Шпаргалки по "Электронному маркетингу"

Персональные цифровые сертификаты  могут быть выданы на основании полученного  клиентом  WM-аттестата.   При  этом   подтвержденные   данные   о пользователе   системы   будут   записаны в сертификат для  отображения и контроля всеми участниками (тем самым обеспечивая пользователю  системы большее доверие со стороны его корреспондентов).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

46.Протокол SSL

Криптографический протокол SSL (Secure Socket Layer) был разработан в 1996 году компанией Netscape и вскоре стал наиболее популярным методом обеспечения защищенного обмена данными через Интернет. Этот протокол интегрирован в большинство браузеров и веб серверов и использует ассиметричную криптосистему с открытым ключом, разработанную компанией RSA.

Для осуществления SSL соединения необходимо, чтобы сервер имел инсталлированный цифровой сертификат. Цифровой сертификат - это файл, который уникальным образом  идентифицирует пользователей и  серверы. Это своего рода электронный  паспорт, который проводит аутентификацию сервера до того, как устанавливается сеанс SSL соединения. Обычно цифровой сертификат независимо подписывается и заверяется третьей стороной, что гарантирует его достоверность. В роли такой третьей стороны выступают центры сертификации, в частности, компания thawte. Компания thawte является наиболее известным в мире центром сертификации.

Протокол SSL обеспечивает защищенный обмен данными за счет сочетания  двух следующих элементов:

·  Аутентификация

Цифровой сертификат привязан к конкретному домену сети Интернет, а центр сертификации проводит проверки, подтверждающие подлинность организации, а уже затем создает и подписывает  цифровой сертификат для этой организации. Такой сертификат может быть установлен только на тот домен web-сервера, доля которого он прошел аутентификацию, что  и дает пользователям сети Интернет необходимые гарантии.

·  Шифрование

Шифрование - это процесс преобразования информации в нечитаемый для всех вид, кроме конкретного получателя. Оно основывается на необходимых  для электронной коммерции гарантиях  конфиденциальности передачи информации и невозможности ее фальсификации.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

47.Аутентификация  web-сервера в электронной коммерции.

Аутентификация - это процедура проверки подлинности, позволяющая достоверно убедиться, что пользователь является именно тем, кем он себя объявляет. При проведении аутентификации проверяющая сторона убеждается в подлинности проверяемой стороны; при этом проверяемая сторона тоже активно участвует в процессе обмена информацией. Обычно пользователь подтверждает свою идентификацию, вводя в систему уникальную, неизвестную другим пользователям информацию о себе (например, пароль или сертификат).

Для подтверждения своей  подлинности субъект может предъявлять  системе разные сущности. В зависимости от предъявляемых субъектом сущностей процессы аутентификации могут быть разделены на следующие категории:

- на основе знания чего-либо.  Примером могут служить стандартные  пароли, персональные идентификационные номера (PIN-коды), а также секретные и открытые ключи, знание которых демонстрируют в протоколах типа «запрос-ответ»;

- на основе обладания  чем-либо. Обычно это магнитные  карты, смарт-карты, сертификаты, устройства touch-memory и персональные генераторы, которые используются для создания одноразовых паролей;

- на основе каких-либо  неотъемлемых характеристик. Данная  категория включает методы, базирующиеся на проверке биометрических характеристик пользователя (голос, сетчатка глаз, отпечатки пальцев). В этой категории не используются криптографические методы и средства.

Процессы аутентификации можно также классифицировать по уровню обеспечиваемой безопасности. В соответствии с данным подходом процессы аутентификации разделяются на следующие типы:

- простая аутентификация (на основе использования паролей);

- строгая аутентификация (на основе использования криптографических  методов и средств);

- процессы (протоколы) аутентификации, обладающие свойством доказательства  с нулевым знанием.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

48.Угрозы  безопасности платежей в электронной  коммерции и методы их предотвращения.

Наиболее незащищенным звеном в схеме совершения платежа в  сети Интернет является онлайновая торговая точка, поскольку в конечном итоге  именно за ее счет осуществляется возмещение убытков держателю карты, а также к опасным участкам электронной коммерции можно отнести интернет-банкинг и платные онлайн подписки.

Меры, предпринимаемые участниками  электронной коммерции для обеспечения  безопасных расчетов в сети Интернет:

• обучение держателей карт минимальным навыкам для обеспечения собственной безопасности: пользование только знакомыми интернет-ресурсами, изучение порядка доставки товаров и предоставления услуг, проверка использования интернет-коммерсантом сертифицированных протоколов, гарантирующих безопасность передаваемой информации .
• использование протокола SSL (Secure Socked Layer) позволяет всем участникам торговли передавать самую разную информацию. При попытке перехвата данных они будут закрыты шифром, взломать который за сколько-нибудь адекватный промежуток времени невозможно. Протокол SSL использует технологию шифрования с открытым ключом и цифровые сертификаты для опознания сервера, участвующего в транзакции, и защиты информации в процессе ее передачи от одной стороны к другой по каналам Интернета.
• В дополнение к использованию протокола SSL используют способы идентификации держателя карты, как проверка СVV2/СVK2-кодов (СVV2-код для карт платежной системы Visa и CVK2 — для MasterCard).
• Протокол "Безопасные электронные транзакции" SET (Secure Electronic Transactions), разработанный компаниями Visa и MasterCard, предполагает шифрование исключительно финансовой информации. Обеспечивает полную безопасность и конфиденциальность совершения сделок. Ввод этого протокола в действие даст владельцам пластиковых карт возможность использовать компьютерные сети при проведении финансовых операций, не опасаясь за дальнейшую судьбу своих платежных средств.
• Многочисленные попытки международных платежных систем сделать расчеты в области электронной коммерции максимально безопасными привели к появлению разработанного платежной системой Visa International протокола 3-D Secure. Технология 3-D Secure представляет собой протокол аутентификации владельца карты при проведении покупок в сети Интернет, предназначенный для обеспечения безопасности интернет-платежей: проверка личности осуществляется в онлайн-режиме. Основным действующим принципом технологии 3-D Secure стала гарантия безопасности проведения расчетов в системе электронной коммерции.

 

 

 

 

49.Использование  электронно-цифровой подписи в  электронных платежах

ЭЦП — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

С помощью средств ЭЦП  обеспечивается аутентификация сторон сделки при обмене сообщениями и проверяется целостность сообщений. Конфиденциальность же содержания сообщений по сделкам достигается с помощью средств шифрования.

При использовании ЭЦП  возникают новые права и обязанности  субъектов правоотношений, для удостоверения подлинности ЭЦП формируется система специальных организаций, права, обязанности и ответственность которых также должны быть законодательно установлены.

Электронная цифровая подпись  позволяет идентифицировать владельца  сертификата ее ключа, а также  установить отсутствие искажения информации в электронном документе.

В электронных документах ЭЦП используется для аутентификации лица, подписавшего документ, представленный в электронно-цифровой форме. Использование ЭЦП обеспечивает выполнение целого ряда функций:

• Полный контроль целостности передаваемого электронного документа 
  ЭЦП вычисляется относительно исходного состояния электронного документа и соответствует лишь ему, поэтому малейшее изменение документа при случайном или преднамеренном вмешательстве приведёт к недействительности ЭЦП.
• Эффективная защита электронного документа от изменений и подделки
• Невозможность отказа от авторства подписи
• Доказательное подтверждение авторства электронного документа 
  Использование ЭЦП:

Высокая степень надёжности ЭЦП и широкие возможности  её применения позволяют использовать электронную цифровую подпись в  различных сферах электронного документального и денежного обращения.

Электронная цифровая подпись используется:

- В банковских платёжных  системах

- В электронной торговле

- В различных расчётных  и трейдинговых системах

- Для электронной регистрации  сделок

- В глобальных системах  межбанковского рынка обмена  валют и др.

 

 

 

 

 

50. Особенности платежей посредством кредитных карточек. Протокол электронного платежа.

Кредитная карта— банковская платёжная карта, предназначенная для совершения операций, расчёты по которым осуществляются исключительно за счёт денежных средств, предоставленных банком клиенту в пределах установленного лимита в соответствии с условиями кредитного договора. Банк устанавливает лимит исходя из платёжеспособности клиента.

Кредитная карта может  заменять потребительские кредиты  и кредиты на неотложные нужды. Главным  преимуществом кредитных карт перед  кредитами является возможность использования кредита, не отчитываясь перед банком о его целевом использовании, и возможность постоянного возобновления кредитной линии (установленного банком для данного клиента максимального размера кредита) после погашения. Кредитная карта может предполагать наличие выданного клиенту кредита или его отсутствие.

Для работы с  электронным бумажником и проведения транзакций с использованием кредитных карт разработаны 2 стандарта: SET и JEPI. Протокол SET использует цифровые сертификаты для идентификации всех сторон сделки, и предусматривает шифрование информации о банковской карте и покупке перед передачей через открытые сети.

Протокол JEPI рассчитан как  промежуточное звено между транспортными (HTTP, email) и платёжными протоколами. Предоставляет  возможность пользователю применять  одно и то же приложение и один интерфейс  в различных ситуациях. Он также  даёт возможность продавцу поддерживать различные платёжные системы, предпочитаемые покупателями.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

51.Протокол SET. Система безопасности платежей 3D-Secure.

Стандартный многосторонний протокол SET разработан компаниями MasterCard и Visa и др. Он позволяет покупателям  приобретать товары через Интернет с помощью пластиковых карточек, используя самый защищенный на данный момент механизм выполнения платежей. SET обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, целостность и секретность сообщения, шифрование ценных и уязвимых данных. Поэтому SET правильнее называть стандартной технологией или системой протоколов выполнения безопасных платежей с использованием пластиковых карт через Интернет. В отличие от других протоколов, SET позволяет решать базовые задачи защиты информации в целом. В частности, он обеспечивает следующие специальные требования защиты операций электронной коммерции:

• секретность данных оплаты и конфиденциальность информации заказа, переданной наряду с данными об оплате;• сохранение целостности данных платежей, что обеспечивается с помощью цифровой подписи;• специальную криптографию с открытым ключом для проведения аутентификации;• аутентификацию держателя по кредитной карточке с применением цифровой подписи и сертификатов держателя карт;• аутентификацию продавца и его возможности принимать платежи по пластиковым карточкам с применением цифровой подписи и сертификатов продавца;• аутентификацию банка продавца как действующей организации, которая может принимать платежи по пластиковым карточкам через связь с процессинговый карточной системой (аутентификация осуществляется с использованием цифровой подписи и сертификатов банка продавца);• готовность оплаты транзакций в результате аутентификации сертификата с открытым ключом для всех сторон;• безопасность передачи данных посредством преимущественного использования криптографии.

Основное  преимущество SET заключается в применении так называемых цифровых сертификатов, которые ассоциируют держателя карты, продавца и банк продавца с рядом банковских учреждений, входящих в платежные системы Visa и MasterCard. Цифровые сертификаты содержат открытые крипт ключи абонентов, заверенные электронной цифровой подписью центра сертификации, и обеспечивают однозначную аутентификацию участников обмена. Цифровой сертификат — это определенная последовательность битов, основанных на криптографии с открытым ключом, представляющая собой совокупность персональных данных владельца и открытого ключа его электронной подписи (при необходимости, и шифрования), связанных в единое неизменяемое целое электронной подписью центра сертификации. Цифровой сертификат оформляется в виде файла или области памяти и может быть записан на дискету, интеллектуальную карту,  любой другой носитель данных. Цифровые сертификаты предотвращают возможность подделок, от которых не застрахованы существующие виртуальные системы. Сертификаты также дают уверенность держателю карты и продавцу в том, что их транзакции будут обработаны с таким же высоким уровнем защиты, что и традиционные транзакции. Упрощенно говоря, по своим функциям цифровые сертификаты аналогичны обычной печати, которой удостоверяют подпись на бумажных документах.В мае 2001 г. были опубликованы спецификации на стандарт 3D Secure, претендующий на роль глобального стандарта аутентификации в платежной системе Visa.

Принцип работы 3D Secure в том, что есть три различных домена - банка-эмитента, интернет-магазина и Visa, через домен которой идет сообщение между покупателем, продавцом и банками. Очень важно, что все сообщения идут через интернет. При этом Visa обеспечивает конфиденциальность информации. После того как покупатель нажимает на интернет-странице на лозунг Verified by Visa и вводит свой пароль, эта информация идет к банку-эмитенту и происходит идентификация. Банк-эмитент через домен Visa отправляет запрос в интернет-магазин, после чего этот магазин идентифицируется своим банком-эквайрером. Таким образом, данные держателя карты известны только банку-эмитенту. В то же время владелец карты уверен в том, что данный магазин имеет Verified by Visa, то есть сертифицирован Visa через банк-эквайрер. В том случае, если банк-эмитент не получит от домена Visa подтверждения, что магазин имеет Verified by Visa, транзакция не произойдет.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

52. Программно-технические и организационные методы обеспечения безопасности электронных денег

Система безопасности платежей 3D-Secure.

3-D Secure это протокол обработки  Интернет-транзакций, разработанный  Visa и одобренный MasterCard. Он предназначен для обеспечения безопасности Интернет платежей, выполняемых с использованием кредитных или дебетовых карт.