Принципы применения ЭП в 10ТР/РАР1

ЮТР/РАР1 определяют следующие способы обеспечения ИБ при проведении электронных торговых операций:

• аутентификация участников торговой сделки и обеспечение целостности данных на основе использования процедур аутентификации и формирования ЭГ1 (основной);

• • конфиденциальность передаваемых данных на основе применения криптографии;
• • безопасность платежа на основе «принципа прозрачности» ЮТР/ PAPI при обмене специфической информацией между программными модулями платежной системы.

Стандарт ЮТР/РЛР1 определяет, что применение ЭП является необязательной функцией. IOTP/PAPI могут вполне уверенно функционировать и без использования ЭП. Однако структура стандарта допускает (предоставляет возможность) использование различных общедоступных (известных) и корпоративных средств ЭП.

На практике использование ЭП — это исключительное право продавца или другого участника торговой операции. Однако для покупателя отказ от применения ЭП влечет за собой определенный риск. В то же время владельцы виртуальных магазинов могут прийти к выводу, что проведение электронных торговых сделок без применения ЭП невозможно. Тогда для разрешения этой проблемы они или начнут использовать ЭП, или найдут метод проведения торговых операций, который не требует применения ЭП, или примут меры для снижения размеров и объемов электронной коммерции.

Укажем ряд причин, стимулирующих участника торговой операции применять ЭП:

• • продавец (или другой участник операции) пожелает продемонстрировать, что «ему можно доверять». Например, продавец сформирует блок «Signature» (вычислит ЭП) для блока «Offer Response», используя сертификат третьего доверенного лица, известного покупателю. Это дает возможность покупателю проверить ЭП и сертификат и, таким образом, еще раз убедиться в надежности коммерческого предложения, поступившего от действительно существующей организации, выступающей в роли продавца, к которой можно в дальнейшем будет предъявить иск в случае возникновения конфликтной ситуации, используя для этого сертификат доверенного юридического лица. В данном случае для формирования ЭП используются асимметричные криптографические методы;
• • продавец (или другой участник) захочет сохранить нужную в дальнейшем запись торговой операции. Так, проверка покупателем ЭП позволит определить, было ли согласие налоговых органов, как указано в записи торговой операции, или имеется ли чья-то гарантия, например от «Бюро кредитных историй»;
• • СЭЛП (или системе доставки) необходимо определять немодифицированные и авторизованные запросы. Например, в ЮТР-протоколе размер платежа направляют покупателю в блоке «Offer Response», далее его доставляют СЭЛП в блоке «Payment Request». Если блок не подписан, покупатель может изменить размер платежа (заменить цифру). Если СЭЛП нс имеет доступа к платежной информации из блока «Offer Response», то СЭЛП не может в отсутствие ЭП проверить подделку в сумму платежа. Иными словами, если продавец не подписал платежный документ, то СЭЛП не может проверить сумму, указанную продавцом;

• СЭЛП (или система доставки) пожелает обеспечить неоспоримость записи завершающего этапа торговой процедуры «payment exchange» (или «delivery exchange»). Если блок «Payment Response» (или «Delivery Response») подписан, то покупатель позже может использовать запись процедуры «payment exchange» (или «delivery exchange») для подтверждения реализации процедуры, что пригодится, например, для разрешения споров.

Причины, влекущие отказ от применения ЭП, имеются. Вместе с тем причин «в пользу» применения ЭП больше. И главное то, что глобальные ИТС (сеть Интернет) являются открытыми и имеют неконтролируемые зоны, подверженные различным сетевым атакам.