui protocol i a semnificaiei nregistrrii (enrollment) unui card. Cardurile cu risc redus n plile pe Internet au parametri stabilii la emitere n aa fel nct n caz de fraud, pierderea s fie ct mai mic. Uzual se pune o limit maxim de mic valoare pe suma care poate exista n cont n orice moment (de
12
exemplu maxim 100 euro), iar data de expirare a validitii cardului se stabilete ca fiind apropiat de data emiterii. Pot fi micorai i parametrii care stabilesc valoarea maxim admis pentru o cumprtur (de exemplu 50 euro) sau numrul maxim de tranzacii pe Internet, pe zi (de exemplu maxim 2 tranzacii pe zi). Emitentul va decide parametrii de risc i va emite un produs adresat n mod special plii pe Internet. O protecie bun se asigur prin cardurile virtuale, emise de fapt ca un cont virtual (virtual account) a crui descriere (nume, numr de cont, dat de expirare, moned, etc) e nmnat deintorului sub forma de informaie tipizat pe un formular, sau sub forma unui card obinuit de plastic, dar care nu are band magnetic (nu poate fi folosit n lumea real). Contul cardului virtual e ncrcat de cumprtor cu puin timp naintea efecturii cumprturii cu o valoare apropiat de valoarea la care se va face cumprarea. Contul va fi rencrcat naintea urmtoarei cumprturi (de pe un alt card, dintr-un cont de debit, de la ATM sau POS, sau prin serviciile bancare electronice prin Internet sau prin telefonie mobil). Astfel de carduri, n Romnia, sunt de exemplu cardul virtual Virtuon (cu sigla Visa, fr PIN i fr band magnetic) emis de BCR, i cardul Taifun Virtual (cu sigla MasterCard) emis de Banc Post (5). O alt metod de a reduce ansele de a capta datele unui card n vederea unei folosiri frauduloase este aceea de a genera pseudo-numere de card. Emitentul va emite astfel de carduri i va stabili n interiorul SMC-ului su o perioad de valabilitate foarte scurt, de la o jumtate de or pn la maxim cteva luni, dup care numrul de card va dispare definitiv din evidena SMC-ului, iar cumprtorul va putea cere apoi emiterea unui alt astfel de card, pentru o alt cumprtur. Cardul poate avea aparena unui card de credit dar n sistemul emitentului va putea fi pus n coresponden cu un cont de debit (care d o mai mare siguran emitentului). Calculatorul personal al consumatorului trebuie s fie legat fizic la Internet (dial-up, cablu, reea) i s dispun de un navigator (browser) capabil de a asigura legturi sigure (https:) adic care folosesc protocoalele SSL sau TLS. La calculator ar putea fi legat, dar aceasta nu este un lucru frecvent, i un cititor de carduri cu band magnetic care ar prelua datele de pe cardul de plat, sau un cititor de carduri cu cip care ar prelua din cip datele secrete (cuvinte de control, chei, certificate) ale consumatorului, necesare eventual n cazul autentificrii sale n cadrul protocoalelor de securitate, sau ar putea fi legate alte dispozitive speciale de autentificare (token). Cumprturile pe Internet pot fi mult uurate prin conceptul de portofel electronic, ePortofel (eWallet). Un portofel electronic este un program rezident n
13
calculatorul cumprtorului care conine toate datele de plat ale cumprtorului, adic datele de identitate (nume, adrese, diverse) i datele de card de plat, i este iniializat de cumprtor o singur dat cu toate aceste date. Apoi, n momentul completrii formularului care i apare pe ecran ca urmare a efecturii cumprturii, datele din ePortofel sunt trecute automat (un simplu clic) n formular. Acest ePortofel poate rezida n condiii de securitate i n serverele pentru situri de comerciani sau n servere specializate, putnd fi astfel disponibil i din alte puncte de acces la Internet, nu numai de pe calculatorul personal al cumprtorului. Portofelul poate pstra i chitanele tranzaciilor efectuate, colectnd datele din pagina cu raportul de ncheiere a tranzaciei. Pentru completarea automat a formularului comerciantului cu datele din ePortofel, portofelul i formularul trebuie s fie compatibile (adic s aparin aceluiai sistem). c) Telecomunicaii sigure Datele care circul ntre calculatorul cumprtorului i SMC-ul acceptatorului, trecnd prin serverul de gzduire a sitului comerciantului, trebuie s rmn permanent secrete, nealterate i s provin de la o surs (cumprtor, comerciant/server, acceptator) autentic. Aceasta se asigur prin protocoale sigure de transmisiuni cum sunt SSL (Secure Sockets Layer), succesorul su similar TLS (Transport Layer Security), PCT (Private Communication Technology), i altele. Cel mai utilizat protocol sigur n eComer este SSL, urmat de TLS care se bazeaz pe el i i aduce unele mbuntiri. Caracteristic acestor protocoale este faptul c la fiecare operaiune de cuplare se genereaz o nou cheie de criptare i se face o nou autentificare (cel puin a serverului de gzduire a sitului comerciantului). Vom reveni asupra protocolului SSL. Dac legtura ntre acceptator i serverul de gzduire se asigur printr-o linie nchiriat, care este mai sigur dect cea public prin Internet, poate fi suficient un protocol mai simplu de telecomunicaii, care s asigure doar o criptare a mesajelor (eventual i un cod MAC pentru verificarea integritii), fr autentificarea capetelor transmisiei. Dac legtura se face prin Internet, se poate folosi i protocolul VPN (Virtual Private Network) care, asemeni SSL-ului, asigur criptarea i integritatea mesajelor, precum i autentificarea prilor. d) Aplicaia de eComer a acceptatorului modulul client i modulul server de eComer, poarta de acces la Internet
14
Banca acceptatoare care ofer clienilor si comerciani serviciul de comer electronic prin Internet cu plat prin card trebuie s dispun de un SMC capabil de procesare a tranzaciilor generate n cadrul acestei forme de comer. Aceast funcionalitate a SMC-ului acceptatorului se asigur printr-o aplicaie (set de programe) compus din dou pri, sau module un modul aflat n SMC i numit modulul server de eComer, i un modul aflat n situl fiecrui comerciant din serverul de gzduire numit modulul client de eComer. ntre cele dou module funcioneaz legtura sigur de telecomunicaii care se stabilete ntre acceptator i server. n cazul plii cu carduri aparinnd marilor sisteme de carduri mesajele care circul prin aceast legtur sunt n formatul ISO 8583. Rolul fundamental al aplicaiei de eComer a acceptatorului este de a dialoga cu cumprtorul i de a transforma tranzacia de eComer n aa fel nct s produc o tranzacie echivalent cu una obinuit, din lumea real, produs de un card la un terminal de plat POS, care s fie procesat de sistemul existent de pli prin carduri, cu extensiile necesare (6). Un acceptator are de regul mai multe situri de comerciani aflate pe acelai server de gzduire, sau pe servere diferite. Fiecare sit de comerciant dispune de un modul client de comer electronic care apeleaz la unicul modul server de comer electronic din SMC-ul acceptatorului. Eventual fiecare server de gzduire dispune de un singur modul client, care e folosit de toate siturile de comerciani care aparin aceluiai acceptator. Logic vorbind sistemul acceptatorului dispune de o interfa cu Internetul prin intermediul creia se face tot schimbul de informaii cu serverele de comerciani. Aceast interfa are numele de poart de plat (payment gateway), sau poart de access (gateway), cuprinde protocoalele de transmisiuni i modulul server de eComer al acceptatorului, fcnd legtura ntre Internet i sistemul de pli prin carduri, trecnd prin SMC-ul acceptatorului. Rolul modului client este de asigura interfaa cu navigatorul cumprtorilor, adic de a transmite datele primite de la cumprtori la modulul server din SMC-ul acceptatorului, de a primi rspunsul de la acesta, i de a-l trimite napoi la navigatorul cumprtorilor. Modulul client va aduga datelor cumprtorului i identitatea comerciantului (Merchant ID). n esen, la momentul plii, modulul client va afia un formular (HTTP form) pe ecranul cumprtorului n care acesta i va introduce datele secrete ale cardului cu care pltete, dup care va forma cu aceste date (plus nc altele) un mesaj pe care l va expedia, cu titlu de cerere de autorizare, ctre modulul server. La primirea rspunsului de la modulul server va genera pe ecranul cumprtorului o pagin-raport cu informaiile care i confirm
15
acestuia efectuarea plii i datele operaiei de cumprare. Va putea eventual trimite cumprtorului i un mesaj electronic (email) de confirmare a operaiei. Desigur, va pstra ntr-un fiier o nregistrare a tuturor mesajelor transmise i recepionate. Rolul modului server este de a primi tranzaciile de eComer cu cererile de autorizare de la toate modulele client, de a le transforma n tranzacii ale sistemului adugnd i identitatea acceptatorului i, dup autorizare, de a le trimite modului client de la care a venit cererea de autorizare. n cazul folosirii protocoalelor de autentificare speciale, cum sunt 3-D Secure i SET, ambele module, client i server, vor dispune de funcionalitile suplimentare cerute de aceste protocoale, principiile rmnnd aceleai. Acceptatorul care nu dispune de un SMC propriu capabil s ofere serviciile de eComer poate apela la serviciile unui procesator independent de tranzacii cu carduri, care are aceast facilitate. n acest caz legturile cu serverele de gzduire ale siturilor comercianilor i cu sistemul de pli prin carduri sunt asigurate de procesatorul independent, iar acceptatorul pstreaz doar o singur legtur (de regul printr-o linie nchiriat) cu procesatorul. Aceast modalitate este prezentat n figura 6.2. n Romnia un astfel de procesator independent este compania PayNet (www.paynet.ro), iar procesatorul Romcard (www.romcard.ro), care aparine unor bnci mari, ofer deja pentru bncile proprietare, i pentru alte bnci, un serviciu de comer electronic complet i certificat bazat pe protocolul 3-D Secure, sub siglele Visa i MasterCard (a se vedea i capitolul 12.2).
16
e) Serverul de gzduire a siturilor de comerciani Serverul de gzduire a siturilor de comerciani aparine unui furnizor de servicii de Internet (ISP, Internet Service Provider) cu obinuitele servicii de gzduire pagini HTML (sau XML), de pot electronic, i de legturi de telecomunicaii cu acceptatorii poteniali. Acceptatorii pot dispune de propriul server de gzduire pentru comercianii lor, sau indic acestora serverele cu care lucreaz. Un astfel de server poate gzdui multe situri de comerciani, fiecare cu numele lui de Internet, i de la mai muli acceptatori. Pentru fiecare acceptator va exista probabil cte un tip diferit de modul client de eComer, care se afl n situl (fiierul de pagini) comercianilor acelui acceptator. Serverul va avea legturi de telecomunicaii cu fiecare acceptator n parte. Calitile cele mai importante ale serverului de gzduire trebuie s fie sigurana de funcionare (un grad de disponibilitate mai mare de 99,5% este strict necesar), viteza de procesare i de telecomunicaii, i capacitatea mare de stocare de situri. Serverul trebuie de asemenea s aparin unei companii n care toate prile implicate au o mare ncredere, adic s fie autentificat de o Autoritate de Certificare
17
admis de toi (cum ar fi de exemplu compania american VeriSign, care este un furnizor global de certificate de autenticitate pentru servere). f) Riscurile, fraudele i disputele Riscurile de fraud n comerul electronic prin Internet sunt generate pe de o parte de reeaua de telecomunicaii publice, inerent nesigur, a Internetului i pe de alt parte de faptul c tranzacia se face n situaia cardul-nu-este-prezent n faa comerciantului n momentul cumprrii. Vom defini riscul ca posibilitatea apariiei unor pierderi sau unor daune. Pierderile pot fi financiare sau de confidenialitate. Telecomunicaiile publice nesigure, accesibile oricui i tuturor, ofer ansa unei interceptri frauduloase a mesajelor, din care se pot extrage date secrete (de card, de identitate) care ar putea fi ulterior folosite n mod fraudulos, n dauna deintorului de card cumprtor, sau a comerciantului. Faptul c deintorul i cardul nu sunt prezeni n faa comerciantului ofer ansa prezentrii la plat a unui card fraudulos, sau a unui cumprtor cu identitate frauduloas (card and cardholder impersonation). Cazurile frecvente de fraud n care comerciantul accept plata dar nu livreaz marfa, sau n care cumprtorul primete marfa comandat i pltit dup care declar c nu el a fcut tranzacia i reclam banii napoi, conduc la dispute ale cror proceduri de rezolvare cost toate prile implicate. Pierderile directe i indirecte datorate fraudelor vor fi suportate de comerciant (acceptator), de emitentul cardului, de deintorul de card, i chiar de sistemul de pli prin carduri n ansamblu n cazul n care un cumprtor nemulumit renun la cardurile sistemului i trece la cardurile altui sistem. S-a apreciat c n 2003 fraudele din eComer au generat pierderi financiare de circa 1,8 miliarde dolari, 1 din 6 cumprtori cu card a fost, sub o form sau alta, victima unei fraude financiare, i 1 din 12 cumprtori i-au vzut identitatea furat. Frauda pe Internet este de circa 17 ori mai mare dect cea care are loc n magazinele reale, tranzaciile frauduloase de comer electronic reprezentnd circa 1% din total, fa de numai circa 0.06% tranzacii frauduloase care au loc n magazinele reale (7). Alte surse indic cifre mai mici pentru aceste fraude. g) Protocoalele de autentificare care asigur o securitate sporit a tranzaciilor 3-D Secure, SecureCode, SET Dup o rapid dezvoltare a eComerului la sfritul deceniului 90, frauda crescuse la un nivel considerat inacceptabil, iar rspndirea comerului electronic a
18
regresat. Aceast situaie a determinat creterea preocuprilor pentru securitate i astfel au aprut, printre altele, protocoalele de securitate sporit specifice eComerului, i anume mai nti complexul protocol SET susinut de Visa i MasterCard, apoi protocoalele Verified by Visa bazat pe 3-D Secure al lui Visa i SecureCode al lui MasterCard, ultimele dou similare ca concepie, dar mai simple i mai usor de implementat dect SET. n prezent protocolul de autentificare 3-D Secure pare s se impun ca cea mai bun soluie fiind susinut de Visa (care l-a inventat), de MasterCard i de JCB. De remarcat c n Romnia, din 2004, mai multe bnci mari (BCR, Raiffeisen Bank, i Banca iriac) accept comerciani pe Internet i emit carduri sub sigla Visa i MasterCard care pot fi folosite pentru comerul electronic cu protocolul 3-D Secure, procesatorul acestor bnci fiind compania Romcard. Vom reveni asupra acestor protocoale. h) Costul tranzaciilor, microplile Efectuarea oricrei tranzacii de eComer propune costuri pentru toate prile implicate. Costul unei tranzacii de eComer are n general o parte fix de 0,1-0,5 dolari SUA i o parte variabil ce poate fi mai mare de 5% din sum (2). Cei care suport n final aceste costuri sunt cumprtorii i comercianii. Comercianii rezolv de regul problema ridicnd acoperitor preul produselor vndute. Cumprtorul simte costul pe care trebuie s-l plteasc pentru o tranzacie pe Internet raportat la valoarea produsului cumprat, dei costul n sine al tranzaciei nu depinde de aceast valoare. Astfel nct n cazul cumprrii unor produse sau servicii de mic valoare, costul tranzaciei de cumprare poate apare ca prea mare, eventual inacceptabil. Internetul este un loc predilect pentru punerea n vnzare a produselor i serviciilor de mic valoare cum ar fi software cvasi-gratuit, melodii, imagini, informaii diverse, pentru care costul poate fi de civa dolari sau chiar civa ceni. n acest caz avem de a face cu micropli (micro payments). Limita pentru definirea unei micropli e pus convenional la 10, sau, dup alte surse, la 25 dolari SUA, plile inferioare acestei limite fiind considerate micropli (2). Se definesc chiar nanoplile, ca fiind plile a cror valoare este sub 1 dolar SUA. Pentru micro- i nanopli pe Internet exist metode adecvate de plat care fac costul tranzaciei foarte mic. Una din aceste metode este folosirea ePortomoneelor (ePurse) ca mijloc de plat pe Internet, iar alta este plata prin transferul direct de fonduri ntre conturi (accountbased transfer), conturile cumprtorilor i comercianilor aflndu-se la aceiai entitate (dispare operaia de decontare), cum e cazul sistemelor de plat PayPal i PayDirect.
19
i) Piee electronice, licitaii Comerul electronic poate fi organizat i dup modelul pieelor reale mai muli comerciani i prezint produsele i serviciile n cadrul aceluiai sit, cumprtorii pot cerceta mai multe magazine virtuale, pot compara preurile i pot participa la vnzrile de produse prin licitaie organizate de diveri vnztori, sau pot cumpra la preurile fixe afiate. Cumprtorii i vnztorii pot fi persoane fizice sau companii, n orice combinaie persoane cu persoane (P2P), persoane cu companii (B2C), sau companii cu companii (B2B). Administraia central (guvernul) i cea local (guvernul local), n postur de companie, particip frecvent la achiziia de produse i servicii de la furnizori, prin licitaie (B2G). n cadrul unei licitaii vnztorul afieaz produsul, un pre minim de pornire, i o durat a licitaiei, iar cumprtorii declar preul maxim pe care sunt dispui s-l ofere, putnd s modifice acest pre pe durata licitaiei ntruct pot vedea n orice moment preul cel mai mare oferit curent. Vnztorul alege, la sfritul perioadei de licitaie, preul cel mai mare i intr n contact direct cu cumprtorul care l-a oferit, pentru a perfecta vnzarea, stabilind modul de plat i condiiile de livrare. Plata se poate face prin mijloacele electronice oferite de piaa electronic sau prin mijloacele tradiionale existente ntre bncile celor doi. O pia electronic, procedura de licitaie i mijloacele de plat sunt implementate prin aplicaiile specifice ale companiei care deine situl, sau portalul, ce reprezint piaa electronic.
6.4. Riscurile, fraudele i disputele n comerul electronic
Aa cum am artat, riscul de fraud n comerul electronic e datorat, n principu, caracterului public al reelei de telecomunicaii a Internetului i faptului c nici deintorul de card, i nici cardul, nu sunt prezeni n faa comerciantului n momentul efecturii tranzaciei de cumprare. n multe ri, conform legislaiei naionale, rspunderea pentru o tranzacie frauduloas revine comerciantului (reprezentat de acceptatorul su) sau emitentului cardului. Din acest motiv deintorul de card e puternic ncurajat, tiind c nu va
20
pierde bani n cazul unei fraude, atta vreme ct i respect propriile obligaii (fa de emitent i fa de comerciant i regulile acestora) (8). Vom prezenta pe scurt n cele ce urmeaz care sunt tipurile mai importante de pericole de fraud care ar putea apare n acest tip de comer (9). Un agent fraudulos care cunoate domeniul, pe care l vom numi fraudator, poate intercepta mesajele transmise i poate extrage datele cardului. Mai trziu fraudatorul poate efectua o tranzacie introducnd n comand datele de card astfel obinute. Acest tip de fraud poate fi eliminat numai printr-o procedur de autentificare a deintorului de card (prin PIN sau printr-o parol, sau expresie, de control). Deintorul legal al cardului va nega, evident, c a fcut tranzacia i se va declana o disput a crei rezolvare presupune costuri. Fraudatorul poate modifica o comand de cumprare, schimbnd, de exemplu, lista de cumprturi sau cantitatea acestora, astfel nct comerciantul va livra produsele greit, iar cumprtorul va refuza recepionarea acestora i va cere banii napoi. Comerciantul i va putea pierde clienii. Fraudatorul poate modifica paginile din situl comerciantului cu scopul de a dezinforma cumprtorii care se vor ndrepta astfel spre alt comerciant. Fraudatorul poate fi chiar comerciantul dac va utiliza datele de card primite n cursul unei pli (n cazul n care are acces la aceste date) pentru a efectua el nsui tranzacii n locul deintorului de card legitim. Aceasta reprezint una din cele mai mari temeri ale cumprtorilor pe Internet, care ar prefera s tie c datele lor de card nu se pstreaz n situl comerciantului. Fraudatorul poate s creeze un fals sit de comerciant, care arat ca un magazin virtual legitim, dar care nu e legat de nici o banc acceptatoare sau sistem de pli. El va capta astfel toate datele de card pe care cumprtorii pclii le vor furniza cnd vor face o cumprtur. Un deintor legitim al unui card legitim poate deveni un fraudator dac, dup ce a efectuat o cumprtur i a primit produsele, neag c a fcut tranzacia i ncearc s obin banii napoi. Fraudatorii pot de asemenea s ncerce s fac nefolosibil un sit de comerciant, genernd un numr foarte mare de tranzacii cu date de card inventate, tranzacii care vor fi respinse, dar situl va fi practic nefolosibil de ctre cumprtorii legitimi, fiind suprancrcat cu respingerea tranzaciilor invalide. Ca urmare a diverselor forme de fraud un deintor de card care e cumprtor pe Internet poate contesta, sau disputa, sub diverse motive, fie toat tranzacia, fie doar aspecte ale acesteia. Cumprtorul se va adresa cu o plngere
21
ctre emitentul cardului su, iar acesta va ncepe o procedur de rezolvare a disputei, conform regulilor sistemului de carduri i mpreun cu acceptatorul care reprezint comerciantul, n scopul returnrii banilor, total sau parial (chargeback, returnare plat). Motivele cele mai frecvente invocate de cumprtor sunt nu am fcut tranzacia, nu doresc ceea ce am primit i nu am primit ceea ce am cumprat. Rezolvarea acestor dispute implic costuri suplimentare relativ mari pentru emitent i pentru acceptator, i, n mod frecvent, pierderile mai mari sunt suferite de comerciant.
6.5. Securitatea comerului electronic
Msurile speciale de securitate n cazul comerului electronic prin Internet, n care plile se fac cu carduri, sunt concentrate, n principal, n dou direcii asigurarea securitii telecomunicaiilor, i asigurarea securitii tranzaciilor prin procedee mai puternice de autentificare, n principal a deintorului de card. Prima direcie ncearc s rezolve problema riscurilor generate de caracterul public al transmisiunilor prin reeaua Internetului, iar a doua pe aceea a riscurilor generate de o situaie n care cardul-nu-este-prezent (similar cu cazul comenzilor date prin telefon sau pot). Alte msuri de securitate sunt luate la nivelul legislaiei i al reglementrilor bancare i ale sistemelor de carduri, iar altele urmresc comportamentul cumprtorilor (memornd o istorie a tranzaciilor) i depistarea unui profil al cumprtorului, sau comerciantului, potenial fraudulos cruia mai apoi i se vor interzice tranzaciile. Unii emiteni pot utiliza chiar reele neuronale care pot identifica un fel anume, susceptibil de a fi fraudulos, de a face cumprturile de exemplu efectuarea unui mare numr de cumprturi ntr-un interval scurt de timp (cteva ore) de pe multe situri de comerciant, caz n care cumprtorul va fi imediat contactat pentru verificare.
6.5.1. Securitatea telecomunicaiilor protocoalele SSL i TLS
22
n prezent securitatea telecomunicaiei ntre calculatorul personal al cumprtorului i serverul de gzduire al sitului comerciantului, precum i aceea dintre acest server i procesatorul acceptatorului se asigur prin protocolul SSL, sau prin succesorul su TLS. Ambele protocoale asigur toate elementele fundamentale ale unei transmisiuni sigure criptarea mesajelor care asigur confidenialitatea, verificarea integritii coninutului mesajelor, i autentificarea entitilor de la ambele capete ale transmisiunii. Protocolul SSL (Secure Sockets Layer), ajuns astzi la versiunea 3.0, a fost proiectat de compania american Netscape Communications n 1995 i s-a rspndit n toat lumea fiind instalat n toate navigatoarele importante (Internet Explorer i Netscape) i n toate serverele de gzduire de situri, devenind un standard de facto al securitii telecomunicaiilor pe Internet. Iat pe scurt modul su de funcionare. n momentul n care un navigator adreseaz un server n regim de securitate (adrese ncepnd cu https:), acesta va trimite navigatorului propriul su certificat de autenticitate, eliberat de o Autoritate de Certificare (care respect standardul X.509) cunoscut i acceptat (cum ar fi VeriSign Inc.), criptat i semnat de aceasta cu cheia sa secret i coninnd identitatea serverului i cheia public a serverului. Opional, i navigatorul poate trimite certificatul su ctre server. Navigatorul va decripta certificatul serverului (cu cheia public, pe care o cunoate, a Autoritii de Certificare) i va obine cheia public a serverului, apoi va genera o cheie secret valabil numai pentru cuplarea n curs (la fiecare legtur cu serverul se va genera o nou cheie). Aceast cheie de criptare a mesajelor (de 40 sau 128 de bii) este la rndul ei criptat cu cheia public a serverului, cruia i este apoi expediat. n acest fel ambele capete ale transmisiei dispun acum de o cheie secret de criptare mesaje, cu care i cripteaz mesajele pe care ncep s i le trimit. Aceast cheie de criptare mesaje se folosete i la aplicarea unui cod MAC (Message Authentication Code) care permite verificarea integritii mesajelor schimbate. Protocolul TLS (Transport Layer Security) a fost elaborat de IETF (Internet Engineering Task Force), organizaia de standardizare a Internetului, pe baza SSL 3.0 i reprezint o mbuntire a acestuia n mai multe privine. Este de ateptat s se substituie treptat protocolului SSL (10).
6.5.2. Securitatea tranzaciilor de plat protocoalele 3-D Secure, SecureCode i SET
23
O cretere substanial a securitii tranzaciilor de plat se poate obine prin folosirea unor protocoale de autentificare al cror rol este s autentifice actorii principali ai tranzaciei ce are loc pe Internet deintorul de card i cardul lui, comerciantul i acceptatorul lui, i poarta de acces (gateway) din Internet ctre sistemul de pli prin carduri. Aceasta autentificare se face fie prin certificate de autenticitate care necesit un sistem de chei publice (PKI, Public Key Infrastructure), fie prin alte metode, mai simple. Esenial este autentificarea deintorului de card deoarece aici se afl sursa majoritii fraudelor. Trei astfel de protocoale sunt astzi n folosin protocolul SET proiectat n 1996 de Visa, MasterCard, IBM i alii, protocolul 3-D Secure proiectat de Visa, i protocolul SecureCode proiectat de MasterCard, ultimele dou n 2001. Cel care asigur securitatea maxim, ntruct autentific pe toi actorii tranzaciei, este protocolul SET. Acesta este ns un protocol complicat, scump i greu de implementat, motiv pentru care nu este rspndit, pare ameninat cu dispariia i nu vom insista asupra lui. Dintre celelalte dou, care sunt mai simple i mai uor de implementat, protocolul 3-D Secure tinde s devin un standard de facto fiind acceptat i de MasterCard i de JCB. Protocolul de autentificare 3-D Secure este prezentat de Visa sub marca Verified by Visa (VbV), aceast marc fiind prezent pe siturile comercianilor ai cror acceptatori au aderat la protocol. MasterCard ofer ns sub marca proprie de SecureCode un numr de trei protocoale de autentificare distincte, la alegere pentru acceptatori protocolul SPA/UCAF (primul care a purtat marca), protocolul CAP derivat din primul, i implementarea proprie a protocolului 3-D Secure. Spre deosebire de SET, protocoalele 3-D Secure i SPA/UCAF nu mai impun certificate de autenticitate pentru toate prile, ceea ce reprezint o mare simplificare. Autentificarea deintorului de card se face n timpul tranzaciei de ctre emitentul acestuia numai pe baza numelui i a unui cuvnt de control (password) sau PIN (sau prin alte metode, la alegerea emitentului), certificatul de autenticitate al cumprtorului nemaifiind strict necesar. n cele ce urmeaz vom face o scurt prezentare a celor trei protocoale, punnd un accent ceva mai mare pe 3-D Secure, dup care vom face o scurt comparaie ntre protocoalele 3-D Secure i SecureCode (SPA/UCAF). a) Protocolul SET
24
Acest protocol (11) foloeste certificate de autenticitate i genereaz diverse chei pentru deintorul de card, pentru comerciant i pentru poarta de acces (gateway) la sistemul de pli prin carduri. Poarta de acces se afl la nivelul acceptatorului care are legatura cu sistemul de pli prin carduri i reprezint punctul de acces din Internet n acceptator i mai departe n sistemul de carduri. Certificatele de autenticitate sunt generate de Autoriti de Certificare diferite, aflate ntr-o ierarhie, la vrful creia se afl o autoritate rdcin care aparine consoriului SET, numit SETCo. Aceast rdcin va certifica Autoritile de Certificare ale sistemelor de carduri (Visa, MasterCard) care, la rndul lor, vor certifica emitenii i acceptatorii. Fiecare emitent va fi apoi Autoritatea de Certificare pentru deintorii lui de carduri, i cardurile lor, iar fiecare acceptator va fi Autoritatea de Certificare pentru comerciani i porile lor de acces (de la serverul de gzduire la acceptator). n prima faz a tranzaciei prile se autentific ntre ele deintorul de card cu comerciantul (opional), deintorul de card cu poarta de acces (opional), comerciantul cu deintorul de card (obligatoriu), i comerciantul cu poarta de acces (obligatoriu). n a doua i ultima faz are loc autorizarea tranzaciei n care, n maniera deja descris, datele cardului ajung la acceptator care formuleaz o cerere de autorizare ctre emitent, al crui rspuns l trimite apoi ctre calculatorul deintorului de card trecnd prin poarta de acces i serverul de gzduire a sitului comerciantului.
25
n figura 6.3 se prezint schema de principiu a protocolului SET. O variant simplificat a acestui protocol, numit 3-D SET (server based), care nu mai pstreaz certificatul cumprtorului n calculatorul lui personal (fcnd astfel posibil cumprarea i de la alte puncte de acces la Internet), nu s-a bucurat nici ea de succes, rmnnd n continuare complicat i scump. b) Protocolul 3-D Secure Ca urmare a rspndirii reduse a protocolului SET, un protocol foarte sigur dar complex i scump, Visa introduce n 2001 propriul protocol numit 3-D Secure, mai simplu i mai uor de implementat, bazat pe un model de sistem de securitate care cuprinde trei domenii (12). Scopul celor trei domenii este acela de a defini clar responsabilitile prilor implicate n tranzacie. Cele trei domenii sunt Domeniul Emitentului, care cuprinde deintorii de card i emitenii cardurilor lor; Domeniul Acceptatorului, care cuprinde comercianii i acceptatorii lor; i Domeniul de Interoperabilitate, care asigur comunicarea ntre emiteni, acceptatori i sistemul Visa. Protocolul asigur autentificarea numrului de card, a deintorului de card, i a comerciantului, la fiecare tranzacie. n modelul celor trei domenii, 3-D, la tranzacia de plat autentificat particip direct emitentul cardului i comerciantul. n momentul n care cumprtorul iniiaz plata, comerciantul (modulul de 3-D Secure din situl lui) va cere mai nti autentificarea numrului cardului iar apoi va cere emitentului s-i autentifice deintorul de card. Dup ce va primi autentificarea semnat, va urma autorizarea normal a plii (trimite la emitent, prin sistem, o cerere de autorizare, etc). Comerciantul va ncepe deci ntotdeauna prin a cere emitentului s-i autentifice mai nti cardul i deintorul de card. Deintorul de card trebuie s se nregistreze (enrollment) n sistem la emitentul su i s-i declare cel puin un nume i o parol prin care emitentul poate s-l autentifice n momentul tranzaciei, trimind apoi aceasta autentificare comerciantului. Protocolul las libertatea emitentului de a alege i alte metode de autentificare a deintorului de card care s arate, n momentul efecturii tranzaciei, c este deintorul legitim al cardului cu care se face plata. Emitentul poate astfel cere deintorului de card s dispun de un certificat propriu de autenticitate, s foloseasc un card inteligent (printr-un cititor cuplat la calculatorul personal) ca depozitar sigur al identitii, sau s foloseasc metodele de autentificare din serviciile
26
bancare electronice (eBanking) proprii. Uzual ns deintorul de card e autentificat de emitent doar prin nume i parol. Dup ce l autentific, emitentul va genera un rspuns semnat electronic (un certificat de autentificare a deintorului de card) pe care l trimite comerciantului pentru a-i confirma autenticitatea deintorului de card, iar comerciantul va putea trece la faza de autorizare normal a tranzaciei. Deintorul de card este liber s-i instaleze i un portofel electronic, ePortofel (eWallet), care va conine informaiile de identitate (nume, adres, parol, etc) i cele de card (tip card, numr card, dat de expirare) i care i poate servi la automatizarea procesului de completare a formularului de plat (form filling) i la pstrarea chitanelor pentru tranzaciile efectuate. Emitentul dispune de un serviciu de nregistrare n sistemul 3-D Secure a cardurilor i deintorilor de card (nregistrarea se poate face i prin Internet) pstrnd ntr-un server de nregistrare (Enrollment Server) numerele de card, numele i parola deintorilor participani. Emitentul mai dispune i de un server de control al accesului (ACS, Access Control Server) care are rolul de a primi cererile de autentificare a cumprtorului venite de la comerciani, de a face autentificarea acestuia verificnd numrul de card, numele i parola (sau o alt metod), i de a trimite rspunsul semnat napoi la comerciant. n domeniul de interoperabilitate Visa (sau MasterCard, care a aderat la sistem) dispune de un Director (Directory Service) care este un server central pe Internet (ce dispune de un certificat de autenticitate) n care se pstreaz numerele de card ale tuturor cardurilor nregistrate n sistemul 3-D Secure (nscrise de emiteni) precum i adresele de Internet (URL) ale serverelor de control al accesului (ACS) ale emitenilor cardurilor nregistrate. n acest Director se pstreaz i o arhiv a tuturor autentificrilor date de emiteni, pentru a servi rezolvrii unor eventuale dispute. n domeniul acceptatorului, acceptatorii trebuie s dispun de o poart de acces (payment gateway) la sistemul de plat prin carduri Visa/MasterCard, iar comercianii lor trebuie s-i instaleze, pe lng (sau n locul, dac i preia funciile) modulul client de eComer, i un modul de 3-D Secure care poart numele standard de MPI (Merchant Plug-In module), adic modul de comerciant 3-D Secure instalat n sit. Acest modul de comerciant 3-D Secure va genera cereri de autentificare a cardului i a cumprtorului ctre emitent, prin intermediul Directorului, iar dup primirea rspunsului va trimite cererea de autorizare a tranzaciei ctre poarta de acces a acceptatorului (prin intermediul modului client de eComer) care, la rndul
27
lui, o va trimite mai departe n sistemul de carduri prin acceptator. n cursul acestei operaii modulul MPI al comerciantului se va autentifica fa de Director printr-un certificat de autenticitate sau, mai simplu, printr-un password, iar Directorul va face acelai lucru fa de comerciant. n felul acesta are loc, la fiecare tranzacie, i o autentificare a comerciantului. Dup primirea rspunsului de autorizare, modulul comerciantului va trimite cumprtorului o pagin cu un raport asupra efecturii tranzaciei. n cazul n care tranzacia este iniiat de un card care nu este nregistrat n sistemul 3-D Secure, comerciantul va putea sri peste etapa de autentificare a cumprtorului i va trece direct la autorizare, sau va respinge tranzacia, dup cum a ales acceptatorul.
Figura 6.4 prezint schema de principiu a domeniilor protocolului 3-D Secure. Mesajele privind autentificarea circul ntre Domeniile emitentului i acceptatorului n cadrul Domeniului de interoperabilitate, i au loc prin Internet. Mesajele prin care se face autentificarea deintorului de card circul ntre acesta i emitentul su, n cadrul Domeniului emitentului. Mesajele prin care se cere autorizarea tranzaciei i se face procesarea plii circul ntre comerciant i acceptatorul su, n cadrul Domeniului acceptatorului, iar aceleai mesaje dar care se schimb ntre acceptator i emitent n vederea realizrii autorizrii i procesrii plii, circul n cadrul Domeniului de interoperabilitate prin sistemul de carduri (VisaNet, BankNet). Legturile prin Internet sunt legturi sigure, efectuate prin protocolul SSL, n care fiecare entitate server dispune de un certificat de autenticitate iar mesajele sunt criptate. n capitolul 6.6 vom prezenta anatomia unei tranzacii de eComer care folosete protocolul 3-D Secure. Comerciantul nu are acces la datele cardului de
28
plat, care nu sunt stocate pe situl su, i poate vedea numai verdictul final de autentificare dat de emitent autentificat sau neautentificat. Protocolul 3-D Secure verific esenialmente autenticitatea cardului i a deintorului de card i d astfel comerciantului ncrederea c va fi pltit dup ce va livra produsele comandate. Protocolul poate fi folosit n principiu i pe alte canale de plat telefoane mobile, asisteni digitali personali (PDA) sau televiziunea digital prin cablu. Visa estimeaz c introducerea protocolului va diminua cu pn la 80% numrul de tranzacii disputate. Pentru a ncuraja rspndirea protocolului n rndurile membrilor si, Visa a stabilit, pentru regiunea CEMEA n care se afl i Romnia, termenul de aprilie 2003 ca un moment dincolo de care rspunderea (pn la acea dat mprit ntre emitent i acceptator, n funcie de circumstane) n cazul unei pierderi datorate unei fraude n comerul electronic va reveni acelei pri care nu a implementat protocolul (liability shift). n SUA pn n 2004 protocolul a fost deja adoptat de 80% din bnci, iar n Europa de peste 100 de bnci i peste 10.000 de comerciani. c) Protocolul SecureCode Sub denumirea de SecureCode, MasterCard ofer membrilor si trei protocoale de autentificare a deintorului de card protocolul SPA/UCAF, protocolul CAP care este o variant a primului, i protocolul 3-D Secure n versiunea MasterCard. Asemeni lui Visa i tot n 2001, MasterCard anun protocolul SPA (Secure Payment Application) bazat pe utilizarea unui mecanism de transport de date prin reeaua sa (BankNet), denumit UCAF (Universal Cardholder Authentification Field) care transport un aa numit semn de autentificare (authentication token) utilizat pentru a indica autentificarea deintorului de card care a fcut tranzacia, motiv pentru care este numit SPA/UCAF. Protocolul CAP (Chip Card Authentication Program) este o variant a SPA pentru plata cu carduri inteligente i presupune de regul cuplarea la calculator a unui cititor de astfel de carduri. MasterCard adopt apoi n 2002 protocolul 3-D Secure ntr-o variant proprie i l prezint tot sub denumirea generic de SecureCode. Acceptatorii MasterCard au libertatea de a-i alege tipul dorit de protocol. n cele ce urmeaz vom face o scurt prezentare a protocolului SPA/UCAF (13). Protocolul cere participarea direct a emitentului care autentific cumprtorul i a comerciantului care dispune de un modul client de eComer specific SPA, i impune ca fiecare cumprtor deintor de card s-i instaleze n calculatorul su un
29
portofel electronic care i va servi la autentificare i la efectuarea plii. Acest program (numit i SPA applet) are att funcia de ePortofel care deine datele de identificare i de card de plat, ct i aceea de a interaciona cu comerciantul i cu emitentul cardului. Emitentul dispune de un server de ePortofel (wallet server, sau SPA server) i distribuie cumprtorilor care se nregistreaz cte un ePortofel pe care acetia i-l instaleaz apoi n calculatorul lor personal. n momentul nregistrrii (enrollment) cumprtorul i va defini i o parol, sau un PIN, dup care va fi autentificat ulterior. Cnd va ncepe tranzacia, ePortofelul se va activa i va cere deintorului de card s se autentifice printr-un formular (se cere parola) dup care se va conecta la emitent pentru a-i trimite aceste date i a-i cere o dovad a autentificrii. Serverul emitentului va verifica datele introduse cu cele pstrate la momentul nregistrrii n sistem i va genera un mesaj cu un semn de autentificare (authentication token) pe care l va ntoarce ePortofelului. Acest semn de autentificare poart numele de AAV (Accountholder Authentication Value), valoarea de autentificare a deintorului de cont de card, i arat, n esen, dac parola introdus este corect, caz n care deintorul de card este declarat autentic. Comercianii au un modul client de eComer, specific protocolului, care le este furnizat de acceptatorul participant la sistem. Acest modul interacioneaz cu cumptorii i cu ePortofelele lor, precum i cu poarta de acces (unde e modulul server de eComer) a acceptatorului. Cnd cumprtorul va declana cumprtura, comerciantul va adauga la datele tranzaciei i semnul de autentificare (ce se va pstra n cmpul UCAF din structura mesajelor care circul prin reeaua BankNet a MasterCard), i va trimite totul ctre acceptator. Acesta va trimite mai departe cererea de autorizare a tranzaciei i semnul de autentificare, prin reea la emitent. Emitentul va compara semnul de autentificare primit cu cel pe care l-a generat anterior n momentul autentificrii cumprtorului i dac acestea coincid, trece la procedura de autorizare, ca urmare a creia napoiaz acceptatorului un rspuns la cererea de autorizare.
30
n figura 6.5 se prezint simplificat modul de desfurare a unei tranzacii de eComer realizate prin tehnologia MasterCard SecureCode, cu protocolul SPA/UCAF. Tranzacia se desfoar, n mare, n felul urmtor. ePortofelul cumprtorului detecteaz automat (pas 1) un sit de comerciant membru al sistemului, citete date (pas 2) referitoare la formularul de comand i identitatea comerciantului de pe situl acestuia, i n momentul iniierii cumprturii, realizeaz o procedur de cerere de date de autentificare (pas 3) de la cumprtor, dup care trimite (pas 4) datele asupra tranzaciei i cele de autentificare furnizate de cumprtor, ctre serverul de ePortofele al emitentului. Emitentul autentific cumprtorul i genereaz (pas 5) semnul de autentificare (valoarea AAV) pe care l trimite (ca pe un certificat de autenticitate) ePortofelului. ePortofelul va transmite acest semn ctre comerciant i va completa automat toate datele din formularul de comand al comerciantului (pas 6). Comerciantul va trimite (pas 7) o cerere de autorizare a tranzaciei, mpreun cu semnul de autentificare (memorat n mesajele ce conin cmpul UCAF, ale sistemului), ctre acceptator, care o va expedia (pas 8) mai departe prin reeaua BankNet a MasterCard ctre emitent, pe calea de autorizare. Emitentul va compara semnul de autentificare primit acum cu cel generat n pasul 5 i dac acestea coincid va executa procedura de autorizare i va expedia (pas 9) rspunsul de autorizare ctre acceptator, de unde va ajunge (pas 10) la comerciant. Comerciantul va memora rspunsul i tranzacia, i va afia (pas 11) prin navigatorul cumprtorului, un raport cu rezultatul tranzaciei, care se va memora i n ePortofel.
31
d) O scurt comparaie a protocoalelor 3-D Secure i SPA/UCAF Ambele protocoale sunt mai simple i mai ieftin de implementat dect protocolul SET, ns acesta din urm asigur maxima securitate. Ambele protocoale fac autentificarea cumprtorului deintor de card de regul prin parol (singurul secret ce dovedete autenticitatea), care e verificat de emitentul cardului, dar emitenii sunt liberi s-i aleag i alte metode de autentificare ntruct ei genereaz decizia final prin care cumprtorul este declarat autentic i legal deintor al cardului. n ambele protocoale emitenii trebuie s dispun de programe specializate specifice protocolului (server de acces i eventual, de nregistrare, la 3-D Secure, i server de ePortofele la SPA/UCAF), iar comercianii trebuie s-i instaleze un modul client de asemeni specific protocolului. Ambele protocoale asigur un eComer global, internaional, prin faptul c se bazeaz pe sistemele de carduri Visa i MasterCard care realizeaz pli transfrontaliere. Protocolul SPA/UCAF este mai simplu i mai rapid dect 3-D Secure, pentru c n acesta din urm autentificarea se desfoar n mai muli pai i sunt schimbate mai multe mesaje, toate prin Internet. Deasemeni n 3-D Secure autentificarea se face la fiecare tranzacie, n vreme ce la SPA/UCAF autentificarea se obine o singur dat ntr-o sesiune de cumprturi, la nceputul ei, iar rezultatul este pstrat n ePortofel ceea ce permite efectuarea unei serii ntregi de cumprturi la mai multe situri de comerciani, fr ca autentificarea s se mai fac pentru fiecare tranzacie. n 3-D Secure comerciantul se autentific explicit fa de Directorul sistemului n vreme ce la SPA/UCAF comerciantul se autentific implicit, doar prin faptul c are un modul client specific care e recunoscut de ePortofel. Sistemul 3-D Secure este un sistem centralizat, n care toate cererile de autentificare ale tuturor comercianilor trec printr-un Director central, aflat n legatur cu toi emitenii i toi acceptatorii participani la sistem, n vreme ce sistemul SPA/UCAF este descentralizat, iar o autentificare implic numai comunicarea direct ntre cumprtor i emitentul su, neexistnd conceptul de Director. n sistemul SPA/UCAF verdictul de autenticitate, pstrat n semnul de autentificare (authentication token), este ataat explicit fiecrei tranzacii, cltorete cu aceasta i e pstrat mpreun cu ea, ceea ce reprezint un lucru util n rezolvarea eventualelor dispute, n vreme ce n 3-D Secure acest lucru nu se ntmpl. Deosebirea esenial ntre cele dou protocoale const n faptul c, n cazul lui 3-D Secure, cumprtorul nu trebuie s fac nici o modificare n calculatorul su
32
personal, n vreme ce n cazul lui SPA/UCAF acesta trebuie s cear de la emitentul lui un program (ePortofel sau SPA applet) pe care trebuie s i-l instaleze singur. Concluzia final pn n acest moment este aceea c avantajul oferit de 3-D Secure prin faptul c deintorul de card nu trebuie s aduc nici o modificare n calculatorul su personal, depete dezavantajele pe care le poate avea fa de SPA/UCAF, iar acest lucru l face s tind s devin un standard de facto al autentificrii n eComerul prin Internet. Faptul c MasterCard a adoptat 3-D Secure i-l prezint sub marca proprie este o dovad n acest sens.
6.6. Anatomia unei tranzacii de eComer care folosete protocolul 3-D Secure
Pe baza figurii 6.4 care descrie domeniile protocolului 3-D Secure, n figura 6.6 se prezint anatomia unei tranzacii de eComer care folosete acest protocol. Schema din figura 6.6 este aceiai i pentru Visa i pentru MasterCard, Directorul din sistem, i sistemul de carduri, putnd aparine lui Visa sau lui MasterCard (i altor sisteme ce ader la acest protocol, cum e cazul sistemului de carduri JCB). n prezent exist n paralel un Director Visa i un Director MasterCard.
33
Tranzacia din figura 6.6 este iniiat de un card prin intermediul unui calculator personal cuplat la Internet care dispune de un navigator major (Internet Explorer sau Netscape). Legturile prin Internet folosesc protocoale SSL sau TLS i sunt legturi sigure, adic confidenialitatea transmisiunii, integritatea mesajelor i autentificarea serverului sunt toate asigurate. Comerciantul se poate autentifica fa de Director printr-un certificat, sau printr-un identificator de comerciant (merchant ID) i o parol (password) ce i-au fost alocate de acceptator, dup ce a fost verificat i acceptat de acesta prin contractul de comerciant pe Internet, iar acceptatorul i-a instalat pe sit un modul de comerciant 3-D Secure (MPI), alturi de (sau integrat cu) modulul client de eComer. Deintorul de card care dorete s fac tranzacii sigure de eComer folosind protocolul 3-D Secure, se adreseaz n acest scop emitentului su. Emitentul, care alege metoda de autentificare pe care o va aplica la momentul tranzaciei deintorului de card, stabilete mpreun cu acesta datele de autentificare, de exemplu numele nscris pe card i o parol. Emitentul ar fi putut cere deintorului de card s-i cumpere un certificat de autenticitate i s-l instaleze n calculator, sau s foloseasc un card inteligent (de exemplu Visa VSDC) prin intermediul unui cititor de carduri inteligente cuplat la calculatorul su personal. Apoi emitentul, dup verificarea datelor deintorului, va nscrie numrul de card n Directorul sistemului 3-D Secure indicnd i identitatea sa de emitent i adresa de Internet (URL) a serverului su de control de acces, ACS. Din acest moment deintorul de card i cardul su sunt verificai i nregistrai (enrolled) n sistemul 3-D Secure. n descrierea care urmeaz vom presupune c deintorul de card nregistrat se autentific fa de emitent prin nume i parol. Din clipa n care cumprtorul, dup ce a ajuns pe situl comerciantului, a ales produsele i le-a pus n coul de cumprturi, apas pe butonul care declaneaz cumprarea, mesajele circul ntre prile implicate dup cum urmeaz: Pas 1. Datele privind tranzacia de plat (de identitate deintor, i de card, suma, etc) sunt n posesia comerciantului, care le nregistreaz (dar nu le poate accesa). Pas 2. Modulul de comerciant 3-D Secure, MPI (Merchant Plug-In), din situl comerciantului stabilete o legtur SSL/TLS cu Directorul sistemului i i trimite acestuia numrul de card (PAN-ul) n vederea declanrii autentificrii cardului i a deintorului de card. Modulul MPI se va autentifica fa de Director. Pas 3. Directorul va cerceta n evidena proprie dac numrul de card implicat n plat este nregistrat, i dac este, determin emitentul i adresa de Internet (URL) a serverului de control de acces (ACS) al emitentului. Dac cardul deintorului nu este
34
nregistrat n sistemul 3-D Secure, Directorul va trimite un mesaj corespunztor ctre modulul MPI al comerciantului, iar acesta va sri peste autentificare i va trece la autorizarea tranzaciei (pasul 5), realiznd o tranzacie de eComer fr autentificarea deintorului de card. Dac cardul este nregistrat, Directorul va verifica cu serverul de control acces al emitentului dac exist o metod de autentificare pentru card. Pas 4. Serverul de control acces al emitentului verific dac numrul de card este ntr-adevr cel generat de emitent i dac exist metod de autentificare pentru acel numr de card, dup care trimite rspunsul napoi la Director. Pas 5. Directorul trimite mai departe rspunsul primit ctre modulul de comerciant, MPI. Dac modulul constat din rspuns c metoda de autentificare nu este disponibil pentru acel numr de card (din variate motive), va trece imediat la autorizarea tranzaciei, srind din nou peste autentificare. Pas 6. Dac autentificarea se face, modulul MPI va expedia acum o cerere de autentificare a deintorului de card ctre serverul de control acces ACS al emitentului cardului. Aceasta se face pasnd adresa de Internet a serverului ACS ctre navigatorul din calculatorul deintorului de card i redirecionndu-l (legtur SSL/TLS) ctre serverul ACS al emitentului. Pas 7. Serverul ACS recepioneaz cererea de autentificare i ncepe procedura de autentificare. Pas 8. Serverul ACS ncepe un dialog cu deintorul de card (prin afiarea unui formular marcat ca aparinnd emitentului) prin care i cere acestuia numele i parola. Dup autentificare serverul ACS va forma un mesaj de rspuns de autentificare, pe care l semneaz cu semntura sa electronic pentru a garanta integritatea i autenticitatea mesajului. Pas 9. Serverul ACS va trimite acest mesaj ctre navigatorul calculatorului deintorului de card pe care l va direciona napoi ctre modulul MPI al comerciantului. n acelai timp va trimite datele de autentificare i ctre Directorul sistemului pentru a fi pstrate n arhiva de autentificri a acestuia. Aceast arhiv a Directorului este disponibil (accesul se face dup o autentificare) emitenilor i acceptatorilor n cazul n care ntre acetia se declaneaz o disput privind vreo iregularitate n desfurarea tranzaciei. Pas 10. Modulul MPI din situl comerciantului recepioneaz mesajul de rspuns la cererea de autentificare. Pas 11. Modulul MPI valideaz semntura electronic a serverului ACS al emitentului i verific integritatea mesajului.
35
Pas 12. Dac autentificarea deintorului de card a fost pozitiv, modulul MPI va trece controlul ctre etapa de autorizare a tranzaciei, n care se generaz o cerere obinuit de autorizare care se trimite (legtura SSL/TLS) porii de acces a acceptatorului. Acceptatorul va obine prin sistemul de carduri un rspuns de autorizare de la emitentul cardului, pe care l va trimite apoi modulului client de eComer din situl comerciantului, iar acesta la rndul su va afia, prin navigatorul calculatorului cumprtorului, o pagin cu raportul privind desfurarea tranzaciei, acest raport fiind echivalent unei chitane.
6.7. Exemple de comer electronic actual. Piee electronice, licitaii, furnizori de servicii de pli pe Internet
Cele prezentate n subcapitolele anterioare reprezint modele descriptive i explicative a cror menire este de a permite nelegerea mecanismelor principale prin care se efectueaz comerul electronic. Sistemele reale existente se bazeaz pe aceste modele dar difer mai ntotdeauna de ele prin modalitatea de implementare, prin gama de servicii oferite sau prin alte caracteristici tehnice particulare. n cele ce urmeaz vom face scurte prezentri ale unor sisteme existente, mai cunoscute, incluznd comerul electronic ntre consumatori i companii (B2C), ntre companii (B2B), cel domestic i cel global (internaional sau transfrontalier), piee electronice cu, i fr, licitaii, i companiile care sunt furnizori de servicii de plat pe Internet (PSP, Payment Service Provider, sau IPP, Internet Payment Provider). Exemplele alese au i rolul de a ntregi i mbogi imaginea asupra comerului electronic aa cum a fost ea format numai din prezentarea principiilor i mecanismelor generale. 6.7.1. Comerul electronic ntre consumatori i companii, sau comerul electronic cu amnuntul (B2C) Acesta este eComerul care implic numrul cel mai mare de participani chiar dac volumul valoric al acestui comer este nesemnificativ n comparaie cu volumul valoric al eComerului ce are loc ntre companii (B2B). Totui, n 2003 n SUA, volumul eComerului cu amnuntul a atins cifra de peste 75 miliarde de dolari, cu
36
tendine de cretere (dar reprezint numai circa 1% din volumul ntregului comer cu amnuntul). Includem n aceste cifre i vnzarea pe Internet a serviciilor ageniilor de voiaj (travel agents), ageniilor de rezervri bilete, a produselor pentru aduli, jocuri de noroc, etc. Aceste vnzri prin Internet par a fi foarte concentrate n ianuarie 2004 peste jumtate din toi utilizatorii americani de Internet (adic peste 83 de milioane) au vizitat cel puin o dat siturile eBay sau Amazon (1). Siturile de comerciani sunt foarte variate de la comerciani ce vnd un singur produs sau serviciu, pn la situri prin care comerciantul prezint mii de produse (cum ar fi compania englezeasc de componente electronice Maplin Electronics www.maplin.co.uk - care ofer peste 12.000 produse distincte). a) Amazon Compania american Amazon (www.amazon.com), cu sediul n Seattle, este cel mai mare comerciant cu amnuntul de pe Internet. n perioada Crciunului 2003 prin toate siturile sale aflate n mai multe ri, a primit peste 2 milioane de comenzi ntr-o singur zi. ncepnd ca un vnztor de cri, compania s-a extins mult ajungnd n prezent s vnd produse variate (electronice, calculatoare, muzic, software, DVD-uri, etc) i n acelai timp s ofere spre vnzare prin siturile sale i produsele altor mari companii cu care a semnat nelegeri n acest sens, fiind o adevrat pia electronic. De asemenea orice persoan poate vinde produse prin Amazon: i prezint produsul (cu pre), Amazon pune produsul n vnzare i anun persoana prin email cnd produsul a fost vndut, persoana livreaz produsul cumprtorului, Amazon i expediaz banii la o banc indicat. Situl prezint n detaliu aceast metodologie. Compania este, n esen, un mare intermediar ntre cumprtori i productori, ntruct nu deine stocuri de produse, nu este o banc i nu livreaz produse la domiciliu, ci are aranjamente contractuale cu toi participanii la actul de comer care realizeaz aceste funcii. Amazon are ns un foarte bine dezvoltat catalog de produse, adic o sofisticat (i interactiv) metodologie de prezentare a produselor i a caracteristicilor acestora, i un bine pus la punct sistem de plat. Metodele de plat sunt variante prin carduri (Visa, MasterCard, AMEX, JCB, Dinners Club, Discover), cecuri electronice, ordine de plat electronice (money order, purchase order) i, pentru companii n mod special, prin cont de credit Amazon pe care se emit ordine de cumprare electronice. Amazon este desigur un comerciant al
37
unei bnci acceptatoare care e membr a tuturor sistemelor de carduri menionate, i care accept i celelalte forme de plat electronic. Prin legturi cu astfel de acceptatori aflai n mai multe ri, compania are prezen internaional. Livrarea produselor cumprate se face printr-un mijloc care poate fi ales de cumprtor, iar traseul pe care l urmeaz produsul ctre adresa de livrare specificat n ordinul de cumprare poate fi urmrit prin Internet pe situl companiei de transport alese UPS, DHL, FedEx, Eagle, Airborne Express i altele. b) InterActivCorp, IAC agent de cltorii pe Internet Compania american IAC este cel mai mare agent de servicii de cltorie, este proprietara companiilor Expedia.com (www.expedia.com) i Hotels.com (www.hotels.com) i a vndut pe Internet rezervri de cltorie (transport, hotel, etc) n valoare de peste 10 miliarde de dolari n 2003. n acelai an peste 35 de milioane de americani i-au folosit serviciile. Produsul principal vndut este pachetul de cltorie (travel package) care cuprinde variate combinaii de cltorii zboruri, hoteluri, nchirieri maini, tururi de vizitare, bilete de spectacole, etc., acestea putnd fi personalizate dup dorina cumprtorului. Plata se face prin toate cardurile majore Visa, MasterCard, AMEX, Dinners Club, Discover. Ali mari furnizori de servicii de cltorie prin Internet sunt Travelocity i Orbitz din SUA, Ebookers i Opodo din Anglia, sau pentru rezervri hotel Hilton, Marriott i Hyatt din SUA, Accor Hotels din Frana i Le Meridien din Anglia. c) Google, Yahoo!, MSN i AOL Aceste companii nu sunt numai celebre motoare de cutare pe Internet ci i participani direci la eComer (a se vedea de exemplu situl Microsoft MSN, www.msn.com, care este i un portal-pia electronic de eComer). Serviciile lor de cutare sunt folosite din ce n ce mai mult pentru a descoperi i cumpra produse pe Internet. Se ofer i serviciul de a compara preurile afiate de mai muli vnztori pentru un acelai produs (a se vedea serviciul Froogle oferit de Google, fie prin buton, fie direct la adresa http://froogle.google.com).
38
6.7.2. Piee electronice, licitaii electronice Pieele electronice sunt portaluri, adic situri de mari dimensiuni, care ofer servicii complexe asemntoare unor piee reale prezentarea produselor mai multor vnztori, posibilitatea de a organiza licitaii pentru cumprarea unui produs, mijloace variate de plat i de livrare. Piaa electronic este esenialmente un comerciant al unei bnci acceptatoare care accept pli prin cardurile majore sau prin alte mijloace de plat electronic. Pieele electronice permit ambele tipuri de eComer cu amnuntul (B2C), sau ntre companii (B2B) i pot fi publice, universale, accesibile oricrui cumprtor i vnztor, sau specializate (i oarecum nchise, existnd numai pentru cei din domeniu) cum e cazul ntre grupuri de companii aflate ntr-o relaie de achiziiefurnizare (supply chain, lanul de aprovizionare) pe tipuri de produse, i bazate pe sisteme i proceduri specializate, cu reele proprii de telecomunicaii sau sisteme proprii (bazate pe software specific) de eComer. a) Piee electronice specializate pentru comertul electronic ntre companii (B2B) Un astfel de mare sistem specializat de eComer ntre companii este, de exemplu, Chem Connect (www.chemconnect.com) pentru produse chimice, plastic i combustibili. Lozinca companiei este conectm cumprtori i vnztori din ntreaga lume. Aceast pia cuprinde peste 9000 de companii membre din peste 150 de ri, iar vnzrile totale din 2002 au atins cifra de afaceri de 9 miliarde de dolari. Compania se declar cea mai mare pia electronic global de eComer ntre companii i ofer i serviciul de licitaie prin Internet. Compania dispune de un Centru de telecomunicaii propriu (Central Connectivity Hub) prin intermediul cruia toi membrii se pot lega ntre ei, i pot schimba orice fel de informaii de pia, de licitaie, de plat i livrare, etc. n eComerul ntre companii plata efectiv se poate face i prin mijloacele tradiionale, ne-electronice. n acest caz numai prima parte a actului de comer se desfoar prin Internet, n piaa electronic prezentarea produselor, licitaia, stabilirea condiiilor de plat, asigurare i livrare, etc. Exist de asemenea companii care ofer soluii i aplicaii speciale (software) prin care se pot implementa piee electronice de specialitate (vnzare, cumprare, licitaie, plat, livrare, etc) per domenii de exemplu Forest Industry Network
39
(www.forestindustry.com) pentru companiile din domeniul industriei forestiere, sau Farms Technology, LLC (www.farmstech.com) pentru domeniul agricol (ambele din SUA) (14). b) Piee electronice deschise pentru comeul electronic ntre companii (B2B) Crearea unei piee electronice universale, deschise, nespecializate pe un domeniu sau altul, este o problem mai dificil. Trei sisteme sunt deja cunoscute n aceast privin sistemul WWRE, sistemul Bolero i sistemul Tradecard. Toate urmresc s asigure toate facilitile necesare desfurrii unui comer pe Internet ntre companii, indiferent de ara de origine a companiei i de natura produselor vndute sau cumprate. Sistemul WWRE (Worldwide Retail Exchange, www.wwre.com) este dedicat comerului cu amnuntul ntre companii. Sistemul are n prezent 64 de companii membre (ntre care Tesco, JCPenney, GlaxoSmithKline, Marks&Spencer) din toat lumea i peste 100.000 de furnizori. Companiile membre i pot prezenta cataloagele de produse i pot licita i negocia ntre ele prin intermediul platformei Exchange bazate pe software-ul "B2B Commerce Platform" al companiei Ariba i "Trade Matrix" al companiei i2. Sistemul Bolero creat de compania american Bolero Internaional Ltd. (www.bolero.net), n partenariat cu celebra cooperativ bancar SWIFT (Society for Worldwide Interbank Financial Telecomunications), creaz o comunitate de participani internaional care pot schimba ntre ei, prin protocoale sigure, toate informaiile necesare actului de comer. Sistemul Tradecard creat de compania american TradeCard Inc. din New York (www.tradecard.com) ofer, n esen, acelai lucru ca sistemul descris anterior, i asigur att pli domestice ct i transfrontaliere (14). c) Piee electronice publice, deschise. Licitaii Aceste piee sunt deschise oricrui vnztor sau cumprtor, persoan fizic (consumator) sau companie, i oricrui produs sau serviciu, de la cri vechi i muzic pn la avioane cu reacie. Exist multe astfel de piee ca de exemplu eBay, Amazon, MSN, Barclaycard sau Yahoo!. Vom face o scurt prezentare a celei mai cunoscute, eBay.
40
eBay (www.ebay.com) este cea mai mare i cea mai cunoscut pia electronic din lume. n primul trimestru din 2004 prin eBay s-au vndut produse i servicii n valoare de 8 miliarde de dolari. Veniturile nete ateptate ale companiei eBay pe 2004 sunt de circa 3 miliarde de dolari, profitul net pe 2003 fiind de 442 milioane de dolari. Comunitatea eBay are peste 100 de milioane de membri nregistrai n ntreaga lume. Oricine dorete s participe, ca vnztor sau cumprtor, trebuie s se nregistreze ca membru. n fiecare zi se prezint spre vnzare milioane de articole. Compania are situri locale (sub diverse nume) n 28 ri, n fiecare ar fiind adaptat la specificul rii respective - n Frana se vinde ndeosebi vin, iar n Coreea de Sud ndeosebi brnz, pe lng desigur orice alt produs. Situl EachNet din China, aparinnd eBay, are circa 2,4 milioane de membri. Compania ofer comercianilor i serviciul de gzduire de magazine virtuale proprii, avnd n prezent peste 150.000 de astfel de magazine, care vnd orice (1). Cumprtorii pot cumpra produse sau servicii la preuri variabile, prin licitaie, sau la preuri fixe, n funcie de oferta vnztorului. Plata se poate face n felul n care convin cele dou pri sau prin Internet prin faimosul serviciu al companiei, PayPal, care aparine lui eBay din 2002. PayPal cere numai adres de email i un cont de membru deschis la PayPal (care nu este o banc) i asigur pli ntre oricare doi astfel de membri. Aceast facilitate este extrem de atractiv pentru companiile vnztoare care nu mai trebuie s-i deschid un cont de comerciant pe Internet la o banc acceptatoare, ci pot avea contul propriu la orice banc doresc. O licitaie ntre un cumprtor i un vnztor are loc, n esen, n felul urmtor. Cumprare. Cumprtorul introduce suma maxim pe care e dispus s-o dea pentru produsul sau serviciul dorit, acest sum rmnnd secret fa de ali cumprtori participani la licitaie. eBay urmrete toate ofertele i o reine pe cea mai mare existent la sfritul perioadei de licitaie (de regul 7 zile). Ctigtorul licitaiei intr n contact direct cu vnztorul, cumprtorul pltete i vnztorul expediaz produsul. Plata se poate face prin card dac se folosete serviciul PayPal. Vnzare. Produsul oferit este descris, inclusiv prin fotografii, iar vnztorul indic un pre de pornire i durata licitaiei. Cumprtorii care liciteaz pot vedea n orice moment care este oferta maxim curent; dar numai vnztorul poate vedea toate ofertele. Oricare cumprtor poate s-i creasc oferta pe durata licitaiei ntruct poate vedea n permanen care este preul cel mai mare oferit curent. Att licitatorii ct i vnztorii i pot verifica reciproc reputaia pentru a stabili ncrederea de care e nevoie pentru asigurarea vnzrii. Un vnztor poate refuza o
41
ofert dac nu are ncredere n licitantul care a fcut-o. eBay poate cere celor care se nregistreaz s-i dea o adres de email prin care li pot cere informaii suplimentare. 6.7.3. Furnizorii de servicii de plat prin Internet Pieele electronice i siturile simple de comerciant i afieaz mijloacele proprii prin care se poate face plata. Cel mai frecvent mijloc electronic de plat este cardul, urmat de cecul electronic i ordinele de plat de diverse forme. Plata se poate face ns i printr-o companie specializat care ofer servicii de plat (IPP, Internet Payment Provider, sau PSP, Payment Service Provider). Vom face o scurt prezentare a celor mai cunoscute servicii de plat prin Internet - PayPal, Yahoo!PayDirect, VeriSign i Bibit (15). a) PayPal Compania american PayPal, cu sediul n California, este cel mai mare furnizor de servicii de plat prin Internet, avnd peste 45 de milioane de membri cu cont PayPal, aflai n 45 de ri i efectund transferuri anuale de peste 17 miliarde de dolari. Serviciul de plat PayPal admite pli i prin telefonie mobil cu protocolul WAP. Compania a fost cumprat n 2002 de eBay pentru a-i servi drept metod principal de plat ntre cumprtori i vnztori. Obiectivul declarat al companiei este de a deveni un standard de facto global pentru plile prin Internet, iar compania intenioneaz s se extind cu situri locale n rile importante din Europa i Asia. n esen, PayPal permite oricrui cumprtor sau companie, care dispune de o adres de email, s trimit i s primeasc bani n timp real. Pentru aceasta, fiecare doritor se nregistreaz ca membru, i i se aloc un cont de membru PayPal la o banc a companiei. Banca companiei este un acceptator n toate sistemele mari de plat prin carduri, cecuri electronice, etc. Acest cont servete ca intermediar ntre contul unui expeditor i contul unui receptor, conturi care pot fi deschise la orice banc. PayPal nu este o banc ci doar un intermediar care transmite bani ntre conturi aflate n diferite bnci din lume prin intermediul unui cont propriu de tranzit. Serviciul este deosebit de util micilor comerciani i persoanelor fizice, care pot primi, sau cere, pli pentru produsele vndute prin Internet fr a mai fi nevoie s-i
42
deschid un cont de comerciant pe Internet la o banc acceptatoare care s fac parte din unul, sau mai multe, sisteme de pli prin carduri, cecuri electronice, etc. Transferul de bani ntre entiti care sunt cumprtori sau vnztori, persoane fizice sau companii, se poate face ca urmare a unui act de comer, sau ca un simplu transfer de fonduri ntre dou conturi. Serviciul este folosit pentru transferul de fonduri n toate combinaiile - ntre persoane (P2P), ntre companii (B2B), ntre persoane i companii (B2C) i chiar pentru plata taxelor n SUA (P2G). Transferul poate fi iniiat fie de expeditor printr-o operaie de Trimitere de bani (Send money), fie de receptor printr-o operaie de Cerere de bani (Request money) echivalent cu trimiterea unei facturi care trebuie onorat. Receptorii pltesc un comision de 0,3 USD plus 2,2%...2,9% din suma primit, n funcie de ar. Se mai adaug 2,5% dac are loc o conversie de valut. Pentru a ncuraja microplile, de exemplu pentru cumprarea (download) de muzic digital, PayPal a introdus tarife foarte mici pentru astfel de cumprturi imediate. Trimiterea de bani ctre un receptor se desfoar n felul urmtor. De la calculatorul expeditorului cuplat la www.paypal.com se introduce ntr-un formular adresa de email a receptorului i suma de expediat, specificndu-se dac plata se face dintr-un cont de card sau un cont bancar. Dup plat, receptorul va primi imediat un mesaj de email prin care este anunat c a primit banii. Acest mesaj conine o legtur (link) la PayPal unde receptorul i poate vedea contul de membru cu suma tocmai intrat. Receptorul poate cere apoi transferul sumei din contul su de membru PayPal ctre contul su deschis la banca proprie, operaie care este efectuat de PayPal prin transfer electronic interbancar sau prin eliberarea unui cec. PayPal va obine mai nti banii din contul de card al celui care trimite, i abia apoi i va depune n contul de membru PayPal al receptorului. Pentru aceasta PayPal va executa o tranzacie de tip POS cu datele de card i va obine de la emitent autorizarea i apoi transferul de fonduri n propria banc PayPal. Un avantaj important al acestei metode de plat este faptul c receptorul, dac este un comerciant pe Internet, nu vede detaliile cardului de plat al cumprtorului, ceea ce micoreaz serios temerile uzuale ale deintorilor de carduri. Cererea de bani de la un membru se desfoar similar - se furnizeaz n formularul de plat afiat adresa de email a pltitorului i suma de bani cerut (echivalent cu trimiterea unei note de plat). Pltitorul va primi un mesaj de informare i instruciuni asupra modului de plat.
43
b) Yahoo!PayDirect Serviciul de pli PayDirect al companiei Yahoo este similar lui PayPal i servete n special microplilor (1 cent...10 dolari) ntre persoane (P2P). Membrii cu adres de email i domiciul n SUA se nregistreaz, primesc un cont de membru PayDirect i un portofel electronic (Yahoo!Wallet) n care sunt pstrate informaiile de plat - datele de card, adresa de facturare i de livrare. Portofelul electronic va fi folosit pentru completarea automat a formularului de plat afiat. Contul de membru PayDirect se alimenteaz i se debiteaz prin transfer bancar iniiat de membru prin operaii speciale efectuate de PayDirect (Add Money i Withdraw Money). Contul de membru e apoi folosit pentru a expedia sau cere bani (operaiile Send Money i Request Money) ctre, sau de la, orice alt membru din SUA. n cazul unei cereri de bani pentru un produs sau serviciu vndut, PayDirect va genera o factur electronic pe care o va trimite pltitorului. Ca o msur de securitate PayDirect va verifica adresa declarat de membru prin trimiterea unei scrisori prin pot de la care ateapt un rspuns. n acelai scop PayDirect va face i dou mici depuneri (sub 1 dolar) n contul membrului deschis la banca proprie i cnd va primi confirmarea depozitelor va ti c acel cont declarat de membru exist (confirmarea e dat de membru prin mesaj email). Conturile de membru PayDirect sunt pstrate la banca internaional HSBC, cu care Yahoo are un partenariat. c) VeriSign Compania american VeriSign, Inc., cu sediul n California, este o companie binecunoscut pe Internet mai ales prin faptul c este o Autoritate de Certificare care elibereaz certificate de autenticitate pentru serverele care stabilesc legturi de telecomunicaii prin protocolul SSL/TLS, i n special pentru serverele care gzduiesc situri de comerciani. Acest lucru ofer cumprtorilor garania c serverul pe care se afl situl comerciantului este ntr-adevr cine apare c este, iar comercianii gzduii au fost verificai de compania care deine serverul i sunt i ei cine par a fi.
44
VeriSign este un mare furnizor de servicii de plat pentru siturile de comerciani, asigurnd procesarea a peste 30% din toate tranzaciile de eComer din America de Nord. n esen VeriSign (Centrul de Operaii, dotat cu servere sigure) este un procesator independent de pli prin carduri, cecuri electronice i transferuri bancare ACH (Automated Clearing House), care se interpune n poziia de poart de pli (payment gateway) ntre siturile de comerciani i procesatorii mari de tranzacii cu carduri din SUA care proceseaz pentru aproape toate bncile americane acceptatoare. Astfel de mari procesatori independei sunt de exemplu First Data, Paymentech, Nova i TeleCheck (dup principiul ilustrat n figura 6.2, VeriSign fiind amplasat ntre norul Internet i procesatori). VeriSign este conectat la aceti procesatori prin linii private sigure. Serviciul de plat reprezentativ care este oferit comercianilor este Payflow Pro. Comercianii care cumpr acest serviciu (preul este de 250 dolari pentru instalare plus un comision lunar de 60 de dolari; se adaug costuri pentru servicii suplimentare) i instaleaz o aplicaie (modul XML) client, de circa 400 kbytes, care va primi informaiile de plat furnizate de cumprtor n formularul afiat i le va trimite la VeriSign. Centrul VeriSign va trimite cererea de autorizare (pentru plata prin card i cec electronic) ctre procesatorul ce lucreaz pentru acceptatorul comerciantului, i va napoia rspunsul de autorizare primit ctre clientul din situl de comerciant. Serviciul poate asigura i prelucrarea tranzaciilor care autentific cumprtorul prin sistemele Verified by Visa (3-D Secure) i SecureCode. O variant mai simpl a tehnologiei de plat Payflow este serviciul Payflow Link prin care comerciantul adaug n situl su doar o legtur (link) HTML la VeriSign, care i va furniza formularul de plat la fiecare tranzacie i va prelua apoi prelucrarea tranzaciei introduse. VeriSign ofer i un serviciu de monitorizare a fraudei (fraud screening) care se face n timp real prin "filtrarea" ordinelor de plat ale cumprtorului dup astfel de criterii ca - valoare mare, numr mare de articole cumprate ntr-o singur tranzacie, ara de origine a cumprtorului, i altele (n total 19 criterii). Se calculeaz un scor total final pe toate riscurile, iar comerciantul poate refuza (prin setarea unui parametru n modulul client) ordinul de cumprare, chiar dac tranzacia a fost autorizat de emitent. Serviciile de pli ale lui VeriSign sunt atrgtoare n special pentru noii comerciani pe Internet, crora le ofer faciliti i consultan n toate etapele
45
constituirii unei ntreprinderi de comer pe Internet - sugereaz furnizori siguri de servicii de Internet (ISP) care gzduiesc situri de comer, procesatori sau bnci acceptatoare care admit conturi de comerciant, serviciile de plat Payflow, evaluarea n timp real a riscului unei tranzacii, centre de asisten permanent, etc. d) Bibit Compania european Bibit Global Payment Services, cu sediul n Olanda i filiale n alte ri europene, este un furnizor de servicii de plat (PSP, Payment Service Provider) orientat n mod special pe plile transfrontaliere (eComer internaional) care se remarc prin bogia extraordinar a metodelor de plat peste 70 de metode, purtnd specificul multor ri. Scopul lui Bibit este de a da posibilitatea unui cumprtor dintr-o ar s plteasc produsele unui comerciant pe Internet din alt ar, folosind metodele de plat care sunt obinuite n ara cumprtorului. Printre multele metode de plat, att n timp real ct i tradiionale, se afl transferuri bancare electronice, debit direct, carduri (incluznd portomenul electronic), pli prin telefonul mobil i pli ntre persoane (prin PayPal de exemplu, care e una din metodele de plat). Bibit ofer clienilor si, comercianii pe Internet, un serviciu complet, prin externalizare - noii comerciani pot semna cu Bibit un contract de comerciant pe Internet (banca acceptatoare este a lui Bibit), iar compania le ofer serviciile complete de eComer prin centrul su de procesare, i aplicaiile Java instalate n situl comerciantului. Compania este conectat direct cu un mare numr de bnci din toat lumea i poate asigura autorizarea unei tranzacii n cteva secunde. O tranzacie tipic de cumprare pe un sit de comerciant Bibit se desfoar n felul urmtor: cumprtorul umple cruciorul de cumprturi cu produsele dorite i d ordinul de cumprare; comerciantul (aplicaia client din sit) afieaz o list de metode de plat specific rii cumprtorului, din care cumprtorul face o alegere; apar o serie de formulare specifice metodei de plat alese, iar cumprtorul le completeaz i accept plata (dialogul se poart n una din 6 limbi de circulaie internaional, aleas de cumprtor); tranzacia e trimis la centrul Bibit care va obine autorizarea de la instituia financiar implicat dup care anun automat cumprtorul i comerciantul; dac tranzacia nu a fost acceptat, cumprtorului i se ofer alegerea unei alte metode de plat. Bibit ofer un sistem de pli complex i foarte puternic. Printre marii clieni ai companiei se numr companiile Dell, NEC, Expedia i Yahoo.
46
6.8. Comerul electronic n Romnia
Comerul electronic n Romnia s-a dezvoltat rapid n ultimii ani i apare n prezent sub trei forme principale: a) comerciani cu cataloage de produse pe Internet i plata la livrare; b) comercianii care accept plata prin carduri n timp real prin protocolul 3-D Secure, i c) situri de licitaie electronic destinate achiziiilor administraiei publice. Un caz aparte de comer electronic l reprezint tranzacionarea pe Internet a aciunilor societilor de la Bursa de Valori Bucureti prin intermediul Societilor de Servicii de Investiii Financiare, SSIF (16). Recent compania romneasc GeCAD ePayment International SRL, membr a Grupului GeCAD, n nelegere cu Banca iriac, a anunat c ofer comercianilor servicii complete care dau acestora posibilitatea comod de a-i deschide magazine virtuale i de a accepta plata n timp real prin carduri Visa i MasterCard n sistemul 3-D Secure, sau prin transfer i ramburs (www.epayment.ro). a) Comercianii cu cataloage de produse pe Internet i plata la livrare Aceasta este prima form de comer electronic prin Internet aprut n Romnia. Exist n prezent un numr relativ mare de astfel de comerciani (17). Comercianii prezint pe sit un catalog de produse, cu descrieri i pre, iar cumprtorul poate folosi un crucior de cumprturi, dup care lanseaz ordinul de cumprare. Livrarea se face la domiciliu sau produsele pot fi ridicate de la sediul comerciantului. Unele situri fac doar prezentare de produse fr posibilitatea de a da comand. Plata se face la livrarea produselor prin numerar la sediul comerciantului sau al cumprtorului, prin cec, transfer bancar, mandat potal, n rate, i chiar prin card, n momentul livrrii, printr-un POS mobil. b) Comerciani pe Internet cu plata prin card
47
ncepnd cu anul 2004 trei mari bnci acceptatoare i emitente (BCR, Raiffeisen Bank, Banca iriac) i o banc emitent (AlphaBank) ofer comer electronic prin Internet cu plata n timp real prin carduri Visa i MasterCard, folosind protocolul 3-D Secure sub siglele Verified by Visa i Secure Code, respectiv. Procesarea acestor tranzacii este asigurat de Romcard care este procesatorul celor trei mari bnci i care ofer acest serviciu, n principiu, i altor bnci. Certificarea Romcard de ctre Visa i MasterCard n calitate de procesator 3-D Secure este o premier european, realizat prin proiecte pilot de cele dou mari sisteme de carduri, ntruct pn n prezent procesarea 3-D Secure era realizat de fiecare banc n parte. Se poate spune c, datorit Romcard, Romnia dispune n prezent de eComer modern, cu un grad de siguran mult sporit. Vom reveni n capitolul 12.2 asupra acestei probleme. Comercianii romni care doresc s foloseasc sistemul vor ncheia contracte de comerciant pe Internet cu una din cele trei bnci acceptatoare, iar cumprtorii care doresc s foloseasc carduri Visa sau MasterCard emise n Romnia de cele patru bnci menionate pentru a face cumprturi n toat lumea prin acest sistem se vor adresa acestor bnci pentru nregistrarea n sistem (18). c) Achiziii electronice prin licitaie n administraia public n cadrul Sistemului Electronic Naional, SEN, promovat de Ministerul Comunicaiilor i Tehnologiei Informaiei sunt dezvoltate o serie de servicii electronice de mare interes pentru ceteni i pentru administraia public din Romnia. Un astfel de serviciu este Sistemul Electronic de Achiziii Publice (19). Acest sistem permite cumprtorilor, numii autoriti contractante (uniti ale administraiei publice) s organizeze licitaii pe produse pentru achiziia la cel mai bun pre de la vnztorii numii ofertani. Metodologia este asemntoare, n principiu, celei descrise n capitolul precedent pentru sistemul eBay i este descris pe situl guvernamental www.e-licitatie.ro. Licitaia electronic public este organizat pe dou categorii de produse produse standardizate i produse complexe.
Note i bibliografie
48
1. The Economist, May 15-21, 2004, A perfect market, A survey of e-commerce, pag.9, pag. 1-16. 2. Electronic Commerce and Development Report 2001, UNCTAD, United Nations, UNCTAD/SDTE/ECB/1, www.unctad.org/ecommerce. A se vedea i versiunea raportului din 2003 (UNCTAD/SDTE/ECB/2003/1). 3. Ministerul Comunicaiilor i Tehnologiei Informaiilor, Statistici, www.mcti.ro. 4. MasterCard e-B2B Solutions, The Choice Strategy for Seizing a $30 Trillion Opportunity, www.mastercardbusiness.com. 5. BCR www.bcr.ro, Banc Post www.bancpost.ro. A se vedea i revista eFinance, Carduri virtuale pentru o lume virtual, Nr.39, noiembrie 2003. 6. Sistemele mari de pli prin carduri au fost realizate iniial pe baza modelului de plat cu un card cu band magnetic. Dezvoltrile ulterioare constnd n plile cu carduri cu cip i plile cu card din eComer sau mComer, au constat, esenialmente, n "reducerea" noilor tipuri de tranzacii la modelul tranzaciei generate de un card cu band magnetic pentru a putea fi procesate de sistemele existente, cu extensiile necesare. Astfel o tranzacie cu un card cu cip, sau de comer electronic sau mobil, conine toate datele unei tranzacii cu band magnetic la care se adaug, sau din care lipsesc, cteva date suplimentare i specifice. 7. VeriSign Inc., www.verisign.com/products/, What Every Merchant Should Know About Internet Fraud, 2003. 8. Electronification of Payments in Europe, European Central Bank (ECB), Monthly Bulletin, May 2003. 9. Implementing Electronic Card Payment Systems, Cristian Radu, Artech House, Computer Security Series, 2003, www.artechhouse.com. 10. The SSL 3.0 Protocol, Freier A. Karlton P., Kocher P., Internet-Draft, Nov. 1996. The TLS Protocol - Version 1.0, Dierks T., Allen C., Internet-Draft, Nov. 1997 11. Set Secure Electronic Tranzactions, LLC, sau SET Co, ofer documentaia complet a standardului (The SET Standard Book 1,2,3), www.setco.org 12. Visa 3-D Secure System Overview, http://international.visa.com/fb/paytech/secure/pdfs/3DS_70015_01_System_ Overview_external_v1.0.2_May_2003.pdf. 13. MasterCard Secure Code este descris n mai multe locuri: www.mastercardmerchant.com/securecode/getstarted.html; www.mastercardintl.com/docs/ecaf_sell_sheet_final.pdf; www.mastercardintl.com/docs/secure_code_user_brochure.pdf;
49
www.mastercardintl.com/docs/secure_merchant_brochure.pdf; www.mastercardintl.com/docs/final_ucaf_smart_card_trifold.pdf. 14. Informaiile asupra acestor sisteme sunt generale. Sistemele fiind mai speciale, informaiile complete sunt accesibile numai membrilor. 15. www.paypal.com, www.paydirect.com, www.verisign.com, www.bibit.com. 16. SSIF care ofer aceast facilitate sunt Vanguard, www.vanguard.ro, Prime Tranzaction, www.primet.ro, Estinvest, www.estinvest.ro, i Romintrade, www.onlinebroker.ro. 17. Cteva exemple alese la ntmplare: www.magazinultau.ro; www.comenzi.ro; www.unireashop.ro; www.flanco.ro; www.dol.ro; www.flamingo.ro (ultimile dou sunt situri 3-D Secure). 18. www.no-cash.ro, 2004 - Interviul lunii ianuarie cu Marin Mitroi, director Romcard i "Soluii de plat on-line pentru magazine virtuale", Conferin asupra comerului electronic n Romnia, 26.02.2004, Hotel Athenee Palace, eveniment No-Cash. Metodologia de folosire a sistemului de ctre comerciani i cumprtori este descris de exemplu pe situl BCR, www.bcr.ro, seciunea e-comm. 19. MCTI www.mcti.ro, www.e-guvernare.ro, www.e-licitatie.ro.
50

E PCap 6

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

E PCap 6

Uploaded by

Copyright:

Available Formats

Cap 6.

Comerul electronic, eComer

Capitolul 6. Comerul electronic, eComer

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

6.1. O clasificare a comerului electronic

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

6.2. Schema de principiu a comerului electronic

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

6.3. Elementele componente ale comerului electronic

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer