Далее во время проведения транзакции в интернет –торговле на одном из ТП, обслуживаемом банком STB CARD, у владельца карты в процессе получения данных о клиенте запрашивается информация по ПИН2. Клиент вводит значение кода ПИН2 в заполняемую форму и возвращает ее торговому предприятию.
Здесь нужно сделать важное замечание относительно сказанного ранее. Владелец карты в действительности ведет диалог в защищенной SSL - сессии не с торговым предприятием, а с виртуальным POS - сервером, через который работает торговое предприятие (система STB CARD в настоящее время использует сервер Assist).
Возвращаясь к схеме STB CARD, отметим, что, конечно же, в заполненной клиентом форме ПИН2 не содержится, а в действительности все выглядит следующим образом: ТП (точнее, сервер Assist), определив, что имеет дело с картой банка STB CARD, передает владельцу карты форму, содержащую подписанный Java - апплет, реализующий некоторый симметричный алгоритм шифрования. При этом ПИН2 играет роль секретного ключа этого алгоритма шифрования, а шифруемые данные получаются в результате применения хэш - функции к номеру карты, сумме и дате транзакции, а также случайному числу x, генерируемому торговому предприятию. Таким образом, в заполненной владельцем карты форме присутствует только результат шифрования перечисленных выше данных о транзакции на ключе ПИН2.
Далее торговое предприятие формирует авторизационное сообщение, передаваемое на хост обслуживающего банка, содержащее помимо "стандартных" данных о транзакции еще результат шифрования и случайное число x.
Эмитент карты, получив сообщение торгового предприятия, по номеру карты вычисляет значение ПИН2, и далее по номеру карты, сумме и дате транзакции, а также по случайному числу x, вычисляет результат шифрования этих данных на ключе ПИН2. Если полученная величина совпадает с аналогичной величиной из сообщения торгового предприятия, верификация PIN - кода считается выполненной успешно. В противном случае транзакция отвергается.
Таким образом, технология проверки PIN - кода, принятая в системе STB CARD, в действительности обеспечивает не только динамическую аутентификацию клиента, но еще и гарантирует "сквозную" целостность некоторых данных о транзакции (сумма транзакции, номер карты). Под "сквозной" целостностью здесь понимается защита от модификации данных на всем протяжении их передачи от клиента до банка - эмитента.
Минусы данного подхода состоят в следующем:
1. Для реализации схемы проверки значения PIN - кода необходимо, чтобы торговое предприятие "умело" формировать соответствующую форму с Java - апплет, что сразу сужает область применения схемы в относительно небольшом множестве торговых предприятий.
2. Использование длинного (шестнадцать шестнадцатеричных цифр) ключа делает его применение на практике крайне неудобным для владельца карты.
3. Защита от подставки (форма, запрашивающая ПИН2, предоставляется владельцу карты не торгового предприятия, а мошенником, желающим узнать значение ПИН2) основана на надежности аутентификации клиентом сервера торгового предприятия, а также на подписывании апплета секретным ключом сервера торгового предприятия. Поскольку нарушение обеих защит приводит только к появлению на экране монитора владельца карты соответствующего предупреждения, сопровождаемого вопросом - продолжить сессию или нет, то особенно доверять этим формам защиты не стоит.
Обеспечить надежную защиту от подставки можно с помощью электронного бумажника клиента (специального программного обеспечения, которое клиент может "скачать" на свой компьютер с некоторого сайта), заменяющего по своей функциональности Java - апплет в форме торгового предприятия. Такой электронный бумажник может использовать сколь угодно мощные средства шифрования данных. Секретные ключи владельца карты могут держаться в порядке повышения надежности их хранения на диске компьютера, дискете или микропроцессорной карте. Доступ к электронному бумажнику должен производиться по паролю его владельца.
В результате проведенного анализа платежные системы сформировали основные требования к схемам проведения транзакции в интернет–торговле, обеспечивающим необходимый уровень ее безопасности. Эти требования сводятся к следующему:
1. Аутентификация участников покупки (покупателя, торгового предприятия и его обслуживающего банка). Под аутентификацией покупателя (продавца) понимается процедура, доказывающая (на уровне надежности известных криптоалгоритмов) факт того, что данный владелец карты действительно является клиентом некоторого эмитента - участника (обслуживающего банка - участника) данной платежной системы. Аутентификация обслуживающего банка доказывает факт того, что банк является участником данной платежной системы.
2. Реквизиты платежной карты (номер карты, срок ее действия, CVC2/CVV2, и т. п.), используемой при проведении транзакции интернет – торговли, должны быть конфиденциальными для торгового предприятия.
3. Невозможность отказа от транзакции для всех участников транзакции интернет - торговли, то есть наличие у всех участников неоспоримого доказательства факта совершения покупки (заказа или оплаты).
4. Гарантирование магазину платежа за электронную покупку - наличие у торгового предприятия доказательства того, что заказ был выполнен.
Правовая база регулирования отношений интернет торговли в России достаточно невелика, отсюда и многочисленные факты мошенничества в Интернете и как следствие, недоверие людей к системам оплаты. В настоящее время законодательную базу составляют два таких основных закона как Федеральный закон «Об электронно-цифровой подписи» [-3] и Федеральный закон «Об электронной торговле»[-4]. Целью Федерального закон «Об электронно-цифровой подписи» является обеспечение правовых условий для использования электронной цифровой подписи в процессах обмена электронными данными, при соблюдении которых электронная цифровая подпись признается юридически равнозначной подписи физического лица, в том числе полномочного представителя юридического лица. Целью же Федерального закон «Об электронной торговле» является обеспечение правовых условий для электронной торговли: закрепление прав и обязанностей лиц, осуществляющих электронную торговлю, определение правил совершения сделок с использованием электронных документов, подписанных аналогами собственноручной подписи, а также признание электронных документов в качестве судебных доказательств.
1.5 Выводы
Итак, Интернет-магазин должен быть информативен, не содержать лишней или ненужной информации, при этом иметь такой способ представления товаров, который позволит покупателю с легкостью найти то, что его интересует, а также ненавязчиво попробовать заинтересовать его чем-то другим, чтобы магазин запомнился. Тогда при необходимости клиент будет возвращаться в него снова и снова, будет советовать его своим друзьям и близким.
Оптимальным и самым удобным методом заказа пока остается так называемая «корзина». Во всех крупнейших магазинах она используется в том или ином виде, но смысл остается одним: корзина - просто список товаров, выбранный покупателем в магазине (это почти такая же корзина, в руках с которой ходят посетители большого супермаркета - только виртуальная).
Выбор программных средств для построения интернет – магазинов достаточно обширен. И нельзя сказать, что одно решение дешево и непрактично, а другое дорого и универсально. Все решения создавались и создаются для каких то целей, в которых оно будет оптимально. Можно только отметить, что открытые решения наиболее перспективные, т.к. при желании в них можно добавить то, что нужно именно в данном магазине для данного товара, т.е. учесть многие нюансы, которые, несомненно привлекут своего клиента.
Способов оплаты так же великое множество. Очень удобным вариантом является оплата цифровой наличностью и оплату курьеру наличными, если этот способ предлагает электронный магазин, и менее удобным – банковским переводом и почтой России. На начальном этапе в проекте интернет – магазина будут реализованы способы оплаты как оплата наложенным платежом и оплата курьеру наличными. Так как с точки зрения безопасности, эти платежи являются наиболее безопасными. В дальнейшем планируется внедрить метод оплаты цифровой наличностью.
2 Разработка структуры построения электронного магазина
2.1 Архитектура электронного магазина
Архитектура сайта - систематизация информации и навигации по ней с целью помочь посетителям более успешно находить нужные им данные. Хорошо продуманная грамотная архитектура сайта гарантирует, что пользователи потратят меньше времени на поиск нужной информации.
Разработка архитектуры сайта должна вестись с учётом наиболее важной информации с точки зрения продвижения товаров/услуг на интернет-рынке. В процессе создания структуры нового сайта, либо оптимизации структуры уже существующего, необходимо концентрировать внимание потребителей именно на этой информации и управлять посещаемостью сайта потенциальными клиентами именно в наиболее важных разделах сайта в соответствии с позиционированием на рынке, продвигаемых товаров/услуг.