Securitatea Comertului Electronic. Tehnologii Pentru Asigurarea Securitatii Tranzactiilor
CAPITOLUL I
COMERT ELECTRONIC – PRINCIPII GENERALE
Comertul electronic este un concept integrat, creat pentru a unifica o mare varietate de servicii in domeniul afacerilor, plecand de la posta electronica transmisa intre diferite organizatii, registre de adrese, sisteme comerciale comode de la domiciliu, servicii, bunuri si alte produse la alegere, sisteme electronice pentru efectuarea platilor de la distanta, informatii de ordin managerial, rapoarte statistice etc. Unii oameni folosesc insa acest termen cu un sens mult mai restrictiv, reducandu-l la tranzactii comerciale electronice si magazine electronice; altii folosesc termeni generali, cum ar fi afaceri electronice. Exista tendinta de a se reduce scopul comertului electronic la achizitionarea de bunuri si servicii; este insa necesar sa generalizam acest scop, pentru a include orice fel de tranzactie ce presupune o afacere, o relatie interorganizationala, ce se realizeaza prin mijloace electronice.
Termenul mai larg de afaceri electronice (in engleza electronic business) desemneaza multimea afacerilor asistate si bazate pe telecomunicatii si informatica. In acest context, comertul electronic (in engleza electronic commerce sau e-commerce) este definit ca multimea activitatilor de vanzare/cumparare a unor bunuri si servicii, folosind mijloace de telecomunicatii si informatice. Scopul comertului electronic poate fi definit ca fiind tranzactia electronica. Cea mai mare parte a discutiilor referitoare la comertul electronic raman focalizate in zona achizitionarii, a cumpararii de bunuri si servicii.
Printr-o analiza a comertului, inclusiv cel electronic, identificam urmatoarele patru categorii de produse tranzactionate:
a) Produse standard: Revolutia industriala a implicat automatizarea proceselor repetitive si standardizarea bunurilor si serviciilor intr-un numar limitat de forme, cu trasaturi prestabilite. Folosim termenul de produse standard pentru acele articole care au un identificator de produs si care pot fi comandate din cataloagele vanzarilor.
b) Marfurile: Aceasta este o clasa particulara de produse care exista intr-o forma identificabila, in cantitati considerabile si in forme identice, disponibile la surse variate. Exemple cunoscute sunt capitalul, instrumente financiare impartite si
derivate, cum sunt contractele, schimbul valutar, precum si produse primare, cum ar fi cafeaua sau uleiul brut.
c) Produse specializate: Acestea sunt proiectate sa satisfaca anumite nevoi, pentru anumiti clienti si pentru anumite scopuri. Fabricile, vapoarele sunt exemple de astfel de bunuri.
d) Produse configurabile: Exista multe cazuri in care produsele de baza sau specificatiile standard trebuie modificate pentru a fi in acord cu nevoile unui anumit cumparator. Se obtin astfel produse semispecializate. Configuratiile care pot fi realizate includ:
– obtiuni asupra produsului: culoare, dimensiune:
– extensii optionale;
– parametrizarii;
– specializari;
– modificari optionale;
– servicii suplimentare.
Comertul electronic poate cuprinde majoritatea proceselor ce impluca achizitionari de bunuri si servicii fizice. Spre deosebire de aceastea, bunurile si serviciile digitale sunt acele articole care pot fi livrate utilizand infrastructura informationala. Rezulta ca pentru bunurile si serviciile digitale, piata a promovat contextul necesar pentru intreg procesul de achizitionare, inclusiv livrarea. Bunurile si serviciile digitale includ, de exemplu:
documente, inclusiv carti si articole;
baza de date, inclusiv statistici;
publicatii electronice;
informatii de referinta, cum ar fi dictionare si enciclopedii;
stiri;
informatii meteo;
fisiere audio cu muzica, discursuri etc.;
fisiere video, video-audio, ca teleconferinte, TV, videoclipuri;
voce interactiva, cum ar fi conversatia telefonica;
video interactiv, cum ar fi videoconferintele;
imagini;
cursuri multimedia on-line;
software, biblioteci;
asigurari;
bani, inclusiv schimb monetar;
afaceri la burse;
comert de marfuri derivate.
Comertul de marketspace este utilizat pentru a desemna locul in care este practicat comertul electronic, avand drept corespondent in lumea reala piata de bunuri si servicii (marketplace). Marketspace-ul se refera la contextul virtual in care cumparatorii si vanzatorii se descopera reciproc si in care se tranzactioneaza afaceri electronice. Este noul spatiu de lucru care se dezvolta, intr-o lume bazata pe servicii si unelte de comunicatii, complexe si in continua dezvoltare.
Conceptul EDI (Electrionic Data Interchange) schimbul de date electronice, este usor de inteles daca ni-l imaginam ca un inlocuitor al ordinelor de plata bazate pe hartie cu echivalentul lor electronic. In realitate este un termen mult mai cuprinzator, impactul EDI asupra e-commerce-ului fiind foarte mare. EDI ofera perspectiva unei comunicari usoare si ieftine a informatiei intre firme si organizatii. Astfel definit, EDI reprezinta schimbul de documente in forma electronica standardizata, intre firme si organizatii, intr-o maniera automatizata, direct de la o aplicatie pe calculatorul unei organizatii/firme la o alta aplicatie pe calculatorul altei organizatii/firme.
Tranzactionarea electronica a marfurilor si serviciilor constituie o extensie a comertului actual. Se obtine astfel o eficienta sporita, in sensul reducerii costurilor si in ceea ce priveste efectul marketingului si se imbunatateste relatia beneficiar-client.
Comertul electronic faciliteaza si cooperarea intre firme. Reduce costurile de marketing si de livrare, sustine strategia de marketing a firmei si ofera acces pe noi piete. In viitorul apropiat, comertul electronic va avea un impact puternic asupra competitivitatii firmelor.
Atat clientii cat si firmele sunt foarte preocupati de diferitele incertitudini legate de comertul electronic. Se constata lipsa de incredere in ceea ce priveste securitatea
datelor personale in timpul transferurilor in cadrul tranzactiilor electronice. Clientii
sunt inca neincrezatori, dar expertii sunt de parere ca tranzactiile in comertul electronic au un grad mai mare de siguranta decat banalele cumparaturi efectuate prin cardul de credit.
Comertul electronic se afla inca in faza incipienta in Romania. Clientii manifesta temeri in ceea ce priveste furtul cardurilor de credit, a confidentialitatii datelor personale, etc. Multe firme nu au adoptat modelul electronic potrivit pentru derularea comertului lor electronic sau intampina dificultati in integrarea comenzilor si a informatiilor culese online, in activitatea curenta a firmei. Cu toate acestea, este o certitudine faptul ca numarul clientilor magazinelor electronice si a firmelor care adopta solutiile comertului electronic este in crestere. Multi furnizori de servicii Internet popularizeaza sistemul de cumparare online tocmai pentru a induce un plus de incredere si consideratie.
Comertul electronic nu este restrictionat de frontierele statelor dar depinde de existenta sau inexistenta retelelor de computere. Comertul electronic permite chiar si celor mai mici furnizori, indiferent de provenienta lor geografica, sa fie omniprezenti si sa faca afaceri in intreaga lume.
Comertul electronic influenteaza pozitiv nu numai activitatea intreprinderilor mici si mijlocii dar vine si in sprijinul clientilor, oferindu-le nenumarate optiuni.
Comertul electronic are, in sens larg, un impact mult mai profund asupra evolutiei afacerilor si cuprinde, in fapt, nu numai noile achizitii comerciale ci si totalitatea activitatilor care sustin obiectivele de marketing ale unei firme si care pot include, spre exemplu, publicitate, vanzari, plati, activitati post-vanzare, servicii catre clienti, etc.
Ca urmare, s-a largit gama de servicii care sprijina si acorda asistenta acestui nou domeniu al afacerilor. Aceste servicii se refera la furnizorii de Internet, la sistemele de securitate si semnaturile electronice, la tranzactiile online sau retelele de magazine, precum si la serviciile cu caracter general, cum ar fi consultanta, designul de pagini web, elaborarea site-urilor, s.a.
Aceasta evolutie are un impact major asupra economiei, in ceea ce priveste crearea de noi intreprinderi, diversificarea celor existente si, in special, asupra potentialului pietei fortei de munca si a gradului de ocupare a acesteia in viitor.
Datorita acestei diversitati a conditiilor de piata ce cuprinde un mare numar de
furnizori de servicii si care este intr-o permanenta schimbare, se impune ca o necesitate punerea la dispozitia intreprinderilor si in special a intreprinderilor mici si mijlocii, a unei "surse" unde sa gaseasca sprijinul adecvat pentru aplicarea solutiilor comertului electronic in activitatea proprie.
CAPITOLUL II
ASPECTE TEHNICE PRIVIND COMERTUL ELECTRONIC
2.1 Rolul Internet-ului in Comertul electronic. Modele de afaceri pe Internet
2.1.1 Rolul Internet-ului in comertul electronic
Internetul este o retea mondiala de zeci de mii de computere de mare capacitate, conectate intre ele. Persoane particulare si oameni de afaceri intra pe Internet prin intermediul unui furnizor local de servicii Internet, care ofera astfel accesul la posta electronica (e-mail) si la sistemul de informare " www" (World Wide Web). Internetul ofera potentialilor clienti posibilitatea de a "vizita" afacerea pe "web" si sa analizeze ofertele online de produse si servicii ale firmelor.
O multitudine de firme utilizeaza Internetul pentru publicitate. Marketingul prin Internet este o oportunitate pentru a crea imaginea unei firme si pentru a atrage clienti. Firmele furnizeaza informatii tehnice si utilizeaza pagina de web ca o platforma pentru lansarea noutatilor firmei. Folosind propriul website ca pe un magazin, ele ofera produse si preiau comenzi.
Pentru multe firme, comertul Internet reprezinta posibilitatea de a se efectua cumparaturi prin retea, consultand cataloage electronice “on” pe Web sau cataloage “off” pe CD-ROM si platind prin intermediul cartilor de credit sau, prin intermediul unor portmonee electronice.
Pentru altii, comertul Internet reprezinta relatiile de afaceri care se deruleaza prin retea intre furnizori si clienti, ca o alternativa la variantele de comunicatii “traditionale” prin fax, linii de comunicatii dedicate sau EDI pe retele cu valoare adaugata. Aceasta utilizare se mai numeste retea privata virtuala.
O alta forma a comertului Internet, care le include pe cele anterioare, dar si multe alte utilizari inca neexploatate, o reprezinta autentificarea digitala. Ea implica o serie variata de documente, de la contracte sau comenzi pro forma, pana la imagini sau inregistrari vocale.
Sunt destule metode de a face o vanzare pe Internet si destule modalitati de a pierde o vanzare pe Internet. Sunt o mie de metode prin care o firma poate efectua
sau pune la dispozitia clientilor serviciile comerciale pe Internet. Cea mai simpla metoda este daca firma are deja exemplul sau experienta unui magazin de vanzare normal, in acest caz putand sa-si extinda site-ul web printr-un magazin online sau; s-ar putea chiar sa aiba clienti care ar fi dispusi sa foloseasca Internetul pentru a face cumparaturi de la magazin. Pe langa aceasta, poate sa-si mareasca substantial nivelul clientilor si cumparatorilor prin promovarea atat a magazinului virtual cat si a celui real pe Internet la preturi care nu pot fi nici macar comparate cu preturile ridicate pe care le-ar avea daca ar face reclama magazinului prin publicitatea normala si reclama prin ziare, reviste si fluturasi.
2.1.2 Modele de afaceri pe Internet
Exista deja multe modele pentru derularea afacerilor pe Internet. Acestea pot fi clasificate in functie de numarul de furnizori, prestatori de servicii catre clienti, astfel: 1-catre-1 (e-shop), mai multi-catre-1 (e-mall), mai multi-catre-mai multi (e-licitatie). Se constituie astfel, un lant de servicii in cadrul caruia fiecare element poate fi dominant.
Un prim element este furnizorul de produse sau serviciie, o reprezinta autentificarea digitala. Ea implica o serie variata de documente, de la contracte sau comenzi pro forma, pana la imagini sau inregistrari vocale.
Sunt destule metode de a face o vanzare pe Internet si destule modalitati de a pierde o vanzare pe Internet. Sunt o mie de metode prin care o firma poate efectua
sau pune la dispozitia clientilor serviciile comerciale pe Internet. Cea mai simpla metoda este daca firma are deja exemplul sau experienta unui magazin de vanzare normal, in acest caz putand sa-si extinda site-ul web printr-un magazin online sau; s-ar putea chiar sa aiba clienti care ar fi dispusi sa foloseasca Internetul pentru a face cumparaturi de la magazin. Pe langa aceasta, poate sa-si mareasca substantial nivelul clientilor si cumparatorilor prin promovarea atat a magazinului virtual cat si a celui real pe Internet la preturi care nu pot fi nici macar comparate cu preturile ridicate pe care le-ar avea daca ar face reclama magazinului prin publicitatea normala si reclama prin ziare, reviste si fluturasi.
2.1.2 Modele de afaceri pe Internet
Exista deja multe modele pentru derularea afacerilor pe Internet. Acestea pot fi clasificate in functie de numarul de furnizori, prestatori de servicii catre clienti, astfel: 1-catre-1 (e-shop), mai multi-catre-1 (e-mall), mai multi-catre-mai multi (e-licitatie). Se constituie astfel, un lant de servicii in cadrul caruia fiecare element poate fi dominant.
Un prim element este furnizorul de produse sau servicii, al doilea este furnizorul de servicii Internet, care poate pune la dispozitie de la spatiu pe pagina web pana la posibilitatea integrarii intr-un e-mall. Al treilea element al lantului este clientul, avand o anumita formare profesionala, interese proprii si preferinte. Acest client poate fi un consumator (B-2-C), o alta firma (B-2-B), administratia publica (B-2-A) sau un angajat (B-2-E), in contextul tranzactiilor interne din cadrul unei firme.
Prezentam in continuare, in linii generale, cateva modele de afaceri pe Internet: magazinul electronic (e-shop), magazinul universal electronic (e-mall), achizitia publica electronica (e-procurement), licitatia electronica (e-auction), prestari servicii electronice (e-service providing).
2.1.2.1 Magazinul electronic (e-shop)
Ideea de baza a comertului electronic este aceea de a transpune afacerea fizica, materiala, in pagina de Internet. Astfel, firma isi prezinta catalogul de produse precum si serviciile prin Internet.
Produsele sunt oferite, in general, la diferite categorii de pret, tinand seama de
tendinta clientilor de a testa calitatea, viteza si eficienta livrarii inainte de a decide sa
cumpere produse mai scumpe. Produsele adecvate comercializarii prin Internet sunt, de obicei, cele care pot fi descrise cu usurinta si nu necesita folosirea simtului tactil: bilete de avion sau de concert, CD-uri, carti, software, unelte, piese de schimb, anumite alimente sau chiar autoturisme. Pe de alta parte, produse care au fost considerate initial ca nefiind potrivite pentru comercializarea pe Internet – cravatele, spre exemplu, se vand acum foarte bine pe Internet.
Serviciile completeaza de obicei oferta de produse dar se circumscriu deseori unei sfere mai largi: spre exemplu, in cazul in care se comercializeaza cravate, site-ul poate prezenta si un desen/schita despre cum se face nodul de cravata. In plus, site-ul poate include si un ghid de culori si stiluri pentru oamenii de afaceri, un indrumar pentru succesul in afaceri sau, magazinul de cravate poate decide sa vanda si sosete, pantofi si palarii prin includerea pe site si a altor vanzatori.
Preturile produselor vandute prin Internet ar trebui sa fie mai mici decat cele practicate pentru comenzile clasice. Cartile, spre exemplu, sunt oferite pe Internet cu o reducere de 10-50% sau, cel putin, fara a se percepe taxe aditionale de livrare. Serviciile si in special serviciile de informare ar trebui sa fie in mare parte gratuite.
Serviciile de informare prin publicatii periodice sunt oferite gratuit la inceput, prin acces liber sau abonamente gratuite; ulterior, ofertantii vor initia servicii suplimentare de tipul accesului la arhive si vor extinde posibilitatile de cautare, solicitand utilizatorului sa se aboneze si sa plateasca pentru a beneficia de acestea. S-a constatat ca impactul abonamentului online asupra utilizatorilor este foarte mic; majoritatea ramane fidela abonamentelor clasice si, in general, numai clientii noi apeleaza la acest nou sistem de abonament. Cu toate acestea, abonamentele contra cost online pentru accesul la stiri de ultima ora sau la dezbateri cu participare restrictiva de exemplu, suscita interesul doar daca serviciile oferite sunt de valoare exceptionala.
Exista diferite variante de gazduire a unui e-shop, astfel:
– pe un server distinct (un computer proprietatea firmei detinatoare a unui e-shop) destinat unor pagini ample si complexe de web; acesta va fi localizat in cadrul firmei daca frecventa modificarilor ce trebuie facute este mare (ex. stiri, preturi, etc.) sau daca este necesar un trafic intens intre firma si serverul aferent e-shop;
– pe un server virtual (un spatiu detinut de firma proprietara a unui e-shop, pe un hard disk al unui computer furnizor de web); in corelatie cu un spatiu mai mare de tipul www.yourshop.com, solutie preferata de majoritatea intreprinderilor mici si mijlocii;
– in cadrul unui magazin universal electronic (e-mall).
Alegerea variantei optime pentru magazinul dumneavoastra electronic depinde de costurile de telecomunicatie, know-how-ul tehnic la nivelul firmei, grupul tinta, marimea, structura si obiectivele pe termen mediu ale viitorului e-shop.
In masura in care este posibil, un e-shop ar trebui sa poata fi accesat pe mai multe cai: un link/publicitate permanent pe un site portal, un cuvant-cheie publicitar in cadrul motoarelor de cautare sau in cadrul prezentarii pe Internet a informatiilor generale despre intreaga activitate a firmei sau despre intreaga gama de produse si o fereastra a acestui site in cadrul unui e-mall – toate acestea concomitent. In plus, o idee interesanta ar fi sa se stabileasca denumiri de genul "www.produs1.com" pentru grupele de produse, cu link exact la pagina corespunzatoare din cadrul magazinului electronic.
2.1.2.2 Magazinul universal electronic (e-mall)
Un e-mall ofera un front comun pentru mai multe e-shop-uri si poate fi realizat utilizand diverse modele de tranzactii, in functie de tipul de servicii pe care proprietarul mall-ului doreste sa le ofere. Tot proprietarul este cel care se ocupa si de marketingul aferent mall-ului, astfel incat alegerea mall-ului potrivit este o decizie esentiala pentru detinatorul unui magazin. Mall-ul potrivit se defineste ca fiind un mall cu o retea puternica, cu o strategie de marketing buna, cu un front de prezentare potrivit si din care sa se poata accesa direct si pe mai multe cai e-shop-ul; cu o structura adecvata de magazine si care sa ofere si servicii, cum ar fi furnizarea de informatii curente regionale sau sectoriale.
Revenim la exemplul mentionat, al magazinului pentru cravate: in cazul in care proprietarul doreste sa-si prezinte magazinul in cadrul unui mall, el trebuie sa decida daca sa opteze pentru un mall destinat modei sau pentru unul specializat in accesorii.
Pentru unele domenii este benefica participarea in cadrul unui mall alaturi de
produse competitive cum ar fi bijuteriile. Aceasta duce la cresterea traficului in mall si
astfel la cresterea cifrei de afaceri a fiecarui magazin din structura acestuia. Pe de alta parte, detinatorul mall-ului poate obtine profit din reclama, taxe percepute membrilor si/sau taxe asupra tranzactiilor.
2.1.2.3 Achizitia publica electronica (e-procurement)
Achizitia publica prin modelul B-2-B este aplicabila in cazul in care organisme guvernamentale sau mari organizatii lanseaza apeluri pentru licitarea achizitionarii de bunuri sau servicii. Sfera de cuprindere a licitatiilor tipice include de la serviciile din constructii si bunurile pentru investitii pana la studii si alte lucrari ample. Achizitiile publice prin Internet pot include negocierea electronica, contractarea si licitarea in colaborare, spre exemplu.
Pentru ca acest model sa poata fi si la indemana intreprinderilor mici, s-au infiintat platforme sau consortii in cadrul carora vanzatorii actioneaza impreuna pentru a obtine oferte mai avantajoase de la producatori. Spre exemplu, industria modei este un important utilizator al acestor consortii.
2.1.2.4 Licitatia electronica (e-auction)
Licitarea produselor si obiectelor pe Internet s-a dovedit a fi un model de mare succes. Poate fi utilizat atat pentru comertul electronic B-2-B cat si pentru cel B-2-C si, datorita faptului ca este un domeniu de mare interes, poate fi de asemenea integrat si in e-shop-urile obisnuite.
Produsele vandute prin licitatia electronica pot fi produse de ultima ora, de suprastoc sau cu stoc fluctuant sau obiecte de valoare pentru colectionari specializati si includ de la bunuri materiale, metale si materii prime agricole, la obiecte de arta unicat. Spre exemplu, firmele de hardware vand prin licitatii electronice specializate si deja bine cunoscute, atat modele noi cat si produse folosite.
Asemeni unui e-mall, o licitatie electronica include de obicei mai multi vanzatori. Operatorul licitatiei elaboreaza mecanismele pentru plasarea obiectului licitatiei, pentru licitare (de obicei prin e-mail) si poate oferi in plus servicii de plati si de livrare.
2.1.2.5 Furnizare de servicii pentru comertul electronic (e-service providing)
Serviciile care sustin activitatea de comert electronic nu sunt oferite exclusiv de catre furnizorii de Internet, care se rezuma in general la gazduirea paginilor de web sau la asigurarea accesului pe Internet. De exemplu, exista magazine universale electronice (e-mall) conduse de producatori, vanzatori, furnizori de Internet, designeri de web sau asociatii. Exista si servicii electronice externe cum ar fi cele de management, de informatii, de prelucrare a datelor, de consultanta, de integrare a serviciilor de livrare, care pot fi prestate in diferitele variante de comert electronic. in mod evident, oricare dintre verigile acestui lant valoric poate oferi servicii electronice si poate deveni placa turnanta pe piata specifica. Activitatile se pot concentra spre atragerea a cat mai multi participanti in cadrul unei verigi a lantului, astfel incat sa se creeze o structura puternica de tipul B-2-C (e-mall) sau o platforma B-2-B.
2.2 Structura unui site pentru comert electronic. Site-uri de comert electronic in Romania
2.2.1 Structura unui site pentru comert electronic
Comertul electronic este una dintre solutiile complexe, "integrate" ca sa folosim un termen la moda, pe care le ofera tehnologia Internet. Asta inseamna ca o multitudine de aplicatii si de furnizori de servicii Internet trebuie sa conlucreze intr-o sincronizare perfecta pentru ca un site de comert electronic sa poata functiona. De multe ori o prima alegere – a unei aplicatii sau a unui serviciu – presupune in mod automat o serie de optiuni impuse.
Diferenta dintre un site de prezentare si unul de comert electronic este uriasa si nu consta numai in faptul ca cel de-al doilea poate accepta comenzi online.
Un magazin online presupune in primul rand disponibilitatea comerciantului de a-si trata clientii "virtuali" cu aceeasi seriozitate cu care isi trateaza clientii "reali" ce ii trec pragul magazinului. Odata inteles acest lucru, comerciantul trebuie sa aiba la dispozitia sa mijloacele prin care sa-l puna in practica. Aceasta inseamna in primul rand mijloacele tehnice pentru a putea modifica continutul site-ului in functie de oferta
si in al doilea rand mijloacele tehnice pentru a mentine un contact permanent cu vizitatorii (clientii). Daca prima parte este de la sine inteleasa si se refera la actualizarea preturilor, listelor de produse, a promotiilor si discount-urilor oferite, cea de-a doua este deseori neglijata si se refera la existenta unei baze de date cu clienti, carora sa li se transmita periodic noutati, sa li se ofere discount-uri la achizitionari ulterioare, sa li se comunice permanent stadiul comenzii pe care au efectuat-o si, ceea ce este cel mai important, sa li se raspunda prompt la intrebari.
Sa mai adaugam facilitati cum ar fi: formular de cautare a unui produs in baza de date, optiune de promovare de tipul "Recomanda acest produs unui prieten", calculul taxelor de transport in functie de destinatie, afisarea celor mai vandute produse, precum si posibilitatea de plata prin intermediul unui card bancar.
Toate acestea fac dintr-un site de comert electronic o aplicatie deosebit de complexa care, impreuna cu preocuparea permanenta a comerciantului pentru acest canal de vanzare, reprezinta ingredientele principale ale unei afaceri de succes.
Un magazin electronic este (simplificat vorbind) un site de Internet care intruneste minim urmatoarele conditii:
Prezinta informatii despre produse sau servicii, inclusiv pretul acestora.
Include un sistem prin care vizitatorii paginii pot selecta produsele dorite si le pot adauga intr-un "cos electronic de cumparaturi" (la fel cum intr-un supermarket vizitatorii pot lua produsele dorite de pe raft si le pot pune in cos).
Include un sistem de preluare si transmitere a datelor personale ale cumparatorului, pentru a putea fi contactat de catre vanzator.
Nu in ultimul rand, include un sistem de plata prin care vanzatorul sa isi poata incasa banii de la clientul "virtual".
Dupa cum am precizat mai sus, acestea sunt doar caracteristicile de baza absolut necesare si pe care vizitatorii paginii de Internet le pot vedea. Ele reprezinta insa doar "vitrina" unui magazin electronic.
Un magazin electronic uzual va include in plus un sistem de administrare invizibil pentru vizitatorii obisnuiti. Prin intermediul acestuia se introduc si actualizeaza informatiile despre produse, se tine evidenta comenzilor, a conturilor cumparatorilor inregistrati, se urmaresc statistici despre produsele cele mai cautate
si, nu in ultimul rand, se trimit mesaje de promovare menite sa informeze clientii magazinului despre ofertele curente. Lista de optiuni de administrare nu este desigur limitata la cele descrise mai inainte, in practica existand o multitudine de optiuni disponibile.
Un site de Internet pentru comertul electronic (magazin electronic) are si avantaje fata de comertul clasic.
Un magazin electronic este in multe privinte superior fata de unul obisnuit.
Fiind o pagina de Internet inseamna ca este accesibila 24 de ore din 24 si poate fi accesata de oricine cu acces la Internet. Asta spre deosebire de magazinul/firma care are o adresa fixa si un program mai lung sau mai scurt de functionare.
Un magazin electronic e deschis non-stop nu neaparat pentru ca vin vizitatori la 2 noaptea – desi se mai intampla si asta – ci pentru ca e foarte ieftin sa il ti deschis non-stop si mai ales nu trebuie sa platiti un vanzator care sa il deserveasca. Astfel puteti fi "virtual" disponibil pentru informatii si comenzi 24 de ore din 24, 7 zile din 7.
Fiind o pagina de Internet vizitatorii nu pot atinge produsele … dar asta inseamna ca nici nu trebuie sa tineti produse pe stoc! Puteti sa deschideti un magazin electronic chiar si fara sa aveti marfa pe stoc, comandand marfa la furniz abia dupa ce aveti comenzi ferme pentru ea.
Un magazin electronic rezolva problema si pentru vanzator si pentru cumparator. Acesta din urma poate sa se informeze rapid despre oferta vanzatorului vizitand magazinul electronic acestuia. Rezultatul este ca se fac economii de ambele parti.
Un efect "secundar" observat mai este si acela de "punct de referinta". Din ce in ce mai multe persoane intra pe Internet pentru a cauta informatii si preturi despre produsele dorite. Atunci cand gasesc un site cu informatii complete si bine prezentate il folosesc ca punct de referinta si in viitor.
Imbunatatirea comunicarii cu clientii. Daca la inregistrarea clientilor in magazin li s-a cerut permisiunea de a le trimite mesaje cu ofertele si promotiile existente avem la dispozitie un instrument puternic si ieftin de promovare: mesaje electronice catre clientii existenti. Un mesaj de cateva randuri care anunta o reducere de pret sau o oferta speciala (ex: un nou produs), trimis la interval de cateva
saptamani, nu va fi deranjant ci chiar va fi apreciat de acestia daca sunt interesati de produse.
Simplificarea preluarii comenzilor de la clienti deja existenti. Daca au acces la Internet acestia vor aprecia economia de timp si bani in efectuarea de comenzi. Nu mai trebuie sa ceara oferta actualizata, sa completeze formulare sau sa sune pentru a comanda. Pur si simplu intra pe site, isi aleg produsele dorite, le pun in cos si trimit comanda, primind automat sau manual, pe email, confirmarea acesteia.
Un magazin virtual nu presupune un spatiu costisitor. Se evita astfel, cheltuielile legate de chirie, intretinere si depozitare. De asemenea, numarul personalului care administreaza un magazin online este mult mai mic decat in cazul unui magazin real.
De foarte multe ori, clientii se sperie de bunavointa, exagerata a unei vanzatoare. Sunt oameni si oameni. Unii sunt mai indrazneti, altii sunt mai timizi. Cei timizi vor sa fie lasati in pace, sa studieze indelung marfa. Sunt mai nehotarati, comanda ceva si apoi se razgandesc. Magazinul virtual ofera o mare intimitate clientului si, in plus, daca acesta doreste sa renunte la unul dintre produsele comandate, poate rezolva acest lucru cu un simplu click de mouse.
Internetul nu tine cont de granite. Daca exista versiuni in engleza, franceza, germana, italiana si spaniola ale magazinului, clientii pot fi din toata lumea.
2.2.2 Site-uri de comert electronic in Romania
http://www.casadecomenzi.ro/
Site al SC Asimob Servicii SRL care ofera pe raza municipiului Bucuresti, in regim de casa de comenzi, produse de la Metro Militari. Se pot comanda produse alimentare (alimente de baza, ape, sucuri, cafea, ceai, cacao, carne, conserve, dulciuri, gemuri, hrana pentru animale, lactate, legume, fructe, peste, semipreparate, paste, cereale, panificatie) si nealimentare (cosmetice, uz casnic, accesorii, birotica, papetarie, accesorii auto). Acestea sunt prezentate pe subcategorii, fara descrieri dar cu fotografii. Preturile sunt, conform celor afirmate de site, la nivelul celor dintr-un supermarket obisnuit, iar plata se face la livrare pe baza facturii. Se indica modul de comanda a produselor si se arata ca orice comanda este confirmata telefonic in
maximum 30 de minute in intervalul orar de functionare a magazinului. Exista si posibilitatea lansarii de comenzi speciale prin telefon sau e-mail.
http://www.cd.ro/
Magazin virtual al SC Hercules SRL din Brasov dedicat vanzarii de CD-uri. Din prima pagina se arata ca site-ul este, gratie colaborarii cu compania CCNOW, unul din primele magazine virtuale din Romania care accepta carti de credit, tranzactiile fiind efectuate pe servere din SUA cu protejarea datelor cumparatorilor prin tehnologie SSL. In prima pagina se prezinta albume recente, noutati in domeniu (de pe site-ul “music.ro”), oferte speciale si top 5 cd.ro. Toate albumele de pe site sunt prezentate cu scurte detalii, inclusiv melodiile de pe discuri in format mp3 de calitate modesta (din motive de copyright) si fotografiile copertilor. Exista clasificarea discurilor pe categorii (pop, rap, rock, popular) ca si posibilitati de cautare a unui CD. Sunt si indicatii asupra modului de lucru al site-ului. Exista posibilitatea abonarii la un newsletter. Pe site sunt si link-uri spre case de discuri, posturi de radio si posturi TV din Romania. Se indica date numeroase de contact ale managementului si administratorilor site-ului.
http://www.emania.ro/
Magazin virtual al New Media Concept SRL din Bucuresti care comercializeaza produse electrocasnice si electronice. La data de 01.01.2006 erau oferite spre vanzare 348 produse din prima categorie si 441 din cea de-a doua, grupate pe subcategorii.
Site-ul prezinta in prima pagina produsele promotionale ale zilei si numarul total de produse existente in fiecare subcategorie. Exista posibilitatea afisarii tuturor produselor grupate in ordinea crescatoare a pretului, se poate alege un produs al unei firme anume sau se poate folosi functia de cautare “precis gasesti” care listeaza produsele dupa o caracteristica precizata de cumparator. Oferta este afisata cu fotografii si multiple detalii asupra performantelor. Pe site exista indicatii cu privire la modul de efectuare a comenzii. Plata se face cash la livrare sau cu ordin de plata. Se pot trimite si cadouri care sunt livrate dupa efectuarea platii. Primirea produselor se face in 24-48 de ore dupa confirmarea telefonica cu lansatorul comenzii, gratuit
pentru comenzi peste 1 milion lei si contra unei taxe de 145.000 lei pentru comenzi mai mici. Livrarea se face fara taxe suplimentare in orasele listate pe site (Bucuresti si alte 59 din tara), cu factura, chitanta si certificat de garantie de la producator sau importator. Site-ul afiseaza si lista service-urilor care asigura garantia pentru o anumita marca. Pe site se indica datele de contact ale firmei. Exista si posibilitatea abonarii la un newsletter pentru a primi noutati saptamanale. Site-ul mai contine si o pagina de informatii in engleza unde se arata posibilitatea de a plati in valuta, din afara Romaniei, pentru a face cadouri in tara. Plata se face in acest caz prin transfer bancar sau prin Western Union Paycash.
http://www.magazinvirtual.ro/
Site fara administrator precizat de genul portal, organizat pe trei sectiuni: link-uri catre site-uri de comert on-line grupate pe categorii, zone on-line ale membrilor site-ului de unde se pot comanda direct produse cu livrare la domiciliu si anunturi de mica publicitate pe categorii. Se ofera posibilitatea inscrierii gratuite a propriului magazin virtual, daca exista, sau a realizarii unui magazin virtual cu inscriere gratuita pentru pana la 5 produse, fiind prevazute instructiuni detaliate, pas cu pas, in acest scop.
Exista o pagina de link-uri spre diverse site-uri, una de opinii (feed-back) precum si alta de prezentare a membrilor magazinului virtual. Se indica e-mail-urile de contact ale administratorilor site-ului si telefonul/faxul lor.
http://www.rate.ro/
Site de comert electronic al Rate.ro SRL. Ofera mai multe categorii de produse (calculatoare si accesorii, electronice si electrocasnice) care se pot cumpara cu plata integrala sau in rate. Marfurile cu plata integrala se achita la livrare cu card Visa sau Mastercard, cash sau cu ordin de plata, iar cele in rate se platesc prin banca in baza unui contract semnat cu firma. Exista mai multe optiuni cu privire la locul de livrare (Bucuresti sau alte localitati), numarul de rate (pana la 18) si afisarea preturilor (lei sau USD cu sau fara TVA). Site-ul este structurat pe categorii si subcategorii de produse si marci cu facilitati de cautare. Pe site exista suport despre: cum se cumpara, sistemul de plata, cum se face livrarea, service si garantie. Exista o rubrica de intrebari si raspunsuri ca si posibilitatea de a primi suport telefonic in zilele de lucratoare. Site-ul ofera date complete despre proiectul Rate.ro si despre posibilitatile de contactare a firmei. Se precizeaza termenii si conditiile tranzactiilor prin Rate.ro. Exista si posibilitati de angajare. in prima pagina se indica stiri si noutati specifice site-ului pe scurt.
http://www.teora.ro/
Site de tip magazin virtual de carti administrat de RomaniaUSA.com. Este organizat sub forma a doua magazine: unul pentru cumparatori din Romania si altul pentru cei din strainatate. In prima pagina a partii pentru cumparatorii din Romania se dau explicatii privind modul de lucru al magazinului virtual si se indica ultimele aparitii. Ca modalitati de plata exista doar plata prin ramburs fara taxe postale de expediere.
Magazinul este structurat pe categorii, existand si posibilitati de cautare. Cartile sunt descrise pe scurt inclusiv cu fotografii ale copertilor. Printr-un formular de feed-back se pot transmite impresii asupra site-ului. Partea pentru cumparatorii din strainatate ofera explicatii despre companie si proiect si indica datele de contact din SUA si Romania. Cartile au pretul in USD si se primesc comenzi numai de la clientii din afara Romaniei. Modalitatile de plata sunt mai diversificate (credit card, check si money order).
2.3 Instrumente de plata in Comertul electronic
2.3.1 Plati electronice. Notiuni elementare
Una din principalele provocari cu care se confrunta comerciantii detailisti (retail) atunci cand doresc sa implementeze un sistem de comert electronic este furnizarea un mecanism de plata comod, perceput ca suficient de sigur si usor de integrat intr-un sistem de tranzactii comerciale on-line. Multe solutii pentru aceasta problema au fost propuse sau chiar sunt utilizate astazi. Insa nici una nu a dobandit larga acceptare de care se mai bucura inca bancnota de hartie sau moneda de metal. Comertul electronic va putea evolua dincolo de un anumit nivel doar atunci cand consumatorii obisnuiti vor percepe un mecanism de plata electronica ca fiind la fel de sigur ca plata cu banii jos ("cash") de astazi.
Odata cu raspandirea web-ului si atingerea unei mase critice de utilizatori, firmele cu activitate de comert, analistii, specialistii in marketing s-au gandit ca merita investit efort in punerea la punct a unor tehnologii care sa transforme surferii web in potentiali clienti. Initial, siturile web ale acestor firme contineau doar informatii de contact, oferte promotionale sau chiar cataloage de produse sub forma unor pagini HTML statice. Lansarea unei comenzi de cumparare a unor produse se putea face eventual via fax, telefon sau email. Totul era ok, doar ca pentru a putea intra in posesia produselor, clientul trebuia sa plateasca contravaloarea produselor comandate iar banii sa parcurga drumul de la client la comerciant (vanzator). Plata se facea de regula prin mecanismele clasice, catre un cont deschis de comerciant la o banca; presupunea deplasarea clientului la sediul unei institutii cu profil bancar pentru a depune banii si pentru initia transferul acestora in contul comerciantului. in functie de politica adoptata de comerciant pentru a demara procesul de livrare a produselor catre client acesta cerea sau nu, confirmarea efectuari plati prin fax. Fie ca se folosea o retea de distributie proprie, fie ca se apela la un serviciu postal specializat (posta rapida, DHL, etc), teoretic aceasta ultima faza era cea mai lunga. As putea spune ca pana acum, in mare, am creionat modalitatea in care se desfasoara comertului la distanta in prezent, in Romania. Cu doua amendamente:
a) Exista inca putine situri web de comert care permit vizualizarea on-line a cataloagelor de produse si lansarea comenzilor; informatia ca un anumit comerciant ofera un anumit produs este obtinuta telefonic si/sau pe baza unei reclame in mass-media; si
b) Din pacate, in Romania, in multe cazuri nu livrarea produsului prin posta catre beneficiar dureaza cel mai mult, ci tocmai transferul banilor catre comerciant; aceasta situatie se intalneste mai frecvent la cumpararea de produse/ servicii din afara Romaniei, caz in care multe din bancile romanesti nu se "grabesc" sa faca plata.
Comertul electronic ofera oportunitatea de a comercializa produse in intreaga lume, sporind numarul de potentiali clienti in primul rand prin eliminarea barierelor geografice dintre clienti si comercianti. Pentru intelege care este rolul si locul comunicatiilor si solutiilor informatice (IT) intr-un astfel de mecanism, sa studiem putin arhitectura unui sistem EC.
2.3.2 Arhitectura unui sistem de comert electronic
Pentru a construi un sistem de e-commerce, din punct de vedere arhitectural este nevoie de colaborarea a patru componente (subsisteme electronice/informatice) corespunzatoare urmatoarelor roluri:
1) Client. Un echipament, clasic un PC, conectat direct (via un ISP) sau indirect (o retea a unei corporatii) la Internet. Cumparatorul foloseste acest echipament pentru a naviga si a face cumparaturi.
2) Comerciant. Sistem informatic (hard & soft), situat de regula la sediul comerciantului, care gazduieste si actualizeaza catalogul electronic de produse disponibile a fi comandate on-line pe Internet.
3) Sistemul tranzactional. Sistemul informatic (hard & soft) responsabil cu procesarea comenzilor, initierea platilor, evidenta inregistrarilor si a altor aspecte de business implicate in procesul de tranzactionare.
4) Dispecer plati. (Payment Gateway). Sistem informatic responsabil cu rutarea instructiunilor de plata in interiorul retelelor financiar-bancare, cu verificarea cartilor de credit si autorizarea platilor; acest sistem joaca rolul unei porti care face legatura dintre reteaua globala Internet si subreteaua financiar-bancara (supusa unor cerinte de securitate sporite), poarta prin care accesul este controlat de un "portar" (gatekeeper); pe baza informatiilor specifice cartii de credit (tip_card, nr_card) din instructiunile de plata "portarul" redirecteaza informatia catre un centru de carduri (CC – un server certificat in acest scop si agreat de banca emitenta); in acest loc este identificata banca care a emis cardul iar instructiunile de plata sunt trimise mai departe catre serverul acestei banci conectat in reteaua interbancara; odata informatiile ajunse in reteaua bancii cu care lucreaza cumparatorul, sunt efectuate (automat) o serie de verificari privind autenticitatea si soldul disponibil in contul cardului implicat in tranzactie; in functie de rezultatul acestor verificari, banca decide fie efectuarea platii (transfer bancar – catre contul comerciantului care poate fi deschis la orice alta banca), fie refuza sa faca aceasta plata. In ambele cazuri, rezultatul deciziei (confirmare plata sau refuz) este trimis in timp real, parcurgand acest lant de servere in sens invers, catre client. Cu alte cuvinte, in cateva secunde cumparatorul afla daca banca sa a operat plata sau nu.
Odata acestea spuse, e bine sa mai facem precizarea ca pe baza acestor patru componente de baza s-au implementat diverse arhitecturi de comert electronic. Unele combina mai multe componente intr-un singur (sub)sistem informatic, pe cand altele implementeaza separat fiecare componenta in parte.
Pentru definirea arhitecturii, proiectantii de sisteme EC fac o proiectare de ansamblu a sistemului pe baza unei selectii a principalelor cerinte/functii ale unui sistem EC. Detalii cum ar fi, de exemplu, functia de agregare care permite asamblarea articolelor intr-o comanda completa sunt lasate pe seama proiectarii de detaliu. Decizia de a integra aceasta functie de agregare la nivelul componentei client, comerciant sau tranzactionale se va lua in functie de cerintele specifice ale fiecarei implementari in parte. Important este insa ca in cazul unui sistem de EC, ca de altfel in cazul oricarui sistem complex, arhitectura sa fie clar definita la toate nivelele de detaliu.
Pentru a asigura succesul pe termen lung al unui proiect de e-commerce, arhitectura acestuia trebuie proiectata cu grija tinand cont de toate aspectele de business cu care se va confrunta sistemul, lasand totodata portite care sa permita adaptarea sa in timp, pe masura ce apar noi provocari iar tehnologiile evolueaza.
2.3.3 Metode de plata
Cateva dintre cele mai cunoscute metode de plata electronica sunt: plata prin cartele de credit, plata prin CyberCash, plata prin “SmartCard” (cartela “inteligenta”), transferul electronic de fonduri, plata prin Ecash, banii electronici (digicash).
Tranzactia comerciala are trei faze: negocierea, plata si livrarea. Majoritatea modelelor din literatura de specialitate se concentreaza pe faza de plata si, in mod deosebit, pe modul de asigurare a securitatii platilor electronice. Cele mai importante protocoale de plata electronica sunt SET, SNPP si IBS. Alte protocoale de plata cu o utilizare notabila sunt: JEPI, EMV si E-Check – Electronic Checkbook. Comertul electronic este un concept unificator, care inglobeaza o serie de tehnologii si servicii specifice, dar in egala masura reutilizeaza concepte deja existente, uneori chiar fara a fi nevoie sa le adapteze. in continuare, vom enumera o parte dintre serviciile si tehnologiile folosite la implementarea sistemelor de comert electronic.
Sistemele electronice de plati trebuie sa atinga nivele ridicate de securitate, viteza, caracter privat si confidential, descentralizare si internationalizare si sa fie unanim acceptate de comercianti si oameni de afaceri. O trasatura comuna a majoritatii acestor solutii o constituie utilizarea tehnicilor criptografice care asigura confidentialitatea, autenticitatea si integritatea mesajelor transferate intre entitatile implicate. in continuare sunt analizate cateva dintre cele mai cunoscute metode de plata electronica:
2.3.3.1 Plata prin carduri bancare.
Card-urile reprezinta instrumente de decontare care asigura posesorului achizitionarea de bunuri si servicii, fara prezenta efectiva a numerarului. Indiferent de tip si functii, card-urile au anumite trasaturi comune:
– suport fizic de plastic, cu dimensiuni standard;
– numele emitentului, numarul cardului, perioada de valabilitate, numele posesorului – inscriptionate pe avers prin tiparire, gofrare sau gravare cu laser;
– sigla emitentului, holograma de securitate, logo-ul organizatiei, pe avers;
– banda magnetica pentru criptarea elementelor de securitate si un spatiu pentru semnatura posesorului, pe revers.
Card-urile se pot clasifica pe mai multe criterii:
In raport cu modul de stocare a caracteristicilor de securitate:
– card-uri cu banda magnetica – care memoreaza pe trei piste informatii criptate despre utilizator, emitent, algoritmul de codare etc.;
– card-uri cu microprocesor (smart-card-uri) – avand stocate in cip datele de securitate si permitand functionarea ca portofel electronic
In raport cu sursa de acoperire a cheltuielilor:
– debit-card-uri – care asigura utilizatoruluiachizitionarea de bunuri si servicii sau retrageri de numerar, cu conditia prezervarii unor fonduri intr-un cont de card si efectuarea de cheltuieli in limita soldului disponibil;
– credit-card-uri – care asigura utilizatorului achizitionarea de bunuri si servicii sau retrageri de numerar pe baza unei linii de credit acordate posesorului de card.
In raport cu calitatea emitentului:
– card-uri emise de banci;
– card-uri emise de societati non-bancare
Operatii cu carduri
Etapele fundamentale care caracterizeaza operatiile cu card-uri sunt: emiterea si acceptarea
Emiterea cardurilor
O banca comerciala poate lansa pe piata doua tipuri fundamentale de card-uri: de debit si credit. La fiecare dintre acestea, banca poate emite diferite variante, cu functii suplimentare fata de cele standard.
Orice program de emitere de card-uri presupune patru etape:
– proiectarea si lansarea produselor card;
– analiza si aprobarea cererilor de emitere;
– producerea si predarea card-urilor;
– autorizarea si decontarea tranzactiilor.
2.3.3.2 Plata prin SmartCard (card-uri inteligente)
Termenul de card inteligent este folosit in general pentru a desemna un card de plastic de dimensiuni date, care include o serie de componente semiconductoare, ce-i permit sa memoreze si uneori sa prelucreze informatii.
SmartCard-ul este in esenta inlocuitorul portofelului obisnuit. Tot continutul unui portofel actual (acte, carti de credit, bani gheata), va fi inlocuit de unul sau mai multe SmartCard-uri. Din punct de vedere fizic, un SmartCard arata ca o carte de credit, cu unul sau mai multe microcircuite de tip microcontroller inglobate. O cartela inteligenta poate pastra de 10-100 de ori mai multa informatie decat o cartela magnetica, fiind totodata mult mai sigura. Conectata la un terminal de citire-scriere, SmartCard poate efectua functii complexe de luare a deciziilor, proceduri sofisticate de autentificare pentru a preveni frauda. Deci beneficiile oferite de SmartCard sunt: siguranta, capabilitati active anti-frauda, flexibilitate in aplicatii, posibilitatea de validare off-line.
SmartCard memoreaza direct echivalentul digital al sumelor de bani in loc sa indice un cont la banca sau un credit acordat de banca. Cand o astfel de cartela este folosita pentru a cumpara ceva, echivalentul sumei respective este efectiv transferat vanzatorului si apoi mai departe catre o institutie financiara. SmartCard poate fi reincarcabila sau nu. in acest ultim caz, cartela va fi aruncata atunci cand suma inscrisa pe ea a fost epuizata. In prezent, in tarile care au deja o traditie in comertul electronic (respectiv cele in care sistemul de plata prin carti de credit functioneaza de mult timp) se fac eforturi substantiale pentru adoptarea SmartCard-urilor.
Ca aplicatii generale ale card-urilor inteligente putem mentiona: card-urile de transport, card-urile de telecomunicatii, card-urile pentru comert electronic, card-uri TV etc.
2.3.3.3 Plata prin CyberCash (www.CyberCash.com)
Cyber Cash reprezinta un sistem electronic de plata, implementat in 1995 de firma CyberCash Inc., Reston, SUA, pentru protejarea platilor cu crtele de credit prin Internet. Firma furnizeaza un software atat pentru cumparator, cat si pentru vanzator si opereaza o poarta (gateway) intre Internet si majoritatea bancilor care autorizeaza plata cu cartele de credit. Cumparatorii incep prin a instala software-ul de “portofel” cu care inregistreaza mai multe cartele de credit pe care le folosesc. In mod similar, vanzatorul instaleaza software-ul pereche. Mesajele tranzactiilor dintre cele doua componente se desfasoara criptat, cu o cheie simitrica, anvelopata cu ajutorul unei chei publice ale lui CyberCash, pentru distribuire. Aceasta cheie este incorporata in soft-ul cumparatorului. Soft-ul genereaza, atunci cand se instaleaza cartelele de credit folosite, o pereche cheie publica – cheie privata pentru cumparator. Cheia publica se transmite la Cyber Cash, care o memoreaza intr-o baza de date, alaturi de toate cheile publice ale cumparatorilor si vanzatorilor. Ca urmare, Cyber Cash poate autentifica semnaturile digitale ale tuturor participantilor. Mesajul de plata cu cartele de credit – descrierea tranzactiei, numarul cartelei de credit a cumparatorului si semnatura digitala a acestuia – se transmite portii CyberCash, care decripteaza mesajele si semnatura. Daca lucrurile sunt OK, el confirma plata catre software-ul vanzatorului, care la randul sau o trimite spre confirmare soft-ului “portmoneu” al cumparatorului. CyberCash opereaza ca un agent al bancii vanzatorului. Vom observa ca, deoarece informatiile privind tranzactia si numarul cartelei de credit sunt criptate cu cheia publica a lui CyberCash, vanzatorul nu poate utiliza ilegal, ulterior, cartela de credit a cumparatorului.
2.3.3.4 Plata prin FirstVirtual
Alta solutie privind transferul sigur al cartilor de credit prin Internet, fara insa a apela la criptografie, o constituie FirstVirtual (www.fv.com). Este vorba despre un mecanism prin care cumparatorii de informatii stabilesc un identificator propriu, pe care-l fac cunoscut lui FirstVirtual prin fax sau telefon, impreuna cu numarul cartii de credit. Atunci cand cumpara o informatie, cumparatorul furnizeaza vanzatorului identificatorul sau. Vanzatorul se conecteaza la serverul FirstVirtual, verifica identificatorul, si, daca el corespunde, va furniza informatia cumparatorului. Apoi serverul FirstVirtual intreaba prin e-mail cumparatorul daca accepta plata informatiei. Daca raspunsul este “da”, FirstVirtual va furniza numarul cartii de credit catre un achizitor care va incarca cu suma de plata cartea de credit si, dupa 90 de zile, va transfera fondurile vanzatorului. Intrat in functiune in 1994, FirstVirtual are astazi peste 180.000 utilizatori.
2.3.3.5 Sisteme de plata bazate pe portofel si bani electronici
Portofelul electronic poate opera in mai multe moduri:
– inchis/deschis – cand acelasi operator emite card-uri si accepta tranzactii sau cand se face compensarea tranzactiilor intre diferiti emitenti
– pre-platit/pre-autorizat Un portofel electronic pre-platit inglobeaza (sub forma electronica) bani reali, transferati dintr-un cont bancar sau dintr-un depozit de numerar. Un portofel electronic pre-autorizat inglobeaza valoarea (costul) unei cumparaturi, pe care operatorul portofelului o garanteaza (se bazeaza pe o linie de credit).
Schema dupa care se desfasoara o operatiune de creditare sau debitare a unui portofel este urmatoarea:
1. se autentifica card-ul cu ajutorul cheii avute la dispozitie de catre toti furnizorii de servicii;
2. se determina valoarea tranzactiei si se verifica soldul card-ului;
3. se verifica detinatorul (prin PIN);
4. se face operatiunea de creditare/debitare;
5. se genereaza de catre card certificatul de debitare;
6. certificatul de debitare este verificat de cititorul de card.
Un sistem de plati bazat pe portofel electronic trebuie sa dispuna de urmatoarele componente de securitate:
portofelul care contine identificatorul de card, un identificator pentru banca emitenta, pentru a se permite compensarea si decontarea, soldul, chei criptografice, soldul maxim acceptat, inregistrarea ultimelor tranzactii;
card-ul comerciantului care contine chei secrete cu care POS-ul autentifica portofelul, precum si un PIN pentru evitarea folosirii neautorizate;
EFT POS cu capacitatea de conectare a doua card-uri, display pentru afisarea valorii curente stocate in portofel si a tranzactiei;
card-ul de colectare care colecteaza datele referitoare la tranzactii;
jurnalul tranzactiilor reprezinta inregistrarea tuturor tranzactiilor efectuate de un comerciant.
Mai multe mari firme au implementat scheme de plata electronica sub forma de portofel sau bani electronici. Iata cateva sisteme cunoscute:
A. DigiCash
Este realizat cu sprijinul bancilor Mark Twain Bank – USA, Deutsche Bank – Germania si Merita Bank – Finlanda si se bazeaza pe tehnologia eCash.
Este prima solutie totalmente software pentru platile electronice. Tranzactiile se desfasoara intre vanzator si cumparator, care trebuie sa aiba conturi la aceeasi banca. Cumparatorii trebuie sa instiinteze banca asupra faptului ca doresc sa transfere bani din conturile lor in asa-numitul cont Ecash Mint. in orice moment, cumparatorul poate interactiona de la distanta, prin calculatorul sau si utilizand un client software, cu contul Mint si poate retrage fonduri de aici pe discul calculatorului sau. Discul cumparatorului devine un veritabil portofel electronic. Apoi se pot executa plati intre persoane individuale sau catre firme, prin intermediul acestor Ecash.
B. NetCash
A fost dezvoltat la Information Science Institute de la University of Southern California. El reprezinta un sistem electronic de plati de tip On-line. Sistemul se bazeaza pe mai multe servere de monede distribuite, la care se poate face schimbul unor cecuri electronice (inclusiv NetCheque) in moneda electronica.
Sistemul NetCash consta in urmatoarele entitati:
– cumparatori;
– vanzatori;
– servere de moneda (SM);
2.3.3.6 Transferul electronic de fonduri
Pe Internet, cecul de hartie poate fi repede inlocuit de un cec electronic, semnat digital de emitent. Un consortiu de banci, FSTC – Financial Services Technology Consortium (www.fstc.com), a statutat un model de cec electronic foarte asemanator cecurilor clasice pe hartie. Platitorul foloseste un procesor, de tipul unui SmartCard PC, pentru a genera si semna digital un cec electronic ce va fi transmis prin posta electronica sau Web. El se trimite fie bancii cumparatorului – care-l va onora dupa verificarea semnaturii digitale, trimitand banii bancii vanzatorului, fie direct vanzatorului – care va verifica semnatura, il va semna la randul sau, si il va trimite bancii sale. Sistemul FSTC se bazeaza pe folosirea sistemelor criptografice cu chei publice pentru semnatura digitala si pleaca de la premisa ca toate cheile publice ale participantilor si certificatele lor sunt cunoscute pretutindeni in sistem.
2.3.3.7 Sisteme de micro-plati
Sub forma de concept si proiect experimental, micro-platile se adreseaza nevoii existentei unei scheme simple, ieftine, care sa poata suporta economic plati foarte mici, cativa dolari, centi si chiar fractiuni de centi
A. MilliCent
A fost creat pentru a accepta tranzactii comerciale in care sunt implicate costuri mai mici de un cent. Este un protocol bazat pe o validare descentralizata a banilor electronici pe serverele vanzatorilor, fara comunicatii aditionale, criptari scumpe sau procesari separate.
Securitatea tranzactiilor MilliCent cuprinde urmatoarele aspecte:
– toate tranzactiile sunt protejate
– tranzactiile ieftine limiteaza valoarea fraudelor
– frauda este detectabila si eventual localizabila
B. CyberCoin
Sistemul de micro-plati CyberCoin poate realiza in Internet plati de sume mici, de la 25 de centi la 10$, acoperind astfel o zona in care sistemul ce utilizeaza cartile de credit nu este fezabil din punct de vedere economic.
Serviciul CyberCoin este implementat utilizand un concept cunoscut sub numele de sesiune CyberCoin. O sesiune indeplineste o singura functie primara: initierea unui subcont tranzient, sub contul portofelului, pentru fiecare suma care este cheltuita sau colectata.
O sesiune poate semana cu un carnet de cecuri ce contine n “cecuri”. Fiecare “cec” poate fi utilizat doar o singura data. Sesiunea se termina atunci cand s-au consumat toate cecurile sau acestea au expirat. Un cec poate fi folosit doar pentru o singura plata sau pentru depozitare.
C. MPTP (Micro Payment Transfer Protocol)
MPTP este un protocol creat pentru a face practice platile mici si foarte mici.
MPTP implica trei parti, clientul C care face plata, vanzatorul V care primeste plata si brokerul B care mentine conturile pentru partile implicate.
MPTP ia in considerare urmatoarele riscuri:
Abuzul de credit: Atunci cand un cont este accesat in repetate randuri pentru plati, fara intentia reala de a plati.
Contrafaceri: Contrafacerea de ordine de plata.
Retrageri neautorizate: Atunci cand brokerul face o retragere neautorizata dintr-un cont
Modificarea ordinelor de cumparare: Atunci cand un client trimite un ordin pentru a cumpara un set de produse, ordin ce este interceptat si modificat de o a treia parte.
Erori la plati prin credit: Brokerul scoate sume din conturile clientilor si nu le mai depune in conturile vanzatorilor.
Dubla cheltuire: O unitate electronica se cheltuieste de doua ori.
Inaccesul la un serviciu: Un client sau un vanzator nu au acces la conturile lor.
Repudierea: O parte nu recunoaste efectuarea unei parti.
Eroare la livrari: Un vanzator accepta plata, dar nu livreaza bunul cerut.
D. NetBill
NetBill este un protocol destinat vanzarii si cumpararii prin Internet a unor produse cu un cost mediu sau redus. Un cumparator este reprezentat printr-un calculator client, care doreste sa cumpere informatii de pe un server al unui vanzator. Un server de conturi (NetBill server) detine conturile ambelor parti si are legatura cu o institutie financiara conventionala (banca).
Acest model implica trei parti: cumparatori, vanzatori si servere de tranzactii NetBill. O tranzactie implica trei faze: negocierea pretului, livrarea bunului si plata.
Protocolul NetBill este robust impotriva erorilor si retine toate informatiile necesare pentru a proteja clientii de fraude din partea vanzatorilor.
2.3.3.8 Plata prin cecuri electronice
Cecurile electronice au fost dezvoltate printr-un proiect al lui FSTC -Financial Services Technology Consortium. FSTC cuprinde aproape 100 de membri, incluzand majoritatea marilor banci, furnizorii tehnologiei pentru industria financiara, universitati si laboratoare de cercetare.
Partea tehnica a realizarii proiectului cecului electronic a fost realizata intr-un numar de faze: generarea conceptelor originale, realizarea cercetarilor preliminare, construirea si demonstrarea unui prototip, formularea specificatiilor pentru un sistem pilot si implementarea acestui sistem. In prezent, cecurile electronice incep sa fie utilizate intr-un program pilot cu Departamentul Trezoreriei Statelor Unite care plateste furnizorii Departamentului de Aparare.
Cecurile electronice (e-cecurile) sunt create pentru a realiza plati si alte functii financiare ale cecurilor pe hartie, prin utilizarea semnaturilor digitale si a mesajelor criptate, pe suportul retelei Internet. Sistemul cecurilor electronice este proiectat pentru a asigura integritatea mesajelor, autenticitatea si nerepudierea proprietatii, toate conditii suficiente pentru a preveni frauda din partea bancilor sau a clientilor lor.
Un cec este un document pe hartie, semnat, care autorizeaza banca sa plateasca o suma de bani din contul celui ce a semnat cecul, dupa o data specificata. Cecurile pe hartie sunt cele mai utilizate instrumente de plata (dupa folosirea banilor cash) in majoritatea statelor occidentale.
Acestea au avantajul ca platitorul si cel care incaseaza suma pot fi persoane individuale, mici afaceristi, banci, corporatii, guverne sau orice alt tip de organizatii. Aceste cecuri pot fi transmise direct de la platitor la incasator.
Cecurile electronice (e-cecurile) sunt bazate pe ideea ca documentele electronice pot substitui hartia, iar semnaturile digitale cu chei publice pot substitui semnaturile olografe. Prin urmare, e-cecurile pot inlocui cecurile pe hartie, fara a fi nevoie sa se creeze un nou instrument, inlaturandu-se astfel problemele de legalitate, reglementare si practica comerciala ce pot fi provocate de schimbarea si impunerea unui instrument de plata nou.
Pentru ca un e-cec trebuie sa contina imputernicirea specifica, informatiile optionale si semnatura digitala (criptografica), acesta este scris in limbajul FSML (Financial Services Markup Language), un limbaj specific, care utilizeaza standardul SGML (Standard Generalized Markup Language). Structura documentului si datele care compun un e-cec sunt delimitate de tag-ur", similar cu cele folosite in HTML (HyperText Markup Language), un alt limbaj definit utilizand SGML.
FSML este creat pentru a accepta structura de date si semnaturile criptografice de care este nevoie pentru cecurile electronice, dar nu poate fi generalizat si extins pentru alte documente de servicii financiare. Cecurile electronice scrise in FSML vor contine toate informatiile care se gasesc in mod normal in cecurile clasice, incluzand pe cele scrise de mana, pre-tiparite si cele cu banda magnetica. Structura FSML si mecanismul de semnare ofera posibilitatea de a incapsula si cripta alte documente atasate, cum ar fi avize de plata, facturi, sau informatii de remitere.
Pentru promovarea verificarilor semnaturilor cu cheia publica a e-cecurilor, este utilizat protocolul pentru certificate X.509. Banca emite un certificat atunci cand un client isi deschide un cont pentru cecuri electronice si va innoi acest certificat inainte ca el sa expire, realizand cu aceasta o protectie a contului si a expunerii semnaturii cu cheie privata a semnatarului.
Certificatul X.509 doar informeaza verificatorul semnaturii despre faptul ca respectiva cheie publica a fost legitimata in asociere cu un semnatar si un cont de banca, la data la care certificatul a fost emis. Un certificat X.509 nu implica faptul ca e-cecul este garantat in ambele sensuri. Alte verificari asupra semnaturii cecului electronic pot oferi incredere ca cecul a fost semnat cu o cheie privata ce apartine unui detinator legitim de cont pentru cecuri electronice si e-cecul nu a fost alterat.
Pentru protejarea impotriva furtului si folosirii abuzive a cecului electronic, este utilizat un smart-card. Utilizarea hardului criptografic al cardului ofera semnaturii mai multa confidentialitate. Astfel, cheia privata pentru semnarea cecurilor nu este niciodata transferata catre computerul semnatarului, deci nu este niciodata expusa furtului din respectivul computer conectat in retea. Procesorul smart-cardului numeroteaza automat fiecare cec electronic, atunci cand il semneaza, in ordine, pentru a se asigura unicitatea e-cecurilor si pastreaza o istorie a cecurilor pentru a fi consultata in cazul unei dispute. Smart-cardul este protejat prin introducerea unui cod PIN, cunoscut numai de posesorul cardului.
Semnarea criptografica este suficienta in sistemul cu cecuri electronice ca masura de securitate impotriva fraudelor prin falsificari de mesaje. In afara de acestea, sistemul cu cecuri electronice si nivelul aplicatie criptografica pot fi exportate si utilizate international. Atunci cand este nevoie de confidentialitate intre oricare doua parti, criptarea poate fi folosita la nivelul legatura de date.
Standardele actuale pentru cecuri electronice intre banci sunt ANSI X9.46 si X9.37. Electronic Check Clearing House Organization (ECCHO) a adoptat o serie de reguli pentru clearingul inter-bancar cu cecuri electronice, care sunt considerate a avea statutul de "instrumente negociabile".
Caracteristici ale prelucrarii cecurilor electronice – tranzactia de afaceri incepe cu trimiterea de catre incasator a unei facturi catre platitor. Atunci cand soseste momentul pentru plata unei facturi, informatiile referitoare la aceasta factura sunt trimise de la sistemul incasatorului, iar aceste date sunt utilizate pentru a crea un cec. Acest cec electronic va include informatii din cecurile obisnuite (cum ar fi numele incasatorului, suma si data). Pentru a semna e-cecul, platitorul introduce codul PIN pentru a debloca smart-cardul ce detine "carnetul de cecuri". Formatul facturii nu este fix, putand fi flexibil, cu conditia de a respecta lungimea, forma si datele ce trebuie continute.
Cecul electronic semnat si factura sunt transmise catre incasator (platit) prin e-mail sau printr-o tranzactie Web. Incasatorul verifica semnatura platitorului din e-cec si factura, separa informatiile facturii si pune suma platita in contul de primire. Incasatorul introduce codul sau PIN pentru deblocarea smart-cardului sau, utilizeaza acest "carnet electronic de cecuri" pentru a aproba e-cecul si semneaza un depozit electronic pentru a incasa suma din e-cec. Cecul aprobat (semnat de incasator) este dat mai departe bancii incasatorului pentru depozitare. Ambele banci, cea a platitorului si cea a incasatorului, intre care se realizeaza de fapt tranzactia reala a sumelor, verifica toate semnaturile si aprobarile din e-cec, utilizand doua nivele de certificate. Banca platitorului verifica daca cecul electronic transmis nu este duplicat, daca certificatul incasatorului si contul sunt in prezent valide, dupa care depoziteaza e-cecul in contul de stocare a cererilor platitorului. In final, platitorul primeste un articol care descrie intreaga tranzactie.
Semnaturi digitale pe cecuri electronice – Atunci cand este creat un cec electronic, in el este scris un set minim de informatii si cecul este semnat. Odata cu vehicularea e-cecului, alte informatii si alte semnaturi sunt adaugate atunci cand acesta este transmis intre parti. De exemplu, e-cecul trebuie sa fie:
– creat de platitor,
– co-semnat de co-platitor,
– certificat de banca,
– aprobat de incasator (platit),
– co-aprobat de co-incasator,
– depozitat,
– platit.
Unele din informatiile aditionale, cum ar fi certificatele si aprobarile, sunt parti permanente ale e-cecului si raman intacte pana in momentul returnarii la platitor. Alte informatii, cum ar fi timpul de intarziere, pot fi asociate e-cecului pentru o perioada a existentei sale si vor fi inlaturate si procesate separat. Acestea cer o structura flexibila a documentului si mecanismelor de semnare.
Principalele caracteristici ale mecanismului FSML de semnare sunt:
– Documentul consta dintr-o secventa de blocuri, iar blocurile trebuie sa fie delimitate.
– Semnatura implementeaza algoritmi criptografici si/sau functii hash, si exista blocuri speciale ce se refera la acestea;
– Blocurile semnatura referite prin blocurile nume sau numar serial, refera blocul certificat ce face corespondenta cu cheia publica.
Semnatarul e-cecului poate opta pentru a include alte date personale, cum ar fi nume, adresa, numar de telefon, adresa e-mail etc. Aceste date sunt inregistrate in carnetul de cecuri electronice, la initializare, de catre banca si pot fi schimbate doar dupa ce carnetul respectiv a fost de-protejat, utilizand codul de administrare PIN al bancii. Aceasta metoda de promovare a informatiilor personale nu este la fel de sigura ca atunci cand aceste informatii sunt incluse in certificatul X.509 sau in blocul cont.
Carnetul de cecuri electronice – O semnatura olografa este influentata de miscarea muschilor mainii si de particularitatile biometrice ale semnatarului. Acestea fac foarte dificil pentru un falsificator sa realizeze o semnatura falsa perfecta, chiar daca falsificatorul dispune de un exemplu al semnaturii. In opozitie, o falsificare perfecta a semnaturii criptografice poate fi facuta de catre orice persoana care detine cheia privata a semnatarului de drept. Este foarte greu sa stabilesti, dispunand de o cheie publica, daca un e-cec este autentic sau falsificat. Smart-cardurile ce contin carnete de cecuri electronice sau alte dispozitive hard criptografice sunt utilizate tocmai pentru a ajuta la asigurarea ca o cheie privata este protejata cat mai bine si, in consecinta, semnaturile se realizeaza doar de catre semnatarii legitimi. Aceste dispozitive hard standardizeaza si simplifica generarea cheilor, distributia si utilizarea lor, deci se poate stabili un inalt nivel de incredere.
Distributia carnetelor de cecuri electronice poate diferi considerabil de la o banca la alta; raman insa cerintele de baza care includ:
– Certificatele X.509 semnate de banci si conturile sa corespunda specificatiilor FSML.
– Partea hard si soft a cecurilor electronice sa corespunda cerintelor si specificatiilor API referitoare la carnetele de cecuri electronice.
– Politicile de autoritati de certificare ale bancilor sa corespunda cerintelor si reglementarilor legale.
Unele dintre operatii, cum ar fi initializarea cardului si autoritatea de certificare a bancii, pot fi indeplinite de alte firme, ce actioneaza ca agenti ai bancii.
Serverele bancilor – Serverele de cecuri electronice din banci sunt utilizate pentru receptionarea e-cecurilor de la clienti prin e-mail, procesarea e-cecurilor primite si realizarea unei interfete cu sistemul de mentinere a inregistrarilor despre conturile cec – DDA. Functiile executate in mod tipic de un server de cecuri electronice dintr-o banca, sunt urmatoarele. Acest server primeste de la incasatori e-mail-uri care contin e-cecuri aprobate si depozite. E-cecurile sunt procesate si retinute in baza de date, pana cand sunt platite cu bani cash (clearingul). E-cecurile raman pe server si depozitele sunt trimise la sistemul DDA pentru procesare. E-cecurile problematice sunt returnate catre o statie speciala, pentru o analiza manuala si interventii.
CAPITOLUL III
COMBATEREA FRAUDELOR IN COMERTUL ELECTRONIC
Masurile de combatere a criminalitatii informatice sunt cele prevazute de Legea 161 din 19/04/2003 privind unele masuri pentru asigurarea transparentei in exercitarea demnitatilor publice, a functiilor publice si in mediul de afaceri, prevenirea si sanctionarea coruptiei – Publicat in Monitorul Oficial, Partea I nr. 279 din 21/04/2003.
Titlul III din aceasta lege reglementeaza prevenirea si combaterea criminalitatii informatice, prin masuri specifice de prevenire, descoperire si sanctionare a infractiunilor savarsite prin intermediul sistemelor informatice, asigurandu-se respectarea drepturilor omului si protectia datelor personale.
Pentru a intelege cuprinsul legii trebuie definiti urmatorii termeni:
a) prin sistem informatic se intelege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate in relatie functionala, dintre care unul sau mai multe asigura prelucrarea automata a datelor, cu ajutorul unui program informatic;
b) prin prelucrare automata a datelor se intelege procesul prin care datele dintr-un sistem informatic sunt prelucrate prin intermediul unui program informatic;
c) prin program informatic se intelege un ansamblu de instructiuni care pot fi executate de un sistem informatic in vederea obtinerii unui rezultat determinat;
d) prin date informatice se intelege orice reprezentare a unor fapte, informatii sau concepte intr-o forma care poate fi prelucrata printr-un sistem informatic. In aceasta categorie se include si orice program informatic care poate determina realizarea unei functii de catre un sistem informatic;
e) prin furnizor de servicii se intelege:
1. orice persoana fizica sau juridica ce ofera utilizatorilor posibilitatea de a comunica prin intermediul sistemelor informatice;
2. orice alta persoana fizica sau juridica ce prelucreaza sau stocheaza date informatice pentru persoanele prevazute la pct. 1 si pentru utilizatorii serviciilor oferite de acestea;
f) prin date referitoare la traficul informational se intelege orice date informatice referitoare la o comunicare realizata printr-un sistem informatic si produse de acesta,
care reprezinta o parte din lantul de comunicare, indicand originea, destinatia, ruta,
ora, data, marimea, volumul si durata comunicarii, precum si tipul serviciului utilizat
pentru comunicare;
g) prin date referitoare la utilizatori se intelege orice informatie care poate conduce la identificarea unui utilizator, incluzand tipul de comunicatie si serviciul folosit, adresa postala, adresa geografica, numere de telefon sau alte numere de acces si modalitatea de plata a serviciului respectiv, precum si orice alte date care
pot conduce la identificarea utilizatorului;
h) prin masuri de securitate se intelege folosirea unor proceduri, dispozitive sau programe informatice specializate cu ajutorul carora accesul la un sistem informatic este restrictionat sau interzis pentru anumite categorii de utilizatori;
Prevenirea criminalitatii informatice
Pentru asigurarea securitatii sistemelor informatice si a protectiei datelor personale, autoritatile si institutiile publice cu competente in domeniu, furnizorii de servicii, organizatiile neguvernamentale si alti reprezentanti ai societatii civile desfasoara activitati comune si programe de prevenire a criminalitatii informatice.
Autoritatile si institutiile publice cu competente in domeniu, in cooperare cu furnizorii de servicii, organizatiile neguvernamentale si alti reprezentanti ai societatii civile promoveaza politici, practici, masuri, proceduri si standarde minime de
securitate a sistemelor informatice.
Autoritatile si institutiile publice cu competente in domeniu, in cooperare cu furnizorii de servicii, organizatiile neguvernamentale si alti reprezentanti ai societatii civile organizeaza campanii de informare privind criminalitatea informatica si riscurile
la care sunt expusi utilizatorii de sisteme informatice.
Ministerul Justitiei, Ministerul de Interne, Ministerul Comunicatiilor si Tehnologiei Informatiei, Serviciul Roman de Informatii si Serviciul de Informatii Externe constituie si actualizeaza continuu baze de date privind criminalitatea informatica.
Institutul National de Criminologie din subordinea Ministerului Justitiei efectueaza studii periodice in scopul identificarii cauzelor care determina si a
conditiilor ce favorizeaza criminalitatea informatica.
Ministerul Justitiei, Ministerul de Interne, Ministerul Comunicatiilor si Tehnologiei Informatiei, Serviciul Roman de Informatii si Serviciul de Informatii Externe desfasoara programe speciale de pregatire si perfectionare a personalului cu atributii in prevenirea si combaterea criminalitatii informatice.
Proprietarii sau administratorii de sisteme informatice la care accesul este interzis sau restrictionat pentru anumite categorii de utilizatori au obligatia de a avertiza utilizatorii cu privire la conditiile legale de acces si utilizare, precum si cu privire la consecintele juridice ale accesului fara drept la aceste sisteme informatice.
Avertizarea trebuie sa fie accesibila oricarui utilizator.
Infractiuni si contraventii
Infractiuni contra confidentialitatii si integritatii datelor si sistemelor informatice
1. Accesul, fara drept, la un sistem informatic constituie infractiune si se
pedepseste cu inchisoare de la 3 luni la 3 ani sau cu amenda.
2. Interceptarea, fara drept, a unei transmisii de date informatice care nu este publica si care este destinata unui sistem informatic, provine dintr-un asemenea sistem sau se efectueaza in cadrul unui sistem informatic constituie infractiune si se
pedepseste cu inchisoare de la 2 la 7 ani.
3. Cu aceeasi pedeapsa se sanctioneaza si interceptarea, fara drept, a unei emisii electromagnetice provenite dintr-un sistem informatic ce contine date informatice care nu sunt publice.
4. Fapta de a modifica, sterge sau deteriora date informatice ori de a restrictiona accesul la aceste date, fara drept, constituie infractiune si de pedepseste cu inchisoare de la 2 la 7 ani.
5.Transferul neautorizat de date dintr-un sistem informatic se pedepseste cu inchisoare de la 3 la 12 ani.
6. Fapta de a perturba grav, fara drept, functionarea unui sistem informatic, prin introducerea, transmiterea, modificarea, stergerea sau deteriorarea datelor informatice sau prin restrictionarea accesului la aceste date constituie infractiune si se pedepseste cu inchisoare de la 3 la 15 ani.
Constituie infractiune si se pedepseste cu inchisoare de la 1 la 6 ani:
a) fapta de a produce, vinde, de a importa, distribui sau de a pune la dispozitie, sub
orice alta forma, fara drept, a unui dispozitiv sau program informatic conceput sau
adaptat in scopul savarsirii unei infractiuni;
b) fapta de a produce, vinde, de a importa, distribui sau de a pune la dispozitie, sub orice alta forma, fara drept, a unei parole, cod de acces sau alte asemenea date informatice care permit accesul total sau partial la un sistem informatic in scopul savarsirii unei infractiuni.
Infractiuni informatice
Fapta de a introduce, modifica sau sterge, fara drept, date informatice ori de a restrictiona, fara drept, accesul la aceste date, rezultand date necorespunzatoare adevarului, in scopul de a fi utilizate in vederea producerii unei consecinte juridice, constituie infractiune si se pedepseste cu inchisoare de la 2 la 7 ani.
Fapta de a cauza un prejudiciu patrimonial unei persoane prin introducerea, modificarea sau stergerea de date informatice, prin restrictionarea accesului la aceste date ori prin impiedicarea in orice mod a functionarii unui sistem informatic, in scopul de a obtine un beneficiu material pentru sine sau pentru altul, constituie
infractiune si se pedepseste cu inchisoare de la 3 la 12 ani.
CAPITOLUL IV
TEHNOLOGII PENTRU ASIGURAREA
SECURITATII TRANZACTIILOR
Securitatea in Comertul Electronic este un subiect fierbinte care a tinut de nenumarate ori cap de afis in presa scrisa, TV si, in special pe Internet. Stim cu totii ca, odata ce informatiile pe care le-am transmis in site, parasesc calculatorul personal si isi incep calatoria pe Internet, ele apartin domeniului public. Un hacker priceput ar putea sa le intercepteze si sa le foloseasca asa cum crede de cuviinta. Nu este deloc usor, este putin probabil, dar este posibil.
In ceea ce-l priveste pe consumator, el va fi foarte interesat de garantiile de securitate pe care le oferim. Cum vor fi transmise prin Internet informatiile asupra platii (de cele mai multe ori este vorba de datele cartii sale de credit)? Exista riscul ca acestea sa fie interceptate? Unde sunt stocate aceste informatii? Ar putea fi la indemana hackerilor?
O solutie robusta, care sa asigure protectia tranzactiilor comerciale prin Internet, trebuie sa aiba in vedere urmatoarele cerinte fundamentale de securitate:
A. Confidentialitatea (secretizarea) protejeaza continutul tranzactiilor impotriva citirii lor neautorizate, de catre alte persoane decat receptorii specificati de emitator. Aceasta se realizeaza prin criptarea mesajelor
B. Autentificarea originii tranzactiilor permite receptorului unui mesaj (de posta electronica de exemplu) sa determine in mod sigur identificarea expeditorului. Rezolvarea autentificarii se face prin semnatura digitala.
C. Integritatea datelor furnizeaza receptorului unei tranzactii siguranta ca mesajul primit este identic cu mesajul emis la origine. Desi cele doua servicii de autentificare si de integritate sunt prezentate ca servicii separate, ele sunt furnizate de obicei in tandem cu ajutorul sistemelor de rezumare si semnatura digitala.
D. Impiedicarea nerecunoasterii tranzactiei de catre expeditor (nerepudierea) garanteaza integritatea si originea tranzactiilor din punctul de vedere al expeditorului, nu al destinatarului. Se impiedica astfel ca expeditorul unei tranzactii electronice sa nege trimiterea ei. O utilizare foarte importanta a acestui serviciu este in comertul electronic, cand trebuie transmise prin e-mail ordine de comanda sigure, care sa fie apoi confirmate.
E. Aplicarea selectiva a unor servicii. De multe ori este necesara acoperirea unor parti ale tranzactiilor. Pentru acestea se pot folosi sisteme criptografice cu chei publice.
In continuare vom trece in revista principalele solutii de securitate care privesc tranzactiile comerciale in Internet:
a) Solutii de securitate la nivel aplicatie
La nivelul aplicatie exista doua tehnici diferite: securizarea individuala a aplicatiilor (S/HTTP si S/MIME) sau prevederea unor tehnici de criptare externe, deasupra aplicatiilor predefinite cum sunt PGP (Pretty Good Privacy) sau SET (Secure Electronic Transfer).
b) Solutii de securitate la nivel retea
Pentru criptare la nivelul retea (IP) se utilizeaza doua mecanisme diferite: AH – Authentification Header care utilizeaza pentru autentificare si pentru integritatea datelor algoritmul MD 5 (message-digest) si ESP – Encapsulating Security Payload care furnizeaza confidentialitate folosind algoritmul DES – Data Ecription Standard.
In prezent, una din problemele comunicatiei datelor o reprezinta securitatea transmisiei si receptiei lor.
c) Solutii de securitate la nivel sesiune
Cel mai folosit protocol la acest nivel este SSL (Secure Socket Layer) – server securizat de date – in combinatie cu Certificatul Digital (Digital Certificate). Certificatul Digital este cel care recunoaste standardul si confirma ca serverul pe care se afla web site-ul utilizeaza intr-adevar criptarea SSL atunci cand primeste si transmite datele. In momentul in care sunt accesate pagini in care se cer informatii de plata de la consumator, acestea trebuie sa se afle pe un astfel de server securizat. Paginile de acest fel au in URL "https:" (Hyper Text Transfer Protocol Secure). Fara SSL si un Certificat Digital, nici un consumator avizat nu-si va transmite datele cartii de credit prin Internet.
SSL ofera servicii de securitate chiar deasupra nivelului de securitate la nivel sesiune – TCP (Private Communication Technology) – folosind o combinatie de
criptosisteme cu chei publice si simetrice, care asigura implementarea
confidentialitatii integritatii datelor si a autentificarii serverului si/sau a clientului.
Securitatea conexiunii realizata de SSL are urmatoarele proprietati:
– conexiunea este privata
– autentificarea foloseste sisteme criptografice asimetrice
– conexiunea este sigura
4.1 Criptarea transferurilor de date
Criptografia este considerata a fi o arta sau stiinta de mentinere a mesajelor secrete, asigurand confidentialitatea prin criptarea unui mesaj utilizand chei asociate cu un algoritm. Cheia utilizata trebuie sa fie secreta ambelor parti, problema reprezentand-o managementul cheilor si mentinerea lor secreta. Criptografia are la baza codificarea mesajelor, un bloc fiind substituit prin altul, respectand anumite reguli. Codificarea se poate realiza in mai multe moduri acestea avand urmatoarele proprietati comune:
atat intrarile cat si iesirile sunt reprezentate ca stream-uri de octeti;
criptarea unei date se realizeaza cu ajutorul unei chei;
decriptarea datei se realizeaza tot cu o cheie.
Criptarea se poate realiza cu chei simetrice sau asimetrice. Prima se realizeaza cu aceeasi cheie la criptare si la decriptare, iar cealalta cu chei diferite.
Criptarea asimetrica are avantajul ca una din chei (cea de criptare) poate fi facut publica. Aceasta cheie de criptare poate fi transmisa oricui, in timp ce cheia de decriptare este detinuta de cel ce a criptat, fiind denumita cheie privata. Un alt avantaj al cheilor asimetrice este ca asigura identitatea. Daca o persoana X cripteaza un mesaj cu I cheie privata si transmitandu-l unei persoane Y, aceasta il poate decripta cu o cheia publica putem spune ca Y are certitudinea ca mesajul vine de la X. Aceasta idee are la baza semnaturile digitale.
Criptarea simetrica are avantajul vitezei, fiind foarte utila la criptarea fisierelor locale.
Combinand avantajele celor doua tipuri de algoritmi au aparut protocoalele hibride care functioneaza astfel :
Protocol 1.a. Criptarea mesajului
(1) Generarea cheii simetrice K
(2) Criptarea mesajului M cu cheia simetrica si obtinand mesajul M*
(3) Preluarea cheii publice
(4) Criptarea cheii simetrice cu cheia publica si obtinerea lui K*
(5) Transmiterea perechii {K*,M*}
Protocol 1.b. Decriptarea mesajului
(1) Receptionarea mesajului {K*,M*} si separarea celor doua campuri
(2) Decriptarea lui K* cu ajutorul cheii private proprii pentru obtinerea lui K
(3) Decriptarea lui M* cu K pentru obtinerea lui M
In acest caz se genereaza cate o cheie separata pentru fiecare sesiune de mesaje cunoscuta sub numele de cheie sesiune . Criptarea mesajelor ofera confidentialitate, dar acest lucru nu este suficient. In cazul unei transmisii sau receptii trebuie sa existe certitudinea ca cel ce a generat mesajul este o persoana autorizata, motiv care a dus la adaugarea de noi proprietati cum ar fi integritatea si autentificarea, acestea fiind asigurate cu ajutorul semnaturii digitale.
Pentru a intelege modul de functionare este nevoie de cunoasterea unui al treilea algoritm si anume functiile de hashing. Acestea, spre deosebire de algoritmii de criptare si decriptare realizeaza doar functia de criptare iar mesajul original nu va fi recuperat niciodata. In principiu, un mesaj are intotdeauna aceeasi valoare dupa aplicarea functiei si este imposibil ca doua mesaje oarecare sa genereze aceeasi valoare. Prin utilizarea unei astfel de functii se poate obtine o autentificare fara a cripta intreg mesajul cu acea cheie privata astfel:
Protocol 2.a. Semnarea unui mesaj
(1) Efectuarea de hashing asupra mesajului M si obtinerea valorii H
(2) Criptarea lui H cu cheia privata (a celui ce transmite) si obtinerea semnaturii S
(3) Transmiterea perechii {M,S}
Protocol 2.b. Verificarea unui mesaj semnat
(1) Receptia {M,S} si separarea lor
(2) Efectuarea de hashing asupra lui M si obtinerea valorii H'
(3) Preluarea cheii publice apartinand celui ce a transmis
(4) Decriptarea lui S cu cheia publica si obtinerea lui H''
(5) Compararea lui H' cu H''
Daca H' si H'' sunt identice, mesajul a fost verificat corect, iar daca nu, exista o eroare.
Pentru a putea construi cheia ce se utilizeaza in timpul transmisiei se apeleaza la "o treia parte" de incredere denumita Autoritate Certificatoare (CA – Certification Authority). Ea genereaza un Certificat Digital ce genereaza o cheie publica. Cheia nu trebuie sa contina ambiguitati, ingloband datele personale care apoi sunt impachetate si semnate.
Un Certificat Digital este un document ce contine patru componente mari:
cheie publica;
informatia ce leaga cheia publica de detinatorul ei;
informatia de validitate a certificatului;
semnatura digitala.
Certificatele sunt clasificate ca: certificate self-signed si certificate CA-signed. Primul este semnat de detinatorul cheii iar al doilea de o alta persoana cu autoritate. Ele functioneaza ca si containere de chei publice iar informatia tipica include:
numele detinatorului;
e-mail-ul acestuia;
numele companiei;
telefonul;
informatii legate de certificat;
un numar serial;
un indicator de nivel de incredere;
data a generarii;
data a expirarii.
Informatia colectata si detinuta de proprietar este referita de nume distincte (sau Dname). Un certificat contine doua Dname: al detinatorului si al celui ce l-a generat.
Non-repudierea este o alta proprietate a securitatii oferind certitudinea ca cel ce transmite mesajul nu poate sa nege mai tarziu ce a transmis.
Din cele prezentate putem sa observam ca: integritatea, confidentialitatea si non – repudierea sunt asigurate prin criptografia cheilor publice. Pentru aceasta trebuie insa sa se stie: cine genereaza certificatul, unde este stocata cheia si unde se gasesc certificatele? Un certificat digital bazat pe infrastructura cheilor publice (PKI – Public Key Infrastructure ) asigura rezolvarea tuturor problemelor.
Componentele PKI sunt :
Autoritatea Certificatoare (CA): responsabila cu generarea si revocarea certificatelor
Autoritatea Registratoare (RA): responsabila cu verificarea constructiei generate de cheile publice si identitatea detinatorilor.
Detinatorii de Certificate (subiectii) : Oameni, masini sau agenti software care detin certificate si le pot utiliza la semnarea documentelor.
Clientii: ei valideaza semnatura digitala si certificarea de la un CA.
Depozitele: stocheaza si fac accesibile certificatele si Listele de Revocare a Certificatelor (CRLs -Certificate Revocation Lists)
Politicile de securitate : definesc procesele si principiile de utilizare a criptografiei.
Dintre functiile realizate cu ajutorul PKI putem mentiona:
Inregistrarea : este un proces in care cel ce doreste sa obtina un certificat de la CA isi prezinta atributele sale. Acestea sunt verificate iar apoi se elibereaza certificatul.
Certificarea: este procesul in care CA elibereaza certificatul ce contine cheia publica subiectului apoi il depune intr-un depozit public.
Generarea Cheilor: in multe cazuri subiectul genereaza o pereche de chei in mediul sau, inainte de a transmite cheia publica la CA pentru certificare. Daca CA raspunde pentru generarea cheilor, acestea sunt oferite subiectului ca un fisier criptat sau token fizic asemeni unui smartcard.
Recuperarea Cheilor: in unele implementari PKI necesita ca toate cheile schimbate si/sau criptate sa fie depuse intr-un depozit securizat. Ele sunt recuperabile daca subiectul pierde cheia, acest lucru revenind lui CA sau sistemului de recuperare.
Actualizarea Cheilor: toate cheile perechi si certificatele lor asociate trebuiesc actualizate la un interval regulat. in acest sens exista doua situatii care necesita acest lucru:
Data care este specificata in certificat ca data de expirare este depasita si se actualizeaza.
Cheia privata a uneia din entitati din PKI este compromisa. In acest caz PKI trebuie sa anunte ca vechiul certificat nu mai este valid si urmeaza sa-l inlocuiasca. Una din cai este de pre-generare si stocare securizata a perechilor de chei pentru astfel de situatii. Actiune ce duce la informarea fiecarui utilizator de acest lucru. Alta cale este metoda "out-of-band" unde cu ajutorul telefonului, faxului, scrisorii se transmite acea cheie.
Certificarea incrucisata: permite utilizatorilor dintr-un domeniu administrativ sa utilizeze certificate generate de un CA operational in alt domeniu. Procesul implica un CA (CA_1) ce ofera o certificare pentru alt CA(CA_2). Acest certificat contine cheia publica CA asociata cu cea privata pe care CA_1 o utilizeaza, lucru ce permite subiectilor certificati prin CA_2 sa accepte certificatele generate de CA_1 sau orice CA subordonat.
Revocarea: apare in momentul expirarii perioadei de validitate care poate aparea cand: subiectul isi schimba numele, angajatul paraseste compania, cheia privata este compromisa. in cadrul standardului X.509, pentru a revoca un certificat se utilizeaza Lista Revocarilor Certificatelor (CRL – Certificate Revocation List). Aceasta lista identifica certificate si sunt semnate de CA.
4.2 Securitatea la nivel retea
Notiunea de securitate la nivelul IP (Internet Protocol) adreseaza mecanismele implementate la nivelul protocolului retea IP, pentru a asigura integritatea, autentificarea si confidentialitatea datelor in timpul transmiterii lor prin mediul deschis al Internetului.
Includerea serviciilor de securitate la nivel retea permite sistemului sa furnizeze servicii de securitate in mod generic tuturor aplicatiilor, chiar si celor ce nu sunt constiente de existenta securitatii.
Arhitectura de securitate specifica pentru IP furnizeaza servicii de securitate ce suporta combinatii de autentificare, integritate, controlul accesului si confidentialitate.
La ora actuala exista doua tipuri de antete (header-e) ce pot fi atasate la un pachet IP pentru realizarea securitatii. Acestea sunt:
– antetul de autentificare – AA (Authentication Header) – care furnizeaza serviciile de integritate si autentificare;
– invelisul de securitate – IS (Encapsulating Security Payload) care furnizeaza confidentialitate si, in functie de algoritmi si de modurile folosite, poate furniza integritate si autentificare.
Cele doua antete pot fi folosite independent unul de celalalt, combinate sau nu intr-un mod imbricat.
Antetul de Autentificare a fost proiectat sa furnizeze serviciile de integritatea datelor si autentificarea originii datelor, atat pentru IP versiunea 4 (IPv4) cat si pentru versiunea 6 (IPv6).
Antetul de Autentificare IP adauga informatie pentru identificare (de obicei un Cod de Autentificare a Mesajului – Message Authentication Code, MAC) la o datagrama IP. Informatia de autentificare este calculata folosindu-se:
cheie de autentificare secreta;
campurile dintr-o datagrama IP care nu se schimba in timpul transmisiei.
Daca se foloseste un algoritm de autentificare simetric si se doreste autentificarea in nodurile intermediare, atunci nodurile ce efectueaza o astfel de autentificare intermediara sunt capabile sa falsifice sau sa modifice traficul (deoarece cunosc cheia secreta). In cazul folosirii tehnologiilor cu chei publice (asimetrice), nodurile intermediare vor putea realiza autentificarea intermediara fara a putea falsifica sau modifica mesajele.
Pentru a se preveni atacurile prin repetitie (replay attacks), in ultima versiune a standardului pentru AA este obligatorie existenta unui camp de 32 de biti ce contine un contor monoton crescator (numarul de secventa). Numarul de secventa este folosit pentru a asigura ca fiecare pachet schimbat intre doua entitati comunicante este diferit. O cheie de autentificare nu trebuie sa fie activa pentru o perioada de timp
mai mare decat cea in care contorul (numarul de secventa) se reseteaza la o valoare veche.
O datagrama IP careia i s-a aplicat Antetul de Autentificare contine urmatoarele campuri:
Antetul urmator. Camp de 8 biti care identifica tipul de informatie care se gaseste dupa antetul AA.
Lungimea incarcaturii. Camp de 8 biti care specifica lungimea antetului AA.
Octeti rezervati. Camp de 16 biti rezervat pentru intrebuintari viitoare.
Indexul parametrilor de securitate. Valoare de 32 de biti care identifica Asocierea de Securitate pentru aceasta datagrama.
Numarul de secventa. Campul de 32 de biti ce contine o valoare contor.
Datele de identificare. Camp de lungime variabila ce contine o valoare de verificare a integritatii pentru acest pachet.
Invelisul de securitate este destinat sa asigure urmatoarele servicii pentru datagramele IP:
a) confidentialitatea datelor;
b) autentificarea originii datelor;
c) integritatea neorientata pe conexiune;
d) serviciu anti-replica;
e) confidentialitatea limitata a traficului.
Confidentialitatea poate fi selectata independent de celelalte servicii si este intotdeauna furnizata daca invelisul de securitate este prezent. Autentificarea originii datelor si integritatea neorientata pe conexiune sunt servicii reunite oferite ca optiune in conjunctie cu confidentialitatea. Ca si in cazul antetului de autentificare, aceste servicii sunt furnizate prin adaugarea informatiei de autentificare la datagramele IP. Serviciul anti-replica poate fi selectat doar in conjunctie cu cel de autentificare a originii datelor.
Antetul IS are in compunere urmatoarele campuri:
Indexul Parametrilor de Securitate. Valoare pe 32 de biti care identifica o Asociere de Securitate pentru aceasta datagrama relativ la adresa destinatiei.
Numar de Secventa. Camp de 32 de biti ce contine numarul de secventa.
Vector de Initializare. Camp de lungime variabila cerut numai de animiti algoritmi de criptare
Datele. Camp de lungime variabila ce contine datele
Datele de umplere. Camp pentru informatia de umplere ce se foloseste pentru a completa campul de date.
Lungimea de umplere. Camp de 8 biti care da lungimea datelor folosite pentru umplere.
Antetul urmator. Camp de 8 biti care identifica tipul datelor continute in campul de date.
Un nod nu va aplica in mod normal amandoua mecanismele asupra aceleasi datagrame IP.
Uneori insa politica de securitate poate necesita o combinatie a celor doua servicii pentru un anumit flux de trafic care nu este realizabil printr-o singura Asociere de Securitate. In astfel de cazuri va fi necesara folosirea Asocierilor de Securitate multiple pentru a implementa politica de securitate ceruta. Asocierile de Securitate pot fi combinate in doua moduri:
– prin adiacenta in mod transport;
– prin iteratii in mod tunel
Adiacenta in modul transport se refera la aplicarea a mai mult de un protocol de securitate asupra datagramei IP, fara a invoca tunelarea.
Iteratiile in modul tunel se refera la aplicarea mai multor niveluri de securitate, fiecare trecute anterior prin modelul tunel IP.
4.3 Securitatea la nivel sesiune
O data cu dezvoltarea Internetului si a transmisiilor digitale de date, aplicatiile au inceput sa necesite tot mai des securitatea transmiterii datelor spre calculatoare si spre alte aplicatii aflate la distanta. Realizarea securitatii pe Web a intampinat insa intotdeauna obstacole, cum ar fi: diversitatea sistemelor de operare ce rulau pe calculatoarele interconectate sau diversitatea aplicatiilor ce trebuiau sa comunice. In final, solutia adoptata a avut la baza un protocol de negociere independent de platforma si de aplicatie, bazat pe un standard deschis. Acesta a fost denumit Secure
-48-
Sockets Layer (nivelul soclurilor sigure) – SSL – si este la ora actuala cel mai folosit protocol pentru realizarea conexiunilor sigure in Internet.
Scopul principal al protocolului SSL este acel de a realiza securitatea conexiunii intre doua aplicatii. Realizarea securitatii conexiunii presupune asigurarea a trei proprietati de baza:
1. conexiunea este secreta, in sensul ca se asigura confidentialitatea dtelor ce sunt comunicate prin ea
2. entitatea pereche poate fi autentificata utilizand criptografia cu chei publice (asimetrica)
3. conexiunea este fiabila, in sensul ca transportul mesajelor include si o verificare a integritatii acestora folosind un cod de autentificare.
SSL (Secure Sockets Layer) – este un protocol non-proprietar deschis, dezvoltat de Netscape si care asigura securitate in comunicatii. Este acceptat de standardul WEB pentru autentificare si criptare client-server utilizand ca protocol de transport TCP/IP si poate rula pe protocoale ca HTTP, Telnet. El utilizeaza chei publice criptografiate.
Principiul de functionare este urmatorul:
(1) Clientul se conecteaza la un server SSL
(2) Clientul cere sa initieze o sesiune securizata
(3) Serverul intoarce: pot / nu pot suporta SSL
(4) Clientul si serverul comunica informatia securizata pas cunoscut sub denumirea de "handshaking" .
(5) Clientul specifica ID-ul sesiunii, algoritmii de criptare si metodele de compresie.
(6) Serverul poate face selectia utilizand aceasta informatie si schimba daca este nevoie certificatele
(7) Serverul specifica o cheie a sesiunii apropiata de algoritmii de criptare alesi la "handshaking".
(8) Clientul si serverul comunica in securitate.
O sesiune SSL implica doua protocoale separate : SSL Record Protocol si SSL Handshake Protocol. Primul controleaza transmisia datelor in cadrul sesiunii iar
celalalt schimbul de mesaje intre client si server cand stabilesc prima data
conexiunea. Tehnica criptarii genereaza multe pachete, incetinind transmisia.
SSL 3.0 este cel mai utilizat si suportat de majoritatea WEB si serverelor Internet.
Fata de versiunea precedenta, versiunea 3.0 a protocolului aduce cateva imbunatatiri substantiale, atat din punct de vedere al performantelor, cat si al securitatii. Dintre acestea mentionam:
– numarul de pachete comunicate intre client si server este mult mai redus;
– serverul poate alege algoritmii de compresie si de cifrare ce vor fi folositi pe parcursul sesiunii;
– se face o distinctie mai clara intre cheile folosite pentru autentificare si cheile de criptare;
– lucreaza cu cai de certificare;
– asigura suport pentru multi algoritmi criptografici;
– suporta o gama mult mai larga de aplicatii ca versiunea anterioara;
– fixeaza vulnerabilitati existente in versiunea 2.0.
Protocolul TLS (Transport Layer Security) – este o varianta a SSL.
Protocolul de inregistrare TLS ofera doua servicii de baza:
– confidentialitatea conexiunii – foloseste tehnici de criptare simetrice
– integritatea conexiunii: transportul mesajului include verificarea integritatii datelor pe baza unui cod de autentificare
4.4 Securitatea la nivel aplicatie
4.4.1 Securitatea sistemelor de transfer de mesaje
Aplicatiile de mesagerie electronica, inclunzand aici programele pentru posta electronica si aplicatiile cu capbilitati de transfer de mesaje sunt un bun exemplu de clasa de aplicatii ale caror necesitati de securitate nu pot fi acoperite doar prin masurile de securitate a retelei. Comunicarea prin mesaje sigure necesita protejarea de la expeditor la destinatar. Serviciile de protectie de baza includ:
a) autentificarea originii datelor;
b) integritatea continutului;
c) confidentialitatea continutului;
d) nerepudierea originii.
S/MIME (Secure Multi-Purpose Internet Mail Extensions) – este un standard utilizat in transmiterea de e-mail in securitate. Permite criptarea informatiei si include certificatul digital ca o componenta in mesaj. El asigura functiile:
confidentialitate, doar cel ce receptioneaza poate citi posta;
transmisia nu poate fi alterata;
clientul poate semna si include semnatura care garanteaza receptia;
utilizeaza etichete pentru controlul accesului la mesajele securizate;
permite mesajelor criptate sa fie transmise prin agenti intermediari care le pot cripta si transmite la recipientele dorite.
S/MIME ofera integritate si autentificare oricarui pachet e-mail si in prezent a este implementat la nivel industrial.
OCSP (On line Certificate Status Protocol) – specifica o sintaxa mesaj cerere-raspuns intre aplicatia client care solicita revocarea certificatului si aplicatia server care cunoaste starea certificatului revocat. OCSP server poate asigura informatii aditionale accesibile prin CRL.
Principiul functionarii este urmatorul :
(1) Aplicatia transmite cererea de a cunoaste starea certificatului la serverul OCSP, acesta transmite o semnatura digitala care reprezinta "bun", "revocat" sau "necunoscut".
(2) Cel identificat ca "bun" indica la minim ca certificatul nu a fost revocat la momentul cererii, ulterior el putand aparea ca revocat.
(3) "revocat" indica ca respectivul certificat a fost revocat.
(4) "unknown" indica ca nu cunoaste respectivul certificat.
4.4.2 Securitatea protocolului HTTP
HTTP (HyperText Transfer Protocol) este protocolul folosit in comunicatia dintre clientii si serverele WWW.
Securitatea HTTP este o extensie cu capabilitati de securitate a protocolului HTTP. El este un protocol de comunicatie orientat pe mesaje, care asigura securitatea acestor mesaje atunci cand ele sunt transmise.
Protocolul furnizeaza deci servicii de securitate pentru:
– confidentialitatea datelor;
– integritatea datelor;
– nerepudierea originii datelor.
Protectia mesajelor S-HTTP poate fi asigurata in trei moduri:
– semnaturi digitale;
– integritatea datelor;
– cifrarea datelor.
Orice mesaj poate fi semnat, criptat, autentificat si se poate aplica orice combinatie a celor trei tehnici de mai sus.
In plus, protocolul furnizeaza un mecanism simplu de tip cerere-raspuns bazat pe informatii specifice, generate pentru fiecare sesiune in parte, permitand astfel ambelor entitati comunicante sa fie sigure de faptul ca informatiile transmise sunt “proaspete”.
4.4.3 Securitatea aplicatiilor EDI
Electronic Data Interchange (EDI) face parte dintr-o serie de tehnologii de transmitere electronica a documentelor intre partenerii de afaceri, cum ar fi faxul, telexul, e-mail-ul si are ca scop desfasurarea tranzactiilor de afaceri in mod electronic. EDI isi propune sa elimine interventia umana in procesarea documentelor transmise intre partenerii de afaceri prin stabilirea unui protocol standard de transfer al datelor intre acestia. Folosind EDI se pot emite automat cereri de livrare catre furnizori, se pot prelucra automat cererile clientilor sau se pot executa tranzactii financiare.
Functionarea unui sistem EDI presupune parcurgerea a cinci mari faze:
– preluarea datelor de la un sistem de calcul sau aplicatie;
– transformarea datelor intr-un mesaj cu format standard;
– transmiterea mesajului;
– transformarea/intreruperea mesajului la receptie;
– transferarea datelor receptionate unei aplicatii.
Din punct de vedere tehnic, pentru desfasurarea tranzactiilor EDI trebuie definite urmatoarele elemente: standarde (definesc modul de structurare a datelor in
mesajele electronice); software (denumite si translatoare EDI); comunicatii (au rolul
de a transfera mesajele electronice intre partenerii de afaceri) si securitatea datelor.
Principalele standarde existente in domeniul EDI sunt: ANSI ASCX.12 pentru America de Nord si TDI pentru Europa de Vest.
Componenta software care guverneaza conversia datelor din formatul intern al aplicatiilor in mesaje EDI poarta denumirea de translator EDI. Majoritatea translatoarelor EDI furnizeaza doua servicii: maparea datelor si formatarea datelor conform standardelor.
Formatarea datelor conform standardelor este principala functie a unui translator EDI. Pentru a putea formata datele unei aplicatii, un translator EDI trebuie sa stie cum sa acceseze datele si sa inteleaga formatul acestor date. Pentru a converti datele dintr-un fisier text in mesaje EDI si viceversa, translatorul EDI trebuie sa inteleaga formatul datelor din fisierul text. Acest lucru se poate realiza in doua moduri. Prima solutie ar fi ca aplicatia sa genereze fisierul text conform unui format definit de translator.
A doua solutie ar fi ca translatorul EDI sa furnizeze un instrument care sa-i permita utilizatorului sa specifice formatul fisierului text generat de aplicatie.
Standardele EDI definesc urmatoarele cerinte de securitate: integritatea mesajelor, confidentialitatea, autentificarea originii datelor, nonrepudierea, disponibilitatea.
4.5 Securitatea prin firewalls
O prima bariera de securitate pentru o firma care desfasoara comert electronic pe Internet o reprezinta controlul accesului dinspre reteaua proprie catre Internet si viceversa. Din punct de vedere arhitectural, solutia cea mai raspandita pentru asigurarea securitatii conectarii unei retele de campus la Internet o constituie asa numitul firewall (pasarela de securitate). In linii mari un firewall este un sistem care impune o politica de control a accesului intre doua retele. El reprezinta implementarea politicii de securitate in termeni de configurare a retelei. Un firewall este un sistem plasat intre doua retele care poseda urmatoarele proprietati:
– tot traficul dinspre interior spre exterior si viceversa trebuie sa treaca prin acestea;
– este permisa trecerea numai a traficului autorizat prin politica locala de securitate;
– sistemul insusi este imun la incercarile de penetrare a securitatii acestuia.
Un firewall nu este numai un dispozitiv sau o combinatie de dispozitive ce furnizeaza securitate pentru o retea. Firewall-ul este parte a unei politici generale de securitate si are rolul de a crea un perimetru de securitate in jurul resurselor informationale ale organizatiei. Politica de securitate trebuie sa defineasca responsabilitatilor utilizatorilor din punct de vedere al securitatii, modul de acces la retea si metodele de autentificare a utilizatorilor interni sau aflati la distanta, mecanismele de criptare a datelor memorate sau transmise prin retea, masurile de protectie impotriva virusilor etc.
Folosirea unui firewall pentru asigurarea securitatii retelelor furnizeaza numeroase avantaje:
Concentrarea securitatii. Un firewall poate fi o solutie mai putin costisitoare din punct de vedere al administrarii
Impunerea unei politici de acces in retea. Un firewall furnizeaza mijloace de control al accesului
Protectia serviciilor vulnerabile. Un firewall poate contribui la cresterea nivelului de securitate al unei retele, reducand riscurile la care aceasta este supusa, prin filtrarea informatiilor.
Monitorizarea si realizarea de statistici cu privire la folosirea retelei. Daca intregul trafic spre/dinspre Internet trece printr-un firewall, atunci exista posibilitatea monitorizarii acestuia si furnizarii de statistici cu privire la folosirea retelei
In afara avantajelor folosirii unui firewall exista o serie de dezavantaje:
Restrictionarea accesului la unele servicii. Firewall-ul impune, de cele mai multe ori, restrictionarea sau blocarea accesului la unele servicii considerate vulnerabile.
Protectia scazuta fata de atacurile provenite din interior. Un firewall nu poate opri o persoana din interiorul retelei de a copia informatii pe o discheta si de a le furniza apoi celor interesati.
Protectia scazuta fata de virusi. Firewall-ul nu poate asigura protectie impotriva utilizatorilor care aduc local, din arhivele Internet, programe infectate cu virusi
Viteza de comunicatie cu exteriorul. Un firewall reprezinta o potentiala gatuire pentru traficul dintre reteaua interna si exterior.
Fiabilitatea. O retea protejata prin firewall isi concentreaza securitatea intr-un singur loc, spre deosebire de varianta distribuirii securitatii intre mai multe sisteme. O compromitere a firewall-ului poate fi dezastroasa pentru celelalte sisteme (mai putin protejate) din retea.
Un firewall poate fi compus din unul sau mai multe blocuri de componente:
– router-e cu filtrare de pachete. Are rolul de a trimite pachete intre sistemele gazda interne si cele externe unei retele, intr-o maniera selectiva. El permite sau blocheaza trecerea unor anumite tipuri de pachete.
– servere proxy (porti la nivel aplicatie). Sunt aplicatii software pentru intermedierea accesului la unele servicii. Pentru o poarta se mai foloseste uneori si termenul de calculator gazda conectat dual (dual-homed host)
– porti la nivel circuit. Este un serviciu proxy la nivel circuit, care se executa de obicei pe un server proxy si creeaza un circuit intre client si server, fara a intrerupe protocolul gazda. Ele primesc conexiuni de la un anumit sistem gazda, pe un anumit port si deschid o noua conexiune catre sistemul destinatie, pe alt port.
In continuare vom prezenta diverse modalitati de a combina componentele de baza ale unui firewall.
A. Firewall de tip filtru de pachete
Cel mai comun sistem firewall existent in Internet nu consta in nimic altceva decat intr-un banal router cu posibilitati de filtrare a pachetelor ce se amplaseaza intre reteaua privata si Internet. Un astfel de roater realizeaza functiile clasice de dirijare a traficului intre retele si in plus permite sau blocheaza anumite pachete.
In ciuda faptului ca este ieftin si transparent utilizatorilor, acest tip de sistem firewall poseda toate limitarile unui router cu filtrare de pachete. Principalele probleme de securitate sunt cauzate de configurarea necorespunzatoare a filtrelor.
B. Firewall de tip calculator gazda protejat
Presupune existenta atat a unui router de filtrare a pachetelor, cat si a unei statii bastion. Acest tip de firewall furnizeaza un grad sporit de securitate fata de exemplul precedent, deoarece el implementeaza servicii de securitate atat la nivel retea (filtrare de pachete), cat si la nivel aplicatie (servicii proxy).
Statia bastion se afla in interiorul retelei protejate, iar roater-ul de filtrare a pachetelor este situat intre Internet si statia bastion. Regulile de filtrare pe router-ul expus sunt stabilite astfel incat calculatoarele externe sa poata accesa doar statia bastion, traficul catre celelalte sisteme de calcul interne fiind blocat.
C. Firewall de tip subretea protejata
Acest firewall foloseste doua router-e de filtrare a pachetelor si o statie bastion. El asigura o securitate ridicata atat la nivel retea, cat si la nivel aplicatie. Subreteaua din exteriorul retelei protejate este numita “zona demilitarizata” (DMZ).
Administratorul de retea plaseaza statia bastion, serverele publice de informatii si modemurile de acces in DMZ. Aceasta functioneaza ca o mica retea izolata, ce se afla dispusa intre reteaua privata si Internet.
Pentru traficul ce vine din Internet, router-ul exterior protejeaza sistemul impotriva atacurilor clasice si controleaza accesul in reteaua DMZ. El permite sistemelor externe sa acceseze doar host-ul bastion si eventual serverele publice de informatii. Router-ul interior constituie o a doua linie defensiva, controland accesul la reteaua privata prin acceptarea numai a traficului ce provine de la sistemul bastion.
CAPITOLUL VI
CONCLUZII
Viteza cu care evolueaza tehnologia Internet-ului este impresionanta. Daca acum se apreciaza ca exista cateva milioane de oameni care folosesc serviciile Internet in fiecare moment, numarul lor va creste exponential in anii urmatori. Dintr-un recent sondaj a reiesit ca, daca cu un an in urma 70% din utilizatorii Internet-ului apreciau e-mail-ul ca principal beneficiu si doar 30% Web-ul, astazi 50% din persoane considera pe primul loc e-mail-ul, 40% Web-ul si, deja 10%, comertul si platile electronice. In acest domeniu revolutia abia a inceput: sa observam ca platile electronice reprezinta un fel de e-mail in raport cu banii reali, asa cum posta electronica reprezenta, acum cativa ani, o adevarata revolutie in comunicatiile dintre persoane.
Ca in orice zona in care sunt implicate sume importante, comertul electronic este tinta atacurilor infractionale. Asigurarea securitatii tranzactiilor realizate prin intermediul Internetului nu este o activitate banala. Problemele nu sunt neaparat noi. In fond, inca de la creare, bancile au fost tinta atacurilor de toate tipurile, de la cele armate pana la cele mai banale delapidari. Acelasi lucru este valabil si in cazul burselor, in cazul tranzactiilor comerciale de toate tipurile. In timp s-au dezvoltat mecanisme de aparare tot mai complicate, care au condus la aparitia unor scheme de atat corespunzatoare. Este clar ca aceasta competitie intre “hoti si vardisti” nu se va termina niciodata.
In cazul tranzactiilor electronice, al magazinelor virtuale, in general al comertului electronic, exista acelasi gen de lupta. Instrumentele sunt mult mai sofisticate, atat atacantii cat si aparatorii actioneaza de la distanta, prin intermediul unor calculatoare mai mult sau mai putin banale. Cele doua “armate” nu se vad, nu se aud (decat cel mult in cazul unor procese penale). Conflictul este continuu, schemele de atac se perfectioneaza si este necesara o inventivitate continua pentru a anihila aceste scheme.
BIBLIOGRAFIE
1. Evghenie Vlad, Implementarea unui sistem de comert electronic, raport de cercetare, UPB 1999
2. Mircea Cioata, Plati electronice, NET Report, Nr 101 / Februarie 2001
3. Patriciu V., Ene-Pietrosanu M., Bica I, Vaduva C., Nicolae V., Securitatea comertului electronic, Ed. All, Bucuresti, 2001
4. Patriciu V., Ene-Pietrosanu M., Petculescu C., Mai multe despre INTERNET, Ed. Teora , Bucuresti, 1996
5. Teodoru Cristina, Comertul electronic pentru intreprinderile mici si mijlocii intrebari esentiale – raspunsuri simple! – Euro Info Centre Bucuresti
6. Victor-Valeriu Patriciu, Sisteme electronice de plati, PC Report Nr 83 / August 1999
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Securitatea Comertului Electronic. Tehnologii Pentru Asigurarea Securitatii Tranzactiilor (ID: 149185)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.