Безопасность транзакций в электронной коммерции (протокол Set). Часть I
Введение
Одной из основополагающих концепций в электронной коммерции является понятие платежной системы. Платежная система представляет собой ассоциацию банков, называемых банками-участниками этой платежной системы. Когда банк присоединяется к ассоциации (вступает в нее), он тем самым подтверждает свою готовность и берет на себя обязательство следовать правилам этой ассоциации (платежной системы), определяющим технические, юридические и финансовые аспекты функционирования банка в системе. Такое признание банком правил платежной системы является основой для взаимного доверия между неизвестными друг другу банками при организации ими безналичных расчетов для своих клиентов.
В платежной системе банк может функционировать в двух направлениях: во-первых, в качестве банка-эмитента и, во-вторых, в качестве обслуживающего банка. Каждый банк может быть одновременно и эмитентом и обслуживающим банком.
В качестве эмитента банк выдает своему клиенту (физическому и/или юридическому лицу, имеющему в данному банке счет) специальное удостоверение (пластиковую карту), обеспечивающее удаленный доступ клиента к своему счету с целью получения различных услуг: безналичная покупка в торговой точке, получение наличных в банкомате или отделении банка и т. п. Таким образом пластиковая карта связанна со счетом (счетами) клиента в банке.
Обслуживающий банк обеспечивает поддержку инфраструктуры приема пластиковых карт, к которой в общем случае относятся банкоматы, пункты выдачи наличных и предприятия торговли и сервиса. Обслуживающий банк заключает договоры с торговыми точками на обслуживание в них пластиковых карт, гарантируя торговой точке возврат средств за операцию, совершенную в нем по карте любого банка-участника платежной системы.
Когда клиент банка А собирается совершить покупку в торговой точке обслуживающего банка В, то торговая точка в первую очередь должна убедиться в том, что в соответствии с договором с обслуживающим банком В операция по предъявляемой для оплаты карте будет возмещена. Другими словами ,торговая точка должна убедиться в том, что банк-эмитент А и обслуживающий банк В являются участниками одной платежной системы. Это устанавливается по логотипу платежной системы, нанесенному на пластиковой карте клиента.
Процесс оплаты услуги в общем случае состоит из двух этапов. Первый этап – авторизация транзакции: торговая точка «считывает» с предъявляемой клиентом для оплаты покупки пластиковой карты необходимую информацию, а также, возможно, получает некоторую идентифицирующую клиента информацию непосредственно от самого клиента (например, персональный идентификационный номер владельца карты). Полученная от клиента и считанная с карты информация, а также информация о покупке (сумма покупки, валюта транзакции и т. д.) и торговой точке (идентификаторы торговой точки и устройства приема карты) передается торговой точкой своему обслуживающему банку в форме авторизационного запроса. С помощью авторизационного запроса торговая точка спрашивает у обслуживающего банка, может ли оно предоставить данному клиенту запрашиваемую им услугу. В свою очередь обслуживающий банк обращается за разрешением на оказание услуги к банку-эмитенту А. При этом банки А и В обмениваются сообщениями в соответствии с правилами, установленными платежной системой. Поэтому синтаксис и семантика понятна обоим банкам.
Эмитент А, получив запрос от обслуживающего банка В, проверяет достоверность информации о карте и ее владельце: правильность реквизитов карты и идентификатор владельца карты. После этого банк А проверяет достаточность средств на счете клиента для совершения оплаты запрашиваемой ним услуги. Если все проверки завершились успешно, банк А отвечает на запрос банка В разрешением на совершение покупки, предварительно списав (или только «заморозив») со счета клиента стоимость покупки вместе с некоторыми установленными им комиссиями.
Получив разрешения от банка А, обслуживающий банк в свою очеред...
