Платежные системы для российской Интернет
Западный бум Интернет-коммерции пересек и границы нашей страны: очень уж привлекательной представляется многим возможность делать покупки не выходя из дома. Правда, в принципе идея торговли без участия человека-продавца не нова: похожая система давно используется при торговле по каталогам и в “магазинах на диване”. В Интернет, однако, легче найти нужный товар, узнать подробнее о его качествах или подыскать альтернативный продукт другого производителя, а заодно заглянуть в “соседние” магазины.
В последнее время в России тоже появляется все больше узлов, предлагающих приобрести что-нибудь в онлайновом режиме. К сожалению, большинство из них не позволяет оплатить покупку посредством кредитной карточки, т. е. действительно “не вставая со стула”.
О проблемах интеграции платежных систем с Интернет рассказали нашему еженедельнику специалисты одного из ведущих отечественных системных интеграторов - компании “АйТи”: Виктор Вайнштейн, вице-президент компании по перспективным технологиям, исполняющий обязанности директора департамента электронных платежных систем, и Павел Малевский, заместитель директора департамента сетевых технологий.
PC Week: С какими типичными трудностями столкнется российская компания, решившая открыть онлайновый магазин?
Виктор Вайнштейн: На мой взгляд, их несколько. Во-первых, это защита информации.
Сейчас объявлены нон грата все зарубежные алгоритмы и средства шифрования, не сертифицированные ФАПСИ. В частности, нельзя использовать те программные продукты, в которых они применяются. А к этой категории относится широкий класс ПО, начиная от браузеров, использующих протокол SSL, и кончая самой Windows 95. Конечно, такая ситуация - бред. И тут надо отдать должное ФАПСИ, которое занимает достаточно гибкую позицию. Однако когда крупная компания, такая, как наша, выходит на этот рынок, ей приходится использовать российские алгоритмы шифрования.
Вторая проблема - договориться с российским банком о проведении операций по кредитным карточкам, которые стали основным инструментом платежей в Интернет.
Конечно, нелегально или, скажем, полулегально организовать такие платежи несложно. Нужно создать оффшорную компанию, открыть для нее специальный счет в зарубежном банке, заключить официальный договор с любой платежной системой, которая поддерживает пластиковые карточки.
Дальше - все просто. Пользователь заходит на узел, вводит информацию о карточке (она шифруется, пусть даже и 40-битным SSL). Эти данные пересылаются за границу, затем деньги переводятся со счета клиента на счет магазина. Остается объяснить налоговым органам, почему товар отгружен бесплатно. Если же предмет торговли составляет информация, то проблем нет вовсе. Но, конечно же, в этой схеме нарушается масса российских законов о валютном регулировании и экспорте.
Работа же с отечественным банком хотя и требует больших усилий, зато позволяет поставить все платежи на законную основу.
Существуют и другие проблемы. Например, приходится сталкиваться с недоверием людей к почте.
PC Week: Какова техника осуществления платежей в Интернет?
В. В.: Сначала я опишу упрощенную схему платежа в обычной системе, а затем расскажу о связанной с Интернет специфике.
Основными фигурантами этого процесса являются клиент, магазин, банк, выдавший клиенту кредитную карту (банк-эмитент), банк, в котором у магазина есть расчетный счет (банк-эквайер), и платежная система. Банки и платежная система связаны в единую корпоративную сеть VISAnet.
Итак, когда клиент делает покупку с помощью карточки, его запрос с торгового терминала (POS) передается в банк-эквайер, откуда через сеть VISAnet направляется в платежную систему. Эта система отвечает за проверку подлинности кредитной карты. Если подлинность установлена, то банк-эмитент перечисляет деньги на счет магазина, а банк-эквайер снимает со счета клиента соответствующую сумму, а также небольшие комиссионные (порядка 3 - 4%), которые делятся между остальными участниками операции.
Теперь об Интернет. Во-первых, клиент работает не с POS-терминала, а с Web-браузера, во-вторых, онлайновый магазин подключен к банку не напрямую.
Основу такого магазина составляют Web-сервер и сервер расчетов (например, VPOS компании Verifone). Сервер расчетов через IP-сеть связан со шлюзом в корпоративную сеть платежной системы, находящимся у эквайера (замечу, что сам шлюз не обязательно должен поддерживаться банком - он может принадлежать любой компании, с которой у банка заключен соответствующий договор). Этот шлюз (скажем, основанный на продукте VGate фирмы Verifone) транслирует запросы из Интернет в запросы, понятные платежной системе, например в сообщения протокола ISO 8583. Таким образом, обычный POS-терминал подменяется комплексом, состоящим из сервера расчетов и описанного шлюза. В остальном все происходит по обычной схеме - так строится мостик между Интернет и тем, что было разработано еще в 60-е годы.
PC Week: А что, если у клиента на счете нет денег, или он применил фальшивый номер, или использовал украденную карту?
В. В.: Я бы разделил эти случаи. Распознавание первых двух вариантов - задача платежной системы. Важно, что прямых отношений между банком-эмитентом и банком-эквайером нет: за обслуживание карты отвечает платежная система. Она приняла банки, содержит их депозиты. Если система дает добро (т. е. проводит авторизацию карты), значит, она несет финансовую ответственность за все операции.
Что касается последнего случая, то пользователь в оговоренный срок (обычно это три дня) должен сообщить своему банку, что у него украли карту. До истечения этого срока платежная система страхует операции. Я не стану углубляться в детали того, как происходит остановка операций по карте - это очень специфичный вопрос. Но если пользователь не сообщил о краже в оговоренный срок, то вся ответственность ложится на него.
Проблема возникает тогда, когда карта украдена, а ее владелец об этом не догадывается. На самой карте есть дополнительные степени защиты - подпись, магнитная полоса, фотография. Но в Интернет они не используются, поэтому риск для владельца увеличивается.
В имеющихся у нас системах в принципе можно что-либо купить по украденной кредитной карточке. Некоторые магазины пытаются бороться с этим явлением, требуя, чтобы адрес, на который высылается покупка, совпадал с адресом, указанным клиентом при оформлении карточки. В стандартную платежную систему встроена поддержка запроса на сравнение этих адресов.
Иной уровень защиты обеспечивает протокол Secure Electronic Transaction (SET).
PC Week: Расскажите о нем поподробнее. Каковы перспективы его внедрения в нашей стране?
В. В.: Протокол SET - это некий набор правил, совместно разработанных и предложенных фирмами VISA и MasterCard. В соответствии с ним как клиент, так и магазин должны иметь сертификат, выданный независимым центром. Наиболее надежен вариант, когда сертификат выдается на физическом носителе (например, вместе с кредитной картой), а не присылается по Сети.
SET определяет тип и формат данных, которые должны передаваться клиентом, магазином и банком. Информация для банка и магазина в этом протоколе шифруется по отдельности, хотя в то же время гарантируется и целостность данных: скажем, никто не сможет к одной транзакции “подклеить” кусок от другой. Все это обеспечивает так называемый алгоритм двойной электронной подписи.
Исследуя полученную информацию, клиент может убедиться, что он действительно общается с онлайновым магазином. Магазин, в свою очередь, имеет возможность проверить подлинность кредитной карты клиента, но не может определить ее номер. Банк же, зная номер карты, не может узнать, что именно купил клиент.
Над реализацией SET сейчас работают IBM, Hewlett-Packard (в лице своего подразделения Verifone) и другие компании.
К сожалению, внедрение в России этой перспективной системы пока практически невозможно - частично из-за законодательных криптографических ограничений, частично из-за высокой стоимости SET. Законченное решение SET сейчас стоит около 600 тыс. долл.; чтобы окупить вложения, потребуется осуществить колоссальное число транзакций.
PC Week: Мы подходим к более конкретному разговору: а что же предлагает “АйТи”?
Павел Малевский: Наша компания сравнительно недавно вышла на коммерческие предложения с Интернет-технологиями. В октябре прошлого года было создано специализированное подразделение, которое занялось разработкой Web-узлов.
В стадии завершения находятся системы заказов авиа- и театральных билетов, каталог Российской государственной библиотеки, система заказа продукции завода “Айс-Фили”, а также некоторые другие проекты. Все это можно будет найти на нашем узле www.imbs.com.
Сейчас мы пытаемся внедрить российскую систему платежей в Интернет.
В. В.: При ее внедрении мы столкнулись с массой трудностей. Например, оказывается, что не так-то просто найти банк, который согласился бы проводить подобные операции. Вместо обычных 3 - 4% страхового депозита банки за повышенный риск просили 10%. Однако в нашей системе клиент все же ставит свою физическую подпись на слипе карты, что в итоге удовлетворило один из банков и он снизил размер депозита.
Так как в первую очередь мы ориентируемся на Москву, получение слипа не представляет особой сложности - его забирает курьер, доставляющий товар. Сложнее обстоит дело с регионами. Мы изучаем сейчас вопрос, может ли подпись клиента о получении посылки на почте рассматриваться с юридической точки зрения как достаточное подтверждение транзакции по кредитной карте. Если это так, то можно будет доставлять товары и в регионы.
Еще одна проблема заключается в том, что в платежной системе наши банки применяют нестандартные протоколы - как частные, так и модифицированные общие. Это осложняет использование ПО западных фирм, такого, как VGate.
Предполагаемая схема онлайнового торгового ряда компании “АйТи”
PC Week: Итак, что же вы создали?
П. М.: Онлайновый торговый ряд. Зайдя на наш узел, пользователь выбирает магазин, каталог и определяется с нужным ему товаром. Однако для того, чтобы купить что-либо, клиенту придется зарегистрироваться, сообщив о себе некоторые данные, например свое имя и адрес. Эти данные все равно потребуются при доставке товара. На этом этапе он получает имя и пароль в системе. Используя их, он впоследствии может заходить в наш магазин с любой точки Интернет.
Затем пользователь дает команду на оформление заказа. Администратор магазина проверяет наличие товара на складе и в случае подтверждения предлагает оплатить счет. Клиент вводит информацию о номере своей карты. Если ее авторизация проходит успешно, то деньги на его счету в банке блокируются, а товар высылается с курьером или по почте. После получения товара покупателем деньги списываются с его счета.
При этом клиент застрахован, так как деньги с его счета не уйдут до тех пор, пока он не получит товара. С другой стороны, застрахован и магазин, поскольку часть денег на счету клиента в момент транзакции замораживается.
Замечу также, что наша система будет работать на базе отечественных алгоритмов, сертифицированных ФАПСИ. Для этого мы сделаем специальные встраиваемые модули для Netscape Navigator и Microsoft Internet Explorer.
В. В.: Хочу уточнить, что созданная в нашей компании система не занимается непосредственно переводом денег. Мы лишь организовали технологическую базу, необходимую для передачи торговых запросов, и договорились с банком о ее обслуживании. Договор с банком магазин будет заключать сам, хотя и при нашей активной поддержке.
Кстати, создаваемая система подойдет и корпоративным покупателям - ведь покупки можно будет оплачивать, и указывая расчетный счет предприятия.
PC Week: Какое ПО складского учета работает на вашем узле? Как будет осуществляться синхронизация содержимого складов и предложения магазина?
В. В.: У нас используется финансово-складская система, созданная компанией “Арсеналъ”.
К сожалению, полной синхронизации содержимого складов и торговой точки пока добиться довольно трудно. Тем не менее компании, владеющие онлайновыми магазинами, смогут как минимум ежедневно приводить содержащуюся на узле информацию в соответствие с состоянием их складов, предоставляя нам необходимые данные в любом удобном для них формате.
Примечание редакции. Разработкой систем онлайновой торговли занимаются сейчас многие отечественные фирмы, например, 1С, “Анкей”, “Формоза-софт”. Очевидно, что успех этой формы коммерции будет определяться общей компьютеризацией общества. Пока же в российской Интернет работает лишь несколько сотен тысяч человек. Возможно, внедрение в Сеть удобных систем расчетов с помощью пластиковых карт ускорит повышение спроса на онлайновые торговые услуги. Торговый ряд “АйТи” откроется вскоре после выхода этого номера, и тогда на живом примере можно будет проверить достоинства и недостатки новой формы системы продаж.
Беседу провел редактор разделов “Интернет” и “Разработка приложений” Влад Борисов
