Платежная система ASSIST

Разработчиком и владельцем платежной системы ASSIST (www.ASSIST.ru) является компания Рексофт (www.reksoft.ru). ASSIST позволяет владельцам кредитных карт совершать оплату покупок в Интернет-магазинах, подключенных к системе. Кроме того, система дает возможность клиентам провайдеров Интернета, подключенных к системе ASSIST, оплачивать товары и услуги в Интернет-магазинах со своего лицевого счета у провайдера (схема расчетов с использованием цифровых сертификатов). Расчетными банками системы являются "Альфа-банк", банк "КОНЭКАГРОПРОМ", банк "Первое Общество Взаимного Кредита" и банк "Сибирское Общество Взаимного Кредита". Главная страница платежной системы ASSIST представлена на рис. 3.4.

Расчеты при помощи кредитных карт

Система обслуживает держателей банковских кредитных карт VISA, Eurocard/MasterCard, Diners Club, JCB, STB. Возможно и обслуживание держателей карт American Express (AMEX), но для этого Интернет-магазину необходимо заключить прямой договор с American Express.

Владельцы карт могут оплачивать покупки в интернет-магазинах.

Последовательность операций по осуществлению покупки выглядит следующим образом:

•  покупатель посещает сайт магазина, формирует корзину товаров и выбирает форму оплаты по кредитным карточкам (1);
•  магазин формирует заказ и переадресовывает покупателя на авторизационный сервер системы ASSIST, одновременно на авторизационный сервер передаются код магазина, номер заказа и его сумма (2);
•  авторизационный сервер ASSIST устанавливает с покупателем соединение по защищенному протоколу (SSL 3.0) и принимает от покупателя параметры его кредитной карточки (номер карточки, дата окончания действия карточки, имя держателя карточки в той транскрипции, как оно указано на карточке). Информация о карточке передается в защищенном виде только на авторизационный сервер и не предоставляется магазину при операциях покупателя (3);
•  авторизационный сервер ASSIST производит предварительную обработку принятой информации и передает ее в расчетный банк системы (4);
•  банк проверяет наличие такого магазина в системе, проверяет соответствие операции установленным системным ограничениям. По результатам проверок формируется запрет или разрешение проведения авторизации транзакции в карточную платежную систему (5);
•  при запрете авторизации банк передает авторизационному серверу ASSIST отказ от проведения платежа. Авторизационный сервер передает покупателю отказ с описанием причины, а магазину — отказ с номером заказа (6);
•  при разрешении авторизации запрос на авторизацию передается через закрытые банковские сети банку-эмитенту карточки покупателя или процессинговому центру карточной платежной системы, уполномоченному банком-эмитентом (6);
•  при положительном результате авторизации, полученном от карточной платежной системы, банк передает авторизационному серверу ASSIST положительный результат авторизации (7), авторизационный сервер передает покупателю положительный результат авторизации (8), а магазину — положительный результат авторизации с номером заказа (9). Банк осуществляет перечисление средства на счет магазина в соответствии с существующими договорными отношениями между банком и магазином (10). Магазин оказывает услугу (отпускает товар) (11).

Зарегистрированным в системе клиентам ASSIST предоставляет услугу выдачи выписки по операциям, совершенным клиентом через систему:

•  покупатель заходит на авторизационный сервер и запрашивает выписку о проведенных в системе ASSIST транзакциях, указывая свой код и пароль;
•  авторизационный сервер проверяет код покупателя и его пароль;
•  при положительных результатах проверки авторизационный сервер направляет запрос покупателя расчетному банку системы;
•  банк формирует выписку и передает ее авторизационному серверу;
•  покупатель получает выписку от авторизационного сервера.

Для клиентов расчеты по этой схеме осуществляются бесплатно. Подключение к системе Интернет-магазина стоит 100 долларов. Комиссионное вознаграждение за проведение каждой транзакции составляет 5%.

Схема расчетов на основе сертификатов

Помимо стабильно работающей схемы оплаты при помощи кредитных карт, в системе ASSIST предусмотрена схема расчетов с использованием цифровых сертификатов. Она дает возможность клиентам провайдеров Интернета, подключенных к системе ASSIST, оплачивать товары и услуги в Интернет-магазинах со своего лицевого счета у провайдера. По состоянию на начало 2002 года эта система не функционировала, хотя и была полностью готова к эксплуатации. По прогнозам сотрудников компании Рексофт, разработавшей эту систему, начало ее работы можно ожидать во второй половине 2002 года. Расчеты по этой схеме происходят следующим образом (рис. 3.6):

•  провайдер генерирует и выдает своему клиенту цифровой сертификат для идентификации клиента в системе ASSIST в качестве покупателя. Провайдер передает в расчетный банк системы ASSIST информацию о выданных сертификатах (1);

•  для совершения покупки покупатель посещает сайт магазина, формирует корзину товаров и указывает, что оплата будет производиться со счета у провайдера (2);
•  магазин формирует заказ и переадресует покупателя на авторизационный сервер системы ASSIST, одновременно на авторизационный сервер передаются код магазина, номер заказа и его сумма (3);
•  авторизационный сервер ASSIST устанавливает с покупателем соединение по защищенному протоколу (SSL) и принимает от покупателя цифровой сертификат, по которому определяет, к какому провайдеру принадлежит покупатель (4). После этого авторизационный сервер передает принятую информацию в расчетный банк системы на авторизацию (5);
•  банк осуществляет контроль транзакции: проверяет наличие в системе магазина и провайдера, проверяет остаток на счете провайдера и лимиты покупателя. В результате проверок формируется разрешение или запрет проведения платежа (7);
•  при разрешении платежа банк переводит денежные средства со счета провайдера на счет магазина (6) и передает авторизационному серверу ASSIST результат авторизации (7);
•  при запрете платежа банк передает авторизационному серверу ASSIST отказ от проведения платежа с указанием причины отказа (7);
•  авторизационный сервер ASSIST передает результат авторизации покупателю (8) и магазину (9);
•  в случае положительного результата авторизации магазин отпускает товар (10).

Безопасность платежей в системе ASSIST

Для защиты информации от несанкционированного доступа на этапе передачи от клиента на сервер системы используется протокол SSL 3.0, сертификат сервера (128 bit) выдан компанией VeriSign, Inc. — центром выдачи цифровых сертификатов.

Отдельного внимания заслуживает система дополнительных мер безопасности, применяемая ASSIST:

•  защита по номеру карты. Магазин ведет свой "черный список" номеров карт, которым автоматически отказывается в обслуживании. Есть возможность также использовать "черный список" ASSIST и списки других магазинов. Каждый магазин сам выбирает уровень защиты, необходимый ему;
•  защита по e-mail. Если есть необходимость ограничить авторизации пользователей с определенным e-mail, необходимые адреса заносятся в "черный список". Допускается как указание полного адреса, так и маски (например, "hotmail.com"). В случае указания маски будет запрещена авторизация всем пользователям, имеющим адрес на занесенном в список сервере. Возможно использование "черного списка" ASSIST;
•  защита по IP-адресу плательщика. Магазину предоставляется возможность сформировать список IP-адресов или масок IP-адресов, с которых запрещена авторизация. Есть возможность воспользоваться списком ASSIST. Пользоваться этим режимом следует с осторожностью, поскольку IP-адрес компьютера может меняться (например, если покупатель пользуется коммутируемым доступом к Интернет);
•  защита по IP-адресу магазина. С тем, чтобы снизить вероятность несанкционированного подключения к ASSIST от имени магазина, возможно включить этот вид защиты. В случае прихода запросов не с указанного в системе защиты IP-адреса, в их исполнении будет отказано;
•  защита по HTTP_REFERER. Этот вид защиты аналогичен предыдущему с той разницей, что запрещаются запросы со всех URL, кроме указанного в системе защиты;
•  защита по частоте авторизации. Наиболее распространенный механизм взлома сайтов на сегодняшний день — это подбор авторизационных параметров. Включая этот механизм защиты, магазин запускает алгоритм эвристического анализа параметров авторизации, отсекающий те запросы, которые выглядят как неблагонадежные. Для того чтобы повторить авторизацию, придется подождать некоторое время. Добросовестному плательщику не составит труда подождать несколько минут. При этом эффективность работы взломщика будет значительно снижена;
•  защита по повторным авторизациям. Включение этого режима защиты исключает возможность повторной оплаты заказа, что, естественно, снижает и вероятность возврата платежа (charge back);
•  защита от анонимных proxy-серверов. Этот вид защиты применяется, если необходимо запретить авторизации покупателям, работающим через анонимные proxy-сервера. Анонимные proxy-сервера позволяют скрыть истинный IP-адрес, чем часто пользуются мошенники. ASSIST постоянно обновляет список таких серверов;
•  максимальная сумма платежа. Есть возможность задать максимальную сумму, на которую будет осуществляться платеж. Платежи, сумма которых превышает заданное значение, не будут проводиться;
•  максимальное количество транзакций за день. Если это ограничение включено, то после проведения указанного магазином количества платежей, система перестанет принимать платежи до полуночи;
•  максимальный оборот за день. Этот лимит действует аналогично предыдущему, с той разницей, что учитывается не количество платежей, а их размер;
•  максимальное количество транзакций по карте за день. Возможно ограничить количество успешных транзакций по карте. После того, как карта была использована несколько раз в течение одного дня, платежи по ней будут блокированы до полуночи;
•  максимальный оборот по карте за день. Этот лимит действует аналогично предыдущему, с той разницей, что учитывается не количество платежей, а их размер.

Каждый магазин вправе выбрать любую комбинацию приведенных способов защиты в зависимости от круга покупателей и других особенностей своего бизнеса. Задачей магазина является выбор оптимальной настройки, чтобы наряду с мошенниками не отсекать и попытки авторизации добросовестных плательщиков.

В дополнение к уже существующим методам защиты расчетный банк системы Альфа-банк в настоящее время внедрил прием платежей по кредитным картам с использованием технологии SET.