Nivelul actual de securitate în Internet/Intranets permite utilizarea banilor pentru efectuarea plăţilor prin transferuri voluntare. O parte dintre procedeele utilizate în plăţi electronice prin Internet sunt de fapt similare celor utilizate într-un punct de vânzare obişnuit. Diferenţa principală constă în faptul că în cazul comerţului electronic totul se realizează prin Internet, utilizând servicii Web şi alte servicii de transmisii digitale de date. Şi în acest caz, cerinţele sunt similare celor din sistemele clasice, respectiv autenticitate şi autorizare, confidenţialitate şi siguranţă.

1. Metode de efectuare a plăţilor electronice

În prezent, există şi sunt folosite deja câteva metode de plată electronice, dintre care unele sunt utilizate şi în comerţul clasic, în afara Internetului. Cele mai cunoscute astfel de sisteme de plată pe Internet sunt sistemul digital de plată CyberCash şi First Virtual.

În general, sistemul digital de plată este specific primirii de către comercianţi a plăţii făcute de consumatori. Pentru a beneficia de un asemenea sistem de plată, consumatorul va trebui să-şi procure şi să-şi instaleze anumite programe, astfel încât să aibă posibilitatea de a avea contact cu furnizorul de sistem de plată digital. În acelaşi timp însă, comerciantul trebuie să semneze un angajament cu unul sau mai mulţi furnizori de sisteme de plată digitale, iar consumatorul se comportă la fel ca într-un magazin clasic, plătind produsele achiziţionate cash sau cu orice carte de credit, dar care este acceptată de magazinul respectiv. Un asemenea sistem de plată este profitabil pentru ofertanţii de astfel de servicii.

În ceea ce priveşte sistemul digital de plată CyberCash, acesta foloseşte o interpretare strictă a comerţului digital, bazându-şi serviciile digitale pe nevoia de tranzacţii private, sigure şi de încredere. Pentru a efectua plăţi în CyberCash, consuma­torul are nevoie de un software care simulează „portofelul", face criptarea mesajelor şi memorează tranzacţiile. La fel ca şi portofelul obişnuit, portofelul software poate înregistra mai multe cărţi de credit. Vânzătorul, la rândul său, este posesorul unui software similar. Utilizând un navigator Web, consumatorul selectează ceea ce doreşte să cumpere. Serverul vânzătorului va trimite „portofelului software" o cerere de plată semnată prin care dă detalii despre cumpărătură şi transmite tipul cărţilor de credit acceptate. „Portofelul" va deschide o fereastră şi va afişa suma şi lista cărţilor de credit disponibile pentru selecţie. După aceasta, „portofelul" trimite un mesaj criptat şi semnat cu numărul cărţii de credit şi detalii referitoare la tranzacţie şi acceptarea plăţii. Serverul vânzătorului trimite acest mesaj, împreună cu un mesaj propriu, semnat şi criptat către Gateway. Aici, mesajele vor fi descriptate şi comparate, iar dacă acestea se potrivesc, se trimite o cerere de autorizare convenţională. Se va reîntoarce un răspuns către vânzător, care va trimite un răspuns „carte de credit" către software-ul portofel. Gateway-ul este operat de un agent al băncii colectoare a vânzătorului. În mod similar cu mecanismul prezentat, s-au dezvoltat şi alte protocoale pentru efectuarea plăţilor electronice, bazate însă pe alte secvenţe de mesaje între aceleaşi entităţi.

Prin folosirea semnăturilor digitale şi a încifrării, care asigură siguranţa tuturor tranzacţiilor, se poate spune că CyberCash se află în afara oricărui pericol de a fi interceptat de spărgătorii de carduri, oferind astfel o cale sigură de livrare a mărfii şi de efectuare a plăţii. Sistemul de plată CyberCash poate fi acceptat pentru orice fel de tranzacţie, de la achiziţii de valoare mică şi până la cele de valoare foarte mare; de regulă însă, transferurile digitale de cash sunt preferabile pentru achiziţii de valoare mai mică. Aşa cum menţionam, cumpărătorii persoane fizice au nevoie de programe speciale pentru a putea instala „rubrica digitală", în timp ce agenţii economici pot instala programe de servicii gratuite. CyberCash îşi face deci programele disponibile fără nici un fel de plată, atât pentru client, cât şi pentru aplicaţiile serviciului, astfel încât nici consumatorul, nici agentul comercial nu sunt taxaţi direct pentru tranzacţiile realizate. În schimb, CyberCash taxează băncile participante şi producătorii de cărţi de credit, cum se întâmplă, de altfel, în comerţul tradiţional. Sistemul CyberCash oferă o serie de avantaje semnificative atât pentru cumpărători, cât şi pentru comercianţi. Agentul comercial are posibilitatea de a-şi instala CyberCash în orice sistem existent www, fără a fi nevoit să-şi achiziţioneze un program nou, în acest sistem aprobarea tranzacţiilor fiind practic instantanee. Avantajele sistemului CyberCash constau, în principal, în următoarele aspecte:

• păstrează informaţiile secrete ale comerciantului şi consumatorului;
• oferă un „portofel electronic" consumatorului, convenabil pentru stocarea informaţiilor de plată;
• păstrează un registru al tranzacţiilor pentru a administra, urmări şi documenta orice tranzacţie şi se angajează să satisfacă standardele VISA/MasterCard pentru tranzacţiile cu cărţi de credit pe Internet.

Sistemul digital de plată First Virtual abordează comerţul digital apelând la concepţii privind vânzarea informaţiilor pe Internet, sistemul oferind o metodă specială de cumpărare şi vânzare a informaţiilor pe Internet.

First Sistem Virtual permite distribuitorilor de informaţii pe Internet să-şi ofere informaţiile pentru un preţ corect, în timp ce consumatorilor de informaţii le oferă posibilitatea „încercării" acestora o singură dată. Ofertanţii de informaţii pot face oricâte copii doresc pentru o anumită informaţie, fără să crească preţul pe copie. Atunci când o copie este trimisă unui cumpărător, fără ca acesta să plătească, pe producător nu-l costă nimic, el asumându-şi un asemenea risc.

Obiectivul First Sistem Virtual este acela de a crea un sistem care să facă posibilă cumpărarea de informaţii cu un minimum de efort sau pregătire specială. Un asemenea sistem este folosit, în principal, pentru:

• cumpărarea şi vânzarea de informaţii, ca, de exemplu, reţete, rapoarte de marketing, programe, fotocopii, muzică etc.;
• abonamente la diverse publicaţii, cărţi de membru şi contribuţii contabile.

Sistemul analizat nu poate fi deci folosit pentru vânzarea produselor sau serviciilor.

First Sistem Virtual de plată poate să fie implementat de vânzător şi folosit de consumatori prin serviciile World Wide Web, prin serviciile de transfer sau chiar prin e-mail. Sistemul oferă un magazin virtual numit InfoHans, în care oricine doreşte poate vinde informaţii pentru care însă trebuie să plătească un comision şi anumite taxe.

First Sistem Virtual poate fi caracterizat prin următoarele trei trăsături de bază:

• în condiţiile în care nu există nici un fel de cost asociat cu transmiterea de copii de informaţii deja vândute, „bunurile furate" sau „returnate" nu-l costă nimic pe producător;
• produsele informaţionale sunt vândute după ce consumatorul dă un răspuns afirmativ, dar numai după ce a primit o copie a informaţiei;
• produsele informatice pot fi vândute practic prin orice aplicaţie Internet, consumatorii sau ofertanţii nefiind obligaţi să cumpere programe speciale.

Pentru a deveni vânzător în First Sistem trebuie utilizat fie un program Pioneer, fie unul Expres, iar pentru a căpăta calitatea de cumpărtor este necesară mai întâi achitarea unei taxe de înscriere în reţea, iar apoi doritorul trebuie să dispună de o carte de credit şi să aibă o legătură cu o poştă electronică.

Concret, tranzacţia în First Sistem Virtual se derulează astfel:

• producătorul de informaţii oferă un produs în reţea, făcându-l disponibil prin serviciul compatibil First Virtual, incluzând în descrierea acestuia şi preţul produsului informaţional în cauză;
• când un consumator doreşte să descarce informaţia oferită de servicii, First Virtual va cere un cont de identificare;
• producătorul verifică, tot prin First Virtual, dacă este corect contul de identificare;
• după ce a verificat corectitudinea contului de identificare, producătorul trimite cumpărătorului informaţia;
• serviciul producătorului va trimite e-mail consumatorului, prin care îl întreabă dacă doreşte să plătească serviciul respectiv;
• în ipoteza unui răspuns afirmativ al consumatorului, contul producătorului va fi creditat pentru vânzarea în cauză;
• în cazul unei încercări de fraudă, contul ID al consumatorului este anulat, pentru a evita încercările viitoare de folosire.

În condiţiile în care vor exista consumatori care abuzează de privilegiul încărcării şi descărcării informaţiilor înainte să le plătească şi fac acest lucru în mod frecvent, refuzând în mod constant să plătească, în cele din urmă vor fi avertizaţi şi apoi eliminaţi din rândul deţinătorilor de cont First Virtual.

Desigur, sistemul de plată prin Internet First Virtual are o serie de vulnerabilităţi, cum are, de altfel, orice alt sistem de plată. Atâta timp cât însă va fi folosit numai pentru informaţii şi lucruri intangibile, nu se poate pune problema ca acest sistem să prezinte un răspuns complet la toate problemele comerţului electronic.

Pe măsură ce mecanismul economic, în general, şi activitatea comercială, în particular, capătă o complexitate tot mai mare, iar Internet-ul se dezvoltă şi se i₆₆ Universitatea SPIRU HARET extinde într-un ritm rapid, agenţii economici nu mai pot să se situeze în afara lumii Internetului; dimpotrivă, pentru a avea tot mai multe informaţii despre comerţul electronic, este necesară examinarea în detaliu a componentelor informaţionale ale sistemelor de plată pe Internet, a informaţiei prezentate şi a riscurilor implicate.

2. Asigurarea securităţii operaţiilor realizate prin comerţul electronic

Securitatea tranzacţiilor este un lucru important în orice sistem financiar, indife­rent că este vorba de tranzacţii clasice sau electronice. De altfel, deşi comerţul elec­tronic a apărut totuşi de câţiva ani buni, există încă multe persoane, fizice sau juridice, care ezită să folosească Internetul pentru cumpărături, tocmai datorită riscului divul­gării unor date confidenţiale privind afacerea realizată.

În practică, pentru a asigura securitatea necesară, comerţul electronic utilizează următoarele tipuri de servicii: autentificarea şi autorizarea, non-repudierea, confidenţia­litatea şi integritatea datelor.

Prin autentificare, cele două părţi care comunică se asigură că fiecare dintre ele face acest lucru cu cel care doreşte să efectueze diferite tranzacţii. Autentificarea se face în mod uzual prin semnături digitale şi alte metode.

Non - repudierea asigură că nici o parte nu va putea nega participarea într-o tranzacţie după ce aceasta s-a efectuat.

Prin confidenţialitate se înţelege faptul că toate comunicaţiile între părţi sunt restrânse strict la părţile care participă la efectuarea tranzacţiei.

Integritatea datelor înseamnă că datele nu sunt modificate în procesul de transfer sau atunci când sunt memorate pe diferite suporturi de păstrare a datelor. Confidenţialitatea este în general asigurată prin criptare.

Pentru asigurarea unui nivel acceptabil de securitate, există mai multe tehnici de criptare, similare în ceea ce priveşte algoritmii de criptare, dar diferind prin modul şi locul de aplicare. Astfel, dacă ne referim la familia de protocoale TCP/IP, există posi­bilitatea să se aplice criptarea la nivelul IP, la nivelul sesiune sau la nivelul aplicaţie.

Tranzacţia pe Internet prezintă trei componente, fiecare dintre ele influenţând, într-un fel sau altul, securitatea acesteia: utilizatorul materializat prin programul de navigaţie pe Internet, vânzătorul materializat prin server şi conexiunea dintre cei doi. Într-un asemenea context, problemele legate de securitate sunt de trei tipuri:

• probleme care afectează utilizatorul (serverul nu este operat de cine pare a fi, documentele de pe server sunt afectate de viruşi sau au intenţii negative, serverul înregistrează informaţii private, obiceiuri de navigare etc.);
• probleme care afectează vânzătorul(utilizatorul încearcă să intre în sistem sau să acceseze documente la care nu are drept de acces, să distrugă serverul sau să-l scoată din reţea ori nu este cine pretinde că este);
• probleme care îi afectează pe amândoi (comunicarea între cei doi este ascultată de terţi necunoscuţi, informaţiile transmise sunt alterate într-un fel sau altul).

Problemele legate de securitatea tranzacţiilor pe Internet nu au fost rezolvate în totalitate. Totuşi, există câteva metode ce înlătură o serie de neajunsuri care afectează buna desfăşurare a comerţului electronic. Avem în vedere criptografia, semnăturile digitale, plicurile digitale sau apelarea la o autoritate de certificare.

1. Criptografia este un sistem potrivit căruia datele sunt codificate prin intermediul unui altgoritm, astfel încât acestea să nu mai poată fi citite decât de către posesorul unei chei de decriptare, adică un alt algoritm ce reface textul iniţial. În aceste condiţii, un fişier criptat nu poate fi accesat decât de posesorul cheii. Aceasta, teoretic, pentru că nu s-a descoperit un sistem de criptare perfect, existând o serie de metode care decriptează ilegal datele (criptoanaliza, ghicirea cheii, ocolirea sistemului de criptare etc.). Criptarea fişierelor sau comunicaţiilor se face printr-o serie de sisteme de criptare, cele mai uzitate fiind criptografia simetrică(cu cheie secretă) şi criptografia asimetrică (cu cheie publică).
2. Semnăturile digitale sunt rezultatul inversării mecanismului de criptare cu cheie publică. Utilizatorul îşi creează propria semnătură digitală, criptând un text anume cu cheia sa privată. Această semnătură o ataşează apoi oricărui mesaj pe care îl trimite, criptând pachetul cu cheia publică a destinatarului. Destinatarul decriptează mesajul cu cheia sa privată, apoi decriptează semnătura expeditorului cu cheia publică a acestuia. Reuşita decriptării garantează identitatea expeditorului.
3. Plicurile digitale. Deşi sistemele de criptografie asimetrică par foarte potrivite pentru Internet, ele au totuşi un mare dezavantaj: sunt prea lente pentru transmiterea unor fişiere de mari dimensiuni. Soluţia o reprezintă combinarea celor două sisteme. Expeditorul generează o cheie secretă aleatoare numită cheie de sesiune, pentru că dispare după terminarea comunicării. Apoi criptează mesajul, folosind cheia de sesiune şi un algoritm simetric la alegere. Criptează cheia de sesiune cu cheia publică a receptorului, creând un „plic digital". Trimite mesajul criptat, împreună cu plicul digital. Când receptorul primeşte mesajul, foloseşte cheia sa privată pentru a decripta cheia de sesiune, apoi o foloseşte pe aceasta din urmă pentru a descripta mesajul propriu-zis. Mesajul este asigurat, pentru că este criptat cu un algoritm simetric, cunoscut doar de emiţător şi receptor, iar cheia de sesiune este, de asemenea, asigurată pentru că este criptată în aşa fel încât doar receptorul o poate decripta.

Criptarea cu cheia publică ridică o problemă prin faptul că aceasta funcţionează doar dacă se cunoaşte cheia publică a receptorului. În condiţiile în care pe Internet există sute de mii de servere şi milioane de persoane conectate, o persoană nu poate avea în permanenţă la îndemână o listă cu toate cheile tuturor persoanelor. Pe de altă parte, nici nu poate cere receptorului cheia sa printr-o conexiune neasigurată, pentru că nu are nici o garanţie că persoana de la capătul firului este, într-adevăr, cine pretinde că este. Cea mai practică soluţie găsită până acum este bazarea pe o a treia persoană, numită „autoritate de certificare"(AC) şi care se ocupă cu validarea cheilor publice. AC-urile sunt întreprinderi comerciale şi de încredere care garantează pentru identitatea persoanelor fizice sau juridice. Înainte de a se trimite un mesaj cuiva, se poate cere certificatul digital, semnat de una dintre aceste AC, certificat din care reies identitatea şi cheia publică a perioadei. Există două mari tipuri de astfel de certificate: personale şi pentru servere.