╚ßst 45 - CW 13/98

BezpeΦnost EDI

Elektronick² obchod, elektronickΘ, virtußlnφ nebo internetovΘ bankovnictvφ, elektronickß v²m∞na dat -- to jsou pojmy, kterΘ dnes zajφmajφ ka₧dou organizaci nebo podnikatele. V tomto dφle serißlu si °ekneme n∞co o elektronickΘ v²m∞n∞ dat jako jednom z nßstroj∙ provßd∞nφ elektronickΘho obchodu.

Co je to EDI

EDI -- elektronickß v²m∞na dat -- n∞kdy takΘ oznaΦovanß jako elektronickß v²m∞na dokument∙, je v²m∞na zprßv realizovanß mezi jednotliv²mi poΦφtaΦov²mi aplikacemi obchodnφch partner∙. Zprßvy jsou strukturovßny tak, aby mohly b²t zpracovßny automaticky. Nejobecn∞jÜφ vyu₧itφ p°edstavuje provßd∞nφ obchodu, zejmΘna mezinßrodnφho. Dv∞ evidentnφ v²hody, kterΘ EDI nabφzφ, mohou mφt nesmφrnou komerΦnφ hodnotu:

╖ zruÜenφ (n∞kdy jen ΦßsteΦnΘ) fyzick²ch papφrov²ch dokument∙, souvisejφcφch s transakcφ a z toho odhadovanß ·spora nßklad∙ ve v²Üi cca 10 procent hodnoty zbo₧φ,

╖ ·plnß automatizace cyklu objednßvka -- dodßvka -- placenφ.

Uka₧me si na p°φkladu rozdφl mezi klasick²m zp∙sobem a pou₧itφm EDI. V²robce automobil∙ je zßvisl² p°i jejich v²rob∞ na dodßvkßch dφlΦφch komponent. V klasickΘm systΘmu, zalo₧enΘm na papφrov²ch dokumentech, prohlΘdne p°φsluÜn² pracovnφk zßsoby, rozhodne, kterΘ komponenty je t°eba doplnit, a p°edß informaci nßkupnφmu odd∞lenφ. To vystavφ objednßvku na dodavatele. P°i potvrzenφ objednßvky, p°i dodßvce objednan²ch dφl∙ a uskuteΦn∞nφ platby nap°. prost°ednictvφm dokumentßrnφho kreditu, dochßzφ k dalÜφ komunikaci a v²m∞n∞ dokument∙ mezi v²robcem, bankou a dodavatelem. P°i implementaci EDI je situace odliÜnß. Automatizovan² skladov² systΘm v²robce v p°φpad∞, ₧e zßsoba n∞kterΘho dφlu dosßhne limitu stanovenΘ minimßlnφ zßsoby, vygeneruje automaticky objednßvku a ta je odeslßna poΦφtaΦi dodavatele. Ten potvrdφ prost°ednictvφm poΦφtaΦe objednßvku a obdobn∞ vystavφ dokumentßrnφ kredit tΘm∞° bez lidskΘ intervence, kterß se omezφ nap°. jen na kontrakt o doprav∞. Jedin² fyzick² pohyb se t²kß pohybu objednanΘho zbo₧φ ze skladu dodavatele do skladu v²robce. PapφrovΘ dokumenty jsou nahrazeny strukturovan²mi zprßvami EDI, kterΘ je mo₧nΘ zpracovßvat automaticky, a jejich jednotlivΘ Φßsti jsou postupovßny rovn∞₧ automatizovan∞ dalÜφm subsystΘm∙m podnikovΘho systΘmu. Implementace EDI, i kdy₧ v praxi Φasto nenφ pln∞ provßzanß, umo₧≥uje ve zmφn∞nΘm typu aplikace objednßvky "just in time" a vede ke snφ₧enφ zßsob. Evidentnφ jsou ·spory lidskΘ sφly, nebo¥ EDI odstra≥uje redundantnφ ruΦnφ zpracovßnφ informacφ v odd∞lenφch °φzenφ zßsob, nßkupnφch a ·Φetnφch odd∞lenφch.

BezpeΦnost EDI

EDI musφ poskytnout u₧ivateli stejnou bezpeΦnost, jakß je vlastnφ tradiΦnφm dokument∙m a poÜt∞, tj. zejmΘna autentizaci u₧ivatele, autentizaci zprßvy, pr∙kaz p∙vodu, nepopiratelnost a d∙v∞rnost.

EDI je zalo₧eno na smluvnφm ujednßnφ mezi dv∞ma nebo vφce entitami, kterΘ pou₧φvajφ pro odesφlßnφ a p°ijφmßnφ informacφ tent²₧ elektronick² protokol. Identifikace standard∙, dohoda o jejich pou₧itφ a jejich implementace jsou nejd∙le₧it∞jÜφ ·vahy p°i nßvrhu dohody o EDI. SystΘm EDI je dvousm∞rn² proces, a mnoho bezpeΦnostnφch metod a technik, pou₧it²ch odesilatelem, musφ b²t pou₧ito i p°φjemcem.

Pou₧φvanΘ standardy musφ pokr²t hrozby, kter²m je nutno Φelit b∞hem ulo₧enφ nebo p°enosu zprßv EDIFACT prost°ednictvφm elektronick²ch prost°edk∙. Mezi hlavnφ hrozby pat°φ: neautorizovanΘ odhalenφ obsahu zprßvy, zßm∞rnΘ vlo₧enφ nesprßvn²ch zprßv, zdvojenφ, ztrßta nebo opakovan² p°enos, modifikace obsahu zprßvy, vymazßnφ zprßvy a popiratelnost odpov∞dnosti za zprßvu ze strany odesilatele nebo p°φjemce.

Mezi zßkladnφ bezpeΦnostnφ slu₧by, jejich₧ ·kolem je zabrßnit realizaci uveden²ch hrozeb, pat°φ integrita po°adφ, integrita obsahu, autentizace p∙vodu, nepopiratelnost p∙vodu, nepopiratelnost p°ijetφ a d∙v∞rnost obsahu.

Schopnost implementace bezpeΦnosti je ovÜem Φasto ovlivn∞nß typem EDI.

Typy EDI, organizace tvorby standardnφch zprßv

Typy EDI jsou poplatnΘ standard∙m, kterΘ se p°i danΘ aplikaci pou₧ijφ, nebo¥ definujφ syntaxi strukturovan²ch zprßv p°i elektronickΘ v²m∞n∞ dat. Zßkladnφ normou pro u₧ivatele EDI je mezinßrodnφ norma ISO 9735, p°evzatß i jako Φeskß norma. Je toto₧nß s normou Spojen²ch nßrod∙ pro zprßvy EDI, kterß je znßma jako UN/EDIFACT (EDI for Administration, Commerce and Transport) a je pou₧φvanß v Evrop∞. V USA existuje odpovφdajφcφ norma ANSI X.12. Ve sv∞t∞ jsou pou₧φvßny i odv∞tvovΘ dφlΦφ systΘmy typu ODETTE (pro automobilov² pr∙mysl), TRADACOMS (pro maloobchod), LIMNET (uzavφrßnφ pojiÜt∞nφ) a dalÜφ.

P°ijetφ mezinßrodnφ normy znamenalo proces tvorby standardnφch zprßv UNSM (UN Standard Message) pro zßkladnφ dokumenty mezinßrodnφho obchodu. Nßvrhy na novΘ UNSM, jejich dopl≥ky a opravy vznikajφ v pracovnφch skupinßch jednotliv²ch v²bor∙ EDIFACT a prochßzejφ p°ed koneΦn²m schvßlenφm kontrolami p°φsluÜn²ch skupin. Zprßvy UNSM jsou zpracovßny nap°. pro oblast obchodu, dopravy, pojiÜt∞nφ, bankovnφch operacφ, cel, pokryta je i oblast ·Φetnictvφ, zdravotnictvφ, socißlnφ pΘΦe, pracovnφch zßle₧itostφ, statistiky, oblast prßvnφ a dalÜφ oblasti.

Pro racionalizaci procedur v mezinßrodnφm obchod∞ a rozvoj elektronick²ch p°enos∙ dat jsou z°izovßna v jednotliv²ch zemφch nßrodnφ centra. V ╚eskΘ republice je nßrodnφ organizacφ pro racionalizaci procedur FITPRO (Facilitation of International Trade Procedures) p°i ╚eskΘ obchodnφ komo°e.

Aplikace EDI v ╚R

V ╚eskΘ republice vznikla °ada pilotnφch projekt∙ pro EDI v rßmci program∙ PHARE. V souΦasnΘ dob∞ existuje cca 1 000 u₧ivatel∙ EDI, p°evß₧n∞ na bßzi EDIFACTu. Mezi hlavnφ projekty pat°φ bankovnφ projekt ╚SOB, vyu₧φvajφcφ standard EDIFACT, digitßlnφ podpis a komunikaci X.400. Projekt Elektronick² platebnφ systΘm vytvß°φ na zßklad∞ zprßv EDIFACTu podmφnky pro styk s klientem nap°. v oblasti platebnφch p°φkaz∙, informacφ o p°ijetφ plateb, stavu na kont∞ ap. Mezi definovanΘ zprßvy pat°φ nap°. p°φkaz k ·hrad∞, p°φkaz k inkasu, kreditnφ avφzo, debetnφ avφzo, stav na ·Φtu a n∞kterΘ hromadnΘ p°φkazy nebo avφza. Mezi dalÜφ projekty pat°φ p°enos statistick²ch ·daj∙ ╚NB, celnφ systΘm, obchodnφ °et∞zce, automobilov² pr∙mysl (na bßzi ODETTE). V oblasti dopravy je p°ipravovßn univerzßlnφ p°epravnφ doklad, ve stadiu p°φpravy je rovn∞₧ implementace EDI ve zdravotnictvφ.

BezpeΦnostnφ °eÜenφ EDIFACTu

Dßle si vÜimneme bezpeΦnostnφch °eÜenφ, nabφzen²ch EDIFACTem. Data urΦenß k p°enosu jsou uspo°ßdßna uvnit° zprßv do segment∙, obsahujφcφch mj. informaci o p°φjemci a oznaΦenφ Φasu. Zprßvy stejnΘho typu mohou b²t seskupeny do funkΦnφch skupin. V²m∞na je definovßna jako soubor zprßv nebo funkΦnφch skupin, urΦen²ch konkrΘtnφmu p°φjemci. Pro bezpeΦnost je mo₧nΘ vyu₧φt segment bezpeΦnostnφho zßhlavφ a koncovΘ Φßsti, segment bezpeΦnostnφho algoritmu, segment certifikßtu a segment bezpeΦnostnφho v²sledku.

Je-li po₧adovßna autentiΦnost p∙vodu, musφ b²t bezpeΦnostnφ slu₧ba autentizace p∙vodu specifikovßna v bezpeΦnostnφm zßhlavφ a algoritmus definovßn v segmentu bezpeΦnostnφho algoritmu. Strana, kterß je v roli p∙vodce, vypoΦte autentizaΦnφ hodnotu a ta musφ b²t umφst∞na v segmentu bezpeΦnostnφho v²sledku skupiny bezpeΦnostnφho koncovΘho zßznamu. Strana v roli bezpeΦnostnφho p°φjemce musφ autentizaΦnφ hodnotu zkontrolovat. Tato slu₧ba m∙₧e zahrnovat slu₧bu integrity a m∙₧e b²t zφskßna jako vedlejÜφ produkt slu₧by nepopiratelnosti p∙vodu.

BezpeΦnostnφ algoritmus pro zajiÜt∞nφ integrity obsahu zahrnuje haÜovacφ funkci nebo symetrick² algoritmus. P°i po₧adavku na integritu po°adφ se pou₧ije bu∩to bezpeΦnostnφ po°adovΘ Φφslo, nebo bezpeΦnostnφ oznaΦenφ Φasu, p°φpadn∞ obojφ. Pou₧ije se slu₧ba integrity obsahu nebo autentizace p∙vodu, nebo nepopiratelnosti p∙vodu.

Je-li po₧adovßna nepopiratelnost p∙vodu, bude v p°φsluÜn²ch segmentech definovßna haÜovacφ funkce a Üifrovacφ algoritmus. Strana v roli p∙vodce vypoΦte digitßlnφ podpis a dopravφ ho v segmentu bezpeΦnostnφho v²sledku skupiny bezpeΦnostnφho koncovΘho zßznamu.

Pro zajiÜt∞nφ bezpeΦnΘ autentizace a potvrzenφ je mo₧nΘ vyu₧φt zprßvu AUTACK. Tato zprßva autentizuje odeslanΘ v²m∞ny, skupiny, zprßvy nebo balφky nebo provßdφ bezpeΦnostnφ potvrzenφ p°ijat²ch entit. Zprßva AUTACK m∙₧e b²t aplikovßna na nßrodnφ i mezinßrodnφ ·rovni. BezpeΦnostnφ slu₧by jsou poskytovßny kryptografick²mi mechanismy aplikovan²mi na obsah p∙vodnφch entit. V²sledky aplikace t∞chto mechanism∙ tvo°φ vlastnφ obsah zprßvy AUTACK, dopln∞n² relevantnφmi ·daji (odkazy na pou₧it² algoritmus, referenΦnφ Φφsla entit, a ΦasovΘ ·daje). Tato zprßva pou₧φvß standardnφ bezpeΦnostnφ zßhlavφ a koncovΘ Φßsti.

D∙v∞rnost struktury EDIFACT (zprßvy, balφku, skupiny zprßv nebo v²m∞ny) je zajiÜ¥ovßna zaÜifrovßnφm pomocφ vhodnΘho Üifrovacφho algoritmu. P°i vyu₧φvßnφ v komunikaΦnφch sφtφch s omezenou kapacitou m∙₧e b²t zaÜifrovan² objekt filtrovßn. Po zaÜifrovßnφ nenφ mo₧nß aplikace dalÜφch bezpeΦnostnφch slu₧eb, ty musφ b²t aplikovßny na nezaÜifrovan² text struktury jeÜt∞ p°ed zaÜifrovßnφm.

BezpeΦnostnφ slu₧ba d∙v∞rnosti je specifikovßna v bezpeΦnostnφm zßhlavφ skupiny a algoritmus je definovßn v segmentu algoritmu. Tento segment m∙₧e takΘ obsahovat data pot°ebnß k ustavenφ vztahu klφΦ∙ mezi p∙vodcem a p°φjemcem. Jestli₧e byl po₧adavek na kompresi, je rovn∞₧ aplikovßna p°ed zaÜifrovßnφm. Informace o kompresi a pou₧itΘm algoritmu je obsa₧ena v bezpeΦnostnφm zßhlavφ.

Pro sprßvu bezpeΦnostnφch klφΦ∙ a certifikßt∙ je mo₧nΘ vyu₧φt zprßvu KEYMAN. KlφΦem m∙₧e b²t tajn² klφΦ pou₧it² u symetrick²ch algoritm∙ nebo ve°ejn² Φi soukrom² klφΦ pou₧it² u asymetrick²ch algoritm∙. Ve°ejnΘ klφΦe mohou b²t takΘ p°epravovßny jako Φßst zabezpeΦenΘho certifikßtu ve°ejnΘho klφΦe. Zprßva KEYMAN je vyu₧φvßna p°i po₧adovßnφ Φinnostφ ve vztahu ke klφΦ∙m a certifikßt∙m nebo k dodßnφ klφΦ∙, certifikßt∙ a souvisφcφch informacφ (nap°. dodßnφ certifikaΦnφch seznam∙). Tato zprßva je zabezpeΦena pou₧itφm bezpeΦnostnφch zßhlavφ a koncov²ch Φßstφ.

Budoucnost

V souΦasnΘ dob∞ je stßle hlavnφ funkcφ EDI p°enos informacφ o zßkladnφch obchodnφch transakcφch (objednßvky, faktury, platebnφ p°φkazy apod.), vyu₧itφ EDI pro elektronick² p°evod fond∙ nenφ dosud rozÜφ°eno. Jestli₧e majφ vÜichni obchodnφ partne°i v²poΦetnφ systΘmy, kde je dohodnut standard pro EDI, jako X.400 (X.435), je to znaΦnß v²hoda. Pro budoucnost je evidentnφ snaha vyu₧φt jako kanßl pro EDI Internet, co₧ by p°i vy°eÜenφ problΘm∙ bezpeΦnosti pravd∞podobn∞ vedlo k elektronickΘmu p°evodu fond∙ a k jeho vyu₧itφ jako modelu pro globßlnφ obchodnφ transakce. Prvnφ pokusy spojit tradiΦnφ VAN a Internet dßvajφ zßkaznφk∙m mo₧nost pou₧φt pro p°φstup Internet nebo tradiΦnφ VAN, dßvajφ-li d∙raz na bezpeΦnost, nebo majφ vybudovanΘ rozhranφ VAN s jejich podnikov²mi systΘmy. KoneΦn²m cφlem zßkaznφka je, aby mohl p°i realizaci elektronickΘho obchodu poslat zprßvy sv²m obchodnφm partner∙m v r∙zn²ch formßtech, a¥ u₧ jde o formßt Webu, zprßvu zalo₧enou na formulß°i a p°ipojenou k e-mailu, ASCII soubor nebo soubor ve formßtu EDI.

K problematice bezpeΦnosti p°i obchodovßnφ se znovu vrßtφme v dalÜφ Φßsti serißlu -- bezpeΦnosti elektronickΘho obchodovßnφ.