COMPUTERWORLD o Internetu

Specializovan² t²denφk o v²poΦetnφ technice
o Internetu
(CW 19/97)

Jak je to vlastn∞ s obchodem na Internetu?

Pavel Houser

P°edevÜφm je pot°eba si ujasnit pojmy

Standard SET je aplikace navr₧enß tak, aby umo₧≥ovala spoluprßci bank, dr₧itel∙ platebnφch karet a obchodnφk∙

Rozvoj elektronickΘho obchodu je v kritickΘm bod∞. Spot°ebitelskß poptßvka po bezpeΦnΘm elektronickΘm nakupovßnφ je velmi vysokß. Obchodnφci cht∞jφ jednoduchΘ a levnΘ metody pro provßd∞nφ elektronick²ch transakcφ. FinanΦnφ instituce pot°ebujφ definovat po₧adavky na dodavatele softwaru. Je t°eba motivovat asociaci bankovnφch karet k vydßnφ specifikacφ pro bezpeΦnΘ platby a souΦasn∞ respektovat a zachovat vztah mezi obchodnφky, dr₧iteli karet a p°φsluÜn²mi bankami.

O Φem je vlastn∞ °eΦ?

Elektronick² obchod, transakΦnφ aplikace, obchodovßnφ po Internetu, elektronickß komerce... Mnoho pojm∙, kterΘ se zΦßsti p°ekr²vajφ a v nich₧ je zmatek. Ten navφc umoc≥uje skuteΦnost, ₧e pojmy vznikly z anglick²ch ekvivalent∙, r∙zn∞ p°eklßdan²ch, eventußln∞ takΘ nep°eklßdan²ch.

Co lze naz²vat obchodem po Internetu?

Elektronick² obchod je termφn sice Φasto pou₧φvan², ale souΦasn∞ nejednoznaΦn². M∙₧e znamenat i zßle₧itosti okolo platebnφch karet (co₧ s Internetem prakticky nesouvisφ) nebo prodej softwaru po Sφti, kde proces platby s Internetem op∞t nemusφ mφt u₧ nic spoleΦnΘho. Elektronickß komerce zase m∙₧e obnßÜet i komerΦnφ vyu₧itφ Internetu obecn∞, nap°. jako reklamnφho mΘdia. Termφn transakΦnφ aplikace znφ hezky, ale op∞t asi nenφ nejÜ¥astn∞jÜφ. Proto bude nadßle °eΦ o obchodovßnφ na Internetu.

Jak to souvisφ s platebnφmi kartami?

JednoduÜe tak, ₧e p°i n∞kter²ch operacφch napφÜete Φφslo (heslo, prost∞ rozhodujφcφ informaci) svΘ karty a poÜlete je po Sφti. I v p°φpad∞ pou₧itφ protokolu secure http vÜak m∙₧e b²t informace zachycena a zneu₧ita. V okam₧iku, kdy informace dojde, bude si obchodnφk chtφt z°ejm∞ v∞tÜinu ·daj∙ ov∞°it. Banka, je₧ s nφm mß uzav°enou smlouvu, mu sd∞lφ, zda lze transakci provΘst (nikoliv v²Üi ·Φtu Φi jmΘno klienta). Obchodnφk nemß ₧ßdnou mo₧nost zjistit, zda ·daje ve vypln∞nΘm dotaznφku souhlasφ a riziko eventußlnφ reklamace nese pouze on.

Tato situace nenφ ideßlnφ -- dokonce ani za p°edpokladu, ₧e obchodnφk s reklamacemi ji₧ poΦφtß. Uve∩me si jeden p°φklad za vÜechny: Po Internetu byl distribuovßn software, p°iΦem₧ sd∞lenφ Φφsla karty p°edchßzelo sta₧enφ programu. V∞tÜina kupujφcφch se zachovala nepoctiv∞ a uvedla Φφslo karty faleÜnΘ. ProvedenΘ platby byly tudφ₧ Φasto reklamovßny. Tento fakt nebyl pro obchodnφka jeÜt∞ nijak osudn²; s distribucφ nebyly spojenΘ tΘm∞° ₧ßdnΘ zvlßÜtnφ nßklady a i zlomek tr₧eb byl z tohoto d∙vodu pro n∞j ziskem.

Situace se ovÜem naopak ukßzala b²t ne·nosnou pro banku, kterß musela neustßle vy°izovat reklamace mal²ch Φßstek a slu₧ba z tohoto d∙vodu zanikla. Ukßzalo se, ₧e tudy cesta nevede.

Co je to SET?

SET je zkratka, kterß znamenß Security Electronic Transaction. Prvnφ nßvrh specifikace SET je star² ji₧ dva roky. Finßlnφ podoba verze 1.0 by m∞la b²t p°ijata v polovin∞ tohoto roku.

Specifikace SET vychßzφ ze situace naznaΦenΘ v ·vodu Φlßnku.

V dalÜφm v²kladu se budu opφrat o informace, je₧ mi poskytl pan Erik èt∞rba, kter² v ╚SOB zastßvß funkci vedoucφho v²voje v oboru platebnφch karet a byl tak laskav, ₧e se pokusil vnΘst do celΘ zßle₧itosti trochu sv∞tla.

SET vychßzφ ze skuteΦnosti, ₧e Internet nenφ sφtφ, kde by existovala dostateΦnß bezpeΦnost -- tu je proto nutnΘ vytvo°it a₧ na ·rovni aplikace.

Aplikace je navr₧ena tak, aby umo₧≥ovala spoluprßci bank, dr₧itel∙ kreditnφch karet (plßtc∙) a obchodnφk∙.

Po₧adavky, kterΘ jsou kladeny na internetov² obchod, se p°itom nijak neliÜφ od jakΘkoliv jinΘ v²m∞ny dat, jim₧ p°isuzujeme velkou d∙le₧itost. Jednß se o d∙v∞rnost informace o platb∞, celistvost (integritu) p°enßÜen²ch dat, autentifikaci zßkaznφk∙, obchodnφk∙ a z·Φtovatelsk²ch bank. V rßmci SET jsou definovßny nezbytnΘ algoritmy i protokoly, systΘm je otev°en v∙Φi r∙zn²m platformßm.

Uveden²ch cφl∙ se dosahuje standardnφmi metodami, tj. k≤dovßnφm, digitßlnφm podpisem a certifikaΦnφmi autoritami.

Na chvilku se zastavφme u k≤dovßnφ. V tomto p°φpad∞ vystupujφ do pop°edφ p°ednosti asymetrickΘho k≤dovßnφ, kterΘ umo₧≥uje, aby tajn² klφΦ m∞la k dispozici pouze jedna konkrΘtnφ osoba. SystΘm je rovn∞₧ otev°en² pro nov∞ p°istupujφcφ u₧ivatele slu₧by. Zßle₧itostem k≤dovßnφ je ve specifikaci SET samoz°ejm∞ p°iklßdßna velkß pozornost (jak se vyrovnat s budoucφm zrychlovßnφm procesor∙?). Zßjemce o tuto problematiku a jejφ matematick² popis lze odkßzat na strßnku RSA (http://www.rsa.com).

┌Φastnφkem obchodovßnφ p°es Internet je dr₧itel karty (respektive majitel ·Φtu), banka, kterß vydala kartu, obchodnφk a z·Φtovatelskß banka obchodnφka. V SET u₧ nenφ nezbytn∞ nutnΘ explicitn∞ zadßvat Φφslo karty z klßvesnice, proto₧e p°i°azenφ ·Φastnφka konkrΘtnφ odeslanΘ objednßvce je automatickΘ.

Nßmitka proti otev°enosti systΘmu m∙₧e znφt takto: obchodnφk p°ece nem∙₧e mφt ov∞°enΘ vÜechny potencißlnφ partnery (nem∙₧e mφt vÜechny ve°ejnΘ klφΦe). Vlastnφ vÜak ve°ejnΘ klφΦe certifikaΦnφch autorit, od nich₧ potom zφskß i ve°ejn² klφΦ zßkaznφka. Je ovÜem pravda, ₧e vφcestup≥ovΘ procesy jsou obecn∞ mΘn∞ spolehlivΘ.

Zßle₧itosti autentifikace se mohou leckdy zdßt p°φliÜ slo₧itΘ a komplikujφcφ transakci. Pokud se platba vede v ni₧Üφch Φßstkßch, lze p°edpoklßdat, ₧e metody ov∞°enφ mohou b²t podstatn∞ jednoduÜÜφ. Proto se takov² v²znam p°iklßdß program∙m, kterΘ umo₧≥ujφ platbu co nejmenÜφch Φßstek (co₧ navφc umo₧≥uje platit nejen za zbo₧φ, ale i za informace -- platba "per click" u strßnek mΘdiφ).

Kontrola

Banka pot°ebuje pro reklamaΦnφ ·Φely v∞d∞t, jak² druh zbo₧φ byl b∞hem transakce prodßn. Obchodnφk ovÜem nestojφ o to, aby banka znala detailn∞ jeho aktivity. O druhu zbo₧φ je proto informovßn pouze nakupujφcφ, banka vÜak mß k dispozici jednoznaΦnΘ p°i°azenφ pomocφ identifikaΦnφho Φφsla.

Chyby a reklamace

V p°φpad∞ reklamace je odpov∞dnost op∞t na obchodnφkovi. Lze vÜak zjistit, zda klient potvrdil nßkup urΦitΘho zbo₧φ digitßlnφm podpisem. Pon∞vad₧ je objednßvka nynφ jednoznaΦn∞ p°i°aditelnß konkrΘtnφ osob∞, m∙₧e b²t posti₧en i zßkaznφk -- vylouΦenφm ze systΘmu, ztrßtou pov∞sti, vymßhßnφm dlu₧nΘ Φßstky (je-li karta kreditnφ). Zde je samoz°ejm∞ markantnφ rozdφl mezi standardnφmi zßpadnφmi stßty a situacφ u nßs. Banka p°irozen∞ nemß zßjem na celΘm °et∞zci reklamacφ a spor∙, sna₧φ se pouze zprost°edkovat platbu.

Problematika akciφ

NejproblematiΦt∞jÜφ Φßstφ obchodovßnφ p°es Internet je obchod s cenn²mi papφry, jejich₧ cena nenφ dop°edu dßna a tvo°φ se podle aktußlnφho pom∞ru nabφdky a poptßvky. Zatφmco ostatnφ transakce jsou v zßsad∞ vratnΘ, v tomto p°φpad∞ podobnΘ °eÜenφ neexistuje. Transakce, uznanΘ jako neplatnΘ, samoz°ejm∞ ovlivnφ i ceny akciφ p°i transakcφch platn²ch.

Zßv∞r?

Na rozdφl od jin²ch prost°edk∙ je SET komplexnφ systΘm, zprost°edkujφcφ po Internetu informace souvisejφcφ s platbami za zbo₧φ. Za p°edplokladu bezpeΦnosti asymetrickΘho k≤dovßnφ je i spolehliv²m prost°edkem umo₧≥ujφcφm urΦit, kdo a za co platφ a kdo platbu garantuje. Pro ·sp∞ÜnΘ uvedenφ do ₧ivota pot°ebuje krom∞ implementace souvisejφcφho softwaru tΘ₧ legislativnφ podporu institutu digitßlnφch podpis∙ a ustanovenφ certifikaΦnφch ·°ad∙.

O z°φzenφ bankovnφch slu₧eb p°es Internet jeÜt∞ v tomto roce uva₧uje podle ·daj∙ spoleΦnosti Datapro 36 % americk²ch pen∞₧nφch dom∙.

Jak je to vlastn∞ s obchodem na Internetu?

| <<< | CW o Internetu | COMPUTERWORLD | IDG CZ homepage |