• Tidak ada hasil yang ditemukan

Zlorabe elektronskega plačilnega prometa s poudarkom na pametnih karticah : diplomsko delo

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2021

Membagikan "Zlorabe elektronskega plačilnega prometa s poudarkom na pametnih karticah : diplomsko delo"

Copied!
88
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 88 Halaman )

Teks penuh

(1)DIPLOMSKO DELO Zlorabe elektronskega plačilnega prometa s poudarkom na pametnih karticah. Julij, 2011. Mitja Pajk Mentor: Viš. pred. mag. Igor Lamberger.

(2) Zahvala Profesorju mag. Igorju Lambergerju se kot prvemu zahvaljujem, da me je sprejel pod svoje mentorstvo in me spretno vodil v pravo smer. Zahvaljujem se tudi vsem ostalim, ki so kakorkoli pripomogli k nastanku mojega diplomskega dela.. 2.

(3) Kazalo 1 Uvod..................................................................................... 9 2 Elektronsko poslovanje ............................................................ 11 2.1 Zgodovina elektronskega poslovanja ........................................ 11 2.2 Splošno o elektronskem poslovanju ......................................... 13 3 Varnost v elektronskem poslovanju............................................. 16 3.1 Zakon o elektronskem poslovanju in elektronskem podpisu ............ 17 3.2 Metode za zagotovitev varnosti v elektronskem poslovanju ............ 19 3.2.1 Gesla ....................................................................... 19 3.2.2 Kriptografija ali šifriranje ............................................... 21 3.2.3 Elektronski podpis ........................................................ 24 3.2.4 Digitalni certifikati ....................................................... 26 3.2.5 Infrastruktura javnih ključev ........................................... 27 3.2.6 Varni protokoli in sistemi na internetu ................................ 30 3.2.7 Poţarni zid ................................................................. 31 4 Elektronski plačilni promet ....................................................... 34 4.1 Plačilo s kreditnim in debetnimi karticami ................................ 35 4.2 Plačilo z aktivnimi plačilnimi karticami .................................... 36 4.2.1 Mondex ..................................................................... 37 4.3 Varni plačilni sistem SET in 3D-SET ......................................... 38 4.4 Plačilo z elektronskim čekom ................................................ 39 4.5 Plačilo z elektronskim denarjem ............................................ 41 4.5.1 ECAHS ...................................................................... 41 4.6 Plačilo s sistemom mikroplačil............................................... 42 4.7 Mobilno plačevanje ............................................................ 44 4.7.1 Razdelitev m-plačil....................................................... 46 4.8 Plačilo s pomočjo elektronskega bančništva ............................... 48 5 Zlorabe elektronskega poslovanja............................................... 49 5.1 Virusi............................................................................. 51 5.2 Trojanski konj .................................................................. 52 5.3 Črvi ............................................................................... 53 6 Pametna kartica .................................................................... 54. 3.

(4) 6.1 Uvod ............................................................................. 54 6.2 Zgodovinski razvoj ............................................................. 54 7 Sestava in tehnični podatki ....................................................... 56 7.1 Von Neumannovem Model .................................................... 57 7.2 Vrste kartice s čipom .......................................................... 61 7.2.1 Pasivne kartice............................................................ 62 7.2.2 Pomnilniške / spominske kartice: ...................................... 63 7.2.3 Mikroprocesorske kartice ................................................ 63 8 Prednosti pametnih plačilnih kartic ............................................ 66 9 Zlorabe plačilnih kartic ............................................................ 68 9.1 Zlorabe kartic s strani imetnika ............................................. 70 9.2 Zloraba izgubljene ali ukradene kartice ................................... 71 9.3 Zloraba nikoli prijetih kartic ................................................ 72 9.4 Ponarejanje kartic ............................................................. 72 9.4.1 Spreminjanje in reembosiranje kartic ................................. 73 9.4.2 Kartice s spremenjenim zapisom na magnetnem traku ............. 74 9.4.3 Popolno ponarejanje plačilnih kartic .................................. 75 9.4.4 Bela plastika .............................................................. 75 9.5 Lažne prošnje za izdajo kartice ............................................. 76 9.6 Zlorabe na bančnih avtomatih ............................................... 76 9.7 Zlorabe preko interneta ...................................................... 77 9.8 Lažne prošnje za izdajo kartic ............................................... 78 10 Preprečevanje zlorab s pametno kartico..................................... 79 11 Zaključek ........................................................................... 82 12 Literatura in viri .................................................................. 84. 4.

(5) Povzetek V diplomskem delu bom opisal zlorabe na področju elektronskega prometa in pametnih kartic. Predstavil bom značilnosti najpogostejših oblik zlorab, njihove pravne kvalifikacije, nevarnosti, in zgodovino. V prvem poglavju se bom osredotočil na elektronsko poslovanje in elektronski plačilni promet. Poskušal bom ugotoviti, kako lahko poskrbimo za varno poslovanje in se izognemo raznovrstnim zlorabam na obeh omenjenih področjih. Opisal pa bom tudi značilnosti različnih metod za zagotovitev varnosti. V drugem poglavju bom predstavil značilnosti kartice s čipom, ki jo zaradi zmogljivosti procesiranja podatkov poimenujemo s terminom »pametna kartica«. Omenjena kartica vsebuje mikročip, ki lahko ne le sprejema, shranjuje in procesira podatke, ampak omogoča tudi uporabo različnih aplikacij. Zaradi tovrstnega čipa je namreč pametna kartica tako zmogljiva, da lahko vsebuje tudi do 200-krat več podatkov kot kartica z magnetnim trakom. Prav zato lahko nanjo shranimo večje količine podatkov o imetniku, obseţnejše sezname opravljenih transakcij, ter informacije o nadzoru aplikacij. V zadnjem poglavju bom prikazal, kako se lahko sami ali pa z različnimi tehnologijami izognemo različnim vrstam zlorab, pri čemer bom dokazal, da je le-to v največji odvisno prav od nas samih. Takoj ko namreč prejmemo plačilno kartico, jo moramo podpisati, saj je le-ta veljavna le z našim podpisom. Po podpisu moramo omenjeno kartico hraniti pri sebi in je ne smemo puščati na različnih mestih. Pri plačevanju je ne smemo izpustiti izpred oči, pri spletnem nakupovanju pa nikomur ne smemo razkrivati vseh podatkov o njej. Ker policija zelo redko odkrije storilce, moramo sami čimbolj učinkovito poskušati preprečevati zlorabe plačilnih kartic.. 5.

(6) Ključne besede: plačilni sistem, zloraba plačilnega sistema, pametna kartica, zloraba, zaščita, preprečevanje, plačilne kartice, plačilni promet.. 6.

(7) Misuse of electronic peyments with an emphasis on smart cards - Summary This diploma thesis describes various kinds of misuse within the electronic funds transfer as well as within the smart card employment. The thesis discusses the characterstics of the most common types of misuse, their legal characteristics, their pitfalls, as well as their historical background. The initial chapter concentrates on the properties of electronic business and electronic funds transfer. The chapter shows how safe e- business can be conducted and how different types of misuse can be avoided within the two business areas selected. The chapter also represents the features of certain, specific methods enabling safe e- business. The second chapter discusses the properties of a specific type of chip card whose data-processing capability is so efficient that the card in question has been righteously termed »smart card«. Its microchip is so effective that it can easily receive, store, and process different kinds of data, so it can also be combined with various kinds of applications. Thanks to the chip mentioned up to 2000-times more information can be stored within the smart card than within its predecessor, i.e. the magnetic card. Due to this large dataprocessing capability enormous quantities of data can be saved within the card under discussion, including huge amounts of information about the holder, extensive lists of payment transactions, as well as information about the application control. The final chapter shows how different kinds of misuse can be avoided by the holders as well as via different kinds of contemporary technology, suggesting that misuse can most efficiently be prevented by the very holders. Since only a signed card can be employed during various types of payment transactions, the holder's signature should to be provided immediately on reception. The card should only be carried around by the holder and it should never be left at any location. Also, it should not be let out of sight during various payment 7.

(8) transactions. Although it may be appropriate for online shopping, only the most basic information should be revealed about it. Since the perpetators are rarely located by the police, different kinds of misuse can and should be most effectively prevented by the very holders. Key words: payment system, various kinds of misuse within the payment system, smart card, misuse, protection, prevention, payment cards, electronic funds transfer.. 8.

(9) 1. Uvod. V svojem diplomskem delu bom preučeval temo z naslovom Zlorabe elektronskega plačilnega prometa s poudarkom na pametnih karticah. Omenjeno temo sem izbral zato, ker je zelo zanimiva, in ker opisuje značilnosti tehnologije, ki se iz leta v leto razvija in nadgraduje. Na področju elektronskega poslovanja se bo v prihodnosti pojavilo mnogo novosti, klasični načini plačevanja pa bodo vse bolj izgubljali na pomenu. Elektronsko poslovanje namreč ni le sodobni trend, ampak nujna potreba. Prihodnost je tako v rokah elektronskih medijev, ki dokazujejo, da smo šele na začetku digitalne dobe. V prvem poglavju bom poskušal predstaviti značilnosti in zgodovino plačilnega prometa ter različne oblike plačilnih sredstev, še posebej pa se bom posvetil skrbi za varnost, saj bom predstavil različne načine varnega in zanesljivega poslovanja. V poglavju o elektronskem poslovanju bom opisal značilnosti nekaterih sodobnih načinov plačevanja, ki vse bolj zamenjujejo klasične oz. dosedanje plačilne metode. V omenjenem poglavju bom predstavil značilnosti elektronskega sveta, ki posnema svet papirologije in ki sodelujočim strankam zagotavlja enako varnost kot pogodbe iz papirja. Da bi elektronsko poslovanje lahko olajšalo, nadgradilo in omogočilo učinkovitejše poslovanje, potrebuje sodobno bančno ureditev, ki bo omogočila potek poslovanja po javni računalniški mreţi. V drugem poglavju bom predstavil značilnosti pametne kartice. Osredotočil se bom na njeno zgodovino, varnost, zlorabe, sestavo, in prednosti. Na koncu omenjenega poglavja pa bom lastnikom plačilnih kartic ponudil še nekaj nasvetov za zaščito njihovih kartic, s čimer mi bo morda uspelo preprečiti kakšno novo zlorabo.. 9.

(10) Plastične kartice, ki so še pred nedavnim za večino posameznikov predstavljale sinonim za prestiţ, sedaj srečujemo ţe tako rekoč na vsakem koraku, saj so postale del našega vsakdana oziroma nujna potreba. Čeprav naj bi bile tovrstne kartice varnejše in prijaznejše do imetnikov, saj le-tem zaradi omenjenega plačilnega sredstva ne bi bilo več potrebno prenašati velikih količin. gotovine,. pa. ima. omenjena. plačilna. metoda. tudi. različne. pomankljivosti, saj je zabeleţene podatke mogoče zlorabiti na različne načine, česar pa se verjetno zaveda le malo njihovih imetnikov. V diplomskem delu bom predstavil proces elektronskega poslovanja in poslovanje. s. pametnimi. karticami. in. opisal. njune. najpomembnejše. značilnosti. Ţelim si, da bi s svojim delom vsaj malce pripomogel k varni uporabi elektronskega poslovanja in plačilnih kartic.. 10.

(11) 2. Elektronsko poslovanje. 2.1 Zgodovina elektronskega poslovanja Elektronsko poslovanje se je pojavilo z razvojem računalniških omreţij in interneta, z zdruţevanjem informacijske in telekomunikacijske tehnologije, ter s standardom za računalniško izmenjavo podatkov (RIP), katerega začetki segajo ţe v davno leto 1968. Računalniška tehnologija, ki je bila na začetku namenjena le računalniškim strokovnjakom in znanstvenikom, je sčasoma postala tako uporabna in prijazna do uporabnikov, da so jo začeli uporabljati tudi laiki. V 70. letih se je s pojavom elektronskih finančnih prenosov med bankami prek varnih zasebnih omreţij spremenil način poslovanja na finančnem trgu. Tako je veliko podatkov namesto papirne dobilo elektronsko obliko, tako da so se le-ti znotraj podjetij lahko prenašali preko različnih sistemov za prenos podatkov in po elektronski pošti. V poznih 70. in zgodnjih 80. letih se je eposlovanje razširilo v podjetjih in sicer v obliki sistemov za prenos datotek, RIP, in elektronske pošte. S tem so podjetja zmanjšala obseg papirologije, povečala pa se je tudi avtomatiziranost pisarniškega poslovanja. V poznih 80. in zgodnjih 90. letih so sistemi za izmenjavo sporočil postali integralni del računalniških sistemov in omreţij (Jerman Blaţič, 2001). Devetdeseta leta so z razvojem in razširjenostjo interneta ter s pojavom svetovnega spleta prinesla preobrat, ki je sproţil razvoj elektronskega poslovanja. Omenjen način poslovanja je tako dobil nove razseţnosti. Pojavile so se namreč različne vrste novih tehnologij in aplikacij, ki so zagotovile prijaznost do uporabnika in enostavnejšo uporabo. Učinkovito rešitev za enostavno objavo in dostop do informacij ter njihovo preprosto porazdelitev pa je zagotovil svetovni splet. Svetovni splet je poslovanje pocenil in tako zagotovil ekonomijo obsega ter raznovrstnejše poslovne aktivnosti, saj je bil dostopen tako organizacijam kot 11.

(12) tudi posameznikom. Komunikacija preko interneta je zniţala stroške komuniciranja, odprla pot do novega načina poslovanja in novih trgov, ter povečala učinkovitost poslovanja. Prav tako je omogočila tudi uvedbo večpredstavnih storitev in globalizacijo ekonomije in gospodarskih organizacij. Svetovni splet je ustrezno poskrbel tudi za mala podjetja, saj jim je omogočil, da le-ta lahko na bolj enaki tehnološki osnovi uspešneje tekmujejo z velikimi multinacionalnimi podjetji. Na svetovnem spletu, ki je najbolj razširjena internetna storitev, se je pojavila popolnoma novih vrst podjetij, t.j. virtualna oziroma navidezna podjetja. Omenjena spletna podjetja so se pojavila prav zaradi novih načinov poslovanja in novih poslovnih modelov. Po mnenju mnogih avtorjev je elektronsko poslovanje začelo svoj meteorski vzpon v letu 1996, ko sta ustrezno dozoreli tehnologija interneta z njo povezane aplikacije (Jerman Blaţič, 2001). Elektronsko poslovanje in multimedijska revolucija sta povezala nekdaj oddaljene veje gospodarstva (kot so npr.telekomunikacije, zaloţništvo in računalništvo), ki so sedaj prisiljene konkurirati in sodelovati med sabo. Termin »elektronsko poslovanje« izvira iz angleškega izraza »electronic commerce«. Omenjena vrsta poslovanja je v času svojega razvoja zelo spremenila. naš. način. ţivljenja. in. druţbo.. Omogočila. je. namreč. dematerializacijo poslovanja, ki jo lahko opazimo v elektronskem bančništvu oz.. elektronskem. denarju,. digitalizaciji. slik,. optimizaciji. transporta,. elektronskem zavarovalništvu, elektronskem svetovanju, in pri nekaterih drugih načinih poslovanja. Tovrstno poslovanje je olajšalo tudi prenos znanja, ki sedaj ni shranjeno le v dokumentih, ampak tudi v procesih in postopkih. Zaradi njega so se spremenili tudi odnosi s strankami, ki so sedaj postali dolgoročni in individualizirani (Jerman Blaţič, 2001). Pri elektronskem poslovanju ne gre zgolj za običajno izmenjavo računalniških podatkov in spletno trgovanje, ampak sem uvrščamo vse, kar danes poteka v okviru poslovne dejavnosti s pomočjo raznih računalniških aplikacij in računalniških omreţij.. 12.

(13) Omenjeni način poslovanja je tako sedaj postal sedaj bistveni element za nadaljnji razvoj znanja, saj je omogočil razvoj novih izdelkov in storitev, spremembo obstoječih izdelkov, ki izvirajo iz drugačnih zahtev naše druţbe, ter nove načine poslovanja.. 2.2 Splošno o elektronskem poslovanju Elektronsko poslovanje nadgrajuje klasičen način poslovanja, ki je potekal preko telefona in podatkov na papirju, ki sedaj pridobivajo elektronsko obliko sporazumevanja in poslovanja. V skladu z Zakonom o elektronskem poslovanju in elektronskem podpisu so podatki v elektronski obliki oblikovani oziroma shranjeni na elektronski način. Danes k elektronskemu poslovanju uvrščamo različne vrste, kot so npr. elektronska pošta, internet, raznovrstne programske rešitve za podjetja, kot so npr. programi za računovodstvo, fakturiranje, skladiščenje in podobno. Za majhno in mlado drţavo, kot je Slovenija, predstavlja elektronsko poslovanje velik napredek na področju mednarodnega sodelovanja in poslovanja. To je nov način poslovanja, pri katerem so ljudje, storitve, izdelki ter njihove cene, ipd. v nenehnem pretoku. Število uporabnikov elektronskega poslovanja iz leta v leto narašča (Devetak, 1999). Mnogi posamezniki elektronsko poslovanje enačijo z izmenjavo podatkov med računalniki, vendar pa je omenjeno pojmovanje preozko. Termin »elektronsko poslovanje« je namreč prevod angleške ustreznice »electronic commerce«, ki je pomensko preozka, zaradi česar se danes vse pogosteje uporablja termin »e-business«. Elektronsko poslovanje obsega računalniško izmenjavo podatkov (RIP) in spletno trgovanje. RIP je kratica angleškega termina »Routing Information Protocol«, ki bi ga lahko prevedli s slovensko ustreznico »protokol za. 13.

(14) usmerjanje informacij«. Tehnologija RIP omogoča, da lahko posamezna organizacija preko računalnika komunicira z računalnikom v drugi organizaciji tako, da uporablja vnaprej opredeljene oblike sporočanja (Zupan, 2000). Osrednja značilnost omenjene tehnologije je v tem, da omogoča medsebojno komunikacijo dveh ali več organizacij, pri čemer je neodvisna od računalniške opremljenosti in programov (Petrič, 1996). S terminom »elektronsko poslovanje« poimenujemo vse dejavnosti, ki potekajo s pomočjo računalniških aplikacij in omreţij. Tako omenjen način poslovanja obsega: elektronsko bančništvo, elektronsko trţenje, elektronsko trgovanje, spletno trgovino, svetovanje na daljavo, elektronsko zavarovalništvo, elektronsko nabavo, računalniško podprto skupinsko delo, delo na daljavo, pouk na daljavo, avkcije na daljavo. V angleščini pa elektronsko poslovanje označujemo s terminoma »ecommerce« in »E-business«: »e-commerce«: z omenjenim terminom poimenujemo elektronske prenosne medije za izmenjavo izdelkov in storitev. Pri tem gre za računalniško izmenjavo podatkov pri nakupu in prodaji blaga. Omenjeni izraz se je uveljavil kot prvi, »E-business«: omenjeni termin je veliko širši od izraza »e-commerce« in bolj ustreza slovenski ustreznici »e-poslovanje«. Termin, ki se v zadnjem času vse bolj uveljavlja, vključuje tudi izmenjavo podatkov, 14.

(15) ki sicer niso neposredno vezani na določen nakup in prodajo, zagotavljajo pa distribucijo informacij in podporo strankam. Tovrstne aktivnosti niso komercialne ampak poslovne narave. Pri elektronskem poslovanju gre za računalniško izmenjavo podatkov s pomočjo odprtih omreţij, kot so npr. internet in podobna omreţja. Omenjena vrsta poslovanja lahko poteka med različnimi vrstami udeleţencev, kot so npr. posamezniki, podjetja, bolnišnice, muzeji, galerije, univerze, ter raznovrstne izobraţevalne in drţavne ustanove. Tu gre za poslovanje znotraj posameznih skupin in za poslovanje med skupinami. V zadnjem času je vse več poslovanja med posamezniki in podjetniki, ter med podjetji samimi. V poslovnem svetu je. ţe dolgo prisotno prav poslovanje med podjetji. Primeri tovrstnega. poslovanja so S.W.I.F.T. (angl. Society to Worldwide Interbank Financial Transaction), t.j. omreţje bančnih ustanov za elektronski prenos denarja. Za razliko od klasičnih, zaprtih omreţij za elektronsko poslovanje internet omogoča popolnoma novo vrsto poslovanja, t.j. globalno poslovanje, ki briše geografske meje, in ki se hitreje in učinkoviteje prilagaja spremembam na trgu. Po mnenju Evropske komisije je elektronsko poslovanje “katerakoli oblika poslovne transakcije, v kateri stranke delujejo elektronsko, namesto da bi si pošiljale “telesna” sporočila (physical exchanges), ali. da bi bile v. neposrednem stiku” (Toplišek, 1998). K elektronskemu poslovanju v najširšem smislu sodijo različne oblike komunikacijske in informacijske tehnologije v poslovnih odnosih, kot so npr. trgovinske, proizvodnje in storitvene organizacije, pa tudi ponudniki informacij, potrošniki, in drţavna uprava.. 15.

(16) 3. Varnost v elektronskem poslovanju. Kljub mnogim prednostim pa je elektronsko poslovanje lahko tudi zelo tvegana dejavnost, saj lahko zelo ogrozi potrošnika oziroma varstvo zasebnih podatkov na svetovnem spletu. Kljub vsemu pa omenjena vrsta zasebnikom, podjetjem in drţavni upravi omogoča, da posameznikom ponudijo učinkovite, preprosto dostopne in hitre storitve, ki so prilagojene ţeljam in potrebam potencialnih uporabnikov (Makarovič et al., 2001). Prav zato moramo zagotoviti varno elektronsko plačevanje. Zelo malo je namreč verjetno, da lahko revizorji, ki opravljajo revizijo plačilnega prometa, učinkovito in uspešno opravijo svojo nalogo, če nimajo potrebnih znanj o uporabljeni tehnologiji. Prav zato bom v nadaljevanju diplomskega dela predstavil različne načine varnega elektronskega poslovanja. Ker se v elektronskem poslovanju informacije pretakajo po računalnikih in omreţjih, ni fizičnega stika med stranko in prodajalcem, zato morajo podjetja ne le poskrbeti za varnost tovrstnih podatkov, ampak morajo tudi preprečiti ponarejanje oz. pretvarjanje informacij, nepooblaščeno uporabo virov, nepooblaščeno razkritje informacij, zanikanje sodelovanja pri določenih dejavnostih, onemogočanje dela oziroma uporabe virov, ter analizo prometa. Nevarnostim pri elektronskem poslovanju se lahko izognemo z ustrezno zaščito, s katero lahko zagotovimo varnost podatkov in neovrgljivost opravljenih transakcij. Tovrstno varnost lahko zagotovimo s tako imenovanimi vdorobrani (t.j. poţarnimi zidovi), kot sta npr. programska in strojna oprema, ki dovoljujeta dostop le do tistega dela streţnika, ki je namenjen javni uporabi. Ţal pa z vdorobrani ne moremo omogočiti varnega prenosa podatkov po omreţju in neovrgljivosti opravljenih transakcij. Varen prenos podatkov lahko zagotovimo s pomočjo kriptografije ali šifriranja, neovrgljivost opravljenih transakcij pa z digitalnim podpisom in drugimi mehanizmi (Jerman Blaţič, 1996).. 16.

(17) Varnost spletnega elektronskega poslovanja lahko povečamo z uporabo različnih tehnoloških rešitev (kot so npr. šifriranje, elektronski podpis, pametne kartice, idr.), s tem pa povečamo tudi zaupanje kupcev. Pomemben element pri omenjene varnosti pa je tudi normativno pravna ureditev z zakoni in predpisi.. 3.1 Zakon o elektronskem poslovanju in elektronskem podpisu Temeljni dokument, ki v Sloveniji normativno ureja področje elektronskega poslovanja, je leta 2000 sprejeti Zakon o elektronskem poslovanju in elektronskem podpisu (v nadaljevanju ZEPEP). ZEPEP zagotavlja pravni okvir za uvajanje elektronskega poslovanja v gospodarstvo in drţavno upravo. ZEPEP izenačuje elektronsko poslovanje s papirnim poslovanjem in elektronski podpis z lastnoročnim podpisom ter določa, da se podatkom, ki so v elektronski obliki in elektronskemu podpisu, ne sme odreči veljavnosti ali dokazne vrednosti samo zato, ker so v elektronski obliki. ZEPEP upošteva načelo pogodbene svobode strank, saj omogoča pogodbenim strankam uporabo drugačne rešitve, kot so določene v zakonu. Pomembna lastnost zakona je tudi, da omogoča preprosto mednarodno priznavanje ureditve elektronskega poslovanja (elektronskih podpisov) na mehanizmu vzajemnosti oziroma podobnosti take zakonodaje. Pomembno vlogo pri hitrejši vzpostavitvi zaupanja v elektronskem poslovanju med partnerji imata elektronski podpis in potrdilo za dokazovanje verodostojnosti elektronskega podpisa. ZEPEP ureja to področje še posebno podrobno. Elektronski podpis s potrdilom pa še ni enak lastnoročnemu podpisu. Enako verodostojnost kot lastnoročni podpis ima šele varen elektronski podpis, ki je overjen s kvalificiranim potrdilom.. 17.

(18) ZEPEP natančno določa, katere zahteve mora izpolnjevati varen elektronski podpis, in sicer (Zakon o elektronskem poslovanju in elektronskem podpisu, 2001): da je povezan izključno s podpisnikom, da je iz njega mogoče zanesljivo ugotoviti podpisnika, da je ustvarjen s sredstvi za varno elektronsko podpisovanje, ki so izključno pod podpisnikovim nadzorom, da je vezan na podatke, na katere se nanaša, tako da je opazna vsaka poznejša sprememba teh podatkov ali povezave z njimi. Varen elektronski podpis mora biti še posebej overjen s kvalificiranim potrdilom, ki ima enake značilnosti kot običajno potrdilo, le da ZEPEP zanj v 28. členu podrobneje predpisuje, da moramo iz njega ugotoviti naslednje podatke: navedbo, da gre za kvalificirano potrdilo, ime ali firmo in drţavo stalnega prebivališča ali sedeţa overitelja, ime oziroma psevdonim imetnika potrdila ali naziv oziroma psevdonim informacijskega sistema z navedbo imetnika potrdila, pod katerega nadzorom je, z obvezno navedbo, da gre za psevdonim, dodatne podatke o imetniku potrdila, ki so predpisani za namen, za katerega se bo potrdilo uporabljalo, podatke za preverjanje elektronskega podpisa, ki ustrezajo podatkom za elektronsko podpisovanje pod nadzorom imetnika potrdila, začetek in konec veljavnosti potrdila, identifikacijsko oznako potrdila, varen elektronski podpis overitelja, ki je potrdilo izdal, morebitne omejitve glede uporabe potrdila, morebitne omejitve transakcijskih vrednosti, za katere se lahko uporablja potrdilo (Uradni list RS, št. 98/2004).. 18.

(19) 3.2 Metode. za. zagotovitev. varnosti. v. elektronskem. poslovanju Varnejše elektronsko poslovanje lahko zagotovimo s pomočjo različnih kombinacij programske in strojne opreme, ter s fizičnim varovanjem. Določen sistem je dovolj varen šele takrat, ko je zaščiten tako učinkovito, da imajo storilci ob vdoru več stroškov kot pa koristi. Pri varnostni politiki gre pravzaprav za kompromis med stroški in tveganji. Vodstvo mora namreč jasno opredeliti temeljno varnostno politiko, s katero mora jasno definirati obseg in razloge zaščite ter količino sredstev, ki jih namerava vloţiti v varnostne ukrepe. Vsi varnostni ukrepi morajo biti definirani dovolj široko, saj je teţko vnaprej predvideti smer napada. Obseg varnostnih komponent pa je odvisen od stopnje zahtevane zaščite in od oblike sistema. Uporabnika lahko pred zlorabami obvarujemo tako, da ustrezno zaščitimo sisteme podatkovnih komunikacij, kar pa je mogoče storiti na različne načine, med katere npr. sodijo: Gesla, Kriptografija ali šifriranje, Elektronski podpis, Digitalni certifikati, Javni ključi, Varni protokoli in sistemi na internetu, Poţarni zid. 3.2.1 Gesla V sodobnem svetu, predvsem pa pri elektronskem poslovanju, se uporabniki z gesli srečujejo na vsakem koraku. Najstarejši in najpreprostejši način preverjanja identitete je prav identifikacija s pomočjo gesla oz. določene informacije, ki določa posamezno osebo oziroma subjekt. Najenostavnejši način identifikacije uporabnika je geslo, ki se navadno uporablja kot ključ do 19.

(20) varovanih podatkov. Ker uporabniki zaradi obilice gesel, ki jih morajo uporabljati na različnih sistemih dostopanja, izbirajo gesla, ki si jih laţje zapomnijo, je le -ta laţje odkriti oz. zlorabiti. Omenjena gesla je mogoče prepoznati zato, ker poznamo uporabnikove osebne podatke, ker so le-ta navadno nešifrirana, in ker uporabnik običajno izbere enaka gesla za različne sisteme dostopanja. Gesla uvrščamo med šibkejšo zaščito varovanja zaradi naslednjih razlogov: uporabniki si večinoma izberejo gesla, ki si jih laţje zapomnijo in ki jih je mogoče laţje prepoznati. Tuja gesla lahko odkrijemo s pomočjo elektronskih slovarjev, s poznavanjem uporabnikovih podatkov, ter s preizkušanjem ţe uporabljenih gesel. Da bi si uporabnik laţje zapomnil določeno daljše geslo, si ga običajno zabeleţi na določeno mesto, kar pa je lahko lahek plen za nepridiprave, uporabnik pri identifikaciji razkrije svoje geslo in tako omogoči, da se lahko naslovnik identificira z njegovim imenom, gesla se ponavadi prenašajo v nešifrirani obliki, zato so lahko tarča napadalcev. Tudi če so gesla predhodno šifrirana, jih storilec lahko prestreţe, ter se kasneje z njimi predstavlja v enaki obliki. V e-poslovanju in v e-bančništvu se z gesli ali identifikacijskimi številkami srečujemo skoraj na vsakem koraku. Omenjeni načini identifikacije namreč predstavljajo najenostavnejši način identifikacije, zato so ključ dostopa do varovanih podatkov. Zaradi zgoraj navedenih razlogov šibka identifikacija s pomočjo gesel ni primerna za preverjanje identitete v e-poslovanju, je pa kljub temu primerna metoda za dostop do lokalnega sistema ali aktiviranja določenih naprav (kot so npr. pametne kartice, internetni brskalnik, ipd.). Pri avtorizaciji na bankomatih, POS terminalih, in na določenih drugih lokacijah pa gesla nadomeščajo PIN kode. Povsem drugače pa je z uporabo enkratnih gesel, ki se za identifikacijo uporabnika uporabijo samo enkrat, zaradi česar jih je nesmiselno poskušati. 20.

(21) odkriti. Tovrstna gesla morajo biti sestavljena tako, da iz preteklih gesel ni mogoče predvideti prihodnjih. To lahko najenostavneje brez kriptografskih algoritmov storimo tako, da uporabimo enkratna gesla z vnaprej generiranimi naključnimi gesli. Slabost omenjenega sistema je v tem, da tovrstna gesla shranimo v računalnik in jih za overjanje uporabljamo po seznamu. Najpogostejši način identifikacije s pomočjo enkratnih gesel je kartica, ki vsebuje mikroprocesor in ekran, ki je sinhroniziran z uro na streţniku. Identifikacija v omenjenem primeru poteka tako, da uporabnik na kartici vtipka geslo, nato pa algoritem na podlagi trenutnega časa generira geslo, ki ga uporabnik pošlje na streţnik. Omenjen način identificiranja uporabljajo nekatere banke v e-bančništvu za identifikacijo svojih komitentov (Jerman Blaţič, 2001). Poleg enkratnih gesel pa obstajajo še nekateri učinkovitejši načini preverjanja identitete, kot so npr. biometrične lastnosti. V prihodnosti bo namreč posameznika mogoče prepoznati na podlagi biometrike, t.j. na prepoznavanju določenih telesnih značilnosti. Tako bomo lahko npr. uporabljali tehnologijo prstnih odtisov, pa tudi prepoznavanje obraza, glasu, ali celo zenice. Tako je npr. uporabnikov obraz mogoče identificirati tako, da le-tega skenira infra rdeča kamera, ki tako pridobi zapis njegovega ţilnega sistema in ga shrani kot obrazni termograf, nato pa pri vsakem posameznem poslovanju z banko naprava skenira obraz in preveri, ali le-ta ustreza šabloni, ki je zapisana v dostopni bazi. 3.2.2 Kriptografija ali šifriranje Kriptografija (t.j. tajnopisje, šifriranje, kodiranje) je veda o tajnosti, šifriranju oz. zakrivanju sporočil, ter o razkrivanju šifriranih podatkov (t.j. kriptoanaliza) s pomočjo matematičnih postopkov. Spreminjanje podatkov (t.j. čistopisa) v obliko, ki onemogoča njihovo razumevanje, in tako ohranja njihovo tajnost (t.j. tajnopis), imenujemo šifriranje, obratni proces pa imenujemo dešifriranje. Obe omenjeni transformaciji omogočata postopek. 21.

(22) zakrivanja in razkrivanja (t.j. kriptografski algoritem) s pomočjo šifrirnih ključev, ki določajo delovanje algoritma. Kriptografija se ţe stoletja uporablja za zaščito zaupnih podatkov, ki jih moramo poslati iz ene lokacije na drugo. Pri omenjeni tehniki podatke šifriramo v obliko, ki je nepooblaščeni uporabniki ne morejo razbrati. V preteklosti se je kriptografije posluţevala vojska, z razvojem javnih računalniških omreţij in vse večjega števila uporabnikov pa je omenjena tehnika postala nepogrešljiva tudi na področju elektronskega poslovanja. Kriptografski sistemi so zelo učinkoviti, saj z njihovo pomočjo lahko omogočimo verodostojnost, tajnost in nezmoţnost tajenja sporočila. Kriptografski sistem je sestavljen iz dveh delov, t.j. iz kriptografskega algoritma in iz šifrirnega ključa. Kriptografski algoritem je matematična funkcija, ki podatke s pomočjo šifrirnega ključa spremeni v obliko, ki je nepooblaščene osebe ne zmorejo razbrati. V preteklosti so bili algoritmi tajni, saj je ţe njihovo poznavanje zadostovalo za dešifriranje sporočila, danes pa so tovrstni algoritmi večinoma dobro poznani in dostopni vsakomur, skriti pa morajo ostati le šifrirni ključi. Število potencialnih ključev pri posameznem algoritmu je odvisno od dolţine ključa, stopnja varnosti algoritmov pa od dolţine ključa. Tako npr. s preizkušanjem vseh potencialnih kombinacij ključa dolţine 128 bitov ne moremo odkriti niti v nekaj milijon letih (Jerman Blaţič, 2001). Šifriranje se je razvilo za vojaške potrebe oziroma za tajno pošiljanje sporočil. Eden prvih kriptografov je bil Julij Cezar, ki naj bi svojim prijateljem pošiljal preproste zamenjalne šifre, ki posamezno črko nadomestijo s tisto, ki se v abecedi nahaja tri mesta za njo. Danes s terminom »Cezarjeva šifra« poimenujemo vsako šifro, pri kateri obstaja določena abecedna razdalja med običajno in šifrirano črko. Nemci so v 2. svetovni vojni za šifriranje uporabljali močnejši kriptografski sistem s poliabecedno šifro. Sporočila so šifrirali s pomočjo zelo zapletenega šifrirnega stroja Enigma.. 22.

(23) Kriptografijo v splošnem delimo na: simetrično kriptografijo oz. kriptografijo z zasebnim ključem, asimetrično kriptografijo oz. kriptografijo s parom ključev. Simetrični šifrirni sistemi so veliko hitrejši in uporabnejši od svoje asimetrične različice, saj z njimi lahko šifriramo večje količine podatkov. Ker pri simetrični kriptografiji podatke šifriramo in dešifriramo z enim samim skrivnim ključem, je pooblaščenim osebam zelo teţko varno razdeliti šifrirne ključe. Ker se mora pošiljatelj sporočila z vsakim posameznim prejemnikom posebej dogovoriti o lokaciji skrivnega ključa, obstaja večja moţnost, da nekdo tovrstni ključ prestreţe in dešifrira sporočilo. Tako lahko ţe pri majhnem številu uporabnikov število ključev postane neobvladljivo. Ključe lahko uporabimo v kombinaciji z drugimi algoritmi, ki omogočajo varno izmenjavo prvih, ali pa pri manjši skupini uporabnikov, kjer izmenjava ni problematična. Simetrične kriptografije prav tako ne moremo uporabiti za digitalni podpis. Zaradi omenjenih slabosti so se razvile asimetrične metode oziroma algoritmi z javnim ključem. Pri asimetrični kriptografiji uporabljamo par ključev (t.j.javnega in zasebnega ključa). Če npr. podatke šifriramo z enim samim ključem, jih lahko dešifriramo le s pripadajočim komplementarnim ključem. Omenjena ključa zato imenujemo par asimetričnih ključev. Asimetrična kriptografija oziroma kriptografija javnih ključev temelji na paru ključev, pri čemer z enim ključem šifriramo sporočilo, z drugim pa ga dešifriramo. Ker je asimetrična kriptografija veliko počasnejša od svoje simetrične različice, v praksi uporabljamo hibridni pristop oziroma kombinacijo obeh vrst kriptografije. Tako je npr. v elektronski pošti celotno sporočilo šifrirano z naključnim simetričnim ključem, sam ključ pa je nato šifriran še z javnim ključem prejemnika.. 23.

(24) Če se v infrastrukturi javnih ključev posluţujemo asimetrične kriptografije, tako lahko zagotovimo celovitost, zaupnost in nezatajljivost sporočila, učinkovito pa lahko preverimo tudi identiteto pošiljatelja. Sporočilo, ki ga šifriramo z javnim ključem prejemnika, lahko le slednji dešifrira s svojim zasebnim ključem. Prav nasprotno pa je pri digitalnem podpisu, pri katerem pošiljatelj sporočilo podpiše z zasebnim ključem, prejemnik pa na podlagi svojega javnega ključa preveri, ali je bilo omenjeno sporočilo resnično podpisano s strani pošiljatelja, oziroma ali le-to med prenosom ni bilo kakorkoli spremenjeno (Halcom, 1999). Ker so asimetrični kriptoalgoritmi veliko počasnejši od svoje simetrične različice, z njimi le redko šifriramo daljša sporočila. Hitrost šifriranja pa je odvisna tudi od dolţine ključa. Čim večji sta namreč velikost in število ključev, večja je varnost sporočanja. Pri tem pa so pomembne tudi nadzorni sistemi, ki zagotavljajo delovanje omenjenih mehanizmov, zaščito dostopa do zasebnih ključev, in podobno. 3.2.3 Elektronski podpis V elektronskem poslovanju se namesto lastnoročnega uporablja elektronski podpis. To je poseben, elektronskemu poslovanju prilagojen sistem, ki nadomesti lastnoročni podpis, in s katerim lahko preverimo neokrnjenost podatkov, verodostojnost pošiljatelja, ter tako preprečimo tajenje. Za. razliko. od. lastnoročnega. podpisa. predhodno. omenjene. metode. zagotavljajo neokrnjenost podpisanega dokumenta. Najvišjo stopnjo varnosti pa omogoča prav digitalni podpis, ki temelji na asimetrični kriptografiji. Vsaka najmanjša sprememba dokumenta, kot je npr. dodana vejica v tekstu, izniči veljavnost podpisa. Ker je digitalni podpis odvisen od vsebine sporočila, originalnega podpisa ni mogoče kopirati (Jerman-Blaţič, 2001).. 24.

(25) Elektronsko podpisovanje lahko poteka na različne načine: z vključevanjem slike lastnoročnega podpisa v dokument, z elektronskim peresom, s pomočjo simetričnih kriptografskih algoritmov, s pomočjo digitalnega podpisovanja z metodami javne kriptografije. V nasprotju z lastnoročnim podpisom vse omenjene metode zagotavljajo neokrnjenost podpisanega dokumenta. Najvišjo stopnjo varnosti pa omogoča digitalni podpis, ki temelji na asimetrični kriptografiji. Kot pri kriptografiji javnih ključev ima tudi tu uporabnik na voljo dva ključa, t.j. javni ključ in zasebni ključ. Čeprav lahko uporabi enak par ključev kot pri asimetričnem šifriranju, to ni priporočljivo, saj so varnostne zahteve v obeh primerih precej različne. Za digitalno podpisovanje ima ponavadi uporabnik na razpolago dodaten par ključev. Postopek digitalnega podpisovanja poteka v dveh korakih. Tako uporabnik sporočilo najprej skrči z eno izmed enosmernih zgoščevalnih funkcij v bloke enakih dolţin. Z zgoščevanjem v konstantno velike bloke namreč uničimo vsebino sporočila, ki ga ni več mogoče rekonstruirati v prvotno obliko. Vsaka najmanjša sprememba v izvornem sporočilu povzroči spremembo vsebine bloka. Posamezni blok namreč predstavlja 'prstni odtis' sporočila, ki ga nato šifriramo še z zasebnim podpisnim ključem, pri tem pa dobimo digitalni podpis. Prejemnik digitalni podpis v nadaljevanju preveri še z javnim podpisnim ključem podpisnika, pri čemer dešifrira blok, nato pa še sam izračuna vrednost enosmerne zgoščevalne funkcije podpisanega sporočila ter preveri oba omenjena bloka. Če se izkaţe, da sta bloka popolnoma identična, je pošiljatelj resnično oseba, za katero se izdaja, kar pomeni, da poslano sporočilo med prenosom ni bilo spremenjeno (Centeno, 2001). Zakon o elektronskem poslovanju in elektronskem podpisu razlikuje med elektronskim podpisom kot širšim pojmom in varnim elektronskim podpisom kot zahtevnejšo obliko elektronskega podpisa. Slednji mora biti sestavljen tako, da je iz njega mogoče zanesljivo ugotoviti podpisnika, pri čemer je. 25.

(26) potrebno uporabiti sredstva za varno elektronsko podpisovanje, ki so izključno pod nadzorom podpisnika. Prav tako mora biti omenjeni podpis povezan s podatki, na katere se nanaša, tako da je opazna vsaka kasnejša sprememba tovrstnih podatkov oziroma povezav z njimi. Revizor mora preveriti, ali so vzpostavljeni tako učinkoviti sistemi nadzora, da podpisa resnično ni mogoče ponarediti oz. kopirati, in da podpisanega dokumenta ni mogoče spremeniti (Silič in Perenič 2000). 3.2.4 Digitalni certifikati Digitalno potrdilo je digitalni dokument, ki potrjuje povezavo med javnim ključem. in. osebo. oziroma. institucijo. ter. streţnikom.. Z. omenjenim. dokumentom lahko preverimo lastnika javnega ključa. Tovrstno potrdilo, ki je sodobna alternativa klasičnim osebnim identifikatorjem (kot so npr. osebna ali zdravstvena izkaznica, potni list, bančna kartica, idr.), ima specifičen namen, saj zagotavlja varno in legitimno e-poslovanje. Posamezno potrdilo vsebuje javni ključ in informacijo o njegovem imetniku, ki jo podpiše posameznik ali institucija, ki uţiva naše zaupanje . Potrdila so objavljena v splošno dostopnih imenikih ali na spletnih straneh. Kriptografija javnih ključev je zasnovana na paru ključev, ki ga lahko generiramo s pomočjo programov za elektronsko pošto ali pa z internetnim brskalnikom. Tako izdelan zasebni ključ nato ustrezno zaščitimo, javni ključ pa pošljemo osebam, s katerimi ţelimo komunicirati. Ţal pa omenjeni postopek ne zagotavlja verodostojnosti pošiljatelja, saj lahko par ključev ustvari kak drug posameznik, ki se nato laţno izdaja za naslovnika. Preden uporabimo javni ključ, moramo biti popolnoma prepričani, da le-ta resnično pripada naslovniku šifriranega sporočila. Overjanje javnih ključev je zato temeljni pogoj za uporabo varnostnih mehanizmov, ki temeljijo na asimetrični kriptografiji. Povezavo med uporabnikom in njegovim ključem v elektronskem poslovanju omogočajo posebne ustanove, ki jih imenujemo. 26.

(27) overitelji oziroma agencije za certificiranje javnih ključev. Tako overitelj lastniku javnega ključa izda digitalno podpisano potrdilo (t.j. digitalni certifikat), s pomočjo katerega drugim uporabnikom zagotavlja avtentičnost ključa. S pomočjo omenjenega potrdila tako lahko lastnik dokaţe lastništvo ključa in s tem tudi svojo identiteto. Pred vsakršno uporabo javnega ključa moramo najprej preveriti njegovo avtentičnost oziroma domnevnega lastnika. To storimo s pomočjo certifikata, ki vsebuje javni ključ, in s katerim lahko preverimo veljavnost digitalnega podpisa in ostalih podatkov v certifikatu. Postopek je uspešen takrat, ko uspemo dokazati, da podatki niso bili spremenjeni od časa izdaje certifikata, in da so še vedno veljavni, ter da javni ključ ni bil preklican (Jerman- Blaţič 2001). Če ţelimo uporabljati varnostne mehanizme, ki temeljijo na asimetrični kriptografiji, moramo nujno overiti javne ključe. Povezavo med uporabnikom in ključem v e-poslovanju preverjajo posebne ustanove, ki jih imenujemo overitelji javnih ključev. Overitelj oz. agencija za certificiranje javnih ključev (AC) je ustanova, ki ji njeni komententi oz. lastniki digitalnih potrdil zaupajo v taki meri, da jo pooblastijo za upravljanje z njihovimi digitalnimi potrdili. Tako overitelj lastniku javnega ključa izda digitalno potrdilo, s pomočjo katerega drugim uporabnikom zagotovi avtentičnost ključa, s čimer neločljivo poveţe uporabnika in njegov javni ključ. S pomočjo omenjenega potrdila tako lahko lastnik dokaţe lastništvo ključa in s tem tudi svojo identiteto. 3.2.5 Infrastruktura javnih ključev Infrastrukturo javnih ključev predstavljajo sistemi programske in strojne opreme ter jasno postavljena pravila certificiranja. Njen osnovni namen je zagotavljanje varnega elektronskega poslovanja med uporabniki, ki se med seboj ne poznajo, temelji pa na uporabi digitalnih certifikatov, s katerimi je. 27.

(28) mogoče potrditi uporabnikov elektronski podpis in njegov javni ključ. Tu gre za sistem z uporabo asimetrične kriptografije, ki lahko zdruţuje sisteme za certificiranje, agencijo za registracijo, ter sistem distribucije certifikatov. Agencija za registracijo opravlja vlogo posrednika med uporabnikom in agencijo za certificiranje, saj preveri prisotnost podatkov prosilca. V primeru, da pri preverjanju ne naleti na zadrţke, posreduje pri agenciji za certificiranje, ki na podlagi obstoječega zaupanja uporabniku izda certifikat. PKI kot celoten sistem za uporabo asimetrične kriptografije v elektronskem poslovanju lahko zdruţuje sledeče subjekte in dokumente: agencijo za certificiranje (CA), agencijo za registracijo (RA), politiko certificiranja, sistem distribucije certifikatov, dokument o ravnanju s certifikati (CPS – Certification Practice Statement). Agencija za certificiranje (CA) Osnovna naloga CA je izdajanje, varovanje, in vzdrţevanje certifikatov. Zaupanje v PKI temelji na CA. Agencija za registracijo (RA) Omenjen urad posredujejo med CA in uporabnikom, saj preveri podatke, ki jim jih posreduje prosilec za certifikat. Po končani registraciji CA registracijskemu uradu RA pošlje zahtevo za izdajo digitalnega certifikata, pri čemer pa mora zaupati v verodostojnost podatkov, ki jih prejme od omenjenega urada. Politika certificiranja V splošnem poznamo dve politiki certificiranja, t.j. politiko certificiranja v globalnih PKI, ki ureja odnose med CA, RA, lastniki in uporabniki certifikatov, ter politiko certificiranja v posameznih organizacijah z lastno CA. V slednjih. 28.

(29) je omenjena politika izoblikovana tako, da določi stopnjo zahtevane varnosti in dokumente, ki predpisujejo postopke ravnanja s ključi in drugimi pomembnimi podatki. Sistem distribucije certifikatov Certifikate je mogoče distribuirati na več različnih načinov. Tako si jih lahko npr. izmenjajo sami uporabniki, lahko pa se tudi nahajajo na streţniku v posamezni organizaciji ali pa na posebnem streţniku v javnem omreţju. Način distribucije je odvisen od strukture PKI. Dokument o ravnanju s certifikati (CPS) V dokumentu CPS so definirani natančni postopki izvajanja politike certificiranja v praksi, ter struktura CA in njenih nalog. V njem so tudi podrobno opredeljeni postopki izdaje, sprejetja in preklica certifikata, ter njegove distribucije. CPS je posebno pomemben pri komercialnih CA (angl. CCA-Commercial Certificate Authority), saj iz njega lahko razberemo, kolikšno mero zaupanja uţiva posamezna agencija CA. Pri infrastrukturi javnih ključev gre za kombinacijo programske in strojne računalniške opreme ter politike in pravil certificiranja. Osnovna naloga PKI (angl. Public Key Cryptography Infrastructure) je omogočanje varnega elektronskega poslovanja med uporabniki, ki se med seboj ne poznajo,in ki ţelijo varno komunicirati. PKI je zasnovan na digitalnih certifikatih, s katerimi lahko potrdimo uporabnikov elektronski podpis in njegov javni ključ. Omenjeni ključ je mogoče uporabiti v različne namene in v različnih okoljih, npr. v elektronskem bančništvu, drţavni upravi, akademski sferi, ali pa v vojski. Ker se varnostne zahteve omenjenih okolij med seboj razlikujejo, ne moremo pričakovati enotne infrastrukture javnih ključev. Danes je v svetu veliko overiteljev, ki izdajajo certifikate za različne namene (Jerman-Blaţič, 2001).. 29.

(30) Obstajajo pa tudi protokoli za zaščito transakcij v javnem omreţju. Najpogostejši so: SSL (Secure Sockets Layer), TLS (Transport Lawer Security), WTSL (Wireless Transport Lawer Security). Vsi omenjeni protokoli vzpostavljajo varne kanale med streţnikom in brskalnikom. V elektronskem bančništvu in pri elektronskih bančnih sistemih se najpogosteje uporablja protokol SSL, ki je sestavni del brskalnikov Internet Explorer ali Netscape. Omenjeni protokol je sestavljen iz dveh delov, t.j. iz protokola za preverjanje verodostojnosti streţnika in uporabnika, ter iz protokola za prenos digitalnih certifikatov in simetričnih ključev, ki zagotavlja neokrnjenost podatkov in šifriranja. Pri vzpostavljanju povezave tako najprej streţnik in brskalnik preverita verodostojnost drug drugega, nato pa uskladita kriptografske. algoritme,. ter. varno. izmenjata. asimetrični. ključ.. Po. opravljenem preverjanju, usklajevanju algoritmov, ter izmenjavi ključev, pa lahko streţnik in brskalnik začneta s pošiljanjem podatkov, ki so lahko še dodatno zaščiteni in šifrirani. Uporabnik lahko protokola SSL in TLS prepozna po predponi podprte internetne vsebine, saj se ob njuni uporabi namesto standardne predpone http pojavi predpona https, določeni sistemi pa prikaţejo uporabo varnega kanala z rumeno ključavnico v okencu, kar se navadno zgodi pri odpiranju bančnih dostopnih sistemov (Wikipedija, 2011). 3.2.6 Varni protokoli in sistemi na internetu Varnost elektronskega poslovanja lahko zagotovimo na različnih ravneh, najpogosteje pa lahko to storimo na aplikacijski, transportni, in omreţni ravni. V primeru aplikacijske zaščite ţe sama aplikacija vsebuje varnostne mehanizme (kot sta npr. program za elektronsko pošto in internetni brskalnik), v ostalih primerih pa podatke zavarujemo tako, da računalnik poveţemo z varnim kanalom, ki zagotavlja zaupnost in neokrnjenost podatkov ter preverjanja identitete.. 30.

(31) Omenjeno vrsto poslovanja najpogosteje zavarujemo tako, da znotraj določenega javnega omreţja, kot je npr. internet, vzpostavimo navidezno zasebno omreţje. Za zaščito transakcij na svetovnem spletu se najpogosteje uporabljajo protokoli SSL Secure Sockets Layer ), TLS(Transport Layer Security) in WTLS(Wireless Transport Layer Security). Najbolj znana metoda za zaščito podatkov na omreţju pa je standard IPSec, s pomočjo katerega lahko znotraj določenega javnega omreţja, kot je internet, vzpostavimo navidezno zasebno omreţje. Vzpostavitev tovrstnega zasebnega omreţja je povezana s precejšnjimi stroški, kot je npr. izgradnja zasebnega omreţja. Izmenjava podatkov med dvema ali več računalniki poteka v šifrirani obliki in s pomočjo digitalnega podpisa. Pri standardu IPSec so vsi podatki zavarovani na ravni IP, pri čemer varovanje poteka neodvisno od tega, ali uporabljamo aplikacije z vgrajenimi varnostnimi mehanizmi ali ne. IPSec zdruţuje dva varnostna mehanizma, t.j. AH (Authentication Header) in ESP (Encapsulating Security Payload). Prvi zagotavlja neokrnjenost in overjanje podatkov, drugi pa neokrnjenost in zaupnost informacij ter tudi morebitno overjanje podatkov. Omenjena varnostna mehanizma lahko uporabljamo skupaj ali ločeno. Standard IPSec je zasnovan tako, da izmenjava ključev poteka ročno ali avtomatično. Pri ročni izmenjavi administrator ročno vstavi potrebne ključe v sistem za komunikacijo, pri avtomatični pa računalniki skupno izberejo določen ključ (Jerman Blaţič, 2001). 3.2.7 Požarni zid Poţarni zid si lahko predstavljamo kot varnostna vrata ali vratarja, ki nepooblaščenim osebam ne dovoljuje vstopa in odnašanja podatkov iz sistema. Tovrstni zid z ustrezno strojno in programsko opremo implementira varnostno politiko v zvezi z uporabo virov in sistemov v internem lokalnem omreţju. Če ţelimo postaviti poţarne pregrade, moramo najprej poskrbeti za to, da imajo vsi uporabniki lokalnega omreţja čim manj oviran dostop do javnega. 31.

(32) omreţja, pri čemer med internetnim in lokalnim omreţjem omogočimo le povezave do javnih streţnikov. Poţarna pregrada je tako namenjena preverjanju podatkov, ki se prenašajo med lokalnim omreţjem in internetom. Filter je tista komponenta poţarnega zidu, ki nad vsakim paketom izvede mnoţico pravil iz varnostne politike, določenih s strani administratorja. Pravila temeljijo na selektivni osnovi, ki filtrira vhodne dostope v svoje omreţje, ter glede na pravila, ki lahko temeljijo na uporabniških imenih, internetnih IP naslovov pošiljatelja oziroma prejemnika, imenih domen, številkah komunikacijskih vrat, idr (Kalakota, 1997 in Pečjak, 2004). Na spletu in tudi v posameznih druţbenih okoljih se pojavljajo posamezniki, ki s svojimi dejanji ţelijo škodovati drugim posameznikom ali pa določenim organizacijam. Omenjeni posamezniki preko javnega omreţja vdirajo v varovana omreţja, v katerih nato uničujejo, poneverjajo, ali pa kradejo zaupne podatke. Dostop do varovanih omreţij pa lahko omejimo s sistemom poţarnega zidu (angl. firewall), katerega lastnosti so odvisne od politike kontrole dostopa, ki je pomemben sestavni del varnostne politike. Posamezne računalniške aplikacije, kot sta npr. operacijski sistem ali urejevalnik besedila, se lahko s spletom povezujejo z ali brez vednosti uporabnika. Prav tako pa se lahko med internetom in računalnikom prenašajo podatki, ki jih pošiljajo napadalci med iskanjem odprtih vrat pri aplikacijah z varnostnimi pomanjkljivostmi. Če dohodnega in odhodnega prenosa podatkov ne uspemo nadzorovati dovolj učinkovito, lahko nepridipravi računalnik »ugrabijo« brez vednosti uporabnika. Tak računalnik lahko postane t. i. BOT (t.j. okrajšava besede roBOT), s katerim lahko storilci izvajajo internetne zlorabe (kot je npr. pošiljanje velikih količin neţelene pošte).. 32.

(33) Ker računalnika ne moremo učinkovito zaščiti pred škodljivimi programskimi kodami, lahko nepridipravi vanj neopazno namestijo program, ki uporabnikove osebne podatke pošilja na internet. Tovrstni program je npr. t.i. keylogger, ki zabeleţi, katero tipko je pritisnil uporabnik, nato pa pridobljene podatke periodično pošlje na drug računalnik. Napadalec lahko z ustreznim in povsem zakonitim orodjem zlahka odkrije odprta vrata (npr. takrat, ko je omogočena skupna uporaba datotek ali P2P programov), če se pri tem izkaţe, da ima aplikacija z odprtimi vrati varnostno pomanjkljivost, jo napadalec lahko s primernim znanjem zlorabi in si odpre pot v računalnik (ZPS, 2007). Poznamo dve vrsti poţarnih zidov, t.j.: Poţarni zidovi na omreţni ravni: Omenjeni poţarni zidovi, skozi katere se podatki neposredno prenašajo iz interneta v varovana omreţja in obratno, lahko prepoznajo IP naslov in številko protokola, Poţarni zidovi na aplikacijski ravni: Omenjene poţarne zidove namestimo v za to posebej načrtovane proxy streţnike (angl. proxy streţnik), ki se nahajajo med zasebnim zaščitenim omreţjem in internetom. Tako nameščeni poţarni zidovi nato preprečujejo neposreden prenos podatkov med dvema omreţjema. Omenjeni zidovi prestreţejo IP paket in izbrano aplikacijo (kot je npr. elektronska pošta) posredujejo le uporabnikom, ki imajo dovoljenje za njeno uporabo (Curtin, 2000).. 33.

(34) 4. Elektronski plačilni promet. Potrošniki vsakodnevno plačujemo blago in storitve z različnimi plačilnimi sredstvi, kot so npr. gotovina, čeki, kreditne kartice ali pa bančne kartice. Podjetja med seboj ţe tradicionalno poslujejo po elektronski poti, vendar se običajno posluţujejo posebej prilagojenih omreţij. Ker so tovrstna omreţja zaprta, zagotavljajo dovolj varne transakcije med uporabniki, ki imajo dostop do njihovih storitev. S porastom elektronskega poslovanja pa se tudi odprta omreţja vse pogosteje srečujejo z elektronskimi transakcijami. Internetni plačilni sistemi opravljajo enake naloge kot klasične oblike plačevanja. Elektronsko poslovanje sicer posnema klasično politiko in načine poslovanja, vendar. pa. skuša. slednje. prilagoditi. novim. okoliščinam.. Ker. zaradi. digitalizacije pri elektronskem poslovanju ni fizičnega stika med plačnikom in prejemnikom, plačilna sredstva niso fizično prisotna v nobeni fazi poslovanja (Jerman - Blaţič, 2001). Elektronski plačilni sistemi so učinkovitejši od svoje klasične različice, saj omogočajo hitrejšo poslovno aktivnost, odlikujejo pa se tudi po niţjih stroških in manjši verjetnosti napak. Najpomembnejši spletni sistem plačevanja pa je zagotovo kreditna kartica. Elektronsko poslovanje si lahko predstavljamo le, če posedujemo eno izmed mednarodno priznanih plačilnih kartic, med katerimi sta najbolj priljubljeni in razširjeni prav Mastercard in Visa. Podjetja in spletni trgovci kupcem omogočajo sledeče načine plačevanja: plačilo s kreditnimi in debetnimi karticami, plačilo z aktivnimi plačilnimi karticami, varni plačilni sistem SET in 3D-SET, plačilo z elektronskim čekom, plačilo z elektronskim denarjem, plačilo s sistemom mikroplačil, mobilno plačevanje, plačilo s pomočjo elektronskega bančništva. 34.

(35) 4.1 Plačilo s kreditnim in debetnimi karticami Kreditne in debetne kartice so najpomembnejše in najpogostejše plačilno sredstvo pri spletnem nakupovanju. Poznamo debetne kartice, kreditne kartice, ter kartice z odloţenim plačilom, s katerimi lahko plačujemo na sledeče načine: Naročilo po pošti/telefonu (angl. MO/TO – mail order/telephone order): Omenjeni. način kupovanja in plačevanja uvrščamo med. začetne oblike trgovanja na spletu, pri katerem kupec svoje naročilo ter podatke o kartici in naslovu prodajalcu pošlje po pošti, ali pa mu omenjene podatke sporoči po telefonu. Vendar pa tovrstni način plačevanja ni dovolj varen način poslovanja, saj kupcu nihče ne more zagotoviti, da je podatke poslal pravemu prodajalcu, ki prav tako nima zagotovila, da bo kupec naročeno blago resnično plačal, saj nima njegovega podpisa. Kljub omenjenim pomanjkljivostim se omenjeni način plačevanja marsikje uporablja še danes, Nevarovana plačila po omreţju: Omenjeni način plačevanja ima podobne pomankljivosti kot MO/TO, saj lahko napadalci s posebnimi programi prestreţejo podatke s kartic, jih nato shranijo na računalnik, ter jih kasneje zlorabijo na različne načine. Zaradi elektronskega načina poslovanja vsi postopki potekajo hitreje, tako da lahko nastane zelo velika škoda, še preden ustrezni organi uspejo odkriti zlorabo, Varni plačilni sistemi: Ker so določeni načini plačevanja zelo pomankljivi, so različna podjetja razvila varne načine spletnega plačevanja s karticami, ki pa jih bom podrobneje predstavil v sledečih poglavjih. V splošnem poznamo tri vrste plačilnih kartic, t.j.: kreditne plačilne kartice, debetne plačilne kartice, kartice z odloţenim plačilom.. 35.

(36) Kreditne plačilne kartice Med omenjena plačilna sredstva sodijo: a) kartice z odloţenim plačilom, pri katerih lahko uporabnik plača izdelek oziroma storitev časovno kasneje, poravnava pa se opravi na določen dan na vsakomesečni ravni; b) prave plačilne kartice, pri katerih lahko imetniki poleg odloga plačila koristijo še posojilo banke izdajateljice. Med izdanimi kreditnimi plačilnimi karticami prevladujejo kartice z odloţeno poravnavo obveznosti. Debetne plačilne kartice Debetne plačilne kartice (t.j. Activa Maeastro, BA Maestro Cirrus) so se v Sloveniji prvič pojavile leta 1997. Takrat so banke začele postopno zamenjevati čekovne kartice, ki so imele identifikacijsko funkcijo pri plačevanju s čekom in bankomatsko funkcijo, z novimi karticami, ki imetnikom omogočajo takojšnji (oz. debetni) način poravnave obveznosti na elektronsko opremljenih prodajnih mestih (t.j. POS terminalih). S tovrstnimi karticami ne moremo zagotoviti potrošniškega kredita, ampak le enostavno brezgotovinsko plačilo, ki se izvrši takoj, ko je to mogoče. Kartice z odloţenim plačilom Tako kot z debetno kartico lahko tudi s kreditno kartico oziroma kartico z odloţenim plačilom imetnik plačuje in dviguje gotovino ter posluje v okviru osebnega mesečnega limita, ki ga v dogovoru z njim določi ustrezna poslovna enota. Če ţeli uporabnik plačati znesek, ki presega dogovorjeni limit, mora predhodno obvestiti poslovno enoto. Omenjena prekoračitev se odobri samo v primeru, da uporabnik posluje korektno, in da ima na katerem izmed svojih računov (npr. na tekočem, transakcijskem ali deviznem računu) na razpolago sredstva, s katerimi bo lahko poravnal svoje obveznosti (Šteblaj 1999).. 4.2 Plačilo z aktivnimi plačilnimi karticami Tu gre za sistem prenosne elektronske denarnice, ki uporablja prednosti pametne kartice. Elektronski denar se shranjuje v čipu, ki se nahaja na. 36.

(37) kartici. Obstaja veliko število medsebojno nekompatibilnih aktivnih plačilnih kartic, med katerimi je najbolj razširjen sistem Mondex. 4.2.1 Mondex Koncept Mondex je leta 1990 razvila angleška bančna organizacija NatWest v sodelovanju z mnogimi zunanjimi sodelavci. Omenjeni koncept je leta 1992 prvič poskusno uporabilo 6000 zaposlenih v NatWestu, ki so v trgovinah in restavracijah znotraj podjetja lahko plačevali z Mondexovo kartico. Leta 1995 je bil omenjeni koncept prvič uporabljen v komercialne namene, dve leti kasneje pa je njegov večinski lastnik postal MasterCard. Omenjeni sistem je zasnovan na tehnologiji pametnih kartic, saj omogoča pretok e-kovancev iz ene elektronske denarnice v drugo in obratno, to pa poteka brez vmesnega prenosa e-kovancev v banko, ki podpira sistem Mondex. Sistem je definiran kot protokol med čipi. Za poslovanje z Mondexovo kartico (t.j. za polnjenje, plačevanje in ogled stanja sredstev na kartici) potrebujemo čitalnike različnih oblik in velikosti, kot so npr. obesek za ključe, s katerim lahko preverimo stanje na kartici; ţepni računalnik, ki omogoča prenos ekovancev z ene kartice na drugo; ter čitalniki, ki so. prilagojeni delu na. osebnem računalniku, telefonu ali mobilnem telefonu. Kot prenosni medije pa lahko uporabljamo internet, telefonsko povezavo, brezţično povezavo, ali pa lokalni čitalnik kartic. Mondexovo kartico si lahko pridobimo tako, da odpremo račun pri banki, ki podpira omenjeni sistem. Nato banka izda kartico in jo napolni z dogovorjeno vsoto e-kovancev, za omenjeni znesek pa obremeni naš tekoči račun. Kot mnoge druge elektronske denarnice, ki uporabljajo kartico, tudi Mondexova kartica. omogoča. administracijo. poslovanja. in. podatke. o. opravljenih. informacijah. Tako lahko banka spremlja celoten pretok denarja na kupčevem in prodajalčevem računu. Prav to pa je po mnenju nekaterih posameznikov slabost omenjenega sistema, saj le-ta tako omejuje anonimnost poslovanja. Popolnoma anonimno plačevanje pa omogoča prenosljiva finska kartica Avant,. 37.

(38) ki jo je mogoče polniti na bančnih avtomatih (O'Mahony, Peirce in Tewari, 2001).. 4.3 Varni plačilni sistem SET in 3D-SET Plačilni sistem na osnovi SET protokola zagotavlja najvišjo stopnjo varnosti pri plačevanju s kreditnimi karticami preko interneta. V sistemu so vključene vse faze plačevanja. Omenjeni protokol za varno transakcijo (angl. Secure Electronic Transaction) so skupaj razvila podjetja Microsoft, Netscape, Visa, in MasterCard. Kupec, prodajalec in prodajalčeva. banka tako uporabljajo. overitvena potrdila, ki omogočajo varne transakcije na osnovi šifriranja in overjanja. Ker gre v omenjenem primeru za odprt sistem poslovanja, je-le ta dostopen vsakomur. Omenjeni protokol se odlikuje po učinkovitem šifriranju ter po različnih postopkih za overjanje ter zagotavljanje zaupnosti, zasebnosti in zanesljivosti v vseh korakih elektronskega plačevanja. Tovrstni protokol zagotavlja varno in zasebno poslovanje, saj uporablja kombinacijo kriptografskih tehnik, ki omogočajo varne poslovne transakcije. Za varno poslovanje v tem primeru poskrbijo različne tehnike, kot so npr. šifriranje s simetričnim ključem, šifriranje z javnim ključem, digitalni podpis, certifikat javnih ključev, ter kodiranje z dvojnim podpisom. Ker omenjene zapletene varnostne tehnike potekajo v ozadju, jih uporabniki vidijo zelo redko. Novejša različica SET-a pa je 3D- SET, ki ga je razvila VISA. Prednost omenjenega sistema je predvsem v tem, da ga lahko uporabnik uporablja kjerkoli po svetu, pri tem pa ne potrebuje niti lastnega računalnika, niti posebne strojne opreme ali operacijskega sistema. Zaradi omenjenih prednosti je digitalno denarnico mogoče shraniti na posebnem streţniku uporabnikove banke, v katerm so varno shranjene tudi vse informacije o imetnikovih karticah.. 38.

(39) Omenjeni sistem temelji na treh domenah, t.j.: na domeni izdajatelja kartic oz. na povezavi med kupcem in njegovo banko, na domeni prodajalčeve banke oz. na povezavi med prodajalcem in njegovo banko, na operativni domeni oz. na povezavi med kupčevo in prodajalčevo banko. Transakcija prične potekati v trenutku, ko kupec v izbrani spletni trgovini izbere izdelek, potrdi njegov nakup, in se odloči za plačilo preko sistema 3DSET. Nato prodajalec kupčevo banko s posebnim sporočilom obvesti o nakupu, slednja pa svojemu komitentu pošlje identifikacijski list. Kupec na omenjeni list vpiše svoje ime in dostopno geslo, s tem pa aktivira digitalni certifikat, ki je shranjen v digitalni denarnici na streţniku banke. Nato identifikacija in komunikacija potekata po ustaljenem sistemu SET. Podobno je tudi pri varovanju komunikacij, saj se uporabljajo ločeni certifikati za vsakega udeleţenca, za šifriranje sporočila pa so na voljo štirje pari ključev. Sistem 3D SET temelji na infrastrukturi javnih ključev, za svoje delovanje pa uporablja digitalne certifikate za vsakega udeleţenca posebej (Krauthaker, 2004). Posamezniki, ki poslujejo preko 3-D Secure sistema, so bistveno varnejši pred zlorabami in dvomljivimi transakcijami. Študije so pokazale, da tretjina imetnikov ne zaupa spletnim nakupom zaradi dvomljive varnosti transakcij. Tudi sistem 3-D Secure lahko prepriča kupce, da je tudi na spletu mogoče poslovati varno in brez zlorab.. 4.4 Plačilo z elektronskim čekom Elektronski ček je elektronska različica klasičnega papirnega čeka, s pomočjo katerega je mogoče plačevati izdelke ali storitve preko spleta. Omenjeno plačilno sredstvo je najbolj varna metoda plačevanja, saj temelji na enakih. 39.

(40) varnostnih metodah kot ostali elektronski plačilni instrumenti. Tovrstni ček lahko uporablja le posameznik, ki ima ustrezno opremo in lastni bančni račun. Pri plačilu z elektronskim čekom plačnik na svojem osebnem računalniku najprej izpolni obrazec e-čeka, nato pa v čitalnik, ki bo v prihodnosti zagotovo postal sestavni del vsakega računalnika, vstavi pametno kartico. Čekovno knjiţico na omenjeni kartici pa aktivira tako, da vanjo vnese identifikacijsko PIN številko. Potem ko čekovna knjiţica e-čeku določi serijsko številko, slednjega elektronsko podpiše ter ga po elektronski pošti pošlje prejemniku. Ko prejemnik potrdi prejem elektronskega čeka, ga z zahtevo po izplačilu zapisane vrednosti pošlje svoji banki. Ob koncu transakcije izbrani banki svoja komitenta obvestita o rezultatih izplačila čeka (O´Mahony, Peirce in Tewari 2001). Kartica in elektronski ček se med seboj razlikujeta po sledečih značilnostih, t.j.: za ček je odgovoren upnik, za plačilno kartico pa banka, ki z avtorizacijo sprejme obveznost, da bo poravnala znesek, kartice so pogosto omejene, saj lahko dnevno ali tedensko z njimi dvigujemo le določene gotovinske zneske, medtem ko elektronski čeki nimajo tovrstnih omejitev, poslovanje z e-čekom v celoti poteka preko spleta, kar pa ni značilnost vseh plačilnih kartic, vsak elektronski ček mora biti avtoriziran, medtem ko se pri nekaterih karticah preveri le morebitna zabeleţba na črni listi, ne pa tudi dejanska višine sredstev na računu. Elektronski ček je mogoče zaščiti z različnimi varnostnimi mehanizmi, kot so npr.: digitalni podpis, digitalni certifikat,. 40.

(41) sistem preverjanja duplikatov, enkripcija (t.j. šifriranje, ki je kriptografski postopek). Elektronski čeki imajo sledeče prednosti pred klasičnimi čeki, t.j.: manjša moţnost napake, veliko niţji stroški transakcije, bistveno hitrejši način plačevanja, udeleţenci lahko vedno preverijo verodostojnost podatkov, manjša moţnost poneverb.. 4.5 Plačilo z elektronskim denarjem Elektronski denar se ne pojavlja v fizični obliki, ampak obstaja zgolj kot elektronski zapis, ki ima vse ostale lastnosti gotovine. Omenjeno plačilno sredstvo se uporablja ţe od leta 1995. Najbolj znan sistem, ki temelji na elektronskem denarju, je ECASH. Elektronski denar je edini varni način plačevanja, ki omogoča tudi popolno anonimnost plačnika. Kot ostala elektronska plačilna sredstva je tudi omenjeni denar zaščiten z učinkovitimi šifrirnimi metodami. Tovrstno plačilno sredstvo ima velike prednosti pred navadnim, fizičnim denarjem, saj ga ni potrebno shranjevati in posebej varovati, z njim pa je mogoče poslovati tudi preko javnih komunikacijskih omreţij (Kovačič, 1997). 4.5.1 ECAHS Avtor elektronskega denarja, David Chaum, si je omenjeno plačilno sredstvo zamislil kot elektronske kovance, ki kupcu pri banki in prodajalcu zagotavljajo enako anonimnost kot pri plačevanju z gotovino. Sistem eCash je namreč zasnovan tako, da kupec prodajalcu pošilja kovance po spletu, slednji pa nato pri banki, ki jih je izdala, preveri njihovo veljavnost. Ker banka pozna vse serijske številke izdanih kovancev, sprejme le kovance, ki do takrat še niso bili uporabljeni. V ta namen ima zagotovljeno bazo porabljenih kovancev, ki. 41.

(42) jo uporablja za preverjanje pristnosti transakcije. Preden uporabnik lahko začne uporabljati omenjeno storitev, mora odpreti račun pri izbrani banki ter si priskrbeti ustrezen računalniški program, identifikacijsko številko in uporabniško geslo (Jerman Blaţič, 2001). Sistem Ecash pri prenosu podatkov uporablja kombinacijo asimetrične RSA kriptografije. in. simetrične. kriptografije.. Pri. popolnoma. anonimnem. elektronskem denarju pri transakciji ni potrebno sodelovanje banke, ampak slednja nastopa le kot izdajatelj elektronskega denarja, saj omenjeno plačilno sredstvo pošlje v sistem, nato pa le-to samo potuje naokoli. Za razliko od klasičnega denarja je njegovo elektronsko različico mogoče izdati oziroma nominirati v večjih ali manjših poljubnih vrednostih. Vendar pa tudi tu obstaja določen transakcijski minimum, saj banke za vsako opravljeno transakcijo obračunajo transakcijsko pristojbino. Če namreč transakcijski minimum ne bi obstajal, bi se lahko zgodilo, da bi višina omenjene pristojbine presegla samo vrednost transakcije.. 4.6 Plačilo s sistemom mikroplačil Za plačevanje zelo nizkih zneskov so se razvili t.i. sistemi mikroplačil. Omenjeni sistemi so zasnovani na postopkih, ki zagotavljajo niţje stroške varnosti in komunikacije, kar je podobno plačevanju telefonskih impulzov s telefonsko kartico. Prav zato morajo biti sheme za mikroplačila poceni in hitre. Tovrstna plačila so ponavadi ponavljajo in uporabljajo v zelo velikem številu, saj so zelo primerna za nakup programske opreme, glasbe, dokumentov, borznih informacij, ter drugih spletnih storitev. Za varno izmenjavo podatkov med kupčevim računalnikom, prodajalčevim streţnikom in Paynet centrom skrbi varni kanal SSL. Kupec plačilo potrdi tako, da vtipka enkratno PIN kodo, ki mu jo predhodno v obliki SMS sporočila pošlje. 42.

(43) Paynet center. Enkratno PIN kodo je mogoče uporabiti le enkrat, hkrati pa je njeno delovanje tudi časovno omejeno na tri minute, zato se v primeru, da je kupec v omenjenem časovnem intervalu ne pošlje nazaj v Paynet center, proces plačevanja zaustavi. Zaradi odlične zmogljivosti sistem Paynet lahko deluje brez drage dodatne strojne in programske opreme, pri čemer ima kupec na voljo en sam račun, ki beleţi stroške telefoniranja in nakupa. Storitev je še posebej ugodna za mobiuporabnike, saj imajo le-ti zaradi predplačniškega načina plačevanja zagotovljeno anonimnost poslovanja. (Sešek in Olson, 2002). Plačilni sistem Paynet ima sledeče lastnosti: enostavnost, varnost in učinkovitost pri plačevanju, nadzor nad porabo, identifikacija znotraj ene seje in ne po posameznih transakcijah, uporaba brez registracije, zaračunavanje vsebin, ki jih doslej ni bilo mogoče zaračunavati. V Sloveniji uporabljamo sistem Paynet, ki ga je razvilo domače podjetje Adacta. Omenjeni sistem omogoča tako mikro plačila v internetnem in mobilnem okolju kot tudi plačevanje večjih zneskov. Tako je npr. mobilni operater Mobitel kot prvi evropski ponudnik svojim strankam ponudil moţnost plačevanja internetnih storitev preko spleta in jo poimenoval Moneta. Ker je Moneta namenjena najširši mnoţici uporabnikov ter ponudnikom storitev in vsebin, jo moramo zaščititi z učinkovitimi, varnostno zmogljivimi mehanizmi. Prav zato je varnost sistema zagotovljena tako na psihološki kot tudi na dejanski ravni mehanizmov prenosa podatkov oziroma transakcij. Ko uporabnik opravi določen nakup v elektronski obliki, mu ponudnik pošlje izračun nakupa, ki pa ga prvemu ni potrebno preveriti, saj stroške dejansko poravnava na vsakomesečni in sicer na skupnem zbirnem računu, ki vsebuje specifikacijo. vseh. nakupov. pri. izbranih. 43. ponudnikih.. Omenjeni. račun.

(44) uporabniku izda Mobitel. Na tem računu je zabeleţen zbirni znesek vseh plačil, ki jih izda posamezni ponudnik blaga ali storitev. Vse elektronske račune, ki jih izdajajo ponudniki blaga in storitev, lahko uporabnik najmanj tri mesece. po. njihovi. izdaji. preveri. tudi. na. Mobitelovi. spletni. strani. (www.mobitel.si). Tako kot v drugih primerih mora ponudnik tudi tovrstne zbirne račune varno in pregledno hraniti v skladu z skladu z veljavnimi davčnim predpisi. Omenjene račune določen čas hrani tudi sistem Moneta. Vse račune, ki jih po posameznem nakupu prejme preko elektronske pošte, pa je dolţan hraniti tudi uporabnik. Vsak uporabnik lahko preko sistema Moneta kupuje v višini določenega dnevnega in mesečnega limita. Če poraba doseţe znesek dnevno ali mesečno določenega limita, naročnik GSM sistema v omenjenem dnevu ali mesecu oziroma do poplačila nastalih obveznosti sistema elektronskih plačil ne more več uporabljati (Moneta, 2005).. 4.7 Mobilno plačevanje Mobilno plačevanje je plačevanje blaga, storitev in obveznosti z mobilno napravo, ki uporablja brezţično ali drugo komunikacijsko tehnologijo. Med mobilne naprave spadajo: mobilni telefoni, dlančniki, prenosni računalniki, mobilne naprave z vgrajeno komunikacijo kratkega dosega oziroma tehnologijo NFC, druge radio-frekvenčne naprave. Mobilni operaterji lahko z uvedbo mobilnega plačevanja veliko pridobijo na trgu. Tovrstni operaterji imajo dobre odnose s strankami, v lasti pa imajo tudi potrebno. infrastrukturo. zaračunavanja. in. nadzor. nad. uporabnikovimi. mobilnimi terminali. Omenjeni operaterji se namreč mobilnega plačevanja ne. 44.

Referensi

Unduh sekarang ( PDF - 88 Halaman - 913.09 KB )

Dokumen terkait

FAKTOR FAKTOR YANG MEMPENGARUHI FATIGUE PADA PASIEN YANG MENJALANI HEMODIALISIS

Dalam penelitian Sullivan dan McCarthy (2009) menyatakan bahwa pasien hemodialisis yang tidak aktif, 14% akan mengalami kelelahan dan pasien yang mengalami fatigue

Variasi produk. belt modular. Prolink Beltfinder. Siegling total belting solutions. m.prolink-finder.com

Seri Siegling Prolink tersedia dalam beberapa bahan seba- gai standar (lihat setiap seri untuk informasi lebih lanjut.) Mereka juga dapat dibuat dari semua bahan yang ditampilkan

Vol. 1, No. 2, Oktober ISSN: (p); (e)

Dalam penelitian ini didapatkan hasil mengenai pola perilaku pacaran pada remaja yang dimulai dari proses perkenalan, proses pendekatan, proses merasakan cinta,

Esensi HAM dalam Islam dan Relevansinya Dengan Demokrasi

Jaminan perlindungan terhadap nyawa manusia sangat diperhatikan, sebagaimana tercantum dalam al-Qur'an, Surah al-Maidah [5]:32("Barangsiapa yang membunuh seorang

IMPLEMENTASI KECERDASAN BUATAN UNTUK BOT PADA GAME THE ARTIFACT NASKAH PUBLIKASI. diajukan oleh Muhammad Faqihuddin

Selain peralihan, rule pada mode ini mengatur kecepatan pengejaran dimana apabila telah mencapai jarak yang dekat dengan pemain, bot akan berhenti untuk