» Разное » Платежная система Cashew
Поделись игрой с друзьями! :)

Платежная система Cashew

  • 7-11-2016, 08:01
0









Кризис банковской системы в нашей стране демонстративно заявляет о своем владычестве всеми возможными способами - в глаза еще недавно бросались то мертвые уличные банкоматы с потухшим взором, то вежливые извинения на дверях престижных и не очень магазинов за отказ принимать кредитки российских банков. Возможно, сейчас, когда Вы читаете эту статью, вышеописанная картина вновь "радует" глаз. Тем не менее, ясно, что, даже будучи целенаправленным, построение 19-го века в отдельно взятой стране было бы провальной затеей. Время в нашей вселенной бежит только в одном направлении. И тот, кто, оправившись от шока, выключил телевизор и выкинул в помойное ведро утреннюю газету, снова погрузится в свои насущные дела.

Несмотря ни на что растет круг пользователей Internet, в котором по-прежнему распускаются и цветут сайты с анекдотами и эротикой и продолжают стабильно функционировать Internet-магазины. Условия окружающей действительности еще далеко не так тяжелы, чтобы отбить у россиян естественную тягу к прогрессу, как к непрерывному расширению своих возможностей.

Одним из уверенных шагов в этом направлении стала разработка российскими компаниями DataX/FLORIN, Релком-Альфа и МультиКарта автоматизированной системы Cashew. Эта система является сертифицированным решением on-line-торговли в Internet по пластиковым картам международных платежных систем. При ее применении разработчики постарались реализовать максимально удобный и для продавца и для покупателя подлинный онлайновый режим товарно-денежного обмена.

Соответственно, использование Cashew существенно сократит расходы каждого конкретного виртуального магазина. Что же касается потенциального покупателя, то система разработана таким образом, чтобы максимально "комфортно" вписываться в его штатное матобеспечение, не требуя от него ни установки дополнительных пакетов, ни апгрейда, ни наличия специальных знаний. На операционную систему покупателя и прикладное матобеспечение тоже никаких ограничений не накладывается, обязательным является разве что наличие собственно компьютера, подключенного к Internet, и одного из наиболее распространенных браузеров (Netscape Navigator, Internet Explorer и т. д.); в целях безопасности лучше, если вышеупомянутый браузер поддерживает работу по технологии SSL (Secure Socket Layer), права на которую принадлежат корпорации Netscape.

Поскольку система рассчитана на работу с огромными потоками конфиденциальной информации, вполне объяснимо и повышенное внимание, уделенное ее разработчиками обеспечению безопасности. Cashew предполагается сертифицировать ГТК РФ по классификатору "Автоматизированные системы. Защита от несанкционированного доступа к информации". Высокий профессионализм решения будет этим только подчеркнут. Система Cashew безусловно заслуживает доверия как со стороны покупателей, так и со стороны продавцов.

Чтобы получить возможность работать с Cashew, ответственное лицо виртуального магазина после формальных договорных процедур получит дискету с заготовками программ, которыми надо будет дополнить математическое обеспечение виртуального магазина, и средствами идентификации (программой цифровой подписи PGP с библиотекой-интерфейсом и открытым ключом сервера Cashew). Матобеспечение и аппаратная платформа, на которой реализован виртуальный магазин, существенного значения не имеют, и сам магазин может располагаться на любом сегменте Internet.

В общем это напоминает структуру call-центров, распространенную на Западе, но пока еще не внедренную у нас (начавшееся было разворачивание call-центров в Москве совпало с кризисом). Гостиницы, транспортные и прочие компании все чаще предпочитают оплачивать услуги call-центров вместо того, чтобы содержать собственную службу бронирования или приема заказов. Похожую картину мы получим и в области виртуальной торговли с внедрением в нее Cashew (уже анонсирована специальная льготная программа для первых 15 корпоративных заказчиков). Сколь угодно большое количество продавцов и покупателей смогут производить расчеты друг с другом на едином сервере Cashew, что позволит хозяевам виртуальных магазинов сэкономить далеко не символическую сумму, а покупателям даст дополнительное обоснованное ощущение надежности.

Вот как выглядит процесс электронного шоппинга с использованием Cashew.

Желающий с пользой потратить свои деньги гость Интернета попадает на сайт магазина. Пользуется ли магазин услугами Cashew - он не знает, ему незачем об этом даже думать. Как правило, люди обращают мало внимания на то, что функционирует нормально; преимущества, предоставляемые Cashew, (такие, например, как мгновенная информация об авторизации платежного документа, или многочисленные механизмы защиты карточки от компрометации), будут восприниматься покупателем, как должное.

Итак, этот некто приходит на сайт магазина и набирает себе корзину с заказом. Когда, гордый собой, он приходит к выводу, что заказал уже все, что только мог, магазин потихоньку подписывает получившуюся корзину при помощи механизма PGP. Это один из шагов, направленных на предотвращение мошенничества (создания фиктивной торговой точки). Само содержание корзины не является тайной, важен только факт ее истинности, поэтому корзина именно подписывается, а не шифруется. А покупатель оказывается уже на сервере Cashew (как если бы он сначала выписал товар у продавца в обычном магазине, а потом с бланком выписки был направлен в кассу, только не приходится беспомощно петлять по торговому залу в поисках заветного окошечка, на котором в конце концов обнаруживается записка "закрыто; обращайтесь во вторую кассу на противоположном конце зала").

Вообще-то, строго говоря, на этапе общения покупателя с Cashew имеется некоторый риск: информацию, имеющую непосредственное отношение к возможности распоряжаться деньгами, приходится передавать по открытым сетям. Поэтому система предоставляет покупателю выбор: если его броузер позволяет использовать режим SSL, то все общение броузера и сервера Cashew может шифроваться алгоритмом RSA с ключом RC4-40 или RC4-128 (последний вариант возможен, если броузер поддерживает работу с длинным ключом; в любом случае, с какой максимальной длиной ключа может работать покупатель - сервер определяет сам). Поскольку одним из принципов разработки Cashew было не накладывать никаких дополнительных ограничений на программное обеспечение покупателя, протокол HTTPS не заложен в нее по умолчанию, и если технические возможности браузера не позволяют использовать режим SSL, то покупатель может передавать информацию по открытым каналам. В действительности, риск того, что при работе по открытым каналам информация о платежном документе конкретного покупателя будет перехвачена, в несколько десятков раз ниже, чем, например, опасность того, что этот же покупатель на следующий день будет погребен под кучей металлолома в автомобильной аварии. Впрочем, картина резко меняется, если на сервере Вашего провайдера (ни с какого другого места доступа к передаваемой информации нет) круглосуточно дежурит команда злобных хакеров, имеющих зуб на Вас лично (А чем Вы им так насолили-то?). Боюсь, что в этом случае единственный выход - это смена провайдера, даже если никакие Internet-магазины Вам сто лет не нужны.

Но вернемся к системе: при первом соединении с броузером покупателя предлагается загрузить так называемый сайт-сертификат, которым идентифицируется защищенный сервер Cashew. Когда связь установлена, сервер Cashew сразу же проверяет истинность подписи виртуального магазина. Кроме этого, сервер производит разные дополнительные проверки. Все они преследуют единственную цель - свести к минимуму возможность фальсификации параметров и осуществления некорректного платежа.

Если покупатель пользуется системой Cashew (именно самой системой, а не услугами конкретного магазина!) первый раз, то ему предлагается получить авторизационную пару (имя и пароль; известны также под кличками "Login" и "Password"). Из всех полей, предлагаемых здесь для заполнения, строго обязательны только поля, касающиеся карточки (номер, дата истечения срока, и т. д.). Остальная информация вносится по желанию, но если у Вас нет особых причин скрывать что-либо о себе, то лучше заполнить все предложенные поля. (Скажем, не заполняя поле "Е-mail", Вы лишаете себя возможности получать информацию от Cashew, например, о попытках подобрать Ваш пароль). Один раз пройдя регистрацию, покупатель может пользоваться полученной авторизационной парой не только при повторном посещении данного магазина, но и при оплате покупок во всех магазинах, подключенных к системе Cashew. Помимо очевидного облегчения процедуры оплаты, это снимает возможность компрометации карточки при повторном пользовании терминалом. Просмотр логов прохождения платежа или редактирование информации о платежном документе тоже производятся после введения авторизационной пары.
Бывалый покупатель, уже имеющий авторизационную пару, просто заходит в систему под своим именем. После того, как регистрация или авторизация успешно завершена, запрос переходит в фазу непосредственной процедуры оплаты on-line.
На этапе оплаты система передает инициативу серверам Процессинговой компании. На них платежный документ проходит авторизацию по своим протоколам, принятым при обмене данными между серверами компании и удаленными POS-терминалами.

В результате от Процессинговой компании приходит отклик - отрицательный или положительный. При получении отрицательного отклика (платежный документ не прошел этап авторизации) покупатель получает соответствующее уведомление и, соответственно, операция прерывается.

Покупатель, прошедший этап регистрации и получивший авторизационную пару на сервере Cashew, вправе просмотреть этапы прохождения своего платежного документа.

Разработчики понимают, что сам процесс оплаты - это теоретически потенциально опасный этап, поэтому система Cashew включает в себя специальную фискальную подсистему. Она строится на логгировании всех этапов прохождения платежа. Последующее изменение логов в системе невозможно, что позволяет однозначно решать возможные конфликтные ситуации, неизбежно возникающие при оплате.

Вообще, защитные механизмы, примененные разработчиками, многочисленны и разнообразны. За каждым шагом по принятию той или иной информации следует обязательная проверка всех возможных параметров. Возможно, кому-то это покажется необязательным, особенно в то время, как в уже существующих виртуальных магазинах можно наблюдать совершенно разное отношение к защите информации клиента, вплоть до зачитывания номера карты по телефону - и, вроде бы, ничего, все довольны! Однако честь профессионалов заставляет их творить продукт, максимально приближенный к идеалу. Тем более, что "занудство" и "буквоедство" программы останется для пользователя незамеченным - скорость передачи информации настолько велика, что все эти проверки практически не отнимают времени (чего не скажешь о разбирательствах со службой банка в случае "непонятного" исчезновения денег, риск которого и сводится к нулю всеми вышеописанными проверками). Вне зависимости от результатов всех проверок по ним формируется запись в журнале прохождения платежа.

При отрицательном результате любой проверки срабатывает фискальная система и все участники сделки получают уведомление.

Например, при попытке подобрать пароль (то есть, после определенного количества введений неверного пароля) операции под этим именем на какое-то время блокируются, а законный хозяин имени извещается о попытке злодеяния (примерно так реагирует и любой банкомат на явную попытку подобрать PIN). Или еще один пример: когда сервер Cashew принимает информацию о корзине покупок, кроме истинности подписи магазина проверяются, например, сетевые атрибуты сервера магазина, считываются сетевые атрибуты покупателя, фиксируется время, могут быть использованы и использование дополнительные проверки, например проверка времени "жизни" корзины, или проверка того, удовлетворяет ли полученный идентификатор корзины заказа алгоритму, используемому на сервере магазина при формировании, и т. д.
А процедура транзакции с перечислением некоторых проверок выглядит следующим образом:

Сначала проверяются переменные окружения (запрос должен идти от предыдущей процедуры с Cashew, сетевые атрибуты покупателя должны соответствовать фазе авторизации, и т. д. ). Все получаемые параметры проверяются на соответствие законам своего формирования: к примеру, идентификатор магазина должен соответствовать перечню принятых к обслуживанию торговых точек, фаза формирования транзакции не может родиться без фазы авторизации, и т. д. После удачного завершения проверок процедура заполняет входные параметры:

- атрибуты платежного документа (явно заполненные или полученные из базы при прохождении авторизации);
- атрибуты сделки, идентификатор магазина, идентификатор корзины заказа, суму перечисления, вид валюты, и т. д.
- возможно - авторизационное "имя" покупателя.

Происходящий после этого обмен информацией с Процессинговой компанией идет по закрытым сетям, поэтому риск перехвата информации посторонними отсутствует полностью. После того, как Процессинговая компания оповещает об удачном завершении ее этапа работы, процедура формирует гиперссылку обратно на сервер магазина. Помимо прочего, эта гиперссылка содержит все входные параметры и текущее время авторизации платежного документа.

Разработчики позаботились, естественно, и о защите от прямого вмешательства, и даже от некорректных действий. Удаленному администрированию компьютер Cashew подвергнуть нельзя: такая возможность заблокирована уже на уровне маршрутизатора CISCO, на котором включены фильтры на все протоколы для блокировки прохождения пакетов, кроме протокола HTTP. На самом компьютере включен IPFILTER с настройками, аналогичными настройкам CISCO, являющийся вторым рубежом защиты от атак из открытой сети провайдера. Оба НТТР-сервера Cashew расположены в зоне CHROOT, что предотвратит доступ к ключевой информации при гипотетическом проникновении через протокол HTTP (вероятность которого на практике равна сами понимаете чему).

Все сколько-нибудь ценные данные хранятся в системе в закрытом виде и даже администратор системы не имеет средств их извлечения. Система "Сервер Cashew - сервер магазина" является информационно замкнутой и никакие некорректные действия не могут привести к бесконтрольному исчезновению средств покупателя или товара продавца.
Для проведения успешной атаки на Cashew (проще говоря - для совершения некорректной сделки) необходимо было бы одновременно подменить ключи на обоих серверах, а на сервере Cashew внести еще и изменения в таблицу магазина, заменив key_ID ключа магазина, для чего, как известно, просто нет физической возможности. При несоблюдении хоть одного из указанных условий сделка будет считаться не совершенной, а фискальная система Cashew мгновенно оповестит об этом инциденте всех заинтересованных лиц.

Подмена серверов магазина возможна только на сегментах провайдеров или локальной сети магазина лицами, имеющими доступ к маршрутизации пакетов или службам DNS. Эти попытки легко вычисляются с помощью предусмотренных Cashew логгирования всех этапов и обратной связи администратора Cashew со службами магазина. Более того, при отсутствии возможности занести ключ магазина в базу системы все запросы, подписанные не текущим ключом магазина будут отбракованы на самой ранней стадии соединения клиента с сервером Cashew.

Взлом самой АС практически невозможен, что подтверждено сертификатом ГТК РФ. Подменить сервер Cashew также почти нереально, так как сервер имеет сертификат сайта, слепок которого покупатель может получить и сравнить с официально опубликованным.

Столь усиленное внимание, уделенное разработчиками обеспечению безопасности, понятно, если принять во внимание, что система специально разрабатывалась для постоянной работы с колоссальными потоками конфиденциальной информации.
Одна из основополагающих идей разработки - лучше не принять платеж вообще, чем принять платеж некорректный или подозрительный. Именно с таких подходом и сформирован ряд защитных мер.
Как уже стало, надеюсь, понятно, работа с Cashew не накладывает сколько-нибудь заметных ограничений ни на виртуальный магазин, ни на потенциального покупателя. Разработчики старались создать исключительно естественную, интуитивно понятную систему, по своей схеме не отличающуюся от привычных каждодневных покупок в обычных магазинах. Для пользователей Internet это обычный www-сервер, для Процессинговой компании - рядовой POS-терминал, ничем не отличающийся при обслуживании от тех, что устанавливаются в реальных магазинах для обеспечения расчетов по пластиковым карточкам.

В качестве платформы процессингового центра избран компьютер производства Silicon Graphics с операционной системой Irix 6.2, дополненной системой контроля целостности и неизменности программной среды Svinka-U от Релком-Альфа. Данный выбор был далеко не случаен; помимо давних деловых связей разработчиков системы с SGI, продукция этой фирмы отличается своей надежностью и разработанные решения легко масштабируются вплоть до уровня супер-компьютеров и супер-систем.

Обширное применение системы Cashew принципиальным образом упростит жизнь виртуальным торговцам, и, возможно, станет тем элементом компьютерной среды, который позволит множеству пока еще потенциальных Internet-бизнесменов решиться на использование "паутины" в качестве эффективного канала сбыта своих продуктов. Для потенциальных владельцев Internet-магазинов АС Cashew представляет собой несомненный интерес. В нынешнее кризисное время начинание любого бизнеса - вдвойне рискованное мероприятие, требующее вдвойне больших финансовых вложений. Поэтому выпуск позволяющей весомым образом сократить первоначальные расходы (если обсуждаемый бизнес - Интернет-торговля) системы сейчас - весомый вклад той части российской интеллектуальной элиты, которая осталась на Родине, в исправление общей ситуации.
Для создания надежной структуры успешного проведения Internet-платежа необходимы профессиональные действия в трех областях: создание самой автоматизированной системы, обеспечение ее безопасности и непосредственно процессинг платежного документа. Компании-разработчики Cashew - надежные ветераны информационных полей, каждая - заслуживающий уважения профессионал в своей области.

DataX/FLORIN,изначально занимавшаяся разработкой Биологической Информационой Системы ФЛОРИН, с момента своего возникновения в 1992 году успела завоевать доверие фирм Informix Software, Cayenne Software, Supernova, выбравших ее в качестве дистрибьютера и авторизовавших ее учебный центр. Партнерами DataX/FLORIN сейчас являются HP, DEC, SGI, IBM, NCR, Sun Microsystems. Компания имеет представительства в США, Германии и Нидерландах, а ее оригинальные программные продукты продаются в девяти странах. Среди клиентов DataX/FLORIN - Центробанк РФ, Банк Менатеп, Национальный Банк Казахстана, Альфа-банк, ГАИ МВД Республики Татарстан, НИИ Нейрохирургии имени Бурденко, Национальный Депозитарий республики Узбекистан, Астана-Холдинг, и многие другие.

ЗАО Релком-Альфа, созданное в 1995 г., специализируется на вопросах обеспечения информационной безопасности в компьютерных сетях (лицензия Гостехкомиссии N240 от 19.09.96) и разработке проектов с использованием Интернета. Она первой на российском рынке предложила сертифицированные системы разграничения доступа в Internet - межсетевые экраны "Пандора" и "Black Hole" (SecurIT FIREWALL). При реализации Cashew использованы разработки фирмы по контролю целостности и неизменности программной среды (SVINKA-U, сертификат ГТК РФ N84).

Процессинговый центр МультиКарта был создан в 1994 г. КБ Мост-Банк (и Мост-Банк рассматривался изначально, как обслуживающий банк - Вank Aquire АС), и является сейчас единственным процессинговым центром, сертифицированным платежными системами VISA International и Europay International в качестве процессора третьей стороны. Услугами Мультикарты в части выпуска пластиковых карточек и обслуживания операций с их использованием пользуются более 50 российских банков, в том числе работающих по программе

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
[^]

Реклама на сайте
Помощь
Чтобы игры онлайн работали:

Браузер Mozilla FireFox - очень удобный браузер для онлайн игр (скачать), хотя игры и работают во всех браузерах, советуем скачать и поставить его.

А вот Flash Player (скачать) скачать и установить надо обязательно (если конечно он уже не установлен). Если вместо игры белый квадрат, смело устанавливайте плеер.

Если ничего не помогло и есть проблема с игрой, напишите в комментарии к игре суть проблемы.
Онлайн
Опрос на сайте ?Оцените работу сайта
Лучший из игровых
Неплохой сайт
Устраивает ... но ...
Встречал и получше
Совсем не понравился

Рекомендуем
Рекламка
Наверх Лучшие онлайн игры