Sistemi plaćanja preko Interneta [Read-Only] Sistemi plaćanja preko Interneta Glavna razlika izme đu ova dva sistema je u tome što sistemi zasnovani na tokenima omogu ćavaju anonimnost,

Elektronsko bankarstvo

Sistemi plaćanja preko Interneta


� Metode koje su razvijene za obavljanje plaćanja preko Interneta predstavljaju elektronsku verziju tradicionalnih sistema plaćanja: čeka, keša i platne kartice.

� Osnovna razlika između elektronskih i tradicionalnih sistema plaćanja je u tome što su elektronski sistemi plaćanja u potpunosti elektronski i digitalni.


� Neophodno je praviti razliku između elektronskog plaćanja i elektronskih transakcija.

� Dok elektronsko plaćanje podrazumeva transferisanje novca, elektronske transakcije uključuju isporuku, plaćanje, potvrdu plaćanja, potvrdu o primljenoj porudžbini itd.

� Plaćanje prema tome predstavlja samo deo interakcije sa servis provajderom, a sistem koji implementira elektronsku trgovinu mora da implementira i ostale delove elektronskih transakcija.


� Glavni problem kod plaćanja preko Interneta je nedostatak bezbednosti.

� Ipak procenat krađa i falsifikata je zanemarljiv u odnosu na promet koji se ostvaruje, iako postoji tendencija njihovog rasta, koja izaziva strah kod poslovnog sveta.


� Postoje u najmanju ruku dve grupe učesnika u elektronskim transakcijama koji imaju slične zahteve u pogledu sigurnosti.

� Prva grupa učesnika uključuje kupce i trgovce koji imaju gotovo iste želje i strahove u pogledu mehanizama elektronskog plaćanja.

Zahtevi prve grupe učesnika:

� Bezbednost. Elektronski novac je samo podatak koji se može jednostavno kopirati. Potrebno je obezbediti sigurnost da niko ne može preusmeriti plaćanje ili se predstaviti kao druga osoba u nameri da ukrade sredstva sa tuđeg računa. Nijedan učesnik u sistemu ne mora da veruje drugom učesniku. Bezbednost koju garantuje jedna strana mora biti javno potvrđena.

� Prihvatljivost. Širok opseg učesnika treba da prihvata određani metod plaćanja.

� Pogodnost. Na primer, za plaćanje malih iznosa potrebne akcije za vreme transakcije treba da budu minimalne. Ovo se odnosi ne samo na napore koje učesnik treba da uloži, već i na brzinu procesuiranja transakcije. Pogodnost uključuje: brzinu, pouzdanost, mogućnost peer-to-peer plaćanja i minimalni specifični softver.

� Troškovi. Poželjno je da transakcije ne zahtevaju nikakve dodatne troškove, naročito kada se radi o malim iznosima transakcija. Transakcioni troškovi uključuju direktne troškove koje imaju kupci, trgovci i posrednici, kao i troškove obrade transakcija.

� Privatnost. Za razliku od plaćanja gotovim novcem, gde niko ne može da prati izvršene transakcije, kod elektronskog plaćanja to najčešće nije slučaj.

� Izdrživost. Elektronski novac ne bi smeo lako da se izgubi, na primer usled pada sistema na računaru.


� Drugu grupu učesnika čine finansijske institucije koje obezbeđuju usluge koje omogućavaju izvršavanje transakcija, te zakonska i regulatorna tela, koja imaju svoje zahteve u pogledu mehanizama plaćanja:� Trenutna kontrola. Finansijske institucije

zahtevaju sistem u kom se transakcije kontrolišu pojedinačno, tako da svaki pokušaj bezbednosnog napada može biti identifikovan što je pre moguće.

� Mogućnost praćenja. Finansijske institucije zahtevaju sistem koji omogućava praćenje transakcija, tako da u slučaju da se otkrije zloupotreba počinilac može biti identifikovan. To je posebno značajno za praćenje internacionalnog toka fondova i pranja novca.

� Kontrola korišćenja mehanizama enkripcije. Ovo je ključna briga vlade i zakonskih tela.


� Mnogi od prethodno nabrojanih zahteva i strahova međusobno su kontradiktorni, što znači da se sve osobine idealanog sistema ne mogu realizovati istovremeno.

� Na primer, konflikt postoji između želje za privatnosti i anonimnosti sa jedne strane, i želje da posrednici mogu da uđu u trag izvršenim transakcijama.

Svi sistemi plaćanja mogu se klasifikovati u dve kategorije:

� sisteme zasnovane na bankovnom računu � sisteme zasnovane na tokenima


� Glavna razlika između ova dva sistema je u tome što sistemi zasnovani na tokenima omogućavaju anonimnost, dok sistemi zasnovani na računu to ne omogućavaju.

� Korišćenje platnih kartica je trenutno najpopularniji metod za plaćanje preko Interneta, ali predstavlja sistem zasnovan na računu, tako da banka jednostavno može da vidi koliko plaća korisnik kartice, kome plaća, kada i gde plaća.


� To omogućava profiliranje korisnika na osnovu njihovih potrošačkih navika korišćenjem matematičkih tehnika kao što je data mining.

� Ako se lične informacije nađu u pogrešnim rukama, mogu biti korišćene za oglašavanje slanjem junk maila.


� Za uspeh nekog sistema plaćanja potrebno je da svi učesnici u sistemu ostvare korist od njegovog korišćenja, što znači da korist svakog učesnika mora da bude veća od troškova i rizika kojem su izloženi.

� Drugi uslov je da sistem dostigne kritičnu masu učesnika, kako kupaca tako i trgovaca.

� Pozitivni efekti mogu da se ostvare samo onda kada ima dovoljno učesnika u sistemu.


� Upravo je ovo glavni razlog neuspeha prve generacije sistema mikroplaćanja.

� Primer uspeha PayPal kompanije, koja je u početku bila mala kompanija, ali savez sa eBay aukcijskim sajtom je omogućio pristup kritičnoj masi kupaca i prodavaca.


� Slanje elektronskog novca preko otvorenih mreža nosi sa sobom određene bezbednosne probleme, kao što su poverljivost, autentifikacija, očuvanje integriteta, ne-poricanje transakcije, anonimnost i sprečavanje dvostrukog trošenja novca.

� Novac pre svega treba da bude nečitak za neautorizovana lica, što znači da mora biti enkriptovan korišćenjem matematičke transformacije pomoću ključa.


� Da bi se sprečilo da neko drugi kreira sličan novac potrebna je autentifikacija.

� Svrha digitalnih potpisa je da obezbede autentifikaciju pošiljaoca i poruke, tj. da obezbede dokaz da poruka potiče od pošiljaoca i da sadržaj poruke nije izmenjen.

� Primalac poruke proverava digitalni potpis dešifrovanjem potpisa i poruke.

� Ovo se naziva verifikacija.


� Sistemi elektronskog plaćanja treba da otkriju i onemoguće dvostruko trošenje elektronskog novca.

� U tom cilju trgovac zahteva komunikaciju sa bankom za svaku transakciju.

� Na računaru banke nalazi se baza podataka sa informacijama o utrošenom elektronskom novcu, kako bi se jednostavno otkrio novac koji je već potrošen.

� Ako računar otkrije da je novac potrošen o tome obaveštava trgovca, koji odbija traženu prodaju.


� Drugi način za sprečavanje dvostrukog trošenja novca je korišćenje smart kartice koja sadrži čip u kom se nalazi mini baza podataka sa podacima o svim utrošenim tokenima.

� Ako korisnik smart kartice pokuša da kopira neki elektronski novac kako bi ga dva puta potrošio, čip će otkriti ovaj pokušaj i neće dozvoliti transakciju.

� Korisnik ne može da izbriše ovu mini bazu podataka koja se nalazi u čipu, bez trajnog oštećenja kartice.

Platna kartica

� Razvijeni su različiti sistemi za korišćenje platnih kartica preko Interneta, koji se razlikuju po nivou sigurnosti što ovi sistemi obezbeđuju.

� Moguće je slanje neenkriptovanih ili enkriptovanih podataka sa platne kartice preko Interneta.

Platna kartica

� U prvom slučaju nema bezbednosnih garancija za obavljanje transakcija.

� Neko može da nadgleda mrežu i da presretne podatke koji se prenose mrežom, ili beskrupulozni trgovac, odnosno neko ko se predstavlja kao trgovac, može da iskoristi neenkriptovane podatke za nelegalno plaćanje tuđom platnom karticom.

Platna kartica

� U slučaju enkriptovanja podataka trgovac mora da dekriptuje podatke koji se odnose na narudžbinu, a treća poverljiva strana se koristi za dekriptovanje podataka sa platne kartice u cilju obavljanja autorizacije narudžbine.

� Da bi vršio obradu informacija sa platnih kartica, trgovac na svom serveru treba da ima, najmanje CGI skript, koji se uglavnom koristi za razmenu informacija između servera i baze podataka.

Platna kartica

� Međutim, u cilju obezbeđenja sigurnijih komunikacija preko Interneta koriste se sigurnosni protokoli, kao što je npr. SSL.

� Korišćenje servera i pretraživača koji podržavaju ovaj protokol štiti podatke od mrežnog nadgledanja i špijuniranja, ali ne garantuje zaštitu podataka na strani trgovca.

Platna kartica uz korišćenje SSL protokola

� U proces obrade transakcija iniciranih pomoću platnih kartica uključeni su sledeći učesnici:� kupac koji poseduje platnu karticu� finansijska institucija koja je izdala

karticu, koja vrši autorizaciju transakcija

� trgovac koji ima svoj veb sajt, i ima račun u banci (Merchant Account) koji mu omogućava prihvatanje plaćanja pomoću platne kartice

� posrednik pri plaćanju – TGP (Transaction Gateway Provider)

Da bi se izvršio proces plaćanja potrebno je izvršiti sledeće korake:� kupac posećuje veb sajt trgovca, i u

virtuelnu potrošačku korpu stavlja proizvode i usluge koje želi da naruči

� nakon toga odlazi na zaštićenu stranu (SSL), unoseći svoje lične podatke, adresu isporuke, kao i podatke koji se tiču plaćanja pomoću platne kartice

� kada su svi podaci uneti klikom na odgovarajuće dugme kupac ih prosleđuje ka serveru trgovca

� na serveru trgovca nalazi se specijalni softver koji je dobjen od TGP, koji podatke šalje do TGP

� TGP uz posredstvo banke koja je izdala platnu karticu vrši autorizaciju transakcije, tj. proverava da li kupac ima dovoljno raspoloživog novca na računu, odnosno da li je kreditno sposoban, ako se radi o kreditnoj kartici.

� ukoliko je autorizacija uspešno izvršena, potvrdu o tome TGP prosleđuje trgovcu

� kupčeva banka transferiše sredstva sa računa kupca na račun trgovine


� Problem kod sistema plaćanja zasnovanih na korišćenju SSL protokola je bezbednost na strani servera.

� S obzirom da se brojevi platnih kartica prosleđuju do servera trgovca, postoji mogućnost da trgovac odluči da ih sačuva u bazi podataka.


� Ukoliko neko uspe da neautorizovano pristupi serveru trgovca, moći će da vidi sve brojeve platnih kartica koji se nalaze u bazi podataka.

� Na ovaj način se stvara mogućnost da trgovac ili njegov administrator servera neautorizovano iskoristi brojeve platnih kartica.

Platna kartica uz korišćenje SET protokola

� Trgovac koji je na osnovu prethodne provere identiteta i platne sposobnosti otvorio račun kod banke, odnosno finansijske institucije, dobija SET softver za obavljanje plaćanja koji integriše u svoj postojeći veb sajt, i digitalni sertifikat koji ga jedinstveno identifikuje.

� Potrošač od banke ili odgovarajuće finansijske institucije, nakon provere identiteta i platne sposobnosti, dobija digitalnu platnu karticu koja predstavlja njegov digitalni sertifikat.

SET

� Ovu digitalnu platnu karticu potrošač stavlja u tzv. browser wallet, odnosno pomoćnu aplikaciju za veb pretraživač pomoću koje kupac prosleđuje enkriptovani broj platne kartice sa digitalnim potpisom do trgovca.

� Ova aplikacija generiše poruke u SET standardu koje može da prihvati SET trgovca, gateway za plaćanje i CA.

SET

� Na ovaj način trgovac je sprečen da vidi i neautorizovano koristi broj platne kartice kupca.

� Nakon toga SET softver na njegovom serveru šalje transakciju do procesora platne kartice, tzv. gateway aplikacije za plaćanje gde se dešifruje, obrađuje i verifikuje uz pomoć CA.

SET

� Procesor, zatim, šalje transakciju do finansijske institucije koja je izdala platnu karticu, koja takođe poseduje SET softver, u cilju obavljanja autorizacije.

� Trgovac elektronski dobija potvrdu da je narudžbina odobrena i da je račun vlasnika platne kartice zadužen, i tek tada izvršava isporuku.

SET

� SET je predstavljao idealnu soluciju za enkripciju, vršeći autentifikaciju svih učesnika i obezbeđujući poverljivost podataka i proveru integriteta poruke.

� SSL u formi u kojoj se najčešće implementira, ne zahtevajući sertifikat sa javnim ključem od kupca, je manje savršen jer, iako se ostvaruje poverljivi prenos podataka, kupac se ne autentifikuje.

SET

� SSL se, za razliku od SET protokola koji je napušten od strane njegovih kreatora, i dalje uspešno koristi, jer svi učesnici u transakcijama ostvaruju korist koja je veća od njihovih troškova, dok SET protokol zahteva od potrošača dodatne troškove za dobijanje digitalnog sertifikata sa javnim ključem, što je verovatno glavni razlog za neuspeh ovog protokola.

3-D Secure model

� Iako je SET protokol zadovoljio sve tehničke zahteve u pogledu povećanja bezbednosti svih učesnika u elektronskim transakcijama, ipak nije uspeo da se nametne kao standard i da zameni SSL/TLS protokol.

� Proces njegove implementacije je isuviše komplikovan, jer je zahtevao instalaciju digitalnog sertifikata i odgovarajućeg softvera na strani kupca, kao i značajna finansijska ulaganja na strani trgovca i banke prilikom instalacije SET softvera.

3-D Secure model

� Usled toga su Visa i MasterCard, pet godina nakon objavljivanja SET specifikacije, pokušali da dođu do novog rešenja na osnovu prethodno stečenih iskustava, kako bi povećali bezbednost plaćanja preko Interneta.

� Visa je razvila sistem nazvan 3-D Secure, a MasterCard sistem pod nazivom Secure Payment Application (SPA).

3-D Secure model

� 3-D Secure (Three-Domain Secure) model treba da omogući izdavaocu platnih kartica da izvrši autentifikaciju korisnika kartice prilikom naručivanja preko Interneta, smanjujući verovatnoću prevare i unapređujući izvršenje čitavog procesa transakcija.

3-D Secure model

� 3-D Secure je, prema tome, protokol za elektronsku trgovinu koji treba da omogući bezbedne transakcije za plaćanja preko Interneta.

� Visa je licencirala ovaj protokol nudeći ga ostalim brendovima platnih kartica, kao standard za globalnu interoperabilnost u postupku autentifikacije prilikom plaćanja.

3-D Secure model

� 3-D Secure protokol koristi moć TLS tehonlogije, koja je inkorporirana u većinu pretraživača koji se trenutno koriste.

� Na taj način 3-D Secure obezbeđuje poverljivost informacija, osigurava integritet poruka u procesu plaćanja, i vrši autentifikaciju korisnika kartica.

3-D Secure model

� Korisnik kartice prilikom kupovine preko Interneta se obično autentifikuje pomoću tajnog pasvorda vezanog za njegovu karticu.

3-D Secure model

� On se prethodno prijavljuje za učešće u sistemu, odnosno aktivira postojeću Visa karticu za uslugu Verified by Visa, pri čemu određuje svoj lični pasvord koji koristi prilikom svakog plaćanja.

� Ova usluga je besplatna za sve korisnike Visa kartica.

3-D Secure model

� Sistem obezbeđuje i link forgot your password na koji korisnik može da klikne u slučaju da je zaboravio svoj pasvord ili jednostavno želi da ga promeni.

3-D Secure model

� Korisnik može svoju Visa karticu aktivirati za uslugu Verified by Visa na dva načina: direktno na sajtu Visa pri čemu unosi svoj broj računa i kreira lični pasvord, koji se preuzimaju preko sigurnog servera, ili za vreme kupovine kada naiđe na poruku na sajtu trgovca, u kojoj Visa nudi mogućnost aktiviranja ovog servisa.

3-D Secure model

� Korisnik kartice, za razliku od SET protokola, ne mora da ima instaliran dodatni softver.

� Od njega se zahteva samo da poseduje pretraživač.

3-D Secure

� Jednostavnost i fleksibilnost implementacije sistema, i mogućnost bezbednog prenosa informacija utiče na:� porast poverenja potrošača, što vodi

povećanoj prodaji� veće poverenje trgovaca u plaćanje

pomoću kartica, posebno u međunarodnim transakcijama

� smanjenje sporova koji se vode između korisnika kartica i on-line trgovaca, i troškova vezanih za ove sporove

� globalnu podršku� korišćenje SSL/TLS enkripcije� mogućnost uključivanja smart kartica u

ovaj sistem, što uvodi dodatnu sigurnost da je kartica fizički prisutna za vreme transakcije

Koristi za trgovca uključuju:

� smanjuje se rizik od mogućih prevara � raste obim prodaje zbog većeg poverenja

potrošača u transakcije preko Interneta

Prednosti za korisnika kartice su:

� jednostavnost korišćenja čitavog sistema, pri čemu nije neophodna instalacija dodatnog softvera ili hardvera

� porast sigurnosti u on-line transakcijama

Prednost za banku izdavaoca kartica je u tome što:

� banka proširuje asortiman svojih usluga učestvujući u procesu autentifikacije transakcija koje se obavljaju preko Interneta, što smanjuje broj prevara

� jača njena veza sa komitentima

3-D model deli sistem plaćanja na 3 domena:

� Domen izdavaoca (Issuer Domain) –sistemi i funkcije izdavaoca kartica i njegovih korisnika

� Domen primaoca (Acquirer Domain) –sistemi i funkcije finsijskih organizacija koje prihvataju plaćanje ovim karticama, i njihovih korisnika (trgovaca)

� Domen za interoperabilnost (Interoperability Domain) – sistemi, funkcije i poruke koje omogućavaju interoperabilnost ova dva prethodna domena širom sveta.

U domenu izdavoca:

� Korisnik kartice, koji kupuje on-line, pri čemu šalje informacije o svom imenu, broju kartice, datumu isteka važnosti kartice, direktno ili pomoću softvera kao što je digitalni novčanik (engl. digital wallet) koji omogućava veću brzinu za finaliziranje transakcije. Pored toga, korisnik kartice treba da obezbedi i informaciju koja je neophodna da bi se izvršila autentifikacija, kao što je pasvord.

U domenu izdavoca:

� pretraživač korisnika kartice koji služi kao kanal za prenos poruka između dodatka, tzv. Plug-in-a koji se nalazi na trgovčevom serveru (u domenu primaoca) i servera za konrolu pristupa – ACS (Access Control Server) u domenu izdavaoca.

U domenu izdavoca:

� Dodatne hardverske ili softverske komponente koje mogu dopuniti mogućnosti pretraživača. Na primer, implementacija smart kartice zahteva instalaciju dodatnog softvera i čitača kartice.

U domenu izdavoca:

� Izdavalac kartica odnosno finansijska institucija član Visa grupe, koja izdaje Visa kartice korisnicima. Izdavalac odlučuje o podobnosti korisnika kartice za učešće u 3-D Secure sistemu. Izdavalac prosleđuje brojeve kartica korisnika kojima je omogućeno učešće u ovom sistemu ka Visa Directory serveru. Izdavalac vodi spisak svih korisnika kartica preko servera za kontorlu pristupa, preko posebnog servera za vođenje spiska ili ručno.

U domenu izdavoca:

� Server za kontorlu pristupa – ACS, čiji je zadatak da izvrši autentifikaciju korisnika kartice prilikom svake transakciju.

U domenu primaoca:

� Trgovac koji pored softvera koji preuzima broj kartice, ima i Plug-in na serveru koji inicira proces autentifikacije. Nakon izvršene autentifikacije, trgovčev softver prosleđuje zahtev za autorizaciju svojoj banci.

U domenu primaoca:

� Plug-in na serveru trgovca kreira i procesuira poruku za autentifikaciju, i vraća kontrolu na softver trgovca. Plug-in može da proverava validnost digitalnog potpisa na poruci dobijenoj od izdavaoca kartice u kojoj se nalazi potvrda o izvršenoj autentifikaciji. Alternativno ovu proveru može da izvrši banka trgovca ili treća nezavisna strana.

U domenu primaoca:

� Banka primalac, koja je sklopila ugovor sa trgovcem o prihvatanju Visa kartica. Banka odlučuje o podobnosti trgovca za učešće u 3-D Secure sistemu. Ona prima zahtev za autorizaciju od trgovca, prosleđuje ga u sistem za autorizaciju, kao što je VisaNet, i odgovor vraća trgovcu. Nakon toga kompletiranu transakciju šalje u sistem za obračun (npr. VisaNet). VisaNet je sistem kroz koji Visa obavlja procesuiranje on-line finansijskih transakcija, autorizaciju, kliring i obračun za svoje članove.

U domenu za interoperabilnost:

� Visa Directory Server, kojim upravlja Visa i koji prima zahteve od trgovaca za proveru određenog broj kartice. Visa Directory Service obezbeđuje interfejs koji koriste trgovci da bi proverili da li je korisnik kartice na spisku za korišćenje 3-D Secure sistema, a zatim prosleđuju zahtev za autentifikaciju korisnika kartice do odgovarajućeg servera za kontrolu pristupa ili direktno šalju odgovor trgovcu.


� Komercijalno sertifikaciono telo (Commercial Certificate Authority) koje generiše sertifikate učesnicima u 3-D Secure sistemu, kao što su SSL/TLS klijent i server sertifikati.

� Visa Certificate Authority, koji generiše i distribuira Visa Root digitalne sertifikate učesnicima u 3-D Secure sistemu.


� Server na kom se nalazi istorija svih izvršenih autentifikacija (Authentication History Server), a kojim upravlja Visa. Ovaj server prima poruke od odgovarajućeg servera za kontrolu pristupa prilikom svakog pokušaja autentifikacije i arhivira ih, kako bi bile raspoložive u slučaju naknadnog spora.


� VisaNet prima zahtev za autorizaciju od banke trgovca i prosleđuje je banci izdavaocu kartice, i obezbeđuje uslugu kliringa i obračuna između ove dve banke.

Proces plaćanja odvija se u nekoliko koraka:

� Kupac dolazi na sajt trgovca koji ima oznaku Verified by Visa i nakon izbora odgovarajuće robe i usluga unosi svoj broj kartice.

� Plug-in softver koji se nalazi na serveru trgovca, a koji je trgovac dobio od svoje banke prilikom uključivanja u 3-D Secure sistem i inkorporirao ga u svoj sajt, se aktivira i prosleđuje broj računa kupca ka Visa Directory Serveru. Visa Directory je mrežni registar koji obezbeđuje informacije o bankama izdavaocima, koje su članice programa Verified by Visa.

Proces plaćanja

� Visa Directory Server proverava da li je moguća autentifikacija korisnika kartice. Ukoliko se korisnik kartice nalazi na odgovarajućem spisku, što znači da je moguće izvršiti njegovu autentifikaciju, šalje se povratna poruka sa instrukcijama o tome kako kontaktirati ACS banke koja je izdala karticu. Ako se broj kartice ne nalazi na spisku, Visa Directory Server vraća transakciju trgovcu.

Proces plaćanja

� Plug-in softver prosleđuje zahtev za autentifikaciju do ACS banke. Na osnovu adrese servera banke dobijene iz Visa Directory sistema, Plug-in usmerava pretraživač kupca na server banke izdavaoca kartice. U pretraživaču kupca se otvara novi prozor za identifikaciju, u koji kupac treba da unese svoj lični pasvord. Server za kontrolu pristupa može vršiti autentifikaciju korisnka kartice, na osnovu unetog pasvorda ili koristeći neki drugi metod za autentifikaciju, kao npr. pomoću Visa smart kartice. ACS formatizuje i digitalno potpisuje odgovor o izvršenoj autentifikaciji i vraća ga ka Plug-inu. Takođe, ACS šalje odgovarajuće podatke do servera na kom se nalazi baza podataka sa istorijom svih izvršenih autentifikacija.

Proces plaćanja

� Plug-in proverava digitalni potpis na poruci samostalno, ili uz pomoć odvojenog servera za proveru ispravnosti (Validation Server).

� Ako je autentifikacija uspešno izvršena, trgovac prosleđuje zahtev za autorizaciju preko VisaNet sistema do banke trgovca.

Proces plaćanja

� Banka trgovca vraća odgovor o izvršenoj autorizaciji trgovcu.

� Trgovac javlja kupcu da je transakcija uspešno izvršena.

3-D Secure

� 3-D Secure sistem treba da omogući bezbednost komunikacionog kanala između korisnika kartice i izdavaoca kartice korišćenjem sertifikata i najjačom kriptografijom koju kupčev pretraživač podržava.

� Pri tom je moguće korišćenje SSL ili TLS protokola.

� Takođe, neophodno je osigurati bezbedne komunikacione kanale između ostalih učesnika uz korišćenje kriptografije.

3-D Secure

� Za obezbeđenje tajnosti poruka, kao i autentifikaciju pošiljalaca i primalaca poruka, koriste se sledeće tehnologije:

� ID i pasvord� šifriranje pomoću javnog ključa � digitalni sertifikati� digitalni potpisi� SSL/TLS� hardverski bezbednosni moduli

Elektronski čekovi

� Elektronski ček predstavlja elektronski ekvivalent papirnog čeka i u gotovo svim aspektima ima karakteristike papirnog čeka.

�Ček, u suštini, predstavlja poruku kupčevoj banci da izvrši transfer fondova sa računa kupca na račun trgovca.

Elektronski čekovi

� Kupac koji vrši plaćanje pomoću elektronskog čeka digitalno potpisuje obrazac koji sadrži opis transakcije, informacije o platiocu i primaocu, iznos i vremenski pečat, tj. kombinaciju datuma i vremena odigravanja transakcije preuzete iz sistema.

Elektronski čekovi

� Pošiljalac čeka može da se zaštiti od prevare kodiranjem broja svog računa bančinim javnim ključem, što elektronski ček čini superiornijim u odnosu na papirni ček.

Elektronski čekovi

� Digitalni sertifikati, kao i kod SET protokola, mogu biti korišćeni za autentifikaciju kupca, kupčeve banke i bankovnog računa.

� Po svojoj definiciji ovaj sistem plaćanja nije anoniman.

� Ovaj problem se može rešiti uvođenjem treće poverljive strane, koji se naziva server plaćanja.

Elektronski čekovi

� Kupac i trgovac registruju svoje račune kod servera plaćanja.

� Kupac svoju uplatu šalje serveru koji transferiše fondove na račun trgovca i obaveštava trgovca o izvršenoj uplati, nakon čega trgovac može da izvrši isporuku robe ili usluga.

� S obzirom da je server plaćanja poverljiva strana, može da funkcioniše kao posrednik između banke i kupca, krijući informacije o načinu plaćanja i od banke.

Digitalni keš

� Digitalni keš, ili elektronski keš, je sistem koji se najbolje uklapa u mogućnost obavljanja transakcija koje uključuju male novčane iznose.

� Može biti izdat u veoma malim apoenima koji se koriste za sitna plaćanja, odnosno mikrotransakcije.

Digitalni keš

� Digitalni keš, u formi validiranih tokena predstavlja u stvari niz cifara koje i izdaje i otkupljuje banka.

� Banka validira svaki token digitalnim pečatom pre izdavanja korisniku čiji račun zadužuje za vrednost izdatih tokena.

Digitalni keš

� Kada kupac plaća digitalnim kešom dovoljno je da prebaci odgovarajući iznos tokena trgovini, koja ih zatim prosleđuje banci radi verifikacije i otkupa.

� Banka evidentira serijski broj svakog potrošenog tokena da bi bila sigurna da je token korišćen samo jedanput.

� Ako je serijski broj tokena već zapisan u odgovarajućoj bazi podataka banka izveštava trgovca da je token bezvredan i da neko pokušava ponovo da ga iskoristi.

Digitalni keš

� Digitalni keš može biti izdat u veoma malim apoenima, tzv. mikrokeš, koji se koristi za plaćanje sitnih transakcija, npr. za iznajmljivanje softvera, on-line igrice i sl.

� Međutim, troškovi provere autentičnosti svakog tokena su relativno visoki, što dovodi u pitanje pogodnost ovog sistema za mikroplaćanja.

Digitalni keš

� Postoji više sistema za mikroplaćanja. � Prva generacija ovih sistema se pojavila

1994. godine i uključuje sisteme kao što su Cybercoin, DigiCash, E-cash itd.

� Početkom 21. veka pojavljuju se sistemi druge generacije kao što su Wallie, Peppercoin, Click&Buy, Micromoney, veb Cent, PaySafeCard itd.

Mondex

� Firma Mondex U.K., koja je, nakon kupovine kontrolnog paketa akcija od strane kompanije MasterCard, postala deo ove kompanije, u saradnji sa AT&T korporacijom uvela je njihov sistem smart kartica u oblast mikroplaćanja.

Mondex

� Mondex je prvobitno razvijan kao off–line sistem, koji se sada prilagođava Internetu.

� Mondex je, u celini, zasnovan na karticama sa mikročipom, a jedinstven je po tome što omogućava transfer s kartice na karticu.

Mondex

� Kao što je to slučaj kod E–Cash sistema, i Mondex koristi sertifikate koji glase na donosioca — novac se smešta na korisnikovu karticu.

� Glavna razlika između E–Casha i Mondexa je u tome što se Mondex novac može prenositi sa jedne kartice na drugu beskonačan broj puta, bez potrebe nekog centralizovanog kliringa ili verifikacije od strane neke banke.

Mondex

� Prema tome, Mondex je od svih sistema digitalnog novca najpribližniji realnom novcu.

� Ključna razlika između Mondexa i realnog novca je u mogućnosti praćenja transakcija koju pruža Mondex.

� Mondex kartice evidentiraju svaku transakciju putem jedinstvenog identifikatora, koji se kasnije može koristiti za praćenje transakcija, ako je to potrebno.

Mondex

� Korisnici preuzimaju digitalni keš iz banke uključene u Mondex sistem na svoju smart karticu.

� Kada korisnici žele da naruče robu ili usluge od trgovine u čiji je sajt uljučena Mondex opcija, ubacuju karticu u čitač kartice i obavljaju transfer odgovarajućeg iznosa do trgovca.

Mondex

� Prednost Mondexa je što se ista kartica može koristiti i on-line i za plaćanja u realnom svetu, i što se pomoću kartice mogu obavljati i mikrotransakcije.

� Osnovni problem ovog sistema je što kupac mora da poseduje čitač kartice koji ugrađuje u svoj personalni računar.

Mondex

� Ključni momenat kod Mondexa je bezbednost, koja postoji u dva primarna aspekta sistema: hardveru na kartici i procesu prenosa vrednosti.

� Mondex garantuje bezbednost sitema zasnovanog na karticama sa mikročipom.

� Suština Mondexove hardverske bezbednosti je da digitalni novac ne može da egzistira nigde osim na Mondex kartici.

Mondex

� Nijedna druga kartica sa čipom ili hardverski uređaj koji se predstavlja kao Mondex kartica ne može da komunicira sa pravom Mondex karticom.

� Mondex sistem otkriva lažne kartice i odbija da izvrši transfer novca na njih, što se zasniva na činjenici da se na svakoj kartici nalazi Mondexov digitalni potpis.

Mondex

� Sam proces transfera je takođe, krajnje bezbedan.

� Kada se na primer, obavlja transfer između potrošača i trgovca, dve kartice ne samo da međusobno proveravaju autentičnost, već se transfer obavlja u sekvencama, tako da novac ne može istovremeno da egzistira na dva mesta.

Mondex

� Novac se oduzima sa potrošačeve kartice pre nego što se upisuje na trgovčevu karticu.

� Transfer ne može da funkcioniše ni na koji drugi način.

Mondex

� Značajan nedostatak ovog sistema je u tome što transakcije nisu u potpunosti anonimne.

� Za razliku od pre-paid telefonskih kartica, koje su takođe zasnovane na tehnologiji smart kartica, Mondex karticu nije moguće naručiti bez otkrivanja identiteta.

Mondex

� Svaka kartica ima jedinstveni identifikacioni broj, na osnovu kog je jednostavno otkriti identitet korisnika.

� Mondex kartica nije ostvarila uspeh kakav se prvobitno očekivao.

� Za razliku od tradicionalnih debitnih i kreditnih kartica, ukoliko korisnik izgubi Mondex karticu trajno će izgubiti sav novac koji je uskladišten na njoj.

Bitcoin

� Bitcoin se prvi put spominje 2008. godine u istraživačkom radu koji je objavljen pod pseudonimom Satoshi Nakamoto, a njegovo korišćenje počinje 2009. godine.

� Bitcoin je on-line sistem plaćanja zasnovan na softveru.

� Sistem koristi sopstvenu valutu koja se takođe zove bitcoin, valutu koja egzistira samo u sajber prostoru i koristi se za plaćanja preko Interneta.

Bitcoin

� Bitcoin je nova eksperimentalna valuta koja se ubrzano razvija i čije je korišćenje u konstantnom porastu.

� Bitcoin je digitalna (postoji samo virtuelno u vidu generisanih kompjuterskih kodova), decentralizovana valuta (nije pod kontrolom nijedne institucije ili administratora, a njenu vrednost regulišu njeni korisnici na Internetu).

Bitcoin

� Plaćanje funkcioniše tako što svako sa svog računara može da naručuje, plaća i da prihvata plaćanja bez posredovanja centralne institucije.

� Bitcoin koristi P2P tehnologiju što znači da korisnici direktno bez posrednika obavljaju transakcije, a emisiju bitcoina ne vrši banka ili neka centralna institucija nego sami korisnici Bitcoin mreže koji ih prave, razmenjuju i kontrolišu.

Bitcoin

� Pri tom se svako plaćanje evidentira u datoteci koja funkcioniše kao glavna knjiga, koja je javnog karaktera, i u kojoj se evidentiraju svi monetarni zapisi kojima svako može da pristupi.

� Najznačajniji deo bitcoin sistema je upravo javna glavna knjiga u kojoj se nalaze zapisi svih finansijskih transakcija u bitcoinima, a to se obavlja bez posredništva bilo kog centralnog autoriteta.

Bitcoin

� Umesto toga postoje mnogobrojni posrednici u formi računarskih servera na kojima je instalirana odgovarajuća softverska bitcoin aplikacija.

� Povezivanjem na Internet ovi serveri formiraju mrežu kojoj može bilo ko da se pridruži.

� Nazivaju ga "kripto-valutom", jer je sistem zaštićen kriptografijom koja podrazumeva korišćenje tajnog i javnog ključa.

Bitcoin

� Preporuka je da se u novčaniku na računaru, serveru ili mobilnom telefonu čuva samo manja suma novca za svakodnevnu upotrebu, a ostatak sredstava u nekom sigurnijem okruženju.

� Rezervna kopija (backup) bitcoin novčanika može da bude dobra zaštita u slučaju pada sistema na računaru ili ljudskih grešaka.

Bitcoin

� Rezervnu kopiju potrebno je praviti što češće kako bismo bili sigurni da su sve nove bitcoin adrese koje smo kreirali uvršćene u kopiju.

� Enkriptovanje novčanika omogućava nam da postavimo šifru koju je neophodno ukucati svaki put kad pokušamo da podignemo naš novac ili da platimo nešto.

� Jaka šifra treba da sadrži slova, brojeve i specijalne znakove i da ima najmanje 16 karaktera.

Bitcoin

� Bitcoin adresu kreira korisnik pomoću svog bitcoin novčanika.

� U cilju zaštite privatnosti poželjno je za svako novo plaćanje koristiti novu bitcoin adresu.

� Pored toga, poželjno je korišćenje različitih bitcoin novčanika za različite svrhe.

Posrednici plaćanja

� PayPal� VeriSign ...

PayPal

� 16. novembra 1999. g. Peter Theil je sedeo sa prijateljima u restoranu i upotrebio svoj PDA računar da prijatelju Maxu Levchinu, pošalje deo sa svog računa, koristeći program koji su zajedno napravili.

� Tada su odlučili da ga prenesu na Internet i tako je nastao PayPal, prvi sistem koji omogućava slanje novca pomoću e-maila.

PayPal

� PayPal je ubrzo postao globalni tržišni lider u oblasti on-line plaćanja.

� PayPalov servis je izgrađen na postojećoj finansijskoj infrastrukturi bankovnih računa i platnih kartica, koristeći najnaprednije sisteme za prevenciju krađa, kako bi kreirao siguran, globalni način za plaćanje u realnom vremenu.

PayPal

� PayPal vrši procesuiranje plaćanja za on-line prodavce, aukcijske sajtove i druge korporativne korisnike, za šta im naplaćuje odgovarajuću proviziju.

� Od 2002. godine PayPal je prešao u vlasništvo on-line aukcijske kompanije eBay.

� I pre toga je 50% korisnika ovoga sajta koristilo PayPal metod plaćanja, dok danas to čini 90% korisnika.

PayPal

� Nakon ovog preuzimanja, većina njegovih glavnih konkurenata prestala je sa radom ili su bili prodati.

� PayDirect servis u vlasništvu portala Yahoo! je prestao sa radom krajem 2004. godine.

PayPal

� PayPal omogućava korisniku da otvori on-line račun pomoću koga može jednostavno da šalje trenutne isplate sa različitih izvora, kao što su platne kartice, bankovni račun, ili salda na PayPal računu, raznim primaocima, kojima PayPal ne prosleđuje finansijske informacije.

PayPal

� Ukoliko korisnik nema dovoljno sredstava na računu za obavljanje celokupne transakcije, PayPal će ostatak transakcije isplatiti sledećim redosledom: � transferom sa bankovnog računa� PayPal kreditom� kreditnom/debitnom karticom� elektronskim čekom

PayPal

� Ako korisnik nema saldo na PayPal računu, može sam da izabere željeni način plaćanja svaki put kada šalje novac ili da se unapred opredeli za način koji će stalno koristiti.

� Ukoliko ima saldo na računu, a želi da izabere neki drugi način plaćanja, pre iniciranja plaćanja treba da podigne sredstva s PayPal računa.

PayPal

� Ukoliko korisnik izabere plaćanje sa njegovog bankovnog računa, PayPal će za ovu transakciju izvršiti elektronski transfer sredstava u prethodno specifikovanom iznosu, sa računa koji se nalazi u banci posredstvom ACH.

PayPal

� Za otvaranje računa i slanje para nije potrebno platiti proviziju.

� Takođe, provizija se ne plaća za podizanje para sa računa (u SAD) i deponovanje na račun.

� Proviziju plaća primalac, i to samo ako se radi o poslovnom računu, a ne i ličnom računu.

PayPal

� PayPal omogućava svojim članovima da imaju jedan lični, jedan premier i poslovni račun.

� Svaki PayPal račun mora da sadrži jedinstvenu e-mail adresu i finansijske informacije.

PayPal

� PayPal štiti svoje korisnike od neautorizovanog korišćenja : � Nakon svake izvršene transakcije

PayPal šalje e-mail potvrdu vlasniku računa sa kog su poslata novčana sredstva.

PayPal

� Kada neko primi informaciju da je sa njegovog računa izvršena transakcija koju ne prepoznaje, može da se obrati timu za podršku potrošačima, koji je dostupan u bilo koje vreme (24/7), kako bi mu pomogao da razreši situaciju.

� U slučaju da sumnja da je izvršena neautorizovana transakcija sa njegovog računa, može da pošalje žalbu pomoću odgovarajuće forme ugrađene u veb sajt.

PayPal

� Ako korisnik želi da vidi svoju istoriju transakcija i trenutni saldo na PayPal računu, kao i u slučaju sumnje u neautorizovano korišćene, može kliknuti na dugme History nakon logovanja na svoj račun na PayPalovom veb sajtu.

PayPal

� Na osnovu ugovora o zaštiti potrošača, u slučaju da korisnik prijavi, PayPal verifikuje neautorizovane transakcije sa ličnog računa, vlasniku će u potpunosti biti isplaćena odšteta.

PayPal

� Pored toga, u slučaju da su platili za robu koju nikad nisu dobili, ili se roba koju su naručili značajno razlikuje od onoga što je navedeno u specifikaciji, korisnici mogu da se žale Centru za odlučivanje (Resolution Center).

� Centar za odlučivanje prikuplja sve informacije o izvršenoj transakciji i savetuje potrošača kako da reši problem.

PayPal

� Na bazi dobijenih saveta potrošač treba da započne on-line proces diskusije sa prodavcem – sistem dizajniran sa ciljem olakšanja komunikacije između kupca i prodavca.

� Ukoliko dijalog ne pruži zadovoljavajući rezultat u roku od 20 dana, potrošač može da se žali tražeći odštetu koju u određenim slučajevim plaća PayPal, na osnovu programa za zaštitu potrošača, koji pokriva isključivo fizičku robu.

PayPal

� Program ne pokriva usluge, vazduhoplovne karte i pristup digitalnim sadržajima.

� U slučaju da plati odštetu kupcu, PayPal zadužuje PayPal račun prodavca za odgovarajući iznos, dok se žalba ne reši uz arbitražu treće nezavisne strane.

� U slučaju žalbe protiv PayPala nadležan je sud u provinciji Santa Clara u Kaliforniji.

VeriSign

� Jedan od primera univerzalnih svetskih provajdera je VeriSign.

� VeriSign je globalno preduzeće sa službama u Severnoj i Južnoj Americi, Evropi i Aziji i međunarodnom mrežom operativnih centara.

� PayPal je kupio VeriSignove servise plaćanja uključujući CyberCash.

VeriSign

� Kompanija je osnovana 1995. godine kao sertifikaciono telo – CA, čija je inicijalna misija bila obezbeđenje poverenja na Internetu i elektronskoj trgovini.

� VeriSign je izdao milione sertifikata raznim ustanovama od vojnih do finasijskih i trgovinskih, postajući najveće sertifikaciono telo.

VeriSign

� Za zaštitu veb sajta i porast poverenja potrošača koristi se SSL tehnologija.

� SSL sertifikati omogućavaju enkripciju osetljivih informacija za vreme procesa on-line transakcija.

� Svaki sertifikat sadrži jedinstvenu informaciju o vlasniku sertifikata, i izdat je od strane CA koja potrvrđuje identitet vlasnika sertifikata.

VeriSign

� Pored SSL sertifikata, VeriSign je 2006. godine počeo da nudi i setifikate sa proširenom proverom – EV SSL sertifikate (Extended Validation SSL certificate), koji su kreirani kao odgovor na porast krađa preko Interneta, koje su smanjile poverenje potrošača u on-line transakcije.

VeriSign

� Kada korisnik, koristeći Microsoft Internet Explorer, ode na veb sajt koji je osiguran EV SSL sertifikatom, adresna linija će dobiti zelenu boju, i u njemu će se smenjivati naziv organizacije navedene u sertifikatu i naziv sertifikacionog tela, u ovom slučaju VeriSigna, koje je izdalo setifikat, a takođe u status baru će se nalaziti ime SSL provajdera.

VeriSign

� Pre unošenja osetljivih, posebno finansijskih podataka, korisnik želi da ima dokaz da sajtu može da veruje i da će informacije koje pošalje biti enkriptovane.

� Bezbedni pretraživači i EV SSL sertifikati garantuju verifikaciju posredstvom treće nezavisne strane, sa vizuelnim prikazom koji korisniku nudi poverenje u obavljanje transakcija preko tog sajta.

Obezbeđuje zaštitu od krađa pomoću:

� filtera za velike dolarske iznose,� filtera za veliki broj naručenih proizvoda,� filtera za otkrivanje neslaganja u fakturi i

isporuci,� filtera koji vrši restrikciju IP adresa i

blokiranje e-mail domena – mnogi prevaranti koriste e-mail provajdere kao što su Hotmail, Yahoo!, AOL za pokušaje krađa,

� filtera za nepoštene kupce i nepoželjne brojeve platnih kartica (koji se nalaze evidentirani u odgovarajućoj bazi podataka),

� filter koji proverava frekvenciju korišćenja kreditnih kartica, jer kada prevarant ukrade broj kreditne kartice, on će je koristiti sve dok ne potroši sav kreditni limit na kartici (ovaj filter identifikuje kartice koje se više puta koriste i blokira njihovo korišćenje),

� filter za države velikog rizika itd.

VeriSign

� Zaposleni u VeriSignu nadgledaju prodaju trgovina koje su se registrovale za korišćenje filtera, i kada naiđu na sumnjivu transakciju, istražuju da li je legitimna ili ne.

� Ako otkriju da se radi o prevari, oni sprečavaju njenu realizaciju i kontaktiraju trgovca, kako bi dogovorili šta će dalje preduzeti.

VeriSign

� Zahvaljujući SSL sertifikatima sa kojima je VeriSign i počeo, ovo ime je postalo sinonim za pouzdan brend na Internetu.

� Iako je diskutabilno da li je VeriSign bezbedniji od drugih posrednika plaćanja, mnogi trgovci i kupci veruju ovom brendu.

Documents

Sistemi plaćanja preko Interneta [Read-Only] Sistemi plaćanja preko Interneta Glavna razlika izme đu ova dva sistema je u tome što sistemi zasnovani na tokenima omogu ćavaju anonimnost,