Hlavní navigace

Je elektronické placení bezpečné?

23. 9. 2003
Doba čtení: 5 minut

Sdílet

Existuje celá řada elektronických platebních systémů. Některé si jsou více a některé méně podobné, všechny by však měly splňovat určité bezpečnostní požadavky. Jak se liší jednotlivé systémy a požadavky, které jsou na ně z hlediska bezpečnosti kladeny?

Množství dostupných elektronických platebních systémů je obrovské a neustále se zvětšuje. Zavedlo se proto několik kritérií, podle kterých se jednotlivé systémy rozdělují.

Jedním z nich je nezbytný tok informací mezi zúčastněnými. Níže uvedený obrázek ukazuje čtyři základní modely. Dalším z kritérií pro odlišení je přímá komunikace mezi plátcem a příjemcem (obrázek 1a, 1b). Při nepřímé komunikace (obrázek 1c, 1d) je platební operace vyvolána pouze jednou stranou a zahrnuje tak pouze iniciátora a banku(y). Plátci je pouze oznámena celá transakce jeho bankou.

Podle vztahu mezi dobou, kdy iniciátor platby považuje tuto akci za ukončenou, a časem, kdy se převádí peníze od plátce, můžeme rozlišit mezi:

  • předplacenými systémy (pre-paid payment systems), obrázek 1a – patří sem např. předplacené platební karty,
  • aktuálně placenými systémy (pay-now payment systems) – placení pomocí debetní platební karty, které spadá do této kategorie, dnes již u nás používá takřka každý,
  • systémy, kdy se platba provádí později (pay-later payment systems), obrázek 1b – zařadit sem můžeme např. kreditní karty.
EPS II

Obrázek 1: Platební modely (tečkované čáry znázorňují toky, které mohou vést mimo systém)

Pre-paid systémy se také někdy označují jako hotovostní (cash-like) modely a můžeme mezi ně zařadit také například dobíjecí kupóny či šeky. Poslední dva zmiňované (pay-now, pay-later) jsou si trochu podobné. V obou dvou případech musí mít uživatel zřízen účet v bance (na rozdíl od předplaceným systémů, kdy to nutné není). Proto také můžeme tyto systémy zařadit mezi tzv. účtové (account-based) modely.

Dále se rozlišují dva základní způsoby realizace elektronických plateb:

  • on-line platby
    Před poskytnutím služby ověřuje obchodník s bankou platby od zákazníka (ověřování probíhá obvykle přes autorizační server na straně vydavatele či nabyvatele). On-line systémy zahrnují více komunikace a jsou považovány za více bezpečné než off-line platby.
  • off-line platby
    Nepotřebují kontakt se třetí stranou během transakce. Je zamezováno dvojímu utrácení nějakou již provedenou operací, a tak není nutné on-line spojení s bankou. Většina off-line plateb k tomu používá nějaké hardwarové zařízení, která zamezují podvodům, např. smart karty či softwarové prostředky – např. elektronické peněženky. Můžeme sem zahrnout také platby v restauracích a jiných zařízeních pomocí embosované platební karty.

V dnešní době jsou však off-line platby právě z hlediska větší bezpečnosti nahrazovány on-line platebními systémy.

Elektronické platební systémy jsou také děleny podle sumy, která je přenášena během transakce, a ačkoliv není oficiálně řečeno, podle jaké částky se dělí, můžeme zavést vlastní rozlišení, a to na:

  • mikroplatby (< $1)
    Tyto systémy jsou navrženy k podpoře velkého počtu malých plateb, několika penny za transakci místo několika dolarů.
  • platby s malou hodnotou ($1 – $500)
    Obvykle se platby s malou hodnotou provádějí použitím kreditních a debetních karet a široké uplatnění nacházejí zejména na Internetu.
  • platby s velkou hodnotou (> $500)
    Platby s velkou hodnotou především používají on-line systémy založené na asymetrické kryptografii využívající toho, že identita plátce je známá a ověřená. Můžeme sem zařadit internetové bankovní systémy, převody z účtu na účet atd.

Bezpečnostní požadavky

Konkrétní bezpečnostní požadavky platebních systémů se liší v závislosti na rysech jednotlivých systémů, obecně však mezi základní vlastnosti, které systémy musí mít, patří: integrita, utajenost, autorizace, dostupnost a spolehlivost přenášených dat.

Každý druh platby má svá pro a proti, nelze tedy jednoznačně říci používejte tu a tu platební variantu, ta je nejlepší.

Pokud někdo často navštěvuje např. restaurace, kde nemají elektronický terminál, nechce s sebou nosit hotovost a důvěřuje obchodníkovi, který pak provede off-line platbu s embosovanou kartou (resp. s otlačenými údaji z jeho embosované karty), pak ať používá tento druh platby.

I on-line platby mají svá rizika: musíte si pamatovat svůj PIN, avšak v mnoha prodejnách při platbě platební kartou po vás tento způsob autorizace ani nechtějí (stačí jim váš podpis), což zrovna moc bezpečné není. Na druhou stranu, u on-line plateb je mnohem snazší zjistit, jestli disponujete dostatečnou hotovostí na účtu, jestli karta s kterou platíte není kradená atd.

Stále větší popularitu si získávají předplacené karty, které jsou vhodné právě pro ty, kteří se obávají „vytunelování“ svých peněžních kont při ztrátě či zcizení své karty. Prostě si tuto kartu nabijete takovou částkou, jakou sami chcete. Nevýhodou těchto karet je, že si nemůžete koupit to, co stojí více, než je aktuální hotovost na kartě.

Integrita a autorizace

Celistvý platební systém nedovoluje, aby se převáděly peníze od uživatele, který tuto akci neautorizoval. Umožňuje také odmítnutí přijetí platby bez souhlasu, aby zabránil podobným věcem, jako je např. uplácení. Autorizace tvoří nejdůležitější složku v platebních systémech a může být prováděna třemi způsoby:

  • autorizace třetí stranou
    Ověřující stranou je typicky banka, která buď zamítne nebo potvrdí transakci použitím bezpečného venkovního kanálu (např. pošta, telefon). Typické použití je u plateb typu CNP (Cardholder not present), dříve zvané MO/TO (Mail order/Telephone order). Kdokoliv, kdo zná data z kreditní karty, může vyvolat transakci a odpovědný uživatel pak musí toto potvrdit nebo naopak říci, že jde o nepovolenou transakci.
  • heslem
    Transakce chráněná heslem požaduje, aby každá zpráva od autorizované strany zahrnovala šifrovanou část pro kontrolu. Tato část je vypočítána pomocí tajného klíče, který je znám pouze autorizované a ověřující straně.
  • podpisem
    V tomto typu autorizace požaduje ověřující strana digitální podpis autorizované strany. Digitální podpis zajišťuje nepopíratelnost původní zprávy, protože pouze majitel tajného podpisového klíče se mohl podepsat pod tuto zprávu.

Utajenost

Některé zúčastněné strany mohou požadovat utajenost transakce, čímž se myslí to, že některé informace o dané transakci (např. jméno plátce, příjemce, celková suma, atd.) zůstanou utajeny vůči třetím osobám.

Dostupnost a spolehlivost

Jednou z dalších důležitých vlastností platebních systémů je možnost provádět platby, kdykoliv je třeba.

skoleni_15_4

Platební transakce musí být atomické – tj. provede se buď celá, nebo žádná část transakce a nesmí se stát, že by systém zůstal v neznámem či nekonzistentním stavu. Žádný plátce by neakceptoval ztrátu peněz kvůli hardwarovým či softwarovým potížím.

Dostupnost a spolehlivost tedy předpokládá především bezchybný chod všech počítačových komponent. A pokud už k nějakému problému dojde, je nezbytné mít vypracovaný plán návratu do původního konzistentního stavu.

Považujete elektronické platby za bezpečné?

Byl pro vás článek přínosný?

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).