Varno nakupovanje v spletnih trgovinah

O varnosti na internetu se danes verjetno največ govori v povezavi z elektronskim trgovanjem oziroma varnostjo plačevanje s kreditnimi karticami na internetu. Zaradi številnih zlorab, si veliko ljudi ne upa sporočiti številko svoje kreditne kartice preko omrežja. Zaradi nezaupanja ljudi so številna podjetja, ki se ukvarjajo s prodajo na internetu, posvetila ogromno časa in energije, da bi ustvarila čim večjo varnost in kar najbolj učinkovite mehanizme za preprečevanje zlorab. Postopki za šifriranje podatkov se nenehno izboljšujejo prav tako pa tudi programski paketi, ki skrbijo da je prenos informacij varen pred morebitnim prestrezanjem.

Za uspešno elektronsko trgovanje je potrebna primerna infrastruktura, predvsem strežniško programska oprema, ki omogoča povezavo med kupcem in internim informacijskim sistemom podjetja. Kupcu je na ta način omogočeno brskanje po prodajnem katalogu, naročanje izdelkov ter plačevanje. Ko kupec odda naročilo, pripravi strežnik posredovane podatke za nadaljnjo obdelavo v podjetju (sprejem naročil, verifikacija plačil, odprema ipd. )

Podjetje, ki razmišlja o postavitvi trgovine na internetu z varnim on-line sistemom plačevanja ima na voljo tri možnosti. Stvari se lahko v podjetju lotijo sami, kupijo že izdelane pakete programov ali pa najamejo zunanjega izvajalca.

Postavitev sistema elektronskega poslovanja iz nič je dobra možnost za velika podjetja, ki razpolagajo s primernim strokovnim osebjem, ki imajo na voljo velika finančna sredstva in možnost razvoja programske opreme. Tako nekatera znana podjetja kot npr. Cisco, Amazon.com, Dell, sama vzpostavila sistem elektronskega poslovanja in pri tem porabila nekaj milijonov dolarjev.

Druga možnost, ki se ponuja podjetjem je, da uporabijo že izdelane pakete programskih orodij. Cene teh paketov se gibljejo med pet in petnajst tisoč dolarji. Ponavadi predstavljajo ti paketi le delno rešitev, saj jih je večina omejena na elektronsko izložbo, predstavitev izdelkov in delno podporo sprejemanja naročil. Podjetja, ki jih to ne zadovolji, morajo kupiti dodatne pakete orodij (npr. za obdelavo naročil in pomoč kupcem), kar bistveno podraži zadevo, poleg tega pa morajo različna orodja med seboj uskladiti in nato vzdrževati.

Domača programska oprema

Enega takšnih paketov so razvili tudi v računalniški hiši ICOS in podjetju za računalniški inženiring in consulting Abax, ki sta leta 1997 na slovenski trg poslala celovito rešitev elektronskega poslovanja SiShop. Gre za domačo rešitev, ki je po kakovosti enakovredna podobnim tujim izdelkom, vendar je prilagojena slovenskemu trgu. SiShop zagotavlja praktično vse, od zasebnih in javnih internetnih prodajnih katalogov, preglednega iskanja, integracijo s poslovnim sistemom pa do najnovejših metod trženja in mehanizmov varovanja podatkov ter internetnih plačil s kreditnimi karticami v realnem času.

Ker je zagotavljanje varnosti trgovanja bistvenega pomena so v sistemu SiShop, vključeni najsodobnejši mehanizmi varovanja in varnostnih protokolov. Da so vse informacije, ki se prenašajo po omrežju šifrirane in s tem nedostopne drugim udeležencem v omrežju internet skrbi varnostnem protokolu SSL (Secure Socket Layer). SET (Secure Electronic Transactions) protokol pa zagotovlja kupcem diskretnost, trgovcem pa samodejno avtorizacijo transakcij s kreditnimi karticami prek povezave z bančnimi sistemi. SiShop temelji na tehnologiji sodobnih relacijskih podatkovnih baz, ki z različnimi mehanizmi zagotavljajo, da bodo vsi shranjeni podatki med seboj konsistentni, pravilni in nedostopni nepooblaščenim uporabnikom. Andrej Želježič, ICOS marketing, pravi: “Zagotavljamo “end-to-end” varnost, kjer ni zavarovan le plačilni promet, temveč celotno komuniciranje med partnerjema. V primeru implementacije različnih protokolov, vključno s SET-om, ima SiShop pripravljene rešitve za vmesnike in je odprt za različne plačilne standarde.”

SiShop podpira gotovinske in negotovinske plačilne sisteme, vštevši plačilne kartice. Plačevanje poteka s pomočjo modula SiPay, ki omogoča 128 bitno kriptirano povezavo z avtorizacijskim centrom Aktiva (Eurocard in Activa kartice). Na ta način je zagotovljena varna on-line avtorizacija.

Nekaj več nam je o sistemu plačevanja povedal tudi Tomaž Kavčič, ICOS marketing menedžer: “Pri Icos-u podpiramo več načinov plačevanja s karticami v okviru SiShop produkta kot celovite rešitve ali pa produkta ePay, ki pokriva le plačilni del v primeru, da se trgovec odloči, da svojim obstoječim internet aplikacijam doda le plačilni del. Trenutno smo v pogovorih za online procesiranje domače plačilne kartice Karanta preko zaprtega omrežja kjer gre za emulacijo POS-a (enako kot POS-i v trgovinah in bankomati), vendar za drugi procesni center. Tukaj je pogoj, da ima trgovec stalno najeto linijo v tem omrežju in je bolj primerno za trgovski center kot pa posameznega trgovca, saj je sicer strošek prevelik. Razlog za takšno reševanje je, da domače kartice ne morejo biti povezane v sistem Europay-a, ker pravila tega ne dovoljujejo.”

Ponudniki storitev e-poslovanja v Sloveniji

V večini podjetij, ki uvajajo sistem elektronskega poslovanja, se najpogosteje odločijo za tretjo možnost – izvedbo v celoti prepustijo zunanjemu izvajalcu, ki razpolaga z vso potrebno infrastrukturo.

Pred kratkim so se pri našem največjem ponudniku internet storitev SiOL-u odločili, da bodo zakorakali tudi na področje e-poslovanja. Tako so sedaj poleg Eona edini ponudniki storitev elektronskega poslovanja (CSP – Commerce Service Provider) v Sloveniji. S pomočjo vodilnega podjetja na področju varnega elektronskega poslovanja Open Market so pri obeh podjetjih vzpostavili celotno infrastrukturo za sodobno elektronsko poslovanje, imenovano Transact 4.

Le-ta predstavlja vodilno svetovno strežniško aplikacijo, saj je v uporabi v več kot 1000 velikih korporacijah v 25 državah po celem svetu in ima 30% tržni delež na področju programske opreme za elektronsko poslovanje. Ker predstavlja Transact 4 izredno uspešno rešitev za varno poslovanje preko interneta, ga pri svojem poslovanju na internetu uporabljajo številna znana podjetja kot so AT&T, Barclay’s Bank, Time Warner Pathfinder in Disney.

Aplikacija ločuje upravljanje prodajalčeve ponudbe (katalogi izdelkov na spletnih straneh) od procesiranja naročil in povezovanja z bankami, ki preverjajo plačilno sposobnost kupca ter opravljajo prenose sredstev. S tem se zagotavlja optimalna varnost, upravljanje in nadgradljivost celotnega sistema za elektronsko poslovanje. Podjetje ima popolnoma proste roke pri ustvarjanju komercialne prisotnosti na internetu, tako da lahko kreira takšne spletne strani, ki mu najbolj ustrezajo.

Transact 4 omogoča varno on-line plačevanje s kreditnimi karticami. Bistvo, takšnega načina plačevanja je, da se v varnem in zakodiranem finančnem okolju lahko takoj preveri kupčeva plačilna sposobnost in veljavnost njegovega računa pri izdajatelju plačilne oziroma kreditne kartice. Tako sta zavarovana trgovec in izdajatelj kartice, kupcu pa je onemogočeno, da bi kupoval prek svojih možnosti ali celo goljufal. Za varnost skrbi 128-bitni ključ, ki je praktično nezlomljiv.

Vse občutljive informacije, na primer podatki o plačilih in kupcih, se shranjujejo za dvema požarnima zidovoma, vsi potrošnikovi podatki o plačilu so individualno kodirani, poleg tega pa je zagotovljena tudi podpora za vse najvarnejše svetovne plačilne protokole vključno s standardom SET.

Ali je nakupovanje v internetnih trgovinah varno?

Zaradi človeške občutljivosti in nezaupanja je prihodnost e-poslovanja odvisna predvsem od možnosti zaščite in čim večjega varstva zasebnosti. Narediti plačilni sistem tako zanesljiv in zaupanja vreden, kot je na primer dvigovanje gotovine pri bančnih avtomatih in klasično plačevanje blaga s kreditnimi karticami, je naloga, ki se je zavedajo vsi pomembnejši akterji svetovne trgovine.

Pri obeh slovenskih ponudnikih v en glas zatrjujejo, da so zagotovili najboljše varnostne ukrepe, za zaščito zasebnih in finančnih podatkov, ki jih kupec posreduje pri nakupu v internetni trgovini. Zaščita z varnostno kodo (enkripcija), ki jo uporablja trgovina, je tako zanesljiva, da je pri uporabi sistema spletnega naročanja praktično nemogoče prestreči poslane podatke in številko kartice s kupčevega računalnika.

Kako kupec ve, da so njegova sporočila šifrirana?

Celotno spletno naročanje, ki vključuje podatke o kupcih, naslove, načine plačevanja in podatke plačilne kartice, je zaščiteno z uporabo tehnologije SSL (Secure Socket Layer). To pomeni, da so kupčevi podatki zaščiteni z varnostno kodo in varnostnimi ukrepi, še preden so poslani z računalnika. Sistem spletnega naročanja sprejema podatke samo od brskalnika z vgrajeno zaščito podatkov.

Vsak brskalnik na svoj način pokaže, ali se uporabnik nahaja v ‘varnem’ načinu delovanja. Microsoft Internet Explorer prikaže ikono v spodnjem desnem kotu, pri programih podjetja Netscape pa je oznaka v spodnjem levem kotu. Zadnje generacije (od verzije 4 naprej) obeh verzij brskalnikov podpirajo 128-bitno zaščito.

Kako varno je zares varno?

Vsebina sporočil, ki si jih izmenjavajo kupec, trgovina in banka, je zelo zaupne narave, zato so sporočila šifrirana. Stopnja zaščite je odvisna od velikosti (dolžine) šifrirnega ključa.

Šifriranje je postopek, s katerim zaščitimo vsebino sporočila pred vpogledi s strani neavtoriziranih oseb. Kako varna so zaščitena sporočila, je odvisno od vrste uporabljenega šifrirnega postopka, predvsem pa od velikosti šifrirnega ključa (merjeno v bitih). Daljši je ključ, težje je zaščito zlomiti in prebrati vsebino sporočila. Bistvena razlika med 40- in 128-bitno zaščito, ki sta največkrat uporabljeni, je v številu možnih ključev, s katerimi je ‘zaklenjeno’ sporočilo. Tako npr. 128-bitna zaščita pomeni, da je med prenosom sporočilo šifrirano z enim od 2128 različnih možnih ključev. Po navedbah Netscape-a bi z današnjo tehnologijo 128-bitno šifrirano sporočilo razbili kar 309.485.009.821.345.068.724.781.056-krat težje od tistega, ki je kodiran s 40-bitnim ključem.

Pri nasilnem vdoru v sistem morajo vlomilci uporabiti nešteto možnih kombinacij bitov v ključu in zapletene matematične izračune, ki vzamejo ogromno časa, preden odkrijejo pravi ključ. Seveda so na tržišču zelo dobri računalniki, ki lahko pregledajo veliko možnosti na sekundo, toda tudi najhitrejši osebni računalniki bi rabili mesece, morda celo leta, da bi našli pravi 128-bitni ključ; celo za 40-bitnega bi potrebovali več tednov. Preprosto povedano, zaščita z varnostno kodo (enkripcija) je dovolj velika in pomeni veliko zapravljanje časa in truda za tiste, ki bi se lotili razbijanja kode. Njihov zaslužek pri tem je premajhen, da bi jim povrnil stroške, pa še mnogo lažje poti obstajajo, če hoče kdo ukrasti plačilno kartico oz. njeno številko, kot prek interneta z vsemi varnostnimi ukrepi.

Seznam je tako rekoč neskončen. Nič od tega ne zahteva posebne izobrazbe ali denarnega vložka, časa ali drugih virov. Večina nas zaupljivo sporoča številke kartic kar po telefonu, čeprav je tako početje bolj tvegano kot naročanje preko interneta.

Potrebna je previdnost

Na Internetu vas bo vsak prodajalec prepričeval, da so podatki, ki jih pošiljate varni pred zlorabo, in da je plačevanje računa v restavraciji ali kje drugje mnogo bolj rizično. Na žalost pa vedno ni tako, zato je potrebna velika mera previdnosti. Na Internetu namreč številko svoje kartice pošljete vnaprej in samo slepo zaupate podatkom, ki jih objavi prodajalec na svoji strani.

Veliko je znanih primerov, ko so zviti goljufi izmišljenega podjetja na Internetu objavljali ponudbo izdelkov. Kupci so pridno pošiljali številke svojih kartic in kupovali izdelke, ki jih sploh ni bilo. Zlorabo so opazili, ko tudi čez nekaj tednov niso prejeli plačanih izdelkov, denar na njihovih računih v bankah pa je začel kopneti.

Bodite pozorni, kje kupujete. Najbolj varne so ponavadi tiste trgovine, ki so v svetovnem spletu že dodobra uveljavljene. Pri majhnih in nepoznanih podjetjih je potrebna precejšnja mera previdnosti. Predno se lotite nakupovanja je koristno prebrati besedilo o varnosti, ki je običajno objavljeno na spletni strani internetne trgovine v kateri kupujete in v katerem je ponavadi razloženo, kako skrbijo za varnost podatkov. Posebno pozorni bodite na ti. drobno besedilo. Tako vam npr. pri Amazon.com na svoji strani o varnem nakupovanju zagotavljajo 100% varnost pri prenosu podatkov. Pravijo, da pri morebitni zlorabi kartice, ki bi bila posledica nakupa pri njih, vi ne bi imeli nikakršnih stroškov. Vendar se v drobnem besedilu na dnu strani skriva presenečenje, saj piše, da Amazon.com krije stroške do višine 50 dolarjev in še to samo v primeru, da do zlorabe ni prišlo zaradi vaše napake.

Če želite riziko internetnega nakupovanja res zmanjšati na minimum, se lahko pred nakupovanjem pozanimate tudi pri vašem izdajatelju plačilne kartice, kako je s kritjem stroškov, ki bi nastali ob morebitni zlorabi. Podjetja, ki izdajajo plačilne kartice imajo ponavadi tudi ti. črno listo podjetij, pri katerih zaradi kupčeve varnosti nikakor ni priporočljivo nakupovati. Kakor hitro ugotovite zlorabo vaše kreditne kartice (upamo, da se vam to ne bo nikoli zgodilo), morate takoj poklicati servisni center izdajatelja vaše kartice. Boris Milenkovič iz Abanke, priporoča vsem uporabnikom Interneta naslednje: “Uporabniki naj podatke o svojih karticah pošiljajo samo preverjenim podjetjem, nikakor pa ne z namenom dostopa do drugih Internet strani, oziroma da bi dokazali svojo polnoletnost. V primeru da ima uporabnik na sumu zlorabo kartice, naj takoj poda reklamacijo o sumljivi transakciji. Abanka rešuje vse reklamacije individualno, stroški bremenitev pa so odvisni od rezultatov preiskave posameznega primera zlorabe.


Digitalni podpis

Elektronsko poslovanje zaradi vseh možnosti, razširjenosti in dostopnosti zelo pogosto vzbuja nezaupanje glede zagotavljanja zasebnosti in varnosti. Večino teh problemov je tehnološki razvoj rešil z uporabo kriptografskih metod. Iznajdba asimetričnega postopka šifriranja je namreč omogočila uvedbo digitalnega podpisa, s katerim lahko zagotavljamo verodostojnost elektronskih dokumentov.

Asimetrična kriptografija uporablja za šifriranje in dešifriranje par ključev, ki sta neenaka, a neločljivo povezana, poleg tega pa se iz poznavanja samo enega ključa ne da generirati drugega. En ključ se imenuje zasebni in je namenjen dešifriranju podatkov, drugi ključ je javni in je namenjen šifriranju podatkov. Da lahko nekdo elektronski dokument prebere, ga mora najprej dešifrirati, obenem s tem pa dobi tudi potrdilo o njegovi verodostojnosti, oziroma z drugimi besedami, preveri naš digitalni podpis.

Pomen ključev

Zasebnost pri asimetričnim šifrirnem postopku kakor tudi verodostojnost digitalno podpisanega dokumenta v celoti sloni na tajnosti zasebnega ključa. Če ta ključ nekdo odkrije, lahko po eni strani dešifrira vse zaupne dokumente, ki so šifrirani z našim javnim ključem, po drugi strani pa lahko v našem imenu digitalno podpisuje dokumente, ki jih mi sami sicer ne bi podpisali. Za tajnost svojega zasebnega ključa moramo zato sami v celoti prevzeti odgovornost.

Elektronsko podpisovanje, ki temelji na “javnem kriptografskem ključu” omogoča prejemniku podatkov, ki so poslani v elektronski obliki, da preveri izvor podatkov in tudi, ali so podatki celostni in nespremenjeni ter na ta način varuje njihovo nespremenljivost. Zaradi večje zanesljivosti lahko prejemnik zahteva tudi zanesljivejše informacije o identiteti podpisnika. Takšne informacije lahko posreduje podpisnik sam, tako da prejemniku izda zadovoljive dokaze. Lahko pa identiteto podpisnika potrdi tudi tretja stranka (npr. oseba ali institucija, ki ji zaupata tako ena kot druga stranka).

Upravljanje z javnimi ključi

Ustanova, ki skrbi za upravljanje (izdajanje, preklicevanje, podaljševanje, itd.) z javnimi ključi je overitelj (ang.: Certification Authority – CA ali Trusted Third Party – TTP). Le-ta je nekakšen posrednik med partnerji pri izmenjavi javnih ključev.

Če želimo s partnerjem komunicirati z uporabo javnega ključa, lahko pri taki službi registriramo svoj javni ključ. Ob registraciji ključa služba digitalno podpiše naš javni ključ in s tem potrdi njegovo verodostojnost. Tako podpisan ključ objavi na svojem strežniku javnih ključev, na katerem ga lahko najde vsak, ki ima dostop do interneta. Podobno lahko na tem strežniku tudi sami najdemo ključe svojih partnerjev. Ker nam digitalni podpis službe zagotavlja verodostojnost tega ključa nam ni treba več razmišljati o lažni identiteti oziroma o zanikanju identitete.

Zakon o elektronskem poslovanju
Pomanjkanje ustrezne zakonske ureditve lahko znatno ovira sporočanje pravno pomembnih in zavezujočih informacij v elektronski obliki in povzroča splošno pravno negotovost. Zato je nujno potrebno zagotoviti varno pravno okolje za elektronsko poslovanje v domačem in mednarodnem poslovanju. V Evropski uniji je Evropska komisija že aprila 1997 zapisala, da je elektronsko podpisovanje bistveno za povečevanje varnosti in zaupanja v odprta omrežja. Tudi na širši mednarodni ravni so v teku mnoge dejavnosti in razprave. Tako je npr. Komisija Združenih narodov za mednarodno gospodarsko pravo (UNCITRAL) leta 1996 sprejela Modelni zakon o elektronskem poslovanju, trenutno pa pripravlja Enotna pravila o elektronskem podpisovanju. Tudi druge mednarodne organizacije, vključno s Svetovno trgovinsko organizacijo (WTO), se ukvarjajo s podobnimi vprašanji. Zato je sprejem ustrezne zakonodaje v Republiki Sloveniji nujno potreben za vključevanje v svetovno informacijsko družbo.

Tako je slovenska vlada na predlog centra za informatiko 24. februarja končno sprejela predlog zakona o elektronskem poslovanju in elektronskem podpisu ter ga poslala v obravnavo v državni zbor, kjer bi naj bil sprejet še pred poletjem. Z novo ureditvijo se nameravajo odpraviti ovire, ki jih elektronskemu poslovanju postavljajo pravne norme, zasnovane in sprejete v času izključno papirnega poslovanja. Vzpostaviti je potrebno tudi varno okolje za preverjanje pristnosti elektronsko oblikovanih, shranjenih, poslanih, sprejetih ali kako drugače obdelanih podatkov.

Predlog zakona je razdeljen v pet poglavij. V prvem poglavju zakon najprej opredeli področje, ki ga ureja: elektronsko poslovanje ter uporabo podatkov v elektronski obliki in elektronskega podpisa v pravnem prometu ter določi pomen posameznih pojmov, uporabljenih v zakonu. V drugem poglavju predlog zakona ureja elektronsko poslovanje. Podrobneje je urejeno poslovanje z elektronskimi sporočili. Temu sledijo določbe, ki urejajo uporabo podatkov v elektronski obliki oziroma njihovo veljavnost in dokazno vrednost. V tretjem poglavju zakon širše ureja elektronski podpis in delovanje overiteljev, ki so nujen pogoj za uporabo elektronskih podpisov. Vse overitelje in njihovo ponudbo storitev bi naj nadzoroval pristojni inšpektorat. Ker gre za pomembno področje, kjer kršitev posameznih norm lahko resneje ogrozi zanesljivost elektronskega poslovanja in poseže v pravice drugih, so v četrtem poglavju določeni prekrški in kazni zanje. Zadnje poglavje predloga zakona vsebuje prehodne in končne določbe. Za izvajanje zakona, ki je v celoti usklajen z določili primarne evropske zakonodaje, bo v največji meri odgovorno Ministrstvo za gospodarske dejavnosti.

Nekaj zanimivih izvlečkov iz predloga zakona o elektronskem poslovanju in elektronskem podpisu:

  • Predlog zakona zagotavlja elektronski obliki in elektronskemu podpisu enake možnosti kot dosedanji papirnati obliki.
  • Za hranjenje podatkov v elektronski obliki je zelo pomemben tudi “časovni žig”, ki potrjuje, da so elektronski podatki resnično ostali celoviti in nespremenjeni od trenutka, ko so bili shranjeni, do trenutka uporabe.
  • Predlog zakona zato omogoča enostavno medsebojno priznavanje elektronskih podpisov znotraj Evropske unije ter širše priznavanje ob pogojih vzajemnosti oziroma s tem povezane podobnosti področne zakonodaje.
  • Če ni drugače dogovorjeno, se za kraj, od koder je bilo elektronsko sporočilo poslano, šteje kraj, kjer ima pošiljatelj svoj sedež oziroma stalno prebivališče v času pošiljanja, za kraj prejema elektronskega sporočila pa kraj, kjer ima prejemnik sedež oziroma stalno prebivališče v času pošiljanja.
  • Varen elektronski podpis, overjen s kvalificiranim potrdilom, je glede podatkov v elektronski obliki enakovreden lastnoročnemu podpisu glede podatkov v papirni obliki ter ima zato enako veljavnost in dokazno vrednost.

Objavljeno v reviji Moj mikro

Zaznamki

Leave a Reply

Your email address will not be published.

top