Платежная подсистема электронного магазина Internet-коммерции

В качестве примера реальной Internet-ориентированной платежной системы рассмотрим платежную подсистему электронного магазина системы Internet-коммерции.

Клиенты этого магазина имеют возможность выбора среди нескольких способов проведения платежа за оформленный заказ:

- оплата счета-фактуры банковским перечислением, почтовым переводом, при этом счет-фактура, подписанная торговым сервером, распечатывается клиентом со своего экрана;

- оплата с использованием пластиковой карточки с магнитной полосой, при этом клиент предварительно регистрируется в банке и получает личное средство криптографии;

- оплата с использованием чип-карты региональных проектов INT, при этом используются смарт-карты БЭР и смарт-карты национальной системы электронных платежей НБУ.

Оплата счет-фактуры относится к традиционным способам платежей. Однако существует несколько способов проведения электронного платежа с использованием дебетных карточек разнообразных платежных систем (VISA MasterCard) либо непосредственно управляя своим счетом в банке через Internet. Каждая платежная компонента обладает многоуровневой системой защиты платежных транзакций.

На примере реального электронного магазина (Internet-магазин системы Internet-коммерции (СИК)http://www.intcommerce.com/)рассмотрим последовательность операций проведения оплаты пластиковой карточкой в СИК с применением средств криптографической защиты.

Разработчиком торговой, платежной подсистем и подсистемы безопасности СИК является компания INT. Она осуществляет адаптацию, настройку и инсталляцию этих подсистем для компаний, решивших открыть коммерческую деятельность в Internet на базе технологии СИК.

Торговые подсистемы могут физически быть установлены на торговом сервере оператора СИК - INT либо непосредственно на автономных программно-аппаратных комплексах, укомплектованных и подключенных в соответствии с требованиями заказчика и находящихся на территории заказчика. Выполняя функцию оператора СИК, INT осуществляет 24 часовой мониторинг работоспособности всех подсистем, инсталлированных на центральном торговом и платежном серверах, хранение и защиту информации в базах данных, а также техническую поддержку удаленных торговых подсистем. INT отвечает за корректную работу подсистем и безопасность проведения платежей по сети Internet в рамках платежной подсистемы СИК. Участниками системы являются:

- предприятие торговли;

- клиент-плательщик;

- оператор СИК.

Предприятие торговли — юридическое лицо, имеющее договор с оператором СИК, использующее торговые и административные функции СИК, принимающее к исполнению заказы клиентов и получающее оплату за них. Организует поставку товаров и услуг клиентам, несет ответственность за целостность и сохранность товаров до момента передачи его клиенту.

Клиент-плательщик — физическое или юридическое лицо, имеющее договор с банком, зарегистрировавшим его, и осуществляющее просмотр каталогов, формирование заказов, инициирующее платежи через СИК с применением полученных в банке средств криптографической защиты информации.

Оператор СИК — юридическое лицо, осуществляющее обеспечение и сопровождение круглосуточной работы программно-технического комплекса СИК, и предоставляющее в распоряжение участников системы торговые, платежные, криптографические и административные функции на основании договоров с ними. Оператор несет ответственность перед участниками системы за целостность и сохранность информации, предоставленной ему на хранение и обработку, соблюдает режим конфиденциальности относительно доверенных ему сведений.

Для обеспечения возможности электронной купли-продажи система содержит:

- платежный сервер;

- платежный шлюз;

- пункт регистрации клиентов.

Платежный сервер — программно-технический комплекс, являющийся частью программно-технического комплекса СИК, осуществляющий аутентификацию и шифрование/дешифрование сообщений, получаемых и передаваемых в процессе работы клиентами-плательщиками СИК и платежным шлюзом СИК, а также осуществляющий хранение в зашифрованном и подписанном виде всех полученных и отправленных сообщений клиентов, а также информации, необходимой для аутентификации отправителей.

Платежный шлюз — программно-технический комплекс, являющийся частью программно-технического комплекса СИК, осуществляющий аутентификацию и шифрование/дешифрование сообщений, получаемых и передаваемых в процессе работы клиентами-плательщиками СИК и платежным шлюзом СИК; а также прием, передачу и хранение информации о клиентах от пунктов регистрации клиентов; подготовку электронных файлов транзакций для авторизации и получение и передачу результатов авторизации на платежный сервер СИК.

Пункт регистрации клиентов — специально выделенное помещение, в котором установлен программно-аппаратный комплекс, предназначенный для ввода и хранения данных о клиентах-плательщиках.

В состав рассматриваемого Internet-магазина (торговая подсистема) входят следующие модули:

- "Витрина магазина";

- "Интерфейс с платежными подсистемами";

-"Управление статусом клиента";

- "Администрирование заказов";

- "Склад магазина";

Модуль "Витрины магазина" и модуль "Управления статусом клиента" имеют внешние, доступные для покупателей интерфейсы в виде динамических HTML страниц. Для доступа к магазину покупатели используют сеть Internet.
Пользователи административных подсистем могут иметь не только WEB-интерфейс, но и работать с сервером приложений в режиме клиент-сервер. Каждый из модулей подлежит адаптации к требованиям той или иной компании, намеренной вести продажи через Internet.

Адаптация "Витрин магазина" производится с учетом особенностей самих товаров или услуг, способов их наглядного представления, удобства поиска и выбора, а также ценообразования, на логообложения и способа доставки покупателю. Модуль "Витрина магазина" осуществляет представление товаров/услуг покупателям в Internet, осуществляет функции поиска товаров/услуг в базе данных, сбор и хранение данных о заказанных товарах/услугах, а также данных о покупателях, введенных ими в процессе выбора и заказа товаров/услуг.

Представление товаров и услуг на WEB-страницах обычно выглядит как электронный каталог с одним или несколькими уровнями вложенности. В каждой из позиций каталога могут содержаться ссылки на справочные, рекламные, информационные страницы, другие серверы. Каждый товар/услуга имеют описание, изображение, перечень основных характеристик, цену и описание условий доставки. На отдельные подразделы каталога может быть установлен ограниченный доступ для клиентов с определенными полномочиями. Эта функция реализуется во взаимодействии с "Модулем управления статусом клиента".

В рамках модуля "Витрины магазина" работает процедура, автоматически осуществляющая инициируемый клиентом сбор товаров/услуг в "корзину" покупателя, оформление заказа на покупку с присвоением ему уникального номера и сохранением в базе данных, и выпиской счета на оплату в адрес покупателя от имени владельца магазина.
Кроме того, работает автоматическая процедура уведомления администратора о получении нового заказа от клиента и получении через "Интерфейс с платежными подсистемами" подтверждения об оплате или отказе от оплаты заказов клиентами. "Интерфейс с платежными подсистемами" включает в себя сложные компоненты криптографической защиты информации и настраивается в соответствии с требованиями безопасности СИК. Один из интерфейсов предназначен для проведения в защищенном режиме платежей с помощью кредитных карт клиентов.

"Модуль управления статусом клиента" адаптируется с учетом наличия в магазине системы скидок, особенностей формирования и работы дилерской сети, программ для постоянных клиентов и партнеров. С помощью этого модуля администратор торговой подсистемы может присваивать клиентам фиксированный объем скидки на закупки, либо устанавливать режим накопительной скидки, предоставлять права доступа к тем или иным приложениям, устанавливать шкалу скидок, начислять бонусы в подсистеме розничной торговли, осуществлять рассылку новостей.

"Модуль администрирования заказов" является стандартной компонентой, автоматически адаптируемой в соответствии с "Модулем управления статусом клиента" и модулем "Витрин магазина", а также наличием модуля "Интерфейс с платежными подсистемами". Этот модуль позволяет администратору магазина отслеживать поступление и выполнение заказов клиентов, управлять статусом заказов, общаться с клиентами.

"Модуль склада магазина" представляет собой подсистему для ведения базы данных товаров и услуг, представления их на витринах и учета на бухгалтерском складе магазина с автоматическим оформлением отгрузочных документов и другой бухгалтерской отчетности. Данный модуль адаптируется в соответствии с модулем "Витрины магазина" и особенностями учета различных товаров и услуг. Модуль позволяет хранить цены на товары и услуги в нескольких валютах, а также в виде шкалы цен, предназначенных для разных типов покупателей.

Товары/услуги могут по желанию администратора сниматься или выставляться на витрину в любое время. Корректировка данных о товарах/услугах может вестись, как и все другие операции, в режиме он-лайн с немедленным отражением изменений на витринах магазина и в административных модулях. При заказе покупателем товара/услуги, его оплате и отгрузке автоматически осуществляются соответствующие бухгалтерские проводки на складе магазина, которые отражаются в отчетах, получаемых администратором.

"Модуль статистических сервисов" служит для получения и хранения статистической информации о посещаемости магазина, спектре наиболее интересных для покупателей товаров, частоте и объеме покупок за периоды, взаимодействии с партнерскими ресурсами в Internet.

Рассмотрим каким образом работает электронный магазин.

Клиент просматривает каталоги товаров и дополнительную информацию на Web-странице торговца в его виртуальном магазине. Он выбирает товары, которые планирует купить и получает форму заказа, содержащую список товаров, их цены и итоговую сумму. После чего клиент подтверждает заказ, заполняет регистрационную форму, выбирает способ платежа и отсылает торговцу законченный заказ вместе с инструкциями платежа.
Если при оплате не возникло никаких проблем, то покупатель получает выбранный товар. Торговец открывает и администрирует свой виртуальный магазин. Он получает заказ клиента с информацией о форме оплаты и после оплаты услуг доставляет товар.

Регистрация клиента банком-эмитентом карточки:

1. Клиент обращается в банк лично, предъявляет документы и запрашивает регистрацию для проведения платежей в СИК.

2. Банк с помощью программно-аппаратного комплекса регистрации производит регистрацию клиента-плательщика СИК и его карточки и записывает на дискету или чип-карту средства криптографической защиты платежей клиента, включая открытый/закрытый ключи подписи. Затем банк и владелец карточки заключают договор, в котором клиент обязуется не отвергать транзакции, подписанные его цифровой подписью.

3. Банк передает в платежный шлюз процессингового центра платежной системы информацию о зарегистрированных клиентах.

4. Платежный шлюз передает торговому серверу информацию о зарегистрированных клиентах-плательщиках СИК. По завершении этих операций клиенты могут совершать покупки в Internet-магазине СИК. Сам процесс совершения покупки может осуществляться по двум протоколам. Протокол 1 (оплата по факту доставки товара Покупателю).

5. Владелец карточки выбирает товары и оформляет заказ на торговом сервере СИК. После выбора клиентом способа оплаты карточкой включается в работу ПО клиента. Торговый сервер формирует сообщение, содержащее информацию о заказе, формирует цифровую подпись при помощи секретного (закрытого) ключа подписи, принадлежащего торговцу. Данное сообщение вместе с подписью сохраняется на торговом сервере, а также передается клиенту. Клиент проверяет данные и подтверждает готовность оплатить заказ своей карточкой.

ПО клиента зашифровывает, формирует цифровую электронную подпись и передает транзакцию на торговый сервер.

Информация о заказе содержит:

-Дату;

- номер заказа;

- Ф.И.0. клиента;

- ID карточки;

- содержание заказа.

Платежное поручение содержит:

-дату;

- номер торговца на торговом сервере;

- Ф.И.0.клиента;

- ID карточки;

- сумму заказа.

6. ПО торгового сервера расшифровывает сообщение от клиента проверяет совпадение ФИО заказа и ФИО в базе данных ключей. При удачном результате проверяет не авторизован ли уже данный заказ и формирует запрос на авторизацию, предназначенный для платежного шлюза процессингового центра. Сформированные ПО торгового сервера данные, предназначенные для платежного шлюза процессингового центра, объединяются с сообщением клиента, содержащим платежное поручение, и передаются платежному шлюзу процессингового центра в зашифрованном виде.

При отрицательном результате проверок торговый сервер предлагает клиенту заново ввести данные карточки.

Платежный шлюз получает транзакцию с платежным поручением клиента.

Сообщение расшифровывается. В случае успешного результата проверки подписи, данные сохраняются и проводится авторизация. Результаты авторизации подписываются с помощью секретного ключа подписи платежного шлюза, шифруются и оба сообщения передаются торговому серверу.

7. ПО торговца передает клиенту сообщение, предназначенное для клиента. Свое сообщение обрабатывает по описанной выше технологии.

Если транзакция была авторизована, ПО торговца принимает заказ к исполнению и уведомляет о результате ПО клиента.

8. Торговец совершает отгрузку заказа клиенту. Получает документы, подтверждающие получение заказа.

9. Торговец сообщает об отгрузке товара торговому серверу. Торговый сервер посылает в платежный шлюз зашифровывает запрос на разгрузку транзакции.

10. Платежный шлюз производит разгрузку транзакции через процессинговый центр с применением криптографической защиты платежной транзакции.

11. Оплата данного заказа со счета клиента в пользу торговца через банковскую систему.

Протокол 2 (авансовый платеж Покупателя)

Пункты 1-7 выполняются аналогично описанному выше.

8. Торговый сервер посылает в платежный шлюз зашифровывает запрос на разгрузку транзакции.

9. Платежный шлюз производит разгрузку транзакции через процес-синговый центр с применением криптографической защиты платежной транзакции.

10. Оплата данного заказа со счета клиента в пользу торговца через банковскую систему.

Система CyberPlat

В качестве более крупной платежной системы, обслуживающей несколько десятков электронных магазинов, рассмотрим систему CyberPlat, принадлежащую компании CYBERPLAT.COM (http://www.cyberplat.com).
Эта компания образована в апреле 2000 года в Москве. Ее целью является эксплуатация и укрепление рыночных позиций системы CyberPlat - универсальной платежной системы, которая позволяет совершать покупки в Internet-магазинах и эффективно оплачивать их в режиме on-line с помощью кредитных карт или с банковских счетов.

Платежная система CyberPlat существует более 2 лет. В настоящее время в системе CyberPlat действует 87 и Internet-магазинов и компаний, еще 135 магазинов находится в стадии подключения. Количество клиентов, совершивших покупки через систему CyberPlat, составляет более 70 тыс.

Система CyberPlat - дебетовая (платеж осуществляется цифровым чеком, подписанным электронно-цифровой подписью). Она обеспечивает комплексность и полную автоматизацию расчетов. В настоящее время в системе CyberPlat эффективно реализованы четыре модели Internet-бизнеса:

- оптовые расчеты по операциям для бизнеса (схема "Business-to-Business");

- розничные расчеты по операциям физических лиц (схема "Business-to-Consumer");

- lnternet-банкинг, обеспечивающий операции по удаленному управлению счетом и другие сервисные функции;

- открытая полнофункциональная платежная система, к которой могут подключаться любые участники (фирмы - поставщики товаров и услуг и банки).

Система CyberPlat основана на комплексе юридических договоров, полностью соответствующих российскому законодательству. Это обеспечивает продавцам и покупателям уверенность в том, что существует четкая и определенная законом процедура решения спорных вопросов, возникающих при расчетах между участниками сделки. Оператором системы CyberPlat является банк "Платина", собственные средства которого превышают 20 млн.долларов.