В настоящее время должен появиться единый стандарт, экономически целесообразный и универсальный, который позволил бы программному обеспечению различных разработчиков функционировать совместно. Этот недостаток несовместимости разработок защиты безопасности пока сдерживает широкое распространение электронного бизнеса.

4.1. Преимущества и недостатки протокола SET.

Протокол SET (Secure Electronic Transaction) был разработан консорциумом во главе с Visa и Master Card. Официальной датой рождения стандарта SET является 1 февраля 1996 г. В этот день Visa International и MasterCard International совместно с рядом технологических компаний (включая IBM, GlobeSet) объявили о разработке единого открытого стандарта защищенных Интернет-расчетов. SET представляет собой набор протоколов, предназначенных для использования другими приложениями (такими, как Web-браузер). Он был рекомендован как стандарт обработки транзакций, связанный с расчетами за покупки по кредитным картам в Интернет.

В декабре 1997 г. была создана некоммерческая организация SETCo LLC, призванная координировать работы по развитию стандарта и осуществлять тестирование и сертификацию предлагаемого на рынке программного обеспечения с целью контроля над соответствием этого программного обеспечения спецификациям SET.

В основе системы безопасности, используемой SET, лежат стандартные криптографические алгоритмы DES (Data Encryption Standard — стандарт шифрования данных) и RSA (Rivest-Shamir-Adleman — алгоритм цифровой подписи Райвеста-Шамира-Адлемана). Инфраструктура SET построена в соответствии с инфраструктурой открытого ключа (Public Key Infrastructure, PKI) на базе сертификатов, соответствующих ISO-стандарту X.509. Протокол SET не привязан ни к HTTP, ни к Web-коммерции. Его можно использовать с самыми различными протоколами. SET шифрует сами сообщения, а не канал связи, как, например. SSL. Оригинальный протокол SET подразумевает следующую схему взаимодействия между участниками процесса платежа в Интернете.

Владелец карточки и магазин устанавливают у себя программное обеспечение - Cardholder Wallet и Merchant Server соответственно. Эквайер должен установить себе Payment Gateway.

Всем участникам необходимо получить Certificate Authority так называемые сертификаты, которые используются для формирования цифровых подписей и шифрования данных. Для этого участники запрашивают и получают сертификаты от сертифицирующих организаций (SETCo). SET-сертификат Интернет-Магазина содержит идентификационные параметры торговой точки. SET-сертификат Покупателя – это электронный документ, который содержит зашифрованные параметры платежной карты (её номер, имя владельца и т. д.).

Чтобы однозначно идентифицировать друг друга, все участники системы должны обменяться цифровыми SET-сертификатами. Интернет-Магазин предъявляет свой сертификат в качестве удостоверения. Покупатель в свою очередь также предъявляет SET-сертификат. Эта процедура заменяет ввод данных о кредитной карте и, следовательно, обеспечивает защиту информации о карте от злоумышленников. При этом очень важно, что номер карточки остается скрытым от магазина. Тем самым ставится заслон на пути хакеров и недобросовестных администраторов Интернет-магазинов, ворующих номера карточек.

Преимущества использования SET:

продавцы защищены от покупок с помощью неавторизованной платежной карточки и от отказа от покупки; продавцы видят только информацию о приобретаемых предметах, но не данные о счете клиента

банки защищены от неавторизованных покупок; банки видят только информацию о лицевом счете клиента, но не информацию о покупаемых товарах.

клиенты не пострадают от перехвата номера кредитки и от покупки у несуществующих продавцов. Недостатки использования SET:

Дороговизна решения и высокие эксплуатационные расходы

Внедрение защиты с помощью протокола SET весьма сложное дело, влекущее за собой существенные изменения в уже работающем программном обеспечении магазинов и эквайеров.

Очень существенный минус в том, что владельцу карточки требуется установить на свой компьютер довольно сложный в настройке Cardholder Wallet. Оригинальный SET предполагает, что все участники платежа в Интернете (владелец карточки, магазин, банк-эквайер) получили в Certificate Authority так называемые сертификаты, что существенно усложняет процедуру покупки и приводит к удорожанию транзакций. Стандарт MIA SET - это несколько упрощенный вариант протокола SET (Secure Electronic Transaction).

Полноценное использование SET-технологий, предполагает наличие SET-сертификатов у всех участников сделки. Но существует также упрощённый вариант – технология MIA SET, которая также признана международными платёжными систeмами.

MIA SET предполагает, что владельцу карточки и магазину не нужно устанавливать у себя сложного программного обеспечения. Фактически, Cardholder Wallet перекочевывает на сервер эмитента, а Merchant Server - на сервер эквайера. Эмитент и эквайер обмениваются между собой по SET от имени владельца карточки и магазина. Эмитент при этом может на свое усмотрение использовать любые средства идентификации владельца карточки (пароль, смарт-карта и т.д.). Это же правило распространяется и на эквайера при идентификации магазина. Благодаря этому MIA SET более прост во внедрении и эксплуатации чем традиционный SET. Важно отметить, что Visa объявила о том, что некогда популярный протокол SET уже не отвечает современным требованиям безопасности и должен быть замещен более совершенными системами, такими как — Verified by Visa, работающий на основе протокола 3D Secure и Secure Payment Application (SPA) от MasterCard.

4.2. Стандарт SPA/USAF от MasterCard International.

Корпорация MasterCard International представила Secure Payment Application (SPA) - новое решение для обеспечения безопасности кредитных и дебетовых платежей между владельцами карточек, продавцами и финансовыми учреждениями. SPA является последней новинкой в ряду интернет-решений MasterCard в сфере защиты всех сторон, участвующих в онлайновых денежных операциях - владельца карточки, продавца и эмитента карточки.

SPA представляет собой схему обеспечения безопасности, которая использует преимущества инфраструктуры Universal Cardholder Authentication Field (UCAF) корпорации MasterCard. UCAF это система передачи данных, способная, сопоставив данные банка-эмитента карты и информацию, известную онлайн-продавцу, гарантировать, что сделка осуществляется реальным держателем карты. В системе USAF существует 23-байтное поле, закрытое шифром от торговой точки и эквайрера. Оно передается от держателя карты к эмитенту через торговую точку и эквайрера, которые не имеют доступа к шифру. Эмитент производит авторизацию. Таким образом, торговая точка с минимальными усовершенствованиями получает гарантию оплаты, что является одним из ключевых моментов в электронной торговле. При этом, инфраструктура UCAF поддерживает транзакции как с кредитными картами MasterCard, так и с дебетовыми картами Maestro. Следует заметить, что USAF поддерживает множество приложений для идентификации и защиты эмитента, включая SPA, смарт-карты и многое другое. Сочетание UCAF и SPA позволяет удостоверить личность владельца счета, генерирует и передает подтверждение, что, сделка авторизована законным владельцем, и создает основу для гарантии платежа электронным торговым предприятиям.