Об обеспечении безопасности электронных денег

В международной банковской практике по-разному трактуется понятие «электронные деньги» как средство платежа. В этой связи различается и роль центральных банков по регулированию эмиссии, применению электронных денег и надзору за участниками систем расчета с их использованием.

Это понятие гармонизировано с определением электронных денег, данным в Директиве 2009/110/ЕС Европейского парламента и Совета ЕС от 16 сентября 2009 г. об организации, деятельности и пруденциальном надзоре за деятельностью учреждений электронных денег (далее — Директива).

Пунктом 9 Правил № 201 установлено, что эмиссию электронных денег на территории Республики Беларусь осуществляют банки. Распространение электронных денег банков-эмитентов осуществляется агентами, электронных денег, эмитированных нерезидентами, — банками, выполняющими в этом случае функции агентов.

В настоящее время в Беларуси эмитентами электронных денег являются следующие банки:

  • ОАО «Белгазпромбанк» (система Berlio; система EasyPay);
  • ОАО «Паритетбанк» (система iPay);
  • ОАО «Технобанк» (система Webmoney).

Таким образом, банки обеспечивают безопасное осуществление операций с электронными деньгами (в вопросах ликвидности, защиты информации), а также соблюдение правовых норм в данном сегменте деятельности (в том числе заключение соответствующих договоров с держателями электронных денег, агентами, рассмотрение спорных ситуаций и др.).

В рамках данной статьи комплексно рассматриваются три аспекта обеспечения безопасности: технология проведения операции; механизмы и мероприятия, проводимые с целью повышения устойчивости систем к мошенническим действиям; правовая безопасность, так как в совокупности они направлены на обеспечение безопасности работы программно-технических средств, используемых для осуществления операций с электронными деньгами.

Электронные деньги могут быть анонимными и персонифицированными. По своей природе электронные деньги ближе к анонимным наличным деньгам, чем к персонифицированным безналичным. Наличие или отсутствие анонимности обеспечивается правилами и механизмами обращения в той или иной системе расчетов с использованием электронных денег.

Конвертация наличных денежных средств на бумажном носителе либо внесение посредством безналичного перевода с банковской пластиковой карточки на электронный кошелек в Республике Беларусь являются персонифицированными, так как напрямую либо косвенно идентифицируют лицо, вносящее денежные средства на счет.

В Республике Беларусь Правилами № 201 определена процедура идентификации юридических и физических лиц при совершении ими операций с электронными деньгами. Данная процедура разработана с целью борьбы с незаконным (теневым) оборотом денежных средств.

После того как денежные средства конвертируются в электронные деньги и уходят с электронного кошелька, их свойство персонификации заканчивается. В системе электронных денег они становятся анонимными.

Система расчетов с использованием электронных денег WebMoney определяет «электронные деньги» как универсальный титульный знак (WM) в цифровом виде; единицу исчисления количества (объема) имущественных прав, цена которого (условная сетевая стоимость) устанавливается его держателями, а порядок передачи и учета соответствует процедурам обращения сообщений ((юр-мата «Титульные знаки» в системе WebMoney Transfer.

При этом система допускает псевдонимность участников. Возможность участника подтвердить принадлежность псевдонимного идентификатора физическому или юридическому лицу реализуется с помощью сервиса, предоставляемого Центром аттестации системы. Виды и порядок выдачи аттестатов устанавливаются регистраторами — представителями Центра аттестации.

В системах расчетов с использованием электронных денег WebMoney, EasyPay реализовано два типа платежей.

1. Обычный платеж. Используется для оплаты «информационных» или «коротких» видов платежей с фиксированной, выставленной к оплате или запрашиваемой с сервера оплаты услуг (СОУ) суммой.

Функционирует следующим образом. Клиент производит оплату. При этом с его кошелька списывается, а в кошелек поставщика услуги (продавца товара) зачисляется сумма в размере ее стоимости, после чего поставщик (продавец) осуществляет доставку товара.

С точки зрения обеспечения безопасности проведения операции в таком случае не важен источник (электронный кошелек) отправителя, важен факт доставки денежных средств на конечный счет получателя. При этом ключевым моментом является обеспечение надежной передачи параметров платежа и исключение возможности перехвата/изменения их в момент передачи. Обеспечивается посредством использования шифрования на основе протокола SSL.

2. Двухфазный платеж (платеж с протекцией торговой сделки). Применяется для платежей, требующих факта подтверждения оплаты с заданной стоимостью товара или услуги.

Пример двухфазного платежа. Магазин определяет товары, по которым возможен двухфазный платеж, и сроки их доставки, после чего указанный товар можно оплатить только двухфазным платежом. Клиент производит оплату за товар и определяет (самостоятельно вводит) пароль трансакции. При этом на счете, привязанном к кошельку покупателя, резервируется сумма в размере стоимости товара. Продавец получает уведомление о том, что денежная сумма, эквивалентная стоимости товара, зарезервирована, а также инструкцию по доставке. На этом первая фаза платежа завершается.

Существует несколько возможных вариантов второй фазы платежа.

1) Если продавец осуществляет доставку в указанный им срок и качество товара соответствует заявленному в магазине, покупатель получает товар и сообщает продавцу или его агенту пароль (код) трансакции. Продавец (агент продавца) в присутствии покупателя производит сверку пароля (кода) трансакции через программу WM Keeper, после чего денежная сумма с кошелька покупателя переводится в кошелек продавца.

2) Если продавец не осуществляет доставку в регламентированный им срок, то по истечении срока доставки товара зарезервированная денежная сумма будет разблокирована и станет доступна для других операций (возврат по истечении срока).

3) Если качество товара не соответствует заявленному в магазине и покупатель отказывается принять товар от продавца, то по истечении регламентированного срока доставки товара зарезервированная денежная сумма будет разблокирована и станет доступна для других операций (возврат по требованию).

При отказе покупателя от сделки (отказ принять товар) зарезервированная при двухфазном платеже сумма становится доступной не ранее истечения срока протекции сделки, что дает возможность продавцу заменить некачественный товар.

При попытке продавца подобрать код (пароль) для проведения трансакции зарезервированная сумма будет разблокирована и система зафиксирует попытку недобросовестного использования средств держателя. Специалисты центра технической поддержки выяснят причину таких действий и примут соответствующие меры, предусмотренные соглашением (договором), заключаемым между эмитентом электронных денег и клиентом.

На этом двухфазный платеж считается завершенным.

В банковской практике существуют иные виды представления электронных денег.

Электронные деньги как средство обмена имущественным правом на товар или услугу могут быть в виде определенного объема предоплаченных средств на том или ином носителе (чип-карта, или смарт-карта с микросхемой). Существенным в таких системах является то, что, как правило, эмитентом и организацией, оказывающей услуги, или продавцом товара оказывается одно и то же юридическое лицо. Так, например, одним из сегментов безналичного расчета с использованием электронных денег как предоплаченных средств на электронном носителе являются телефонные карты. В случае использования телефонных карт не требуется проведения авторизации и персонификации при зачислении предоплаченных денежных средств, и требования к уровню безопасности значительно ниже.

Использование электронных денег на электронном носителе — микропроцессорной карте является достаточно безопасным способом хранения и проведения платежей. Подделать такую карту достаточно сложно.

Система Berlio, активно применяемая на автозаправочных станциях в Республике Беларусь, является системой расчетов с использованием электронных денег и действует по принципу предоплаченных денежных средств. Доступ к денежным средствам, их зачисление и погашение происходят посредством электронной карты.

Как и в описанных ранее системах расчетов с использованием электронных денег, расчет производится буферным способом, путем резервирования заказанных к погашению денежных средств и конечным их погашением на момент завершения оплаты.

В системе Berlin применяется типичная для электронных денег технология, где доступ к имеющимся средствам осуществляется путем считывания идентификационного номера с электронной карты и подтверждения его PIN-кодом для проведения авторизационного запроса к процессинговому центру.

Автономность системы достигается путем передачи списков разрешенных к обслуживанию электронных карт на оконечные терминалы, установленные на объектах обслуживания клиентов.

С точки зрения безопасности проведения авторизации и хранения предоплаченных денежных средств (электронных денег) этот способ достаточно надежный. Однако, если учитывать тот факт, что реестры проведенных операций передаются на сервер базы данных на конец дня либо на утро следующего дня, то электронные деньги, заказанные к погашению, переводятся из статуса «резерв» в статус «погашены» соответственно в тот же период, и могут возникнуть определенные расхождения, например, в случае изменения стоимости товара.

С учетом вышеизложенного стоит различать электронные деньги как предоплаченные денежные средства на определенный вид товаров и услуг и электронные деньги представляются как эквивалент денежных средств, требования по безопасности должны быть максимально высокими.

В системах, где электронные деньги могут быть погашены путем вывода в наличный оборот либо в счет оплаты широкого спектра услуг и приобретения товаров, должны применяться технологии дополнительной проверки и маршрутизации данных с применением шифрования не только для операции авторизации, но и непосредственно данных трансакции.

Принимая во внимание, что электронные деньги многими поставщиками услуг воспринимаются «от предъявителя», проверки эмитента их появления в системе не проводится.

В системе iPay применяется идентичная схема доступа к счету электронных денег, как и в системе «Расчет» (ЕРИП). При завершении процесса авторизации на электронную почту пользователю высылается сеансовый пароль. Вторая компонента пароля формируется на сервере и действует в течение лимитированного периода времени. При проведении каждого платежа система требует подтверждения сеансового пароля, и при совпадении контрольной суммы платеж успешно проводится.

Несмотря на схожесть способов проведения платежей, технологическая разница в системах EasyPay и WebMoney заключается в способе авторизации владельца электронного кошелька.

В случае проведения платежей через систему EasyPay требуется выход на сайт системы электронных денег и проведение авторизации путем ввода идентификационного номера и пароля, а также контрольной фразы.

Еще один способ обеспечения безопасности — виртуальная клавиатура, призванная защитить пользователя EasyPay от программ — клавиатурных шпионов. Вместо того чтобы вводить контрольный код с клавиатуры, можно набрать его на виртуальной клавиатуре, нажимая соответствующие кнопки указателем мыши. Этот способ защиты актуален при работе на чужом компьютере.

Система WebMoney также предоставляет возможность проведения платежей через специализированный сайт (сервис wiki), однако существенной альтернативой с точки зрения безопасности является наличие специализированного программного обеспечения, устанавливаемого непосредственно на рабочую машину (компьютер) пользователя системой (WebMoney Keeper).

Однако и здесь возможно завладеть конфиденциальными данными владельца электронного кошелька. Мошенники прибегают к установке шпионского программного обеспечения путем внедрения его в удаленную систему, направляя так называемые «трояны» и «рудкиты» и прочее вирусное программное обеспечение.

Помимо загрузки шпионских программ и подделки сайтов учреждений электронных денег (эмитентов) (далее — УЭД) существуют иные способы получения доступа к чужим счетам:

  • подделка действий администраторов, при которых пользователь сообщает пароль;
  • вовлечение в сценарии, когда пользователь делает перевод на доверии.

И в первом, и во втором случаях ответственности за действия пользователей по передаче конфиденциальных данных третьим лицам УЭД на себя не берут, так как контролировать «добровольную» передачу не могут. В этом случае спасают только организационно-методические мероприятия, проводимые УЭД. Так, на сайтах систем расчетов с использованием электронных денег EasyPay и WebMoney существуют рекомендации пользователям по обеспечению антивирусной защиты локальных компьютеров, с которых осуществляется доступ к счетам и взаимодействие с другими серверами и компьютерами, участвующими в процессе проведения платежей.

Следует отметить, что некоторые зарубежные и российские УЭД в случае неверной операции с использованием электронных денег несут опосредованную ответственность, так как в ряде случаев деньги, поступившие в электронный кошелек извне (в том числе поступившие трансфером с иных систем электронных денег) и в последующем направленные третьим лицам, являются неперсонифицированными, что затрудняет однозначно определить правовой статус владельца кошелька относительно переведенных средств. В этих случаях УЭД считают, что вопросами мошенничества должны заниматься органы внутренних дел.

При этом в системе iPay заключение договора происходит по принципу регистрации в системе путем направления клиентом запроса посредством мобильного телефона на заданный короткий номер в систему мобильной связи и получении в последующем клиентом идентификационного номера и пароля. Данная операция требует ознакомления клиента с Правилами системы iPay и Соглашением о распространении, что и является заключением договорных отношений между клиентом и УЭД.

В системе WebMoney действует арбитраж — сервис рассмотрения споров между участниками webmoney transfer. Любой участник системы может обратиться в арбитраже заявлением-претензией или иском, если считает себя пострадавшим от действий кого-либо из участников webmoney transfer. Иски рассматриваются арбитражной комиссией, состоящей из трех участников системы — владельцев аттестата регистратора. Решение комиссии может выражаться в отказе или согласии в обслуживании системой WM-идентификатора ответчика, а также в определении условий доступа к спорным средствам.

Данная статья опубликована с целью ознакомления. С полным текстом Вы можете ознакомиться в журнале Банковский вестник.  Статья: Об обеспечении безопасности электронных денег долгосрочные ресурсы (свыше 5 лет) — инвестиционные бан-ковские кредиты, синдицированные кредиты, ЭКА-финансирование, евробонды. Анализ различных инструментов финансирования по критерию структурированности позволил их классифицировать на неструктурированные и структурированные.

Неструктурированные инструменты внешнего финансирования предполагают наличие только одного контрагента для корпоративного заемщика — банка без привлечения внешних инвесторов и других компаний. Структурированные инструменты внешнего финансирования подразумевают наличие нескольких (или даже многих) инвесторов для корпоративного заемщика, а также вспомогательных компаний, участвующих в подготовке кредитного продукта.

Читайте также:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *