Протокол успешно проходит пилотные испытания; производители начинают его внедрение
Эстер Шейн
Стремясь повысить доверие потребителей к онлайновым покупкам, фирма Visa International (Сан-Франциско) и компания MasterCard International выступили в апреле с двумя инициативами, которые должны подтолкнуть продавцов и покупателей к более широкому использованию протокола SET (Secure Electronic Transaction - защищенные электронные транзакции).
Во-первых, эти компании решили освободить на два года от оплаты транзакций по кредитным карточкам все банки США, использующие протокол SET. Это означает, как утверждает Стив Херц, старший вице-президент Visa по электронной коммерции, что на каждые $100, участвующие в транзакции, экономятся 8 - 15 центов.
Во-вторых, по словам Херца, при выполнении транзакции с помощью SET-совместимого цифрового сертификата эта транзакция будет считаться аутентифицированной компаниями, выпускающими кредитные карточки. Поэтому продавцы не будут нести убытки по возможному возмещению покупателям неправомочно снятых с их карточных счетов средств.
Аналитики считают, что, благодаря заложенным в SET возможностям аутентификации Web-транзакций и защиты платежной системы от злоумышленников, а также двум предложенным инициативам, этот протокол станет основным катализатором развития электронной коммерции в течение ближайших нескольких лет. По словам Рэя Бейкера, аналитика фирмы Meta Group (Рестон, шт. Виргиния), на сегодняшний день компании теряют из-за мошенничества клиентов 10 - 15% своих доходов от использования кредитных карточек.
Выдвинутые инициативы перекладывают риск таких убытков с продавца на банк. “Суть SET состоит в превращении транзакций в виртуальных торговых точках в эквивалентные транзакции, осуществляемые с физическим предоставлением кредитной карточки, - считает Бейкер. - Это огромный стимул для использования SET продавцами”.
SET, как утверждают его приверженцы, позволит потребителям делать покупки максимально безопасно, ибо он точно аутентифицирует продавца. Он также удобен тем, что регистрация личной информации пользователя производится только один раз - в банке-эмитенте его кредитной карточки. После такой регистрации покупатель (какой бы товар он ни пожелал заказать) может осуществить авторизацию платежа на узле продавца одним щелчком мыши.
Чтобы придать стандарту дополнительный импульс, Visa и MasterCard вместе с компаниями JCB и American Express учредили независимую фирму SET LLC (более известную под именем SETCo), отвечающую за тестирование продуктов на соответствие стандарту и их сертификацию на право ношения логотипа SET. Продавцы, применяющие SET-совместимые продукты, получат право разместить такой логотип на своих Web-узлах. К программе испытаний присоединились примерно 13 производителей, а первые логотипы SET могут быть присвоены, по словам Херца, уже в мае.
Тестирование стандарта
Использование SET предполагает выдачу владельцам кредитных карточек цифрового сертификата, хранимого в Web-браузере и содержащего номер карточки. При каждой покупке, совершаемой пользователем, зашифрованный код сертификата передается на сервер банка, где проверяется аутентичность клиента. Затем розничному торговцу отсылается сообщение, подтверждающее законность транзакции. Продавец при этом никоим образом не может подсмотреть номер кредитной карточки.
Как объясняет Херц, версия 1.0 протокола SET, пришедшая на смену предварительной версии 0.0, дополнена серверными средствами сбора пакетов. Эти средства упрощают организацию потока финансовых транзакций от продавца в банк, что особенно важно при использовании унаследованных систем. Кроме того, SET 1.0 позволяет покупателям использовать в онлайновом режиме дебетовые карточки, в которых применяются цифровые подписи.
SET разрабатывался как протокол для применения в торговых операциях, в то время как его ближайший конкурент, SSL (Secure Sockets Layer), - это протокол шифрования, применяемый в первую очередь для защиты данных при их передаче по Сети. “Проблемы электронной коммерции гораздо шире, чем просто шифрование. Здесь приходится иметь дело с таким вещами, как отказ от взятых клиентом обязательств и проверка "подлинности" магазина - всем тем, что в обычном мире подразумевается, как нечто само собой разумеющееся”, - поясняет Бейкер из Meta Group. SSL же, вероятно, будет и дальше использоваться в приложениях, не связанных с кредитными карточками.
Банки, которые одновременно и приобретают, и сами выпускают кредитные карточки, в числе первых проявили интерес к пилотным испытаниям SET. Mellon Bank N.A. (Питтсбург) совместно с Бюро государственного долга (Bureau of Public Debt) под эгидой Министерства финансов США уже некоторое время участвует в программе тестирования SET фирмы MasterCard. По словам Тома Батлера, первого вице-президента банка и менеджера по разработке продуктов, правительство США, являющееся одним из крупнейших клиентов этого банка, предложило Mellon участвовать в пилотном проекте в прошлом году, так как многие федеральные учреждения высказывали желание приступить к торговле товарами и услугами через Internet, но были озабочены недостаточным уровнем безопасности.
Первый этап пилотных испытаний проходил с августа по ноябрь прошлого года. На это время Mellon сформировал группу примерно из 20 держателей кредитных карточек Mellon Bank, которые в онлайновом режиме приобретали сберегательные облигации в Бюро государственного долга. Участникам проекта банк предложил электронные кошельки - загружаемое с компакт-диска ПО, содержащее номер кредитной карточки клиента. Затем они должны были получить цифровой сертификат корпорации GTE, также выступающей в качестве партнера MasterCard по пилотному проекту.
Цель первого этапа состояла в проверке правильности идей, заложенных в версии 0.0 стандарта SET, на реальной задаче: организации транзакций (осуществляемых между банком-эмитентом и продавцами) по покупке облигаций и выплате дивидендов по ним.
Одной из целей второго этапа, который сейчас планируется, будет тестирование совместной работы продуктов, основанных на версии 1.0 протокола SET. “Задача состоит в том, чтобы поработать с различными типами электронных кошельков, серверов и шлюзов. Так что совместимость здесь является ключевым моментом”, - заявил Батлер.
SET в действии
Предложение SET на узлах продавцов в качестве метода платежа не будет единственным применением этого стандарта. Verifone, фирма - поставщик транзакционных решений, объединила усилия с компанией Hewlett-Packard и корпорацией Electronic Data Systems (Плано, шт. Техас) для создания новой службы аутсорсинга под названием ReadySet. В рамках этой службы, ориентированной на небольшие банки, Verifone собирается предоставить инфраструктуру платежей, осуществляемых через ее ПО vGate, функционирующее на сервере EDS. Корпорация EDS станет обрабатывать транзакции, а HP предоставит аппаратуру для всей этой системы.
Несмотря на весь энтузиазм участников, процесс тестирования и принятия SET до конца текущего года будет проходить “медленно и осторожно”, предупреждает Бейкер из Meta Group, аргументируя свое мнение наличием проблем с совместимостью и сопряжением различных систем. Банкам и другим финансовым учреждениям тоже придется поработать - на них возлагается задача заставить клиентов чувствовать себя комфортно при использовании цифровых сертификатов. Бейкер ожидает “взрыва” внедрения SET в 1999 г.
Основатели SET удовлетворены достигнутым прогрессом. “Ценность SET заключается в том, что он использует сложившиеся в коммерции модели поведения и опирается на глобальную систему торговли, - утверждает Херц из Visa. - А мы просто подвели под это фундамент”.
SET на старте
Терминологический словарь SET (Secure Electronic Transaction)
Протокол SET - применение цифровых сертификатов и криптографических технологий для аутентификации осуществляемых через Internet транзакций по кредитным карточкам.
Цифровой распорядитель (Digital Authority) - ПО, генерирующее сертификаты, используемые SET при осуществлении платежной транзакции.
Шлюз, или платежный шлюз - ПО, реализующее функциональность SET от имени эквайеров.
Продавец, или сервер продавца - ПО, реализующее функциональность SET на Web-узлах электронной торговли.
Кошелек, или электронный кошелек - ПО, используемое покупателями при выполнении транзакций электронной коммерции.
Источник: фирма SET Secure Electronic Transaction LLC.