Безопасность электронных платежных систем

Электронные платежные системы являются одним из самых популярных видов работы с электронной валютой. С каждым годом они развиваются все активнее, занимая довольно большую долю рынка по работе с валютой. Вместе с ними развиваются и технологии обеспечения их безопасности. Поскольку на сегодняшний день ни одна электронная платежная система не может существовать без хороших технологий и систем безопасности, которые в свою очередь обеспечивают безопасную транзакцию денежных операций. Самих электронных платежных систем, собственно, как и технологий по защите, существует очень много. Каждая из них имеет различные принципы и технологии работы, а также свои достоинства и недостатки. Кроме того, остается нерешенным целый ряд вопросов теоретического и практического характера, что и определяет актуальность темы исследования.

Каждая электронная платежная системы использует свои методы, алгоритмы шифрования, протоколы передачи данных для выполнения безопасных транзакций и передачи данных. Одни системы используют алгоритм шифрования RSA и протокол передачи HTTPs, другие используют алгоритм DES и протокол SSL для передачи зашифрованных данных. В основу идеи написания статьи положено то, чтобы изучить и проанализировать ряд популярных платежных систем, а именно технологии безопасности, используемые в них, и выяснить какая наиболее совершенная.

В ходе написания статьи, были проведены исследования платежных систем, анализ безопасности существующих платежных систем. Были проанализированы четыре платежные системы (Webmoney, «Яндекс.Деньги», РауРа1 и E-Port) по одним и тем же критериям. Оценивания систем проводилось по многоуровневой системе, которая включает вложенные параметры. Разумеется, все эти критерии относятся к сфере информационной безопасности. Есть два основных критерия: техническое обеспечение информационной безопасности платежей и организационно-правовое обеспечение. Каждый из двух этих параметров оценивался по трехбалльной системе. Шкала оценок именно такая, поскольку нынешнее развитие электронных платежных систем в нашей стране находится на таком уровне, что большинство их параметров можно описать только словами «да или нет». Соответственно если система электронных платежей максимально соответствует какому-либо параметру, она получает высший балл (3), если совсем не отвечает – минимальный (0). Если в системе этого критерия в его явном виде нет, но если присутствуют какие сервисы или возможности, связанные с отсутствующим, присуждаем промежуточный балл – единицу или двойку.

Оценивая системы электронных платежей, следует помнить о том, что при различных условиях значение одного и того же параметра неодинаковы. Например, несколько сервисов, которые значительно повышают уровень защиты, могут быть реализованы пользователем только добровольно, дополнительно – ценное само наличие этих сервисов в системе. Человеческий фактор никто не отменял и никогда не отменит, поэтому учитывается, что сервис может быть как реализован, так и нереализованный.

Техническое обеспечение безопасности транзакций

Это первый из критериев – набор параметров, обеспечивающий, как ясно из его названия, техническую сторону защиты информации. До этого параметра включены: криптографические методы шифрования, аутентификации и доступ с помощью специального аппаратного обеспечения (в самом примитивном случае – с помощью USB-ключей).

Ни для кого не секрет, что основным критерием защиты информации в техническом плане является, конечно, шифрование данных, а конкретнее – криптографические алгоритмы, с помощью которых они реализованы. Известно также, что чем больше длина ключа, тем труднее расшифровать его и соответственно получить доступ к конфиденциальной информации. Три из испытуемых систем используют широко известный и широко уважаемый алгоритм RSA: Webmoney, «Яндекс.Деньги», PayPal. В E-Port применяется шифрование через SSL-протокол версии 3.0.Фактически шифрование реализовано с помощью SSL-ключей, которые уникальны, они генерируются во время сессии, так и названы сеансового ключа. Длина SSL-ключа в системе E-Port варьируется в пределах от 40 до 128-ми бит, что вполне достаточно для приемлемого уровня безопасности транзакций.

Следующий параметр в техническом обеспечении информационной безопасности транзакций – аутентификация, т.е. совокупность решений, которые нужны пользователю для доступа к его собственной персональной информации. Здесь все просто. В системах Webmoney и «Яндекс.Деньги» для доступа используются два критерия, тогда как в PayPal и E-Port – только один. В Webmoney для доступа в систему и проведения платежей необходимо вводить пароль и специальный ключ.Подобно работает и «Яндекс.Деньги»: требуется пароль и специальная программа-кошелек. Во всех остальных систем доступ осуществляется по паролю. Однако в системе E-Port для работы по SSL-протоколу web-сервер потенциального клиента (и любого другого участника системы) должен иметь специальный цифровой сертификат, полученный от одной из уполномоченных компаний. Этот сертификат используется для аутентификации web-сервера клиента. Механизм защиты сертификата, который используется в E-Port, сертифицированный компанией RSA Security. Третий и последний параметр в данном исследовании критерии – доступ к системе с помощью специального аппаратного обеспечения, например USB-ключей.

Криптографические методы шифрования

Webmoney и «Яндекс.Деньги» применяется ключ длиной 1024 бита (очень высокий показатель, взломать такой ключ методом простого перебора практически невозможно), а в PayPal используется ключ в два раза короче – 512 бит.Соответственно для первых двух систем по этому критерию получаем максимальный балл – 3. PayPal, потому что применяет ключ шифрования меньшей длины, получает два балла. Остается только оценить по этому параметру E-Port.Несмотря на использование в ней SSL-протокола и даже на длину ключа до 128-ми битов, в E-Port есть некоторая потенциальная уязвимость: много старых версий браузеров поддерживают шифрование с ключами меньшей длины, поэтому существует возможность взломать полученные данные; соответственно, для тех, кто использует браузер как клиент для платежной системы, необходимо работать с его последней версией (конечно, это не всегда удобно и возможно). Однако в графе «шифрование» можно выставить для E-Port 1,7 балла: система заслужила такую ​​оценку благодаря применению прогрессивного протокола PGP для шифрования сообщений электронной почты.

Аутентификация

В системах Webmoney и «Яндекс.Деньги» для доступа используются два критерия, тогда как в PayPal и E-Port – только один. В Webmoney для доступа в систему и проведения платежей необходимо вводить пароль и специальный ключ. Подобно работает и «Яндекс.Деньги»: требуется пароль и специальная программа-кошелек.Во всех остальных систем доступ осуществляется по паролю. Однако в системе E-Port для работы по SSL-протоколу web-сервер потенциального клиента.

Согласно Webmoney и «Яндекс.Деньги» получают здесь по три балла, PayPal – 0 баллов, E-Port – один.

Здесь еще проще, чем с предыдущими параметрами. Подобную дополнительную опцию из всех систем имеет лишь Webmoney PayPal, последние не предоставляют такой возможности. Таким образом, с учетом весового коэффициента, Webmoney и PayPal получили по этому параметру 1,5 балла, все остальные – по нулю.

После оценки двух критериев можно подвести итоги. По сумме рассмотренных параметров безопасной оказалась Webmoney. Действительно, если пользователь задействует все предоставляемые ею сервисы обеспечения безопасности, он может остаться фактически неуязвимым для мошенников. Второе место заняла система «Яндекс.Деньги», третье – PayPal (эта система идеально подойдет юридическим лицам за значительной юридическую прозрачность платежей), а последнее место присуждено системе E-Port.

Кроме того, подведя итог анализа платежных систем, можно сказать, что, выбор электронной платежной системы осуществляется вовсе не по одному параметру безопасности, пусть даже он один из самых важных. Системы электронных платежей также отличаются наличием сервисов, удобством использования – есть множество других факторов.

Выводы

Электронные платежи – это закономерный этап в развитии телекоммуникаций.Востребованность высока в тех нишах, где есть полноценный продукт – цифровой товар, чьи свойства хорошо «накладываются» на свойства онлайнового платежа: моментальность уплаты, моментальность доставки, простота и безвидзивнисть.