76 Bazele comerţului electronic 5.1 Comerţul electronic, forme şi modele 5.1.1 Câteva definiţii Întreprinderile moderne sunt caracterizate printr-o cerere din ce în ce mai mare, prin existenţa unei competiţii la nivel mondial şi prin sporirea permanentă a aşteptărilor clienţilor. Ca să poată răspunde acestor cerinţe, întreprinderile de pe tot globul sunt în plin proces de transformare organizaţională şi a modului lor de funcţionare. Comerţul electronic este o cale prin care se facilitează şi sprijină aceste schimbări, la scară globală. Pentru unii observatori ai fenomenului, comerţul electronic are acelaşi conţinut ca afacerea electronică (eBusiness) şi înseamnă orice tranzacţie financiară care utilizează tehnologia informatică. Alţii consideră că noţiunea de comerţ electronic acoperă circuitul complet de vânzări - inclusiv marketingul şi vânzarea propriu-zisă. Există însă si analişti care consideră comerţul electronic ca fiind orice tranzacţie comercială condusă electronic pentru cumpărarea unor bunuri materiale tangibile cum ar fi cărţi, CD-uri, bilete de călătorie şi altele sau imateriale, intangibile, precum software, servicii turistice, etc. Dar, comerţul electronic are, în sens larg, un impact mult mai profund asupra evoluţiei afacerilor şi cuprinde, în fapt, nu numai noile achiziţii comerciale ci şi totalitatea activităţilor care susţin obiectivele de marketing ale unei firme şi care pot include, spre exemplu, publicitate, vânzări, plăţi, activităţi post-vânzare, servicii către clienţi, etc. Comerţul electronic dă posibilitatea firmelor sa devină mai eficiente şi flexibile în modul intern de funcţionare, să conlucreze mai strâns cu furnizorii şi să devină mai atente faţă de nevoile şi aşteptările clienţilor. Permite companiilor să selecteze cei mai buni furnizori, indiferent de localizarea lor geografică şi să vândă unei pieţe globale. Aceasta evoluţie are un impact major asupra economiei, în ceea ce priveşte crearea de noi întreprinderi, diversificarea celor existente şi, în special, asupra potenţialului pieţei forţei de muncă şi a gradului de ocupare a acesteia în viitor. 5.1.2 Avantajele comerţului electronic Comerţul electronic aduce o serie de avantaje incontestabile în raport cu formele tradiţionale de comerţ, ceea ce explică, în bună măsură, succesul şi interesul de care se bucură încă de la apariţie. Din perspectiva cumpărătorului, avantajele sunt legate de: • timp: cumpărătorul poate vizita mai multe magazine virtuale într-un timp foarte scurt (mult mai scurt decât timpul pe care îl implică prezenţa fizică a unei persoane într-un magazin real); • disponibilitatea: magazinele virtuale sunt disponibile aproape 24 de ore din 24, 365 de zile pe an. • internaţionalizarea: se pot face cumpărături din magazine aflate dincolo de graniţele ţării de origine a cumpărătorului • . Mai mult, cumpărătorul poate face cumpărături când se află în deplasare şi solicita ca acestea să fie livrate la adresa de domiciliu. sau la o altă adresă •• . • există restricţii impuse de proprietarii magazinelor pentru ţări considerate nesigure, printre care şi România •• se adaugă taxele de transport care, uneori, pot depăşi valoare bunurilor cumpărate.
Transcript
76
Bazele comerţului electronic
5.1 Comerţul electronic, forme şi modele
5.1.1 Câteva definiţii Întreprinderile moderne sunt caracterizate printr-o cerere din ce în ce mai mare, prin existenţa unei competiţii la nivel mondial şi prin sporirea permanentă a aşteptărilor clienţilor. Ca să poată răspunde acestor cerinţe, întreprinderile de pe tot globul sunt în plin proces de transformare organizaţională şi a modului lor de funcţionare. Comerţul electronic este o cale prin care se facilitează şi sprijină aceste schimbări, la scară globală. Pentru unii observatori ai fenomenului, comerţul electronic are acelaşi conţinut ca afacerea electronică (eBusiness) şi înseamnă orice tranzacţie financiară care utilizează tehnologia informatică. Alţii consideră că noţiunea de comerţ electronic acoperă circuitul complet de vânzări - inclusiv marketingul şi vânzarea propriu-zisă. Există însă si analişti care consideră comerţul electronic ca fiind orice tranzacţie comercială condusă electronic pentru cumpărarea unor bunuri materiale tangibile cum ar fi cărţi, CD-uri, bilete de călătorie şi altele sau imateriale, intangibile, precum software, servicii turistice, etc. Dar, comerţul electronic are, în sens larg, un impact mult mai profund asupra evoluţiei afacerilor şi cuprinde, în fapt, nu numai noile achiziţii comerciale ci şi totalitatea activităţilor care susţin obiectivele de marketing ale unei firme şi care pot include, spre exemplu, publicitate, vânzări, plăţi, activităţi post-vânzare, servicii către clienţi, etc.
Comerţul electronic dă posibilitatea firmelor sa devină mai eficiente şi flexibile în modul intern de funcţionare, să conlucreze mai strâns cu furnizorii şi să devină mai atente faţă de nevoile şi aşteptările clienţilor. Permite companiilor să selecteze cei mai buni furnizori, indiferent de localizarea lor geografică şi să vândă unei pieţe globale.
Aceasta evoluţie are un impact major asupra economiei, în ceea ce priveşte crearea de noi întreprinderi, diversificarea celor existente şi, în special, asupra potenţialului pieţei forţei de muncă şi a gradului de ocupare a acesteia în viitor.
5.1.2 Avantajele comerţului electronic Comerţul electronic aduce o serie de avantaje incontestabile în raport cu formele tradiţionale de comerţ, ceea ce explică, în bună măsură, succesul şi interesul de care se bucură încă de la apariţie. Din perspectiva cumpărătorului, avantajele sunt legate de:
• timp: cumpărătorul poate vizita mai multe magazine virtuale într-un timp foarte scurt (mult mai scurt decât timpul pe care îl implică prezenţa fizică a unei persoane într-un magazin real);
• disponibilitatea: magazinele virtuale sunt disponibile aproape 24 de ore din 24, 365 de zile pe an.
• internaţionalizarea: se pot face cumpărături din magazine aflate dincolo de graniţele ţării de origine a cumpărătorului•. Mai mult, cumpărătorul poate face cumpărături când se află în deplasare şi solicita ca acestea să fie livrate la adresa de domiciliu. sau la o altă adresă••.
• există restricţii impuse de proprietarii magazinelor pentru ţări considerate nesigure, printre care şi România •• se adaugă taxele de transport care, uneori, pot depăşi valoare bunurilor cumpărate.
77
• libertatea de a alege: datorită numărului mare de magazine pe care clientul le poate vizita, acesta va avea posibilitatea de a alege un produs în funcţie de un număr mult mai mare de opţiuni (preţ, condiţii garanţie, culoare, etc.);
Pentru companii, comerţul electronic aduce următoarele avantaje:
• creşterea semnificativă a vitezei de comunicare, în special pentru comunicaţiile internaţionale: mai multe companii pot stabili o platformă de colaborare, prin intermediul căreia să poată să conceapă şi să dezvolte diverse produse împreună; comunicarea prin telefon sau fax ar însemna o încetinire drastică a acestor procese de concepţie sau dezvoltare;
• reducerea unor costuri: de exemplu, utilizând poşta electronică se reduc costurile cu poşta sau mesageria tradiţionale, dar şi costurile referitoare la mişcarea hârtiilor (circa 7% din cheltuielile făcute cu comerţul tradiţional se datorează mişcării hârtiilor12);
• întărirea relaţiilor cu furnizorii şi clienţii: printr-un website clienţii companiei sunt puşi la curent cu ultimele produse apărute, li se oferă suport tehnic pentru produsele cumpărate, putând chiar să ofere sugestii pentru eventuale îmbunătăţiri ale produselor, serviciilor etc.; pe unele site-uri cumpărătorii pot personaliza produsul pe care vor sa îl cumpere (culori, materiale, dotări, etc.); furnizorilor li se poate oferi în cadrul acestui site un domeniu special în care îşi pot prezenta şi ei la rândul lor ultimele noutăţi;
• existenţa unei căi rapide şi comode de furnizare a informaţiilor despre companie: prin intermediul unor site-uri Web, a intraneturilor şi a extraneturilor;
• canale alternative de vânzare: desfăşurarea afacerilor prin intermediul unui astfel de site.
Ca orice noutate, comerţul electronic întâmpină şi câteva bariere în calea acceptării şi adoptării sale pe scară largă:
• securitatea: Internetul a fost conceput ca un mediu deschis, dar nu neapărat şi sigur, protocolului TCP/IP (care stă la baza comunicaţiei pe Internet, deci şi a comerţului electronic) lipsindu-i servicii de securitate de bază. Pentru asigurarea nivelului de securitate cerut de comerţul prin Internet protocoalele de comunicaţie au apelat la criptare, care permite atât autentificarea, cât mai ales siguranţa transmisiei informaţiilor;
• acceptarea noilor modalităţi de plată (bani electronici / digitali): problema majoră care se pune este cea a caracterului privat în care se cheltuiesc banii în mod normal. Este problema urmăririi tranzacţiilor. Un sistem electronic care realizează înregistrarea tuturor tranzacţiilor care se fac în ciberspatiu prezintă dezavantajul că tot ceea ce faci, este înregistrat;
• existenţa unei infrastructuri de telecomunicaţii adecvate: pe măsură ce tehnologia avansează, apar noi metode de comunicaţie (telefonia mobilă, reţelele wireless);
• costurile investiţiei: de exemplu, un comerciant care vrea să ofere un magazin pe Internet, va face următoarele investiţii: servere (calculatoare puternice care să poată evolua odată cu creşterea volumului tranzacţiilor), tehnologie de comunicaţii (care să poată creşte odată cu creşterea afacerii), software de comerţ electronic precum şi tehnologii care să asigure securitatea, de exemplu firewallurile;
• cadrul legislativ şi normativ: se referă la aspectele legate de: cadrul fiscal, drepturile asupra proprietăţii intelectuale, protecţia datelor consumatorului;
12 Vasile Baltac. Comerţ Electronic, http://www.softnet.ro/library/files/papers/Introducere_in_Comert_electronic.pdf
78
• aspecte lingvistice şi culturale: comerţul electronic s-a dezvoltat în principal în ţările avansate tehnologic (SUA, Canada, Anglia, Franţa, Germania, ca să dăm numai câteva exemple). Ca urmare accesul la ele este condiţionat de cunoaşterea limbilor în care website-urile au fost create. Publicarea unui website în mai multe limbi necesită un efort financiar şi tehnic sporit, de aceea, în general, numărul acestora nu depăşeşte două sau trei limbi.
5.1.3 Forme de comerţ electronic Pe piaţa comerţului electronic participă două categorii de jucători: cumpărătorii şi vânzătorii. În această viziune nu are importanţă dacă cumpărătorul este consumatorul final, un intermediar, sau o organizaţie. Între cele două categorii se interpune piaţa electronică care oferă următoarele servicii: căutare, valorificare, logistică, plată, autentificare13, figura 1.
Figura 53 Piaţa electronică şi jucătorii ei
Între reprezentanţii celor două categorii de jucători se stabilesc relaţii ce pot fi reprezentate ca în figura 2.
Figura 54 Relaţiile de afaceri pe piaţa electronică
Din perspectiva acestor relaţii putem desprinde următoarea clasificare:
- Business-to-Business (B2B sau BTB) cuprinde toate tranzacţiile ce se efectuează între doi sau mai mulţi parteneri de afaceri. Aceste tranzacţii se bazează, de obicei, pe sisteme extranet, ceea ce înseamnă că partenerii de afaceri acţionează pe Internet prin utilizarea de nume si parole pentru paginile de web proprii. În termeni practici, în aceasta categorie de comerţ electronic poate fi orice firmă care utilizează Internetul pentru a comanda de la furnizori, pentru a primi facturi şi a efectua plăţi. Începând cu luna decembrie 2006, achiziţiile publice în România se fac prin Sistemul Electronic de Achiziţii Publice (SEAP) accesibil pe web la adresa http://www.e-licitatii.ro. Pentru utilizarea sistemului,
13 Daniel A. Mernasce, Virgilio A. F. Almeida. Scaling for E-Busines.Technologies, Models, Performance and Capacity Planning. Ed. Prentice Hall, 2000
79
atât ofertanţii cât şi autorităţile contractante trebuie să dispună de certificate digitale eliberate de operatorul sistemului, Inspectoratul General pentru Comunicaţii şi Tehnologia Informaţiei (IGCTI). Sistemul oferă o mare transparenţă a actului de achiziţie, reducându-se posibilităţile de fraudare, de încălcare a legii, în general.
- Business-to-Consumer (B2C sau BTC) se referă la relaţiile dintre comerciant şi consumatorul final, fiind considerat comerţ electronic cu amănuntul. Această categorie s-a extins foarte mult datorita World Wide Web :Există acum mall-uri prezente pe Internet, care oferă toate tipurile de bunuri de consum, de la prăjituri sau vinuri, la calculatoare şi automobile.
- Business-to-Administration (B2A sau BTA) acoperă toate tranzacţiile dintre firme şi autoritari administrative locale sau centrale. Spre exemplu, în Statele Unite ale Americii, licitaţiile publice lansate de guvern sunt publicate pe Internet iar firmele pot răspunde pe cale electronica. În momentul de faţă, aceasta categorie de comerţ electronic este intr-o fază de dezvoltare primară, dar se aşteaptă o extindere rapidă, mai ales in contextul în care guvernele şi alte autorităţile folosesc propriile metode de promovare a comerţului electronic. Aceasta categorie de e-commerce ar putea, în viitor, să fie utilizată şi pentru plata TVA sau a impozitelor firmelor. În România s-a implementat, experimental, sistemul de plată a taxelor şi impozitelor locale, eTax. Baza legală a sistemului o reprezintă:
• OG 24/2002 privind încasarea prin mijloace electronice a impozitelor şi taxelor locale
• Legea nr. 291/2002 privind aprobarea Ordonanţei Guvernului nr. 24/2002 privind încasarea prin mijloace electronice a impozitelor şi taxelor locale
• HG 181/2002 privind Normele de aplicare pentru Ordonanta nr.24/2002 privind încasarea prin mijloace electronice a impozitelor si taxelor locale.
- Consumer-to-Consumer (C2C) este reprezentat de licitaţiile bazate pe web. Se pot negocia, prin acest sistem, preţurile unor categorii largi de bunuri, de la obiecte de artă la aparatură electronică sau cărţi. Cel mai cunoscut portal de licitaţii electronice este, probabil, eBay (http://www.ebay.com). Există şi în România câteva website-uri cu acest profil, http://www.okazii.ro/, http://www.licitatii-virtuale.ro/ .
- Business-to-Employee (B2E) se referă la tranzacţiile din interiorul unei firme, destinate personalului angajat al firmei şi efectuate prin sistemul intranet propriu.
- Consumer-to-Administration este o categorie care, deşi nu a apărut încă, este de aşteptat ca guvernele sa o lanseze, mai ales în domeniul plăţilor ajutoarelor sociale sau a compensaţiilor în urma calculaţiilor de venit global.
Fiecare dintre tipurile de comerţ electronic enumerate are propriul să model şi sistem de tranzacţii, care îl diferenţiază de celelalte. Există, însă, un model de referinţă care circumscrie toate modelele particulare, aşa cum vom vedea în secţiunea următoare.
Figura 55 Lanţul de valorificare în afacerile electronice
80
De foarte multe ori diversele tipuri de tranzacţii interferează, întregul lanţ de valorificare fiind compus din tipuri diferite de tranzacţii. Relaţia dintre B2B şi B2C, în scopul întregirii lanţului de valorificare, este arătată în figura 3.
5.1.4 Modelul de referinţă pentru afacerile electronice Modelul de referinţă al afacerii electronice, reprezentat în figura 4, creează cadrul pentru abordarea cantitativă a problemei şi defineşte, conceptual, activităţile din e-Business în vederea identificării oportunităţilor de îmbunătăţire. Modelul de referinţă constă în patru nivele grupate în două blocuri principale. Blocul superior se concentrează asupra naturii afacerii şi proceselor care asigură serviciile folosite de website. Blocul inferior se concentrează asupra modului în care clienţii interacţionează cu website-ul şi cererile pe care le plasează folosind resursele oferite de infrastructură. Fiecare nivel al modelului de referinţă este asociat cu două mari clase, de descriptori şi de metrică (sistem de măsură), folosite pentru caracterizarea cantitativă a nivelului.
Figura 56 Modelul de referinţă al afacerii electronice
Metrica externă şi descriptorii acoperă natura afacerii şi sunt vizibile managementului şi clienţilor. Sunt folosite pentru a menţine performanţele proceselor de afaceri. De exemplu, se poate utiliza o metrică pentru afacerea electronică care să reflecte, în acelaşi timp, comportamentul magazinului on-line şi al clienţilor. O asemenea metrică este rata încasărilor, măsurată în unitate monetară/sec, generată de finalizarea tranzacţiilor on-line. Altă metrică externă ar putea fi disponibilitatea, pagini vizitate/zi sau vizitatori unici/zi. Descriptorii externi includ informaţii ca numărul de clienţi înregistraţi, numărul de clienţi potenţiali, numărul maxim de clienţi din magazin, numărul articolelor, costul operaţional estimat şi serviciile disponibile clienţilor. Descriptorii şi metrica internă caracterizează infrastructura site-ului şi modul în care serviciile şi resursele sunt utilizate de clienţi. Metrica internă este orientată spre măsurarea performanţelor aplicaţiilor şi a infrastructurii tehnologiei informaţiei. Exemple ale acestei arhitecturi sunt: numărul de cereri HTTP/sec., tranzacţii ale bazei de date/sec., timp de răspuns al serverului, utilizarea discurilor şi a reţelei. Descriptorii interni includ informaţii despre aplicaţii şi arhitectură precum: structura de navigare, practici înregistrate în modul de navigare al clienţilor, caracteristici ale componentelor care dau consistenţă site-ului.
5.1.5 Modele de afaceri şi funcţionale Un model de afaceri poate fi definit ca o arhitectură pentru un produs, serviciu sau flux de informaţii, incluzând descrierea participanţilor la afacere, rolul lor şi sursele de venituri. De exemplu, unul din cele mai populare modele producătoare de venit adoptate de companii este: i)
81
încasarea de taxe pentru reclamă, ii) vânzarea de bunuri şi servicii, iii) vânzarea de conţinut digital şi iv) taxarea procesării tranzacţiilor care apar între două părţi pe Web.
Există câteva modele de comerţ electronic, aşa cum se arată în continuare:
• Vânzare cu amănuntul online (online retailing). Magazinele electronice folosesc web-ul pentru a vinde clienţilor bunuri materiale precum cărţi, haine, calculatoare, etc. clienţilor le este pus la dispoziţie un complicat catalog electronic de produse, care include imagini, detalii despre produse, preţuri, mărimi, etc.
• Licitaţii online (online auctions). Website-urile de licitaţiile electronice oferă o varietate de articole de la antichităţi la aparatură electronică, de la articole de sport la bilete de avion şi calculatoare. In forma tradiţională vânzătorul şi cumpărătorul au acces la licitaţie printr-un intermediar (auctioneer), iar în cazul licitaţiei electronice printr-un website specializat. Sunt foarte populare pentru că permit achiziţionarea unor produse deosebite la costuri scăzute faţă de cele di magazine.
• Portaluri, sunt adevărate porţi către website-uri cu aceeaşi temă cu cea a portalului (de aceea se mai numesc portaluri de conţinut). Pentru a atrage trafic, portalurile adăugă valoare serviciilor furnizate utilizatorilor, cum ar fi o interfaţă web consistentă, poziţionarea favorizată a link-urilor şi informaţii oportune.
• Distribuţie. Anumite site-uri B2B furnizează componente şi accesorii pentru producţie. De exemplu, pe piaţa de componente electronice, distribuitorii online oferă produse ca semiconductoare, conectori, componente pentru computere şi periferice, dar şi accesorii pentru producţie (maşini de lipit, aparate de măsură, testere, etc).
• Servicii. Multe companii folosesc modelul B2B pentru a vinde servicii. Sunt foarte cunoscute serviciile online de rezervări turistice, de călătorie cu avionul sau vaporul, asigurări, etc.
• Publicaţii. Ziarele, revistele şi enciclopediile sunt exemple de publicaţii online. Unele edituri încasează taxe pentru consultarea conţinutului (vezi Academia Caţavencu http://www.catavencu.ro sau Ziarul Financiar http://www.zf.ro), altele oferă acces gratuit dar însoţit de reclame şi publicitate făcută altor firme, contra cost (ziarele Gândul, http://www.gandul.info, AutoNews, http://www.autonews.ro, etc.)
Alegerea modelului potrivit se poate face după clarificarea mai multor aspecte printre care: i) care este scopul şi misiunea afacerii, ii) ce ţinteşte afacerea, iii) care sunt obiectivele măsurabile, iv) care este dimensiunea pieţei, v) piaţa electronică este deschisă sau restricţionată anumitor grupuri, vi) care este modelul pentru venituri?
5.2 Arhitectura unui sistem de comerţ electronic Arhitectura unui sistem de comerţ electronic acoperă componentele care alcătuiesc sistemul, modul în care ele se structurează şi legăturile care se stabilesc între acestea. Există, şi aici, mai multe arhitecturi posibile, unele implementate, altele aflate doar în fază de concepţie. Oricare ar fi, însă, arhitectura aleasă, ea trebuie să răspundă câtorva cerinţe de bază:
a) performanţa
b) disponibilitate şi mentenabilitate
c) scalabilitate
Performanţa se referă la modul în care sistemul răspunde nevoilor clienţilor şi solicitărilor la care este supus. Lipsa performanţei duce cel mai rapid la pierderea clienţilor; incapacitatea serverului web de a face fată unui număr mare de cereri care pot apărea, de exemplu pe durata unei promoţii, va conduce la afişarea unui mesaj de eroare clienţilor care accesează magazinul
82
virtual. Performanţa este afectată şi de factori externi, cum ar fi banda limitată pe care ISP o oferă clienţilor. În ciuda faptului că banda disponibilă a serverului de web este arhisuficientă pentru traficul înregistrat, că aplicaţiile sunt optimizate şi serverul de baze de date este foarte rapid, la clienţii din reţeaua Internet lucrurile ar putea să pară diferit, tocmai vitezei mici a conexiunii lor.
Disponibilitatea şi a mentenabilitatea reprezintă măsura în care magazinul este disponibil clienţilor şi în care el poate fi făcut disponibil dacă apar probleme. Lipsa disponibilităţii duce la pierderi masive de venituri pentru magazinul virtual, în aceeaşi măsură în care un magazin real este găsit frecvent cu uşile închise. Se obişnuieşte să se spună că un magazin virtual asigură accesul clienţilor 24 de ore din 24, 365 de zile pe an. În realitate lucrurile nu stau chiar aşa; disponibilitatea se măsoară în procente, de exemplu 99,9% sau 99,99%, reprezentând raportul dintre timpul cât serviciul este disponibil într-o anumită perioadă de timp. Astfel, un procent de 99,9% conduce, pentru un an calendaristic, la circa 8,8 ore de nefuncţionare, ceea ce poate fi inacceptabil. De aceea sistemele trebuie să asigure o disponibilitate mai mare, uzual peste de 99,99%. Mentenabilitatea este strâns legată de disponibilitate. Cu cât mentenabilitatea este mai ridicată, cu atât timpul de repunere în serviciu a magazinului este mai scurt şi astfel, disponibilitatea mai ridicată.
Scalabilitatea, se referă la măsura în care sistemul asigură serviciile adecvate atunci când apar suprasolicitări. Supraîncărcarea site-ului poate apărea, de exemplu, în cazul publicaţiilor electronice, în urma unui eveniment major, când foarte multă lume, peste numărul obişnuit, accesează paginile cu informaţii. Un site poate creşte în două moduri, pe verticală (scaling up) prin înlocuirea serverului cu altul, de capacitate mai mare, sau pe orizontală (scaling out) prin adăugarea de servere noi.
Figura 5 ilustrează o arhitectură standard N-Tier• în contextul interacţiunii cu reţeaua Internet.
Figura 57 Arhitectura N-Tier a comerţului electronic
Arhitectura cuprinde elementele din dreapta liniei punctate: server Web, server de aplicaţii şi server de baze de date. Comerciantul trebuie, de asemenea, să dispună de un sistem de distribuţie a mărfurilor către clienţi, fie că acesta este propriu fie că este a unui terţ.
• Serverul Web este o combinaţie de platformă hardware şi software. Programul server, cunoscut şi sub numele de server HTTP, este programul care controlează fluxul de date de intrare şi ieşire pe un computer conectat la Internet sau Intranet. El ascultă cererile care vin din reţeaua Internet, stabileşte conexiunile dintre el şi clienţii din reţea şi furnizează documentele solicitate.
• Serverul de aplicaţii primeşte cererile clienţilor prin intermediul serverului web, le procesează conform logicii afacerii şi, după caz, poate interacţiona cu serverul de
• joc de cuvinte, citit entaiə: însemnă întreagă, completă
83
baze de date. Întotdeauna, însă, serverul de aplicaţii generează răspunsul pe care serverul web trebuie să îl returneze clientului. Aplicaţiile pot fi scrise în diverse limbaje de programare: Java, C++ ; ASP, PHP, etc.
• Serverul de baze de date este cel care păstrează datele cu privire la produsele sau serviciile oferite de comerciant. Informaţiile pot fi simplu text (cum ar fi informaţiile privitoare la preţ, caracteristici sau date calendaristice), imagini (pentru ilustrarea produselor) sau chiar sunet şi filme (mostre ale produselor multimedia comercializate). El primeşte cereri de la serverul de aplicaţii şi pe baza rezultatelor returnate serverul de aplicaţii construieşte, dinamic, documentele care vor fi trimise, sub formă de răspuns, clientului.
Arhitectura de bază discutată poate fi completată cu alte sisteme menite, de exemplu, să crească gradul de securitate, cum ar fi paravanele (fire-wall) interpuse între diversele niveluri ale arhitecturii.
5.3 Anatomia comerţului electronic
5.3.1 Aspecte generale privind asigurarea securităţii datelor în sistemele informatice economice. Securitatea informaţiilor, în orice domeniu de activitate, trebuie să fie o activitate continuă pentru a se putea face faţă noilor ameninţări la adresa securităţii în general şi a datelor în particular.
Sistemul informaţional economic este un ansamblu de resurse umane şi de capital investite într-o unitate economică în vederea colectării şi prelucrării datelor necesare producerii informaţiilor, care vor fi folosite la toate nivelurile decizionale ale conducerii şi controlului activităţii organizaţiei. Sistemul informatic reprezintă un ansamblu de elemente intercorelate funcţional, în scopul automatizării obţinerii informaţiilor necesare conducerii în procesul de fundamentare şi elaborare a deciziilor .
Securitatea datelor în sistemele informatice economice poate fi definită ca fiind ansamblul de măsuri luate la nivelul agentului economic necesare asigurării secretului informaţiei împotriva accesului neautorizat.
Obiective în asigurarea securităţii datelor. Securitatea calculatoarelor îşi propune să protejeze atât calculatorul, cât şi elementele asociate - clădirile, imprimantele, modem-urile, cablurile, precum şi suporturile de memorie, atât împotriva accesului neautorizate, cât şi altor ameninţări care pot să apară. Securitatea calculatoarelor poate fi definită ca fiind ansamblul de măsuri necesare asigurării secretului informaţiei împotriva accesului neautorizat. În principal se urmăreşte asigurarea securităţii informaţiei stocate sau transmise. Din această cauză, securitatea calculatoarelor este deseori numită securitatea informaţiei sau securitatea datelor.
Asigurarea securităţii datelor presupune realizarea a patru obiective:
1. Confidenţialitatea, uneori numită secretizare, îşi propune să interzică accesul neautorizat al persoanelor la informaţia care nu le este destinată. Confidenţialitatea reprezintă ţelul suprem al securităţii calculatoarelor. Pentru asigurarea confidenţialităţii trebuie ştiut care sunt informaţiile care trebuie protejate şi cine trebuie sau cine nu trebuie să aibă acces la ele. Aceasta presupune să existe mecanisme de protecţie a informaţiilor care sunt stocate în calculatoare şi care sunt transferate în reţea între calculatoare. În Internet, confidenţialitatea capătă noi dimensiuni sub forma unor măsuri de control al confidenţialităţii. Ţările dezvoltate ca Statele Unite, Canada, Australia, Japonia etc., au reglementat prin lege controlul confidenţialităţii.
84
2. Integritatea, uneori numită acurateţe, îşi propune ca datele stocate în calculator sau transmise prin reţea să nu poată fi alterate sau să nu poată fi modificate decât de persoane autorizate. Prin alterarea datelor se înţelege atât modificarea voit maliţioasă, cât şi distrugerea accidentală a acestora. În acest caz se impune să existe un plan de recuperare şi refacere a datelor (existenţa unei copii de siguranţă).
3. Disponibilitatea îşi propune ca datele stocate în calculatoare să poată să fie accesate de persoanele autorizate. Utilizatorii trebuie să aibă acces doar la datele care le sunt destinate. Se pot distinge aici două categorii de utilizatori, cu drepturi de acces diferite: administratorii de sistem şi utilizatorii generali, excepţie făcând anumite sisteme de operare care echipează calculatoarele desktop.
4. Nerepudierea, termen recent apărut în literatura de specialitate, îşi propune să confirme destinatarului unui mesaj electronic faptul că acest mesaj este scris şi trimis de persoana care pretinde că l-a trimis. În acest fel se asigură încrederea părţilor. Expeditorul nu poate să nege că nu a trimis el mesajul. Nerepudierea stă la baza semnăturilor digitale, asigurând autenticitatea acestora, în noua piaţă a comerţului electronic (E-Commerce).
5.3.2 Vulnerabilitatea datelor şi măsuri de contracarare. Vulnerabilitatea poate fi definită ca o slăbiciune în ceea ce priveşte procedurile de sistem, arhitectura sistemului, implementarea acestuia, controlul intern, precum şi alte cauze care pot fi exploatate pentru a trece de sistemele de securitate şi a avea acces neautorizat la informaţii. Orice calculator este vulnerabil la atacuri. Politica şi produsele de securitate ale firmei pot reduce probabilitatea ca un atac asupra calculatorului să aibă puţine şanse de reuşită.
Principalele vulnerabilităţi în sistemele de calcul sunt: fizice, naturale, hardware, software, medii de stocare, radiaţii, comunicaţii, umane.
Toate aceste vulnerabilităţi vor fi exploatate de persoane răuvoitoare. Referitor la scara vulnerabilităţilor putem să distingem trei mari categorii:
• vulnerabilităţi care permit refuzul serviciului (DoS - Denial of Service);
• vulnerabilităţi care permit utilizatorilor locali să-şi mărească privilegiile limitate, fără autorizare;
• vulnerabilităţi care permit utilizatorilor externi să acceseze reţeaua în mod neautorizat.
Vulnerabilităţile care permit refuzul serviciului fac parte din categoria C şi exploatează viciile (en. Holes) din sistemul de operare, mai precis viciile la nivelul funcţiilor de reţea. Aceste vicii sunt detectate uneori la timp şi acoperite de către producător prin programe -patch-uri.
Acest tip de atac permite ca unul sau mai mulţi indivizi să exploateze o particularitate a protocolului IP (Internet Protocol) prin care să interzică altor utilizatori accesul autorizat la informaţie. Atacul, cu pachete TCP SYN, presupune trimiterea către calculatorul-ţintă a unui număr foarte mare de cereri de conexiune (en. flooding), ducând în final la paralizarea procesului. În acest fel, dacă ţinta este un server, accesul la acesta e blocat şi serviciile asigurate de acesta sunt refuzate.
Vulnerabilităţile care permit utilizatorilor locali să-şi mărească privilegiile ocupă o poziţie medie, B, pe scara consecinţelor. Un utilizator local, adică un utilizator care are un cont şi o parolă pe un anume calculator, va putea, în sistemele de operare de tip UNIX, să-şi crească privilegiile până la cele de root.
Vulnerabilităţile care permit utilizatorilor externi să acceseze reţeaua în mod neautorizat fac parte din clasa A, pe scara consecinţelor. Aceste atacuri sunt cele mai periculoase şi mai distructive. Multe atacuri se bazează pe o slabă administrare a sistemului sau pe configurarea greşită a acestuia. Ca exemple se pot da următoarele cazuri:
85
• fişierul test.cgi, distribuit cu primele versiuni de ApacheWeb Server. Acesta conţinea o eroare care permitea intruşilor din exterior să citească conţinutul directorului CGI14.
• fişierul convert.bas a reprezentat o vulnerabilitate a serverelor HTTP de pe platformele Novell. Scriptul era scris în Basic şi permitea utilizatorilor de la distanţă să citească orice fişier sistem15.
• multiple vulnerabilităţi au fost descoperite la serverele IIS (versiunea 5.0, 5.1) de la Microsoft16.
Vulnerabilităţile din clasa A pot fi întâlnite şi la următoarele programe: FTP, Goopher, Telnet, NFS, ARP, Portmap, Finger. În concluzie, ameninţările la adresa securităţii se pot clasifica în trei categorii: naturale şi fizice, accidentale, intenţionate.
1. Ameninţările naturale şi fizice vin din partea fenomenelor naturale sau a altor elemente fizice care interacţionează cu calculatoarele. Se pot enunţa aici cutremurele, inundaţiile, furtunile, fulgerele, căderile de tensiune şi supratensiunile etc. Se poate acţiona în sensul minimizării efectelor ameninţărilor sau chiar al eliminării acestora. Se pot instala dispozitive de avertizare în caz de dezastre naturale sau dispozitive care să elimine efectul acestora.
2. Ameninţările cu caracter neintenţionat vin din partea oamenilor. Aceştia pot produce ameninţări şi dezastre asupra calculatoarelor din cauza neglijenţelor în manipularea diferitelor componente, insuficientei pregătiri profesionale, citirii insuficiente a documentaţilor etc.
3. Ameninţările intenţionate sunt şi cele mai frecvente. Aceste ameninţări pot fi categorisite în: interne; externe.
a. ameninţările interne vin din partea propriilor angajaţi. Aceştia au acces mai uşor la informaţie, având de trecut mai puţine bariere şi ştiind şi o parte din politica de securitate a firmei.
b. ameninţările externe vin din partea mai multor categorii, şi anume: agenţii de spionaj străine; terorişti şi organizaţii teroriste; criminali; raiders; hackeri şi crackeri.
Agenţiile de spionaj străine au tot interesul să intre în posesia de informaţii referitoare la noile tehnologii. Firmele producătoare de înaltă tehnologie sunt ţinta atacurilor care vin din partea acestora. Se impune ca aceste firme să folosească tehnologii şi programe de criptare foarte sofisticate pentru a proteja informaţiile.
5.3.3 Tehnologii de securizare a datelor şi administrarea acestora. Tehnologiile de restricţie sunt menite să limiteze accesul la informaţie. Din această categorie fac parte:
• Controlul accesului este un termen folosit pentru a defini un set de tehnologii de securitate care sunt proiectate pentru restricţionarea accesului. Aceasta presupune ca numai persoanele care au permisiunea vor putea folosi calculatorul şi avea acces la datele stocate. Termenul de control al accesului (acces control) defineşte un set de mecanisme de control implementate în sistemele de operare de către producători pentru restricţionarea accesului. De această facilitate beneficiază sistemele de operare Windows, UNIX, Linux etc.
• Identificarea şi autentificarea, folosindu-se de conturi şi parole, permit doar accesul utilizatorilor avizaţi la informaţie. Identificarea şi autentificarea poate fi făcută şi cu ajutorul cartelelor electronice (smart card) sau prin metode biometrice. Acestea presupun identificarea după amprentă, voce, irisul ochiului etc.
• Firewall-ul reprezintă un filtru hardware sau software care stopează un anumit trafic prestabilit din reţea şi permite trecerea altuia. Firewall-ul se interpune între reţeaua internă şi Internet şi filtrează pachetele care trec. De asemenea, firewall-ul poate fi folosit şi în interiorul propriei reţele pentru a separa subreţele cu nivele diferite de securitate.
• VPN-urile permit comunicarea sigură între două calculatoare aflate într-o reţea. O conexiune VPN se poate realiza atât în reţeaua locală, cât şi în Internet. VPN foloseşte tehnologii de criptare avansată a informaţiei care face ca aceasta să nu poată să fie modificată sau sustrasă fără ca acest lucru să fie detectat.
• Infrastructura cu chei publice (PKI) îşi propune să asigure securitatea în sisteme deschise, cum ar fi Internetul, şi să asigure încrederea între două persoane care nu s-au cunoscut niciodată. Într-o structură PKI completă, fiecare utilizator va fi complet identificat printr-o metodă garantată, iar fiecare mesaj pe care-l trimite sau aplicaţie pe care o lansează este transparent şi complet asociat cu utilizatorul.
• Secure Socket Layer (SSL) reprezintă un protocol Web securizat care permite criptarea şi autentificarea comunicaţiilor Web utilizând PKI pentru autentificarea serverelor şi a clienţilor. Lucrează foarte bine cu servere WWW. Este implementat în mai multe versiuni. Versiunea SSL2 este cea mai răspândită, iar versiunea SSL3 e cea mai sigură, dar este mai greu de implementat.
• Semnătură doar o dată (SSO) doreşte să debaraseze utilizatorul de mulţimea de conturi şi parole care trebuie introduse de fiecare dată când accesează şi reaccesează programe. Pentru aceasta utilizatorul trebuie să se autentifice o singură dată. Dezideratul este greu de realizat datorită varietăţii de sisteme. Deocamdată acest lucru se poate realiza în cadrul firmelor care au acelaşi tip de sisteme. Web-ul foloseşte un subset SSO numit Web SSO, funcţionarea fiind posibilă datorită faptului că serverele Web folosesc aceeaşi tehnologie.
Pe lângă tehnologiile de restricţionare, securitatea sistemelor trebuie administrată, monitorizată şi întreţinută. Pentru aceasta trebuie efectuate următoarele operaţii:
• administrarea;
• detectarea intruşilor;
• scanarea vulnerabilităţilor;
• controlul viruşilor.
Administrarea sistemelor de calcul presupune şi controlul şi întreţinerea modului de acces la acestea de către utilizatori. Un utilizator care foloseşte o parolă scurtă sau care este uşor de ghicit va face ca acel calculator să fie uşor de penetrat. Atunci când un angajat este concediat sau pleacă pur şi simplu din alte motive de la firma respectivă, trebuie schimbate denumirile utilizatorului şi parola.
Denumirea user-ului şi a parolei trebuie făcută cu foarte mare atenţie şi mare responsabilitate.
Sarcina este de competenţa persoanei însărcinate cu securitatea. Parolele vor conţine atât cifre, cât şi litere, pentru a face ghicirea lor cât mai grea, şi vor fi schimbate periodic. Divulgarea parolei altor persoane va fi sancţionat. administrativ.
Detectarea intruşilor trebuie făcută permanent. Pentru aceasta există programe care controlează traficul şi care ţin jurnale de acces (log). Verificarea se va face la nivelul fiecărui calculator din
87
firmă. Trebuie făcută aici distincţie între încercările de intruziune din afară şi cele din interior. De asemenea, trebuie separate încercările de acces neautorizat din reţeaua internă de accesul neautorizat la un calculator lăsat nesupravegheat de către utilizator.
Scanarea vulnerabilităţii, care este de fapt o analiză a vulnerabilităţii, presupune investigarea configuraţiei la nivel intern pentru detectarea eventualelor găuri de securitate. Acesta se face atât la nivel hardware, cât şi software. Folosirea unui scanner de parole va avea ca efect aflarea parolei în câteva secunde, indiferent de lungimea acesteia.
Controlul viruşilor se va face pentru a detecta şi elimina programele maliţioase din sistemele de calcul. Acestea se pot repede împrăştia la toate calculatoarele din sistem şi pot paraliza funcţionarea acestora sau pot produce distrugeri ale informaţiei. Se impune obligatoriu să fie instalate programe antivirus, actualizarea semnăturilor de viruşi să se facă cât mai des, iar scanarea pentru detectarea viruşilor să se facă de oricâte ori este nevoie.
În concluzie:
1. Asigurarea securităţii datelor în cadrul firmelor este strâns legată de posibilităţile financiare ale firmei în a investi în asigurarea securităţii. Firmele mari şi medii, care au şi câştiguri pe măsură, fac investiţii în securitate. Firmele mici nu fac astfel de investiţii decât foarte rar şi insuficient pentru a se asigura o securitate minimă.
2. Asigurarea securităţii datelor în cadrul firmelor depinde în mare măsură de cât de conştientă este conducerea firmei de faptul că trebuie asigurată o minimă securitate. Conducerea firmelor mari este asigurată de către un consiliu de administraţie (board), unde decizia de a se investi în securitate este luată de un grup de oameni care ştiu ce înseamnă riscurile. Acesta va trebui să fie conştient că trebuie asigurată securitatea datelor şi să dispună alocarea de resurse financiare îndeplinirii acestui deziderat. Unii manageri din această categorie văd asigurarea securităţii datelor ca un fel de gaură neagră, unde banii se duc şi nu aduc nici un beneficiu. Un rol important în conştientizarea asigurării securităţii datelor îl au, în acest caz, consultanţii pe probleme de securitate sau membrii echipei IT&C (dacă există) din firmă.
3. În cadrul firmelor mari există personal specializat cu asigurarea securităţii datelor. Acesta va implementa politica de securitate a firmei şi va testa periodic calculatoarele din firmă pentru descoperirea golurilor de securitate.
4. În cazurile în care firma, indiferent de mărime, nu are personal specializat cu studiul, implementarea şi gestionarea măsurilor de securitate, se poate face apel la firme specializate care să implementeze şi să gestioneze serviciile de securitate. Se poate opta şi pentru soluţia mixtă în care studiul şi implementarea să se facă de către o firmă specializată, iar gestionarea acestora să se facă de către beneficiar, urmând ca periodic să se facă testări de către firma specializată.
5. Programele aplicative la nivelul firmelor mari şi medii sunt elaborate luându-se în considerare şi securitatea datelor. Firmele mici folosesc ori programe piratate, ori aplicaţii create de nespecialişti care nu numai că nu au elemente de securitate încorporate, dar, în anumite cazuri, funcţionează şi defectuos, alterând datele.
6. Personalul angajat al unei firme nu are întotdeauna pregătirea necesară utilizării calculatorului. Firmele mari îşi permit să angajeze personal cu calificare înaltă, în timp ce firmele mici nu-şi pot permite acest lucru. Firmele mari fac eforturi pentru pregătirea angajaţilor, în timp ce firmele mici fac eforturi reduse sau deloc în ceea ce priveşte pregătirea personalului. În noua structură a societăţii informaţiei şi comunicaţiilor activităţile comerciale se împletesc cu tehnologia, iar structurile tradiţionale comerciale devin mai puţin importante. In lucrarea menţionată se subliniază următorul lucru: creşterea accelerată a comerţului mondial şi obţinerea unor beneficii substanţiale e
88
posibilă prin utilizarea tehnologiei informaţiei şi comunicaţiilor, care trebuie să conveargă cu reducerea constrângerilor de natură juridică, procedurală, fizică, care pot să îngreuneze acest proces.
Una dintre noţiunile nou apărute este promovarea produselor şi serviciilor, prin utilizarea celor mai potrivite tehnici de marketing cu ajutorul tehnologiilor informaţiilor şi comunicaţiilor numita cybermarketing. Astfel, în viziunea ITC, mixul de cybermarketing are drept componente: produsul; utilizatorii ţintă; preţ/plată; publicitate/media; logistică.
Aşadar, cei interesaţi de noua abordare sunt cei direct implicaţi în comerţul electronic, ei necesitând asistenţă şi pregătire de specialitate la diferite nivele:
• exportatori: atât manageri, cât şi operatori (IMM-uri şi companii mari);
• servicii implicate în activitatea comercială: transportatori, instituţii financiare şi de
asigurări, avocaţi, consultanţi marketing, agenţii de publicitate;
• instituţii de facilitare a comerţului, organizaţii de promovare ale exporturilor, asociaţii, puncte comerciale Trade Points, Camere de Comerţ,
• furnizorii de servicii Internet;
• instituţii guvernamentale;
• centre de perfecţionare şi scoli de afaceri, specializate în marketingul internaţional.
5.3.4 Criptografia Criptografia17 este un sistem potrivit căruia datele sunt modificate prin intermediul unui algoritm, astfel încât să nu mai poată fi citite decât de către posesorul unei chei de decriptare, adică un alt algoritm care reface textul iniţial.
În criptografie criptarea este procesul de ascundere a informaţiei pentru a o face indescifrabilă pentru cei fără cunoştinţe speciale în domeniu. Criptarea a fost folosită de secole, dar numai organizaţiile şi persoanele cu nevoi speciale de secretizare au folosit-o. La mijlocul anilor 1970, au apărut metode puternice de criptare din nevoia de a păstra secretele agenţiilor guvernamentale americane, dar astăzi ele sunt folosite pentru protecţia sistemelor larg răspândite precum comerţul electronic, reţelele de telefonie mobilă şi automatele bancare.
Criptarea poate fi folosită pentru a asigura secretizarea, dar mai e nevoie de alte tehnici pentru a face comunicarea sigură, în mod special pentru a verifica integritatea şi autenticitatea mesajelor. O alta chestiune ce trebuie luată în calcul este protecţia împotriva analizei traficului.
Sistemele criptografice au patru componente:
• textul de bază - textul înainte de criptare, care poate fi citit fără nici o modificare;
• textul criptat - textul de bază, după aplicarea algoritmului de criptare;
• algoritmul de criptare - un program, ce cuprinde o suită de operaţii, care modifică textul iniţial, astfel încât nu mai poate fi citit în forma rezultată;
• cheia - un algoritm ce preia textul criptat şi îl readuce la forma iniţială a textului de bază, care poate fi astfel citită.
În ceea ce priveşte algoritmul de criptare, în prezent sunt cunoscuţi folosiţi următorii: RSA, DES/3DES, Blowfish, IDEA, SEAL şi RC4. RSA este intens folosit în comerţul electronic în timp ce RC4 este cunoscut pentru lungimea foarte mare a cheilor de criptare, până la 2048 biţi.
17 Bob, C.A. – Comerţ eletronic, Editura Dacia Europa Nova, Lugoj, 2001, p.168-180
89
Teoretic, un fişier criptat nu poate fi accesat decât de posesorul cheii. În practică, însă, nu s-a descoperit încă sistemul de criptare perfect, putând fi folosite astfel, câteva metode pentru decriptarea ilegală a datelor18:
• criptanaliza - constă în încercarea de a reconstitui textul iniţial plecând de la fragmente rămase necriptate în cadrul textului criptat. De aceea, rezultatul unui algoritm bun de criptare trebuie să nu poată fi deosebit de zgomotul aleator;
• ghicirea cheii - se face cu ajutorul aşa numitelor "atacuri cu forţa brută" ce constau în încercarea succesivă a tuturor combinaţiilor posibile pe care le poate lua cheia, până la găsirea cheii potrivite. Se realizează cu ajutorul unor programe pentru a exploata posibilitatea calculatoarelor de a executa mii sau zeci de mii de operaţii pe secundă. Astfel, succesul acestei operaţii depinde în mod direct de lungimea cheii (o cheie pe 16 biţi prezintă 65.536 de posibilităţi, pe care calculatorul le poate epuiza în câteva secunde, o cheie pe 40 de biţi - o mie de miliarde de posibilităţi, 128 de biţi 10 la puterea 38 posibilităţi, mai mult decât toate moleculele de apă din Oceanul Planetar). Teoretic, chiar şi o cheie pe 128 de biţi poate fi găsită, însă costurile pe care le implică fac nerentabilă o astfel de operaţie;
• metode de ocolire a sistemului de criptare - găsirea fişierului necriptat, descoperirea de scăpări în programul de criptare, dar şi o metodă folosită de foarte multe ori cu un succes neaşteptat de mare: ingineria socială ("social engineering") adică păcălirea persoanelor care deţin cheia pentru obţinerea acesteia.
Sisteme de criptare Metodele moderne de criptare pot fi împărţite în algoritmi cu chei simetrice (criptografia cu cheie privata) şi algoritmi cu chei asimetrice (criptografia cu cheie publică).
În continuare sunt prezentate sintetic cele două sisteme de criptare.
A. Criptografia simetrică (cu cheie secretă)
În criptografia simetrică, este folosită aceeaşi cheie şi la criptare, şi la decriptare, cheie pe care o posedă numai corespondenţii. Aceasta înseamnă că între persoanele care comunică există un acord prin care s-a stabilit o cheie unică, pe care expeditorul o foloseşte la criptarea textului iniţial, iar destinatarul o foloseşte la decriptarea mesajului recepţionat. Pe Internet însă se pune problema comunicării între persoane care nu s-au întâlnit niciodată, deci nu se pot pune de acord în prealabil asupra cheii. Aceasta metodă poate fi folosită în grupuri restrânse de utilizatori. Odată cu creşterea numărului de utilizatori, păstrarea secretului cheii devine imposibil, iar odată descoperită, poate fi utilizată la decriptarea oricărui mesaj care a folosit-o. Exemple de algoritmi cu criptare simetrică sunt: DES (Data Encryption Standard), Triple DES, IDEA (International Data Encryption Algorithm).
B. Criptografia cu cheie publică (asimetrică)
În algoritmul cu cheie asimetrică (exemplu RSA), există două chei distincte: cheia publică şi cheia privată. Cheia publică este distribuită (publicată) şi dă posibilitatea oricărui transmiţător să realizeze criptarea. Cheia privată este păstrată secretă de către primitor şi îi permite numai lui să realizeze decriptarea. Aceste perechi de chei, publică şi privată, sunt generate împreună şi au proprietatea remarcabilă că nici una nu poate fi dedusă din cealaltă; cine deţine cheia publică nu poate deduce cheia privată şi reciproc.
Aşadar fiecare participant la criptare are o pereche de chei personale unice:
• cheia publică, distribuită oricui o doreşte;
18 Roşca I. – Comerţul electronic, Editura Economică, Bucureşti, 2004
90
• cheia privată, pe care nu o cunoaşte decât utilizatorul respectiv.
Mesajele criptate cu cheia privată pot fi decriptate numai cu cheia publică şi invers. Pentru a trimite cuiva un mesaj, trebuie găsită cheia publică a persoanei respective şi criptat mesajul. Mesajul astfel criptat nu va putea fi decriptat decât cu ajutorul cheii private a destinatarului.
Dimensiunea cheii şi vulnerabilitatea În atacurile matematice pure (cum ar fi exploatarea slăbiciunilor algoritmului sau a altor informaţii care pot ajuta la spargerea codului) contează, în principal, trei factori:
• Progresele în matematică, care permit noi atacuri sau descoperirea şi exploatarea unor slăbiciuni.
• Puterea de calcul disponibilă, cum ar fi puterea calculatorului utilizat în rezolvarea problemei
• Mărimea (lungimea) cheii folosite pentru criptarea unui mesaj. Cu cât lungimea cheii creşte, cu atât creşte complexitatea căutării brute, până se ajunge la imposibilitatea spargerii directe a criptării. În prezent se folosesc curent chei cu lungimea de la 40 la 128 biţi, cea din urmă fiind considerată suficientă pentru a împiedica decriptarea într-un timp rezonabil.
Rezumatul textului În criptografie se foloseşte frecvent rezumatul unui text (message digest), adesea pentru a verifica integritatea textului. Rezumatul textului este un şir de caractere, rezultat din aplicarea unui algoritm sau funcţii hash textului original. Deşi sunt cunoscute mai multe funcţii hash, cel mai frecvent sunt folosite SHA-1, MD5 şi RIPEMD-160. Fiecare funcţie hash produce un rezumat de lungime fixă, indiferent de lungimea textului căruia îi este aplicată. Rezumatul trebuie să aibă următoarele proprietăţi:
a) Dat fiind un rezumat trebuie să fie foarte greu de găsit un alt text, diferit de primul, care să aibă acelaşi rezumat,
b) Trebuie să fie foarte dificil a găsi două mesaje diferite care să aibă acelaşi rezumat.
Aceste proprietăţi sunt folosite pentru a verifica integritatea unui mesaj: dacă mesajul a fost modificat atunci se modifică şi valoarea rezumatului. Necongruenţa dintre rezumatul mesajului original şi cel al mesajului recepţionat indică alterarea mesajului, alterare care poate fi accidentală, urmare a unei erori de transmitere, sau intenţionată.
Iată, în figura de mai jos, rezultatul aplicării funcţiei MD5 pe trei texte diferite:
Figura 58 Rezumatul MD5 a trei texte diferite
Altă aplicaţie utilă a funcţiilor hash este semnătura digitală prin care se probează că mesajul aparţine unui anume expeditor, aşa cum vom vedea mai departe.
91
Semnătura digitală Semnătura digitală identifică semnatarul şi asigură integritatea datelor semnate. Figura 7 descrie, pas cu pas, procesul creării datelor semnate digital. Pentru a crea o semnătură digitală expeditorul are nevoie de cheia lui privată. Trebuie reţinut că doar rezumatul textului transmis (message digest) este criptat cu cheia privată a semnatarului19. Acest lucru este justificat de faptul că mesajele pot avea dimensiuni foarte mari iar criptarea cu cheia publică poate fi foarte lentă. În plus, semnând rezumatul textului în locul textului propriu-zis asigurăm şi integritatea datelor.
Figura 59 Algoritmul de obţinere a semnăturii digitale
Receptorul nu are nevoie de nici un element de informaţie secret pentru a verifica semnătura digitală. Figura 8 arată, pas cu pas, cum se realizează acest lucru.
În Legea nr. 455 din 18 iulie 2001 privind semnătura electronică sunt definite două tipuri de semnături electronice, simplă şi extinsă. Semnătura electronică simplă reprezintă, în înţelesul legii, date in formă electronică, care sunt ataşate sau logic asociate cu alte date in formă electronică şi care servesc ca metodă de identificare.
Figura 60 Algoritmul de verificare a semnăturii digitale
Semnătura electronică extinsă reprezintă semnătură electronică care îndeplineşte cumulativ următoarele condiţii:
- este legată în mod unic de semnatar
- asigură identificarea semnatarului
- este creată prin mijloace controlate exclusiv de semnatar
- este legata de datele în formă electronică, la care se raportează în aşa fel încât orice modificare ulterioară a acestora este identificabilă.
NUMAI semnătura electronică extinsă are valoare probatorie în justiţie.
Legea nr.455/2001 privind semnătura electronică, în vigoare la data de 31 iulie 2001, transpune integral prevederile Directivei nr. 99/93/CE. Normelor tehnice şi metodologice pentru aplicarea Legii nr. 455/2001 (HG nr. 1259/2001, M.O. nr. 847 din data de 28 decembrie 2001), completează cadrul general de reglementare a serviciilor societăţii informaţionale în România.
19 Mohan Atreya, Digital Signatures, Osborne/McGraw-Hill, 2002
92
Semnătura electronică (sau digitală) este pentru documentele electronice ceea ce este o semnătura olografă pentru documentele tipărite. Prin ea se demonstrează că o anumită persoană a scris sau a fost de acord cu documentul căruia i s-a ataşat semnătura. O semnătură digitală furnizează un grad mult mai mare de securizare decât semnătura olografă. Destinatarul mesajului semnat digital poate verifica atât faptul ca mesajul original aparţine persoanei a cărei semnătură a fost ataşata cât şi faptul ca mesajul n-a fost alterat, intenţionat sau accidental, de când a fost semnat. Mai mult, semnătura digitală nu poate fi negată; semnatarul documentului nu se poate disculpa mai târziu invocând faptul că a fost falsificată (se spune că semnătura digitală asigură non-repudierea).
Cu alte cuvinte, semnăturile digitale permit autentificarea mesajelor digitale, asigurând destinatarul de identitatea expeditorului şi de integritatea mesajului
Semnătura electronică NU este semnătură scanată, iconiţă, poză, hologramă sau un smart card.
Plicurile digitale Semnătura digitală se poate ataşa atât mesajelor necriptate (text clar) dar şi mesajelor criptate. Pentru transmiterea datelor sensibile, prima soluţie este inacceptabilă, de aceea se impune criptarea mesajelor. Deşi sistemele de criptografie asimetrică par foarte potrivite pentru transmiterea mesajelor criptate prin Internet, ele totuşi au un mare dezavantaj: sunt prea lente pentru transmiterea unor fişiere de mari dimensiuni. Plicurile digitale rezolva această problemă prin combinarea sistemelor de criptate cu cheie simetrică şi chei asimetrice. Expeditorul generează o cheie secretă aleatoare, simetrică, Data Encryption Key (DEK), numită cheie de sesiune pentru că dispare după terminarea comunicării. Criptează mesajul folosind cheia de sesiune şi un algoritm simetric la alegere. Criptează cheia de sesiune cu cheia publică a receptorului, creând un "plic digital". Trimite mesajul criptat, împreună cu plicul digital. Când receptorul primeşte mesajul, foloseşte cheia sa privată pentru a decripta cheia de sesiune, apoi o foloseşte pe aceasta din urmă pentru a decripta mesajul propriu-zis. Mesajul este asigurat, pentru că este criptat cu un algoritm simetric, cunoscut doar de emiţător şi receptor, iar cheia de sesiune este, de asemenea, asigurată pentru că este criptată în aşa fel încât doar receptorul o poate decripta20.
5.3.5 Autorităţi de certificare În calea utilizării criptării cu cheie publică există o mică problemă: aceasta funcţionează doar dacă ştii cheia publică a receptorului. Deoarece pe Internet există sute de mii de servere şi milioane de persoane conectate, o persoană nu poate avea în permanenţă la îndemână o listă cu toate cheile tuturor persoanelor. Pe de altă parte nici nu poate cere receptorului cheia sa printr-o conexiune nesigură, pentru că nu are nici o garanţie că persoana de la capătul firului este într-adevăr cine pretinde că este. Cea mai practică soluţie găsită până acum este bazarea pe o a treia persoană, numită "autoritate de certificare" (AC) şi care se ocupă cu validarea cheilor publice. AC-urile sunt întreprinderi comerciale cunoscute şi de încredere care garantează pentru identitatea persoanelor fizice sau juridice. înainte de a se trimite un mesaj cuiva, se poate cere certificatul digital, semnat de una dintre aceste AC, certificat din care reiese identitatea şi cheia publică a persoanei. Cea mai cunoscută firmă care se ocupă cu eliberarea de certificate digitale este VeriSign. Există două mari tipuri de certificate: personale şi pentru servere21.
20Mohan Atreya, Digital Signatures & Digital Envelopes. http://www.rsa.com/products/bsafe/overview/Article5-SignEnv.pdf 21Roşca I. – Comerţul electronic, Editura Economică, Bucureşti, 2004
93
Browserele Web stochează certificatele principalelor autorităţi de certificare, dar pot importa şi certificate ale altor site-uri web. Figura 9 reproduce ferestrele cu certificatele stocate de browserele Mozilla Firefox (stânga) şi Internet Explorer 7 (dreapta).
Certificatele personale (sau identitatea digitală - Digital ID) sunt legate de o adresa de e-mail şi pot fi utilizate pentru a senina mesajele e-mail sau pentru a primi mesaje criptate. De asemenea, pot fi utilizate pe post de "paşaport electronic" pentru identificare la intrarea pe site-uri cu acces restricţionat.
Figura 61 Ferestrele Gestionar certificate (Mozilla Firefox) şi Certificates (IE7)
Certificatul este publicat în lista VeriSign, unde poate fi găsit de oricine. VeriSign garantează o despăgubire de 1.000 dolari în cazul în care distrugerea, pierderea sau folosirea de către altă persoană a provocat pierderi materiale proprietarului de drept al certificatului.
Un astfel de certificat poate fi cumpărat cu 10 dolari pe an. Certificatele de server garantează identitatea serverului şi permit conexiuni criptate cu utilizatorii. Pot fi cumpărate la preţuri între 350 şi 1.300 dolari şi includ chei de 40 sau 128 de biţi (în funcţie de preţ) şi garanţii de la 25.000 la 250.000 dolari.
În aprilie 2003 E-Sign Romania S.A a fost prima Autoritate de Certificare înregistrată oficial ca furnizor de servicii de certificare calificată din România. In octombrie 2003, MCTI, în calitate de autoritate şi supraveghere pentru semnătura electronică, a primit o a doua notificare cu privire la intenţia unei noi autorităţi de certificare calificată care şi-a exprimat dorinţa de a intrare pe piaţa românească.
Numai în primele luni de funcţionare, e-Sign România a furnizat peste 8000 de certificate digitale şi peste 150 de certificate pentru servere. Aceste date indică atât o creştere a pieţei pentru semnătura electronică, dar şi un nivel ridicat de educare a utilizatorilor serviciilor societăţii informaţionale.
5.3.6 SSL (Secure Sockets Layer) Criptarea, semnătura digitală şi certificarea nu sunt invenţii ale Internetului. Ele există de mult timp şi pot fi folosite, de exemplu, pentru a semna sau cripta orice document electronic, chiar dacă acel document nu va circula niciodată prin reţeaua Internet. Problema care se pune este cum se implementează aceste tehnologii pentru transportul datelor printr-o reţea TCP/IP, deci şi pe Internet. Odată cu creşterea informaţiilor sensibile transmise prin Internet (carduri bancare, informaţii personale, etc.) au apărut doua ameninţări majore la adresa confidenţialităţii acestor date:
94
- Omul din Mijloc (Man in the middle) - Este un fapt al reţelelor TCP/IP (Internet) că toate datele ce trec printr-o maşina, indiferent de destinaţia finală, pot fi văzute şi capturate. Datele dintr-un simplu formular simplu HTML, între care se găsesc şi informaţiile despre cardul bancar, călătoresc prin câteva computere (routere) către destinaţia finală. O persoană cu suficient acces la unul dintre computerele aflate pe această cale (sau un alt computer aflat in reţea cu maşinile respective) poate citi datele in timp ce acestea trec, fără a indica celorlalte părţi faptul că acesta interceptare a avut loc. Daca datele in cauza sunt transmise în 'clar', atunci nici un efort nu este necesar din partea lor - au o copie a informaţiilor trimise.
- Imitare Gazda (phising) - Cealaltă ameninţare majoră la adresa confidenţialităţii datelor este imitarea destinatarului. Un router setat rău-intenţionat va redirecţiona cererea unui browser către un site web spre un altul, care imită pe primul, dar al cărui scop este doar de a intra in posesia datelor cardului bancar al utilizatorului.
SSL este acronimul lui Secure Sockets Layer - o tehnologie dezvoltată acum câţiva ani, pentru rezolvarea acestor două probleme majore, privind transferul de date sensibile pe Internet. Clientului final, SSL-ul oferă două caracteristici pentru îndreptarea slăbiciunilor descrise mai sus:
• Criptarea. SSL oferă varii nivele de criptare, de la 40-bit (US export Grade) şi până la 128-bit (US Domestic Grade). Aşa cum am arătat, cu cât mai mulţi biţi, cu atât mai puternică este criptarea.
• Autentificarea. Aceasta este cerinţa unei legături cu adevărat sigure între client şi server, amândouă părţile trebuind să aibă asigurarea identităţii celeilalte. Există căi pentru a se dovedi matematic identitatea părţii aflate la distanţă, la capătul unei legături securizate.
SSL este un nivel de transport - în care alte protocoale de Internet pot fi transportate într-un mod criptat. Cea mai des întrebuinţată metodă este aceea a HTTP over SSL. Când HTTP-ul călătoreşte prin SSL, acest lucru este indicat printr-un URL diferit care începe cu https:// in loc de http:// .
Figura 62 Fereastra Certificate atenţionează
asupra neîncrederii pe care o prezintă un anumit certificat, dând, însă, posibilitatea
instalării lui
În plus, pe bara de stare a unor browsere apare pictograma unui lacăt închis sau culoarea de fundal a barei de adrese devine galbenă.Pana astăzi, nu au fost găsite slăbiciuni semnificative in protocolul SSL şi este larg acceptat ca standard pentru securitatea transmiterii de date. Acest lucru se datorează în parte reţelei stabilite de servere autoritare care distribuie certificate SSL. Tehnologia SSL este inclusă în majoritatea browserelor şi serverelor, astfel încât simpla instalare a unui certificat digital permite oricui criptarea de date folosind acest protocol.
Ori de câte ori este accesat un website cu certificat SSL care nu se află în lista certificatelor de încredere a browserului şi dacă certificatul nu a fost instalat anterior pe calculatorul clientului, browserul atenţionează asupra acestui lucru, figura 10.
95
Aceasta deoarece oricine poate fabrica un certificat pe care să îl instaleze pe server, dar nefiind eliberat de o autoritate de certificare recunoscută trebuie privit cu rezerve.
Mulţi deţinători de servere folosesc certificate „fabricate” de ei pentru a asigura transportul securizat al unor date sensibile, cum ar fi datele de autentificare pentru serverul de e-mail cu interfaţă web. Un astfel de certificat poate fi instalat, însă, pe calculatorul clientului, obţinându-se astfel cheia publică a serverului, cu care vor fi criptate datele ce vor fi trimise către acesta. După instalare, la o accesare ulterioară a website-ului, atenţionarea nu va mai fi făcută.
5.4 Sisteme electronice de plată Sistemele electronice de plată au fost realizate în vederea efectuării transferului de bani din contul bancar al clientului în contul bancar al comerciantului, dar nu oricum, ci în anumite condiţii. Astfel, din motive evidente, comerciantul nu trebuie să intre în posesia datelor cardului cumpărătorului iar banca nu trebuie să ştie ce anume a cumpărat acesta din urmă, ci doar valoarea cumpărăturilor. De asemenea, datele schimbate între client – bancă, client – vânzător, vânzător – bancă, bancă - bancă trebuie să nu poată fi citite şi/sau modificate de către o terţă persoană.
Există şi sunt utilizate, în prezent, mai multe sisteme de plată electronice, câteva dintre acestea fiind prezentate în continuare. Ele sunt sisteme de plată în timp real bazate pe carduri de credit, pe bani electronici - eCash- sau pe carduri inteligente - smartCard.
5.4.1 SET (Secure Electronic Transactions) Este un protocol specializat pentru criptarea tranzacţiilor bazate pe cărţi de credit sau de debit, creat de un grup de companii condus de Visa şi Mastercard. El asigură:
a) autentificare (a clientului, comerciantului, a băncii care a emis cardul, a băncii comerciantului);
b) confidenţialitate;
c) integritatea mesajelor (nu pot fi modificate de terţi);
d) legătura (permite trimiterea unei persoane a unui mesaj cu o anexă ce nu poate fi citită decât de altă persoană - pentru a împiedica citirea numărului de card, permiţând doar aprobarea tranzacţiei).
Protocolul SET reprezintă o suită de contacte între 4 părţi: posesorul de carte de credit, comerciantul, banca emitentă a cardului, banca comerciantului.
SET utilizează perechi de chei publice/private şi certificate semnate pentru stabilirea identităţii părţilor şi pentru a permite comunicarea între acestea.
Tranzacţiile SET22 se desfăşoară după cum urmează:
a) Clientul începe achiziţionarea, ceea ce declanşează protocolul SET;
b) Programul clientului trimite informaţiile referitoare la comandă şi plată - un mesaj pentru fiecare (plata e criptată cu cheia publică a băncii comerciantului);
c) Comerciantul trimite informaţiile legate de plată către banca sa;
d) Banca verifică validitatea cardului la banca emitentă;
e) Banca emitentă verifică cartea de credit - dacă există şi ce sold are;
f) Banca comerciantului autorizează tranzacţia;
22 Wayatt L. A. - Succes cu Internet, Editura All Educational, Bucureşti, 2003
h) Comerciantul confirmă tranzacţia, către banca sa, se scot banii de pe cardul clientului şi sunt viraţi în contul comerciantului;
i) Banca emitentă a cardului trimite factura clientului, în fiecare etapă are loc autentificarea părţilor pentru a preveni implicarea unei alte persoane în tranzacţie.
Reprezentarea unui sistem global de plată electronică este reprodus în figura 11.
Figura 63 Arhitectura generică, globală, a unui sistem electronic de plăţi23.
Se disting 3 nivele orizontale, unul al serviciilor primare (Web-shop), unul al sistemului electronic de plăţi prin Internet şi al treilea al sistemului financiar de plată, furnizat de sectorul financiar.
Distingem, de asemenea, sistemele orientate pe partea de client şi pe partea comerciantului.
5.4.2 Componentele SET Portofelul electronic (e-wallet)
Portofelul electronic este o componentă software în care utilizatorul (cumpărătorul, în speţă) păstrează numerele cardurilor de credit şi alte informaţii personale. El este pus la dispoziţia cumpărătorilor de website-ul care găzduieşte afacerea on-line şi permite efectuarea tranzacţiilor electronice sigur şi rapid. El poate exista atât pe calculatorul cumpărătorului (ca un plug-in în browser-ul web) cât şi pe serverul comerciantului. Portofelul electronic este, în fapt, o modalitate de transport a banilor electronici aşa cum portofelul clasic transportă banii pentru a putea efectua plăţi într-un magazin real.
23 Sander Hille, Petra van der Stappen. Electronic payment put in context.2002. Raport de cercetare.
97
Registrul cash Internet Este o aplicaţie software care asigură preluarea datelor financiare ale clientului, pe o conexiune securizată, prelucrarea acestora şi efectuarea serviciilor de plată. Suporta mai multe sisteme de plată, inclusiv off-line.
Poarta de plăţi Poarta de plăţi (Payment Gateway –PG) conectează două reţele diferite de comunicaţie, în cazul de faţă o reţea publică de comunicaţii (cum ar fi Internet-ul, reţeaua GSM sau GPRS) şi reţeaua financiară. Ea integrează diversele protocoale de securitate ale reţelelor pe care le interconectează, fiind punctul final al protocoalelor de securitate din cele două reţele. Astfel informaţiile decriptate privind tranzacţia se pot regăsi în interiorul sistemului de plăţi. PG este situat, de regulă, în interiorul sistemului financiar, dar poate fi găzduit şi de o terţă parte, considerată de încredere, dar unde sistemul financiar poate controla şi superviza sistemul de securitate.
Dubla semnătură Când sistemul SET trimite o cerere de autorizare de la e-wallet la programul POS (Post of Sale – punct de vânzare) al vânzătorului el trimite atât informaţiile privind comanda cât şi cele privind plata. Aşa cum am menţionat anterior, SET maschează informaţiile despre plată faţă de vânzător dar le lasă să treacă către poarta de plăţi. În acest scop SET utilizează un mesaj cu dublă semnătură. Ilustrarea creării dublei semnături este redată în figura 12.
Să presupunem că portofelul electronic vrea sa trimită un mesaj compus din două părţi punctului de vânzare (POS) al comerciantului. O parte a mesajului este destinată comerciantului iar a doua parte porţii de plăţi (PG).
Figura 64 Procesul de creare al dublei semnături
Software-ul portofelului electronic creează un plic digital destinat comerciantului folosind cheia publică a acestuia şi un plic digital destinat porţii de plăţi, folosind cheia publică a acesteia. (pasul 1). În acelaşi timp un rezumat al ambelor mesaje este creat folosind algoritmul SHA-1 (pasul 2). Ambele rezumate sunt concatenate, (pasul 3).şi se generează un nou rezumat al mesajelor unite, folosind acelaşi algoritm hash (pasul 4). Rezumatul este apoi criptat folosind algoritmul RSA cu cheia privată a portofelului electronic (pasul 5). Rezultatul este semnătura dublă a mesajului. Pe de altă parte, fiecare rezumat al celor două mesaje sunt criptate folosind RSA cu cheia privată a portofelului electronic (pasul 6). Rezultă astfel semnătura digitală pentru
98
fiecare mesaj. Mesajul dublu semnat se obţine prin concatenarea plicului mesajului 1, a semnăturii mesajului 1, plicului mesajului 2, semnăturii mesajului 2 şi dublei semnături.
Când comerciantul primeşte un mesaj cu dublă semnătură, el nu poate deschide plicul digital adresat porţii de plăţi. El poate deschide plicul digital ce-i este adresat şi poate verifica semnătura, aşa cum se arată în figura 13.
Figura 65 Deschiderea mesajului cu dublă semnătură la comerciant
În pasul 1 comerciantul deschide plicul şi recuperează mesajul original prin decriptarea cu cheia privată a comerciantului. În pasul următor comerciantul calculează rezumatul mesajului 1, folosind acelaşi algoritm SHA-1 ca la client. În pasul 3 se recuperează rezumatul mesajului 2 folosind cheia publică a portofelului electronic. Cele două rezumate sunt concatenate şi în pasul 4 se calculează rezumatul celor două rezumate concatenate. Pe de altă parte semnătura dublă este decriptată folosind RSA şi cheia publică a portofelului electronic (pasul 5) rezultând rezumatul rezumatelor concatenate care stăteau la baza dublei semnături. Aşadar, rezumatul rezumatelor mesajelor a fost calculat pe două căi: i) prin decriptarea mesajului 1, calcularea rezumatului, concatenarea cu rezumatul mesajului 2 obţinut din semnătura mesajului doi şi ii) prin decriptarea semnăturii duble.
Cele două rezultate, obţinute pe căi diferite, sunt identice dacă: a) mesajul cu dublă semnătură provine de la portofelul electronic al clientului, b) mesajul 1 a fost adresat comerciantului şi semnat de client şi c) mesajul2 a fost semnat de client. Numai dacă cele două rezultate sunt identice se poate considera că datele transferate de nu au fost modificate pe parcurs.SET reprezintă un cadru general, paradigma tranzacţiilor electronice iar în practică el este implementat în sisteme comerciale diverse, cu nume care sugerează sfera de aplicabilitate a sistemului. Astfel, în România, prin efortul conjugat al Băncii Naţionale, al comunităţii bancare, la care s-a adăugat si cel al Trezoreriei Statului si al Societăţii de Transfer de Fonduri si Decontări - TransFonD S.A., au fost create şi au devenit operaţionale mai multe sisteme de plată electronică. Astfel, in luna aprilie 2005 a intrat în funcţiune sistemul ReGIS pentru plăţile de mare valoare, cu procesare pe baza brută şi decontare în timp real, deţinut şi operat de Banca Naţională a României. Sistemul ReGIS procesează, în condiţii de securitate şi cu risc de decontare minim, plăţile de mare valoare sau urgente, care reprezintă peste 90% din totalul fondurilor vehiculate prin sistemele de plăţi şi decontări din România24. La scurt timp, în mai 2005, a intrat în funcţiune sistemul SENT, casa de compensare automată, care a preluat
24 Market Watch IT&C, nr.86, Iunie. 2006. Sistemul Electronic de Plăţi – perspective de dezvoltare
99
procesarea tuturor ordinelor de plată interbancare. Sistemul, deţinut şi operat de TransFonD, procesează automat plăţile de mică valoare. Au rămas în afara sistemului doar instrumentele de debit, respectiv cecuri, cambii si bilete la ordin. Cea de a treia componentă a sistemului - sistemul de procesare a operaţiunilor cu titluri de stat, SaFIR – a intrat în funcţiune in luna octombrie 2005. SaFIR, sistemul de înregistrare şi decontare a operaţiunilor cu titlurile emise de Ministerul Finanţelor Publice si gestionate de banca centrală în calitate de agent al acestuia, este deţinut si operat de Banca Naţională a României.
5.4.3 PayPal (CyberCash) PayPal este un alt sistem de plată electronic, foarte popular în SUA dar aflat în creştere de popularitate şi în restul lumii. Această popularitate se datorează simplităţii în utilizare, siguranţei şi faptului că plata se poate face inclusiv între persoane fizice, situaţie în care cardul de credit este inutilizabil. Condiţia este ca atât cumpărătorul cât şi vânzătorul să deţină un cont PayPal. Contul este oferit de compania cu acelaşi nume (PayPal este şi o afacere - deţinută de eBay - şi un sistem de plată, sic!). Cumpărătorul, după ce se autentifică pe website-ul PayPal (http://www.paypal.com) cu adresa de e-mail şi parola comunicate la crearea contului, completează un formular simplu cu adresa de e-mail a vânzătorului, adresa proprie şi suma de plată, specificând semnificaţia plăţii (achiziţie de servicii, bunuri sau avans de plată). Poate alege moneda de plată dintre 16 monede acceptate, printre care şi zlotul polonez şi coroana cehă. La apăsarea butonului de expediere a banilor, aceştia sunt transferaţi din sursa de finanţare a contului PayPal a cumpărătorului (cont de bancă, card de credit) în contul PayPal al vânzătorului. Acesta este notificat prin e-mail asupra intrării banilor în cont, bani care pot fi viraţi în contul bancar al vânzătorului sau pot rămâne în contul PayPal al acestuia, pentru a face plăţi din acest cont. Datele financiare rămân confidenţiale, nefiind dezvăluite părţilor implicate în tranzacţie. Deşi sistemul funcţionează în 103 ţări25 şi regiuni, în România nu este disponibil.
Afacerea constă în perceperea de comisioane, de exemplu circa 5% pentru efectuarea plăţilor din surse precum caruri de credit sau debit, 2,5% pentru conversie valutară, etc. Trimiterea de bani, crearea contului şi alimentarea lui sunt gratuite.
5.4.4.netCash NetCash este un sistem de plată electronic, bazat pe bani electronici, în care nu este implicat nici un fel de card. Cumpărătorul trebuie să aibă un cont NetCash, creat la orice bancă care oferă acest serviciu, sau creat online, pe Internet. Contul poate fi alimentat fie cu bani cash, la bancă, fie prin Internet Banking. Plata către comercianţii care acceptă sistemul se face din acest cont, în limita sumei aflate în cont. Sistemul asigură anonimitatea cumpărătorului.
5.4.5 Mondex este un sistem de plăţi electronice bazat pe carduri inteligente. Acestea păstrează informaţiile despre valoarea banilor disponibili pe un chip integrat intr-un card, asemănător ca aspect cardurilor bancare. Permite efectuarea plăţilor prin Internet, telefon mobil sau televiziunea interactivă.
25 PayPal website. http://www.paypal.com
100
Răspunsuri la întrebările de verificare
Capitolul 1 1. a) 2. b) 3. b) 4. c) 5.b) 6. a), b)
Capitolul 2 1. Conectarea, cererea, răspunsul şi deconectarea 2. b) 3. c) 4. a), c) 5. b) 6. c) 7. b)
Capitolul 3 1. a) 2. b),c) 3.c) 4. a)
Capitolul 4 1. b) 2. a), c) 3. b) 4. a) 5. c) 6. a),c) 7. b) 8. c) 9. b)
Bibliografie 1. Robert E. Kahn, The role of government in the evolution of the Internet; Revolution in U.S. Information Structure, Ed. National Academy of Engineering 1994, ISBN: 0-309-05287-4
3. Christian Crumlish, Primii paşi in Internet – Bucuresti, Ed. All Educational, 1997- ISBN 973-9229-95-6
4. Mircea Mihălcică, Cuceritorul Google, Revista CHIP Octombrie 2001
5. Mihai Jalobeanu, Acces in internet. Posta electronica si transferul de fisiere : ghid / Ed. Promedia Plus Cluj-Napoca,1996 - ISBN 973-97377-2-2
6. David Taylor, Crearea paginilor Web cu HTML 4, Ed. Teora, Bucuresti 1999 - ISBN 973-601-903-9
7. Dan Somnea, Iniţiere in JavaScript si tehnologiile Netscape, Ed. Tehnică – Bucuresti 1998 - ISBN 973-31-1229-1
8. Stefan-Gheorghe Pentiuc, Elemente de programarea aplicaţiilor pe Internet, Ed.- Mediamira(Colectia Inginerului) - Cluj-Napoca 2001 - ISBN 973-9358-62-4
9. Teodoru Gugoiu, HTML prin exemple, Ed. Teora, Bucuresti, 2001 - ISBN 973-20-0455-X
