epcap6

7/31/2019 ePCap6

1/50

Cap 6. Comerul electronic, eComer

Pli Electronice, 2004 1 dr.ing. Dan Vasilache

Capitolul 6.

Comerul electronic, eComer

Cuprins capitol 6.(Figuri 6-1/cap6.2., 6-2/cap6.3.,6-3/cap6.5.2.,6-4/cap6.5.2.,6-5/cap6.5.2.,6-6/cap6.6)

6.1. O clasificare a comerului electronic

6.2. Schema de principiu a comerului electronic

6.3. Elementele componente ale comerului electronic

6.4. Riscurile, fraudele i disputele n comerul electronic

6.5. Securitatea comerului electronic6.5.1. Securitatea telecomunicaiilor protocoalele SSL i TLS

6.5.2. Securitatea tranzaciilor de plat protocoalele 3-D Secure,

SecureCode, i SET

6.6. Anatomia unei tranzacii de eComer care folosete protocolul 3-D Secure

6.7. Exemple de eComer actual. Piee electronice, licitaii, furnizori de servicii de

plat prin Internet

6.7.1. Comerul electronic ntre consumatori i companii, sau comerul electronic

cu amnuntul (B2C)

6.7.2. Piee electronice, licitaii electronice

6.7.3. Furnizori de servicii de plat prin Internet

6.8. Comerul electronic n Romnia

Note i bibliografie

7/31/2019 ePCap6

2/50



Reputata revist englezeascThe Economista publicat n mai 2004 un raport

special destinat comerului electronic din care vom cita cteva afirmaii

semnificative: eComerul nu numai c a devenit ceva uria, n sine, dar a crescut

ntr-un asemenea mod nct va schimba felul n care se fac afacerile, cu sau fr

Internet; nici o companie nu i mai poate permite s ignore Internetul;

competiia pe Internet este feroce.... transparena preurilor e o regul ....

consumatorii au acces la un volum fr precedent de informaii asupra produselor....

comportamentul consumatorilor se schimb, ei folosesc Internetul pentru a lua

decizii privind cumprturile pe care le fac i n afara Internetului; rspndirea

conexiunilor rapide la Internet a constituit un factor cheie n creterea eComerului;

... ngrijorarea referitoare la fraude reprezint cel mai mare pericol pentru comerul

pe Internet; companiile de software, proiectanii de situri i furnizorii de serviciicare au contribuit la constituirea Internetului trebuie de urgen s-l fac un loc mai

sigur pentru desfurarea afacerilor (1).

Comerul electronic, eComerul, aprut prin 1994, este comerul care se

desfoar prin mijloace electronice, adic prin calculatoare i sisteme de

telecomunicaii. Cea mai mare parte a acestui comer desfurat ntre cumprtori

persoane i comerciani - companii se desfoar prin reeaua public a Internetului,

i de aceea a spune eComer echivaleaz cu a spune comer pe Internet, sau comer

n timp real (online), dar acest comer poate avea loc i prin reele de telecomunicaii

care nu sunt publice ci aparin unor sisteme private de pli i transfer de fonduri. O

alt definiie, mai larg, descrie eComerul ca fiind constituit din toate plile n care

datele tranzaciei (pltitor, destinatar, sum, etc) sunt transmise electronic,

pltitorul i pltitul sunt implicai direct n tranzacie, iar toate informaiile necesare

autorizrii plii sunt schimbate ntre cele dou pri, electronic (2).

n 2002 existau aproximativ 170 de milioane de utilizatori de Internet n

Europa, i cam acelai numr n America de Nord. Numrul de servere sigure (SSL),

capabile de a gzdui situri (website) de comerciani era de circa 185.000.

n Romnia, n anul 2003, numrul de utilizatori de Internet reprezenta circa

24% din populaie, numrul de calculatoare personale era de circa 2,1 milioane, iar

numrul de furnizori de servicii de Internet (ISP) era de 400 (3).

Aceste cifre indic existena unei infrastructuri impresionante i de neignorat,

capabile s ofere toate serviciile necesare dezvoltrii eComerului, inclusiv n

Romnia.

7/31/2019 ePCap6

3/50



Simplu spus eComerul este un comer rapid, care se desfoar n timp real,

i comod, iar cumprtorii i comercianii au drept pia, prin Internet, ntreaga

lume, magazinele fiind deschise 24 din 24. Cel mai mare pericol al acestui tip de

comer este riscul de fraud. Ultimele tehnologii ns, ca de exemplu protocolul de

autentificare 3-D Secure adoptat de Visa i MasterCard, diminueaz substanial acest

risc, iar eComerul este n prezent ntr-o dezvoltare puternic, inclusiv n Romnia.Instrumentele de plat n comerul electronic sunt cardurile bancare, cecurile

electronice, scrisorile de credit electronice, ordinele de transfer electronice, i, n

general, orice instrument bancar de iniiere a unei pli care poate fi pus sub form

electronici pentru care exist un sistem de procesare.

Pentru desfurarea n bune condiii de securitate comerul electronic trebuie

s ndeplineasc o serie de cerine: asigurarea confidenialitii i integritii datelor

pe timpul pstrrii i transmiterii lor; autentificarea tranzaciilor (individualizarea

fiecrei tranzacii); asigurarea independenei de natura punctului de acces la Internet

(device independence), astfel ca cumprturile s se poat face de la un calculator

personal, de la un asistent personal digital (PDA), telefon, etc; asigurarea

interoperabilitii care permite pli globale, transfrontaliere; asigurarea unei

complete evidene contabile care poate servi n caz de dispute, fraude, probleme

legale, etc.

n acest capitol vom face o clasificare a tipurilor de eComer, urmat de o

prezentare a principiilor i elementelor constitutive ale comerului electronic, o

descriere a anatomiei unei tranzacii de eComer prin Internet n care plata este

iniiat prin carduri, o prezentare a riscurilor i a metodelor de asigurare a securitii,

dup care vom face o scurt prezentare a unor sisteme existente de eComer, bazate

pe Internet, inclusiv n Romnia.

6.1. O clasificare a comerului electronic

Comerul electronic poate fi mprit n dou categorii mari: comerul ntre

persoane i companii (B2C, business-to-consumers, companii-consumatori), numit i

comerul electronic cu amnuntul, i comerul ntre companii (B2B, business-to-

business).

7/31/2019 ePCap6

4/50



Comerul electronic cu amnuntul are loc ntre consumatorii (persoane fizice)

care dispun de un calculator personal cuplat la Internet i comercianii care i expun

produsele pe un sit, prin care persoanele vd i aleg produsele expuse pe sit, dup

care iniiaz plata produselor cumprate cu un card bancar de plat. Acest tip de

eComer deruleaz cel mai mare numr de trazacii, dar valoarea total anual a

acestuia este totui nesemnificativ n raport cu valoarea tranzaciilor din comerulelectronic dintre companii.

Comerul electronic dintre companii const n mod majoritar din comerul

dintre companiile care se aprovizioneaz (procurement) i cele care sunt furnizori de

produse (suppliers). Furnizorii i expun marfa pe Internet iar companiile care

achiziioneaz aleg i emit o comand (order) electronic de achiziionare (plata

fiind, de regul, realizat ulterior electronic, sau ne-electronic, prin mijloacele

bancare existente). n 2001, n SUA, valoarea acestui comer a depit 31 de

trilioane de dolari, dar doar sub 1% din tranzaciile de plat au fost iniiate prin

carduri de plat, vasta majoritate a plilor fiind iniiate prin cec i transfer de fonduri

prin casele automatizate de transfer/decontri (ACH, Automated Clearing House) (4).

Comerul electronic se poate desfura n ntregime n timp real (on-line), caz

n care att autorizarea tranzaciei de plat, ct i decontarea interbancar, au loc n

timp real. Sau se poate desfura doar parial n timp real (autorizarea n secunde,

iar decontarea a 2-a zi, cum este cazul n care plata se face prin carduri de plat

naionale sau internaionale), n care doar autorizarea de plat cu card se obine n

timp real, iar decontarea interbancar se face ulterior prin sistemul de carduri, sau

prin intermediul serviciilor bancare obinuite care pot fi, sau nu, electronice, sau n

cazul n care decontarea este amnat pn n momentul n care comerciantul

prezint documentul prin care cumprtorul certific faptul c a primit marfa

comandat. Livrarea mrfii de ctre comerciant poate avea i ea loc n timp real, ca

n cazul descrcrii (download) imediat dup autorizare, de pe Internet a unor astfel

de produse cum ar fi muzic, imagini sau software, sau poate avea loc la cteva zile

dup acceptarea comenzii. Este important ca autorizarea tranzaciei s aib loc n

timp real pentru ca cumprtorul s perceap efectiv c, n cteva secunde, a fcut o

cumprtur.O form foarte rspndit de eComer ntre consumatori i comercianii cu sit

pe Internet este aceea n care comerciantul folosete situl su doar ca pe un

catalog de prezentare a produselor (descriere, pre, condiii de plati livrare, etc),

iar cumprtorul alege, i d o comand de cumprare, nsoit de identificarea i

adresa sa, fr ns a i plti. Comerciantul i va confirma primirea comenzii i va

7/31/2019 ePCap6

5/50



livra marfa la domiciliu, moment n care va fi i pltit (de regul cu numerar sau prin

ramburs, dar i cu cec sau cu card, dac operatorul care livreaz marfa dispune de

un terminal de plat POS mobil). n acest caz comanda este electronici n timp

real, iar livrarea i plata se desfoar ulterior, de regul n cteva zile (modelul de

plat pizza delivery).

O alt form de comer electronic are loc n cadrul aa numitelor licitaiielectronice (electronic auctions) care au loc pe Internet, cumprtorii i vnztorii

fiind persoane sau companii. Vnztorii i expun pe un sit specializat produsele pe

care doresc s le vnd, nsoite de un pre minim la care sunt dispui s l vnd,

iar cumprtorii conectai la acel sit ofer preurile pe care sunt dispui s le

plteasc. Vnztorul va alege cumprtorul care a oferit cel mai mult i va intra n

contact direct cu acesta pentru a perfecta ulterior vnzarea i detaliile de realizare a

acesteia, pe cale electronic, sau altfel.

Comerul electronic se poate realiza direct ntre cele dou pri cumprtorul

i comerciantul, sau se poate realiza prin intermediul unor companii specializate care

furnizeaz servicii de plat prin Internet (PSP, Payment Service Provider). n acest

caz situl comerciantului va fi cuplat (de regul tot prin Internet) la situl furnizorului

de servicii de plat, iar acesta va prelua, n numele comerciantului i bncii acestuia,

procesarea electronic a tranzaciei de plat cu card a cumprtorului (va obine

autorizarea tranzaciei i va furniza comerciantului datele tranzaciei astfel ca

acceptatorul acestuia s obin decontarea de la emitent).

Marea majoritate a comerului electronic care are loc prin Internet sau prin

reelele private de telecomunicaii este un comer domestic n care cumprtorul i

comerciantul au aceiai moned, moneda rii. n cazul n care plata se face prin

carduri internaionale, iar emitentul cardului i acceptatorul comerciantului sunt,

ambii, membrii ai aceluiai sistem internaional de carduri (cum ar fi Visa,

MasterCard sau JCB), atunci comerul se poate desfura i transfrontalier, moneda

cumprtorului putnd fi diferit de moneda comerciantului. n cazul acestui comer

transfrontalier dificultatea const n mecanismele de livrare a mrfii i n problemele

de legislaie legate de reglementrile bancare i de rezolvare a eventualelor dispute

care pot apare n actul de comer.Comerul electronic se poate desfura sub multe forme, cu toate sau numai

unele dintre etapele actului de comer desfurndu-se electronic (prezentarea i

alegerea produselor, lansarea comenzii, autorizarea plii, livrarea, decontarea

final). Clasificarea prezentat mai sus, fr a fi exhaustiv, a urmrit n esen

introducerea ideilor principale care stau la baza acestui tip de comer.

7/31/2019 ePCap6

6/50



6.2. Schema de principiu a comerului electronic

n acest capitol vom prezenta schema de principiu a comerului electronic

desfurat pe Internet ntre cumprtori, sau consumatori (persoane fizice), i

comerciani, n care plata cumprturilor se face prin card bancar de plat, cardul

fiind naional sau internaional.

n figura 6.1 se prezint schema general de principiu n care apar principaleleelemente ale comerului electronic un sit de comerciant aflat pe un server de

gzduire, cumprtorul cu calculatorul su personal cuplat software printr-un

navigator (browser) la Internet, bncile emitenti acceptatoare a cardului cu care

se face plata, i sistemul de carduri (naional sau internaional) din care fac ambele

parte. Dreptunghiul figurat punctat i cuprinznd calculatorul personal, legtura prin

Internet, i situl comerciantului este echivalent, din punctul de vedere al

acceptatorului comerciantului, cu un terminal de plat cu card, adic reprezint un

POS virtual (VPOS, Virtual POS; a nu se confunda cu situaia n care datele de cardsunt introduse de la un calculator personal al unui comerciant n vederea obinerii

unei autorizri prin Internet, caz care poart deasemenea numele de POS virtual).

Schema este similar n cazul plii prin cec electronic, ordin de plat electronic, etc

se nlocuiete doar cardul cu cecul, i sistemul de pli prin carduri cu cel de pli

prin cecuri, etc.

7/31/2019 ePCap6

7/50



O cumprtur pe Internet se desfoar, n principiu, astfel. Cumprtorul

acceseaz situl unui comerciant prin intermediul navigatorului din calculatorul su

(de exemplu MS Internet Explorer) cruia i furnizeaz adresa comerciantului (de

exemplu www.comerciant.ro). Odat ajuns pe paginile magazinului virtual al

comerciantului, va cerceta produsele prezentate i va selecta unul sau mai multe

produse pe care le va pune apoi n coul, sau cruciorul, virtual de cumprturi(shopping cart). Rolul coului este de a aduna toate cumprturile i de a afia

totalul de plat, astfel nct n momentul plii s se cear o singur autorizare pe

totalul de plati nu cte una pentru fiecare produs. Apoi programul specializat al

sitului comerciantului l va invita pe cumprtor s-i introduc ntr-un formular

(HTML form) pe care i-l afieaz, datele de identitate nume, adres de email,

adres de facturare (billing address) i adres de livrare (shipping address), precum

i datele de plat tip de card, numr de card, dat de expirare. Dup ce

cumprtorul i citete datele de pe card i le introduce manual de la tastatur n

formularul afiat, va apsa un buton special al formularului (inscripionat, de

exemplu, cu Cumpr) a crui apsare echivaleaz cu generarea unei comenzi

ferme de cumprare i, n acelai timp, cu acceptarea totalului de plat, i a regulilor

i condiiilor de plati de livrare a produselor pe care comerciantul le-a afiat pe sit,

iar cumprtorul este obligat s le cunoasc. Programul specializat al sitului va

aduga automat la datele cumprtorului o alt serie de date care descriu plata

(sum, moned, numrul de identificare a tranzaciei) i identitatea comerciantului,

i va forma din toate acestea un mesaj pe care l va transmite la sistemul de

management de carduri, SMC, al acceptatorului comerciantului prin legtura de

telecomunicaii dintre serverul care gzduiete situl, i acceptator. SMC-ul

acceptatorului se afl acum, n principiu, n starea n care a primit un mesaj cu o

cerere de autorizare de la unul din terminalele sale de plat POS instalat la unul din

comercianii si. Mai departe autorizarea tranzaciei se desfoar ca n cazul unei

tranzacii ce are loc la un POS dintr-un magazin real, adic acceptatorul emite prin

sistemul de carduri o cerere de autorizare ctre emitentul cardului, de la care

primete apoi un rspuns de autorizare. Rspunsul este trimis de acceptator la

serverul care gzduiete situl comerciantului su, iar programul special din sitafieaz pe ecranul cumprtorului o pagin cu un raport prin care i confirm (sau

infirm) acestuia efectuarea cumprturii, angajamentul implicit al comerciantului de

a-i livra produsele i condiiile de livrare. Raportul afiat poate fi tiprit de

cumprtor i este echivalent cu o chitan de plat. Dup un numr de zile

produsele expediate de comerciant ajung la cumprtor, iar n momentul livrrii la

7/31/2019 ePCap6

8/50



adresa de livrare care a fost indicat, cumprtorul va accepta livrarea mrfii prin

semnarea unui document de recepie. Acest document va ajunge napoi la

comerciant i va putea servi n eventualele rezolvri de dispute. Acceptatorul va

putea credita imediat dup autorizare contul comerciantului su, dup care introduce

tranzacia n fiierul su de tranzacii pe care l va trimite la emitent n vederea

decontrii interbancare.Din momentul n care cumprtorul a apsat pe butonul Cumpr din

formularul afiat, trimindu-i datele de card i ordinul de cumprare, i pn n

momentul n care programul special din situl comerciantului i afieaz raportul de

rspuns cu confirmarea efecturii cumprturii, timpul scurs este, de regul, de circa

5-10 secunde. Acest timp de rspuns se compune, n mare, din partea de circa 2-4

secunde petrecut de tranzacie n sistemul de carduri i din partea de 3-5 secunde

petrecut n Internet (serverul sitului comerciantului, telecomunicaii cu protocol

sigur SSL sau TLS). n cazul utilizrii unor protocoale de autentificare a deintorului

de card, cum ar fi protocolul 3-D Secure, se mai adaug un interval de pn la 10-15

secunde necesare autentificrii cumprtorului, cardului i comerciantului.

Tranzacia de plat descris este o tranzacie cu card de tipul cardul-nu-este-

prezent, adic nici cumprtorul i nici cardul nu se afl n faa comerciantului

atunci cnd se face plata, ceea ce conduce la un risc asumat de comerciant (i de

acceptator) mai mare dect n cazul unei pli de tip cardul-este-prezent care are

loc ntr-un magazin real. Ca urmare msurile de securitate luate n cazul eComerului

prin Internet sunt mai puternice i mai cuprinztoare. Iat, pe scurt, n cele ce

urmeaz, care sunt msurile uzuale de securitate.

Legturile de telecomunicaii dintre calculatorul personal al cumprtorului i

serverul care gzduiete situl comerciantului, precum i acelea dintre acest server i

SMC-ul acceptatorului comerciantului, trebuie s fie legturi sigure care s asigure

confidenialitatea datelor comunicate i s garanteze autenticitatea celor dou pri

de la capetele transmisiei. Aceste telecomunicaii se implementeaz printr-un

protocol special numit SSL (Secure Socket Layer protocol) sau prin succesorul

acestuia, numit TLS (Transport Layer Security protocol), ambele asigurnd criptarea

(simetric) a mesajelor i autentificarea ambelor pri. Legtura ntre serverul degzduire i SMC-ul acceptatorului se poate face i direct, printr-o linie nchiriat care

nu e public (cum ar fi n cazul Internetului), mai ales n cazul n care acceptatorul

are mai multe situri de comerciant (un portal) pe un acelai server, securitatea i

viteza transmisiunilor trebuind s fie astfel mult sporit.

7/31/2019 ePCap6

9/50



Cardul cu care cumprtorul face cumprturi pe Internet poate fi un card

obinuit al sistemului de carduri sau un card special destinat plii prin Internet, care

asigur cumprtorului o siguran sporit. Astfel de carduri speciale pot avea, de

exemplu, o limit maxim a sumei din cont, o perioad de expirare foarte scurt, sau

pot fi carduri virtuale ce sunt folosite de regul numai pentru o singur cumprtur,

dup care sunt rencrcate cu suma necesar urmtoarei cumprturi.Autentificarea prilor implicate ntr-o tranzacie de comer electronic este

probabil cea mai important msur de asigurare a securitii tranzaciilor. Prile

implicate sunt deintorii de carduri, emitenii cardurilor, comercianii i eventual

porile de acces (gateway) de la Internet la sistemul de plat cu carduri. n prezent

exist trei astfel de protocoale de autentificare utilizate n eComer: protocolul SET

(Secure Electronic Transactions), protocolul 3-D Secure (Three-Domains Secure) i

protocolul SecureCode (ultimele dou fiind asemntoare i aparinnd, respectiv, lui

Visa i lui MasterCard). Vom reveni asupra acestor protocoale.

Comerciantul va ncheia cu acceptatorul su de pli cu carduri prin Internet,

un contract special de comerciant pe Internet, cu condiii i prevederi speciale,

specifice acestui tip de comer. Comisionul pe care comerciantul l va plti

acceptatorului per fiecare tranzacie de eComer este de regul mai mare decat n

cazul comerului real, de exemplu de 3-10% din valoarea tranzaciei, fa de circa

1-3% n cazul comerului real. Contractul cu acceptatorul va prevede de asemeni

modul de desfurare a disputelor ce pot apare ntre cumprtor i comerciant, cu

indicarea clar a responsabilitilor acceptatorului i celor ale comerciantului, n cazul

fraudelor sau a altor excepii.

6.3. Elementele componente ale comerului electronic

Vom face aici o scurt descriere a principalelor elemente conceptuale

componente ale comerului electronic, iar n capitolele urmtoare vom detalia

elementele mai importante legate de riscuri, fraude i securitate. Nu toate

elementele componente se afl n toate sistemele de eComer.

Principalele elemente componente ale unei activiti de comer electronic

desfurat prin Internet sunt urmtoarele:

a) comerciantul, acceptatorul su i situl (website) comerciantului pe Internet;

7/31/2019 ePCap6

10/50



b) cumprtorul pltitor cu card, calculatorul su personal, portofelul su electronic

i emitentul cardului;

c) telecomunicaiile sigure ntre cumprtor i sit, i ntre sit i acceptatorul

comerciantului;

d) aplicaia de eComer a acceptatorului, distribuit, cu un modul client n situl

comerciantului i un modul server n SMC-ul acceptatorului, i poarta de acces laInternet (gateway);

e) serverul din Internet care asigur gzduirea siturilor de comerciant i legturile cu

SMC-urile acceptatorilor (sau ale procesatorilor independeni adoptai de acetia);

f) riscurile, fraudele i disputele;

g) protocoalele de autentificare care asigur securitatea sporit a tranzaciei;

h) costul tranzaciilor i microplile;

i) pieele electronice, licitaiile.

a) Comerciantul, acceptatorul su i situl pe Internet al comerciantului

Comerciantul care dorete s vnd prin Internet i s accepte pli prin

carduri, trebuie mai inti s-i gseasc o banc acceptatoare care s-i ofere un

contract special de cont de comerciant pe Internet. Acest acceptator va trebui s

dispun de un sistem de management de carduri, SMC, capabil de a procesa

tranzacii de eComer, sau s externalizeze aceast procesare ctre un procesator

independent specializat.

Contractul de comerciant pe Internet, care se ncheie ntre comerciant i banca

acceptatoare care ofer serviciile de eComer, este un contract cu clauze speciale

destinate a acoperi riscurile mai mari ale acestui tip de comer, pe care i le asum

acceptatorul. De regul acceptatorul va verifica bine comerciantul i credibilitatea lui

nainte de a-l admite. Unele din riscurile mari ale acceptatorului sunt acelea ca

comerciantul s nu livreze marfa pltit (cu tranzacia autorizat), caz n care

cumprtorul va cere banii napoi de la acceptator prin intermediul emitentului su,

sau acela c, dup livrarea mrfii, cumprtorul s nu recunoasc c a fcut

tranzacia sau c tranzacia a fost fcut fraudulos (cazul tipic de I did not do it

nu am fcut-o ) i s cear iar banii napoi. Pentru acoperirea acestor riscuri mriteacceptatorul poate cere un comision mai mare per fiecare tranzacie, clauze

asiguratorii, etc.

Comerciantul va apela apoi la un furnizor de servicii de Internet (ISP, Internet

Service Provider) cruia i va cere s-i gzduiasc (hosting) un sit (website) propriu

de comer, numit magazin virtual, i s-i furnizeze o adres de Internet de forma, de

7/31/2019 ePCap6

11/50



exemplu, www.numecomerciant.com. Comerciantul i poate proiecta el nsui

propriul sit, poate apela la serviciile unor companii specializate, sau poate recurge la

oferta acceptatorului de a-i crea magazinul i de a i-l pune ntr-un portal de eComer

al acceptatorului, alturi de magazinele virtuale ale altor comerciani ai si.

Situl comerciantului se compune de regul dintr-o pagin de intrare cu rol de

prezentare general a comerciantului i a magazinului, i dintr-un set de pagini cuprezentarea produselor (descriere, pre). O serie de pagini vor informa cumprtorii

asupra condiiilor de plati de livrare a produselor cumprate, i vor descrie

responsabilitile comerciantului i cumprtorului n toate situaiile, normale sau de

excepie, precum i avertizarea legal c dac apas butonul Cumpr, care d

comanda de cumprare, atunci accept implicit toate condiiile comerciantului i

toate responsabilitile care i revin, aa cum sunt afiate pe sit. Aproape ntotdeauna

situl va conine i o pagin (cu programul aferent) care reprezint coul, sau

cruciorul, virtual al cumprtorului (shopping cart). Cumprtorul selecteaz pe

rnd produsele dorite i le trimite n co, iar coul va nsuma toate cheltuielile i va

indica cumprtorului doar un total final de plat. Exist multe variante de programe

care implementeaz un co virtual, unele dintre acestea fiind disponibile gratuit pe

Internet. La sfritul cumprturilor, cumprtorul va examina coninutul coului i

totalul de plati dac e mulumit va apsa un buton prin care declar c e gata de

plat. Un astfel de buton inscripionat de exemplu cu Dorii s pltii acum?, va

trimite pe ecranul calculatorului cumprtorului un formular (form) de plat, invitnd

cumprtorul s introduc datele sale de identificare i ale instrumentului su de

plat.

Dup introducerea n formular a datelor, cumprtorul apas butonul de

generare a comenzii ctre comerciant, inscripionat de exemplu cu Cumpr, iar

acesta va determina expedierea datelor comenzii (produsele selectate, datele de card

ale cumprtorului, datele privind livrarea, datele comerciantului i altele) din sit

ctre SMC-ul acceptatorului, prin intermediul programului su care rezideaz n sit i

care reprezint modulul client de eComer al acceptatorului. Dup ce acceptatorul va

primi rspuns de la emitent la cererea de autorizare a plii, programul su de

eComer, adic modulul server de eComer din SMC-ul su, va expedia rspunsulctre sit, iar modulul client din sit va afia cumprtorului un raport final care i

indic efectuarea, sau neefectuarea, cumprturii, i acceptarea sau neacceptarea

plii. Este posibil ca modulul client din sit s emita i un mesaj de pot electronic

(email) ctre calculatorul cumprtorului pentru a-i confirma cumprtura i pentru

7/31/2019 ePCap6

12/50



a-i aminti eventual i condiiile de livrare a produselor cumprate (adresi data de

livrare, de exemplu).

ntruct toate tranzaciile de eComer trec prin SMC-ul acceptatorului, modulul

server de eComer al acestuia va genera periodic, de exemplu o dat pe zi, cte un

fiier de comenzi (order file) pentru fiecare din comercianii si pe Internet. Fiierul

de comenzi primit de un comerciant i indic acestuia toate livrrile ferme i cu plataacceptat, pe care trebuie s le fac ctre toi cumprtorii si. Comerciantul poate

dispune i de o baz de date de comenzi chiar pe sit, iar modulul client de eComer

poate furniza toate datele unei comenzi acceptate pentru a fi nscrise, comand cu

comand, n aceast baz de date, caz n care nu mai este necesar fiierul descris

anterior. Comerciantul va efectua livrrile pe baz de document de recepie semnat

de cumprtor i va pstra aceste documente. Acceptatorul face decontarea

interbancar cu emitenii cardurilor care au fcut cumprturile i poate credita

contul comerciantului imediat dup autorizare, cernd documentul de recepie doar

n cazurile de disput.

b) Cumprtorul pltitor cu card, emitentul cardului, calculatorul personal al

cumprtoruluii portofelul electronic, ePortofel

Cumprtorii pe Internet pot folosi pentru plat orice card (cu band

magnetic sau cu cip) emis cu permisiunea sau cu scopul de a fi folosit n acest fel de

plat. innd seama de riscurile plilor pe Internet emitenii pot emite carduri

speciale care urmresc, n caz de fraud, micorarea pe ct posibil a efectelor

acesteia.

Exist mai multe categorii de astfel de carduri cu risc redus pe Internet

carduri nregistrate de emitent pentru a fi folosite cu un protocol de autentificare

(cum este 3-D Secure), carduri cu parametri care reduc riscul, i carduri, sau conturi,

virtuale.

Cardurile nregistrate cu un protocol ca 3-D Secure sau SET ofer maxima

siguran. Visa i MasterCard, i n curnd i JCB, ofer posibilitatea nregistrrii

cardurilor lor de debit sau de credit n sistemul protocolului 3-D Secure (promovat deVisa i agreat i de celelalte dou). Vom reveni asupra acestui protocol i a

semnificaiei nregistrrii (enrollment) unui card.

Cardurile cu risc redus n plile pe Internet au parametri stabilii la emitere n

aa fel nct n caz de fraud, pierderea s fie ct mai mic. Uzual se pune o limit

maxim de mic valoare pe suma care poate exista n cont n orice moment (de

7/31/2019 ePCap6

13/50



exemplu maxim 100 euro), iar data de expirare a validitii cardului se stabilete ca

fiind apropiat de data emiterii. Pot fi micorai i parametrii care stabilesc valoarea

maxim admis pentru o cumprtur (de exemplu 50 euro) sau numrul maxim de

tranzacii pe Internet, pe zi (de exemplu maxim 2 tranzacii pe zi). Emitentul va

decide parametrii de risc i va emite un produs adresat n mod special plii pe

Internet.O protecie bun se asigur prin cardurile virtuale, emise de fapt ca un cont

virtual (virtual account) a crui descriere (nume, numr de cont, dat de expirare,

moned, etc) e nmnat deintorului sub forma de informaie tipizat pe un

formular, sau sub forma unui card obinuit de plastic, dar care nu are band

magnetic (nu poate fi folosit n lumea real). Contul cardului virtual e ncrcat de

cumprtor cu puin timp naintea efecturii cumprturii cu o valoare apropiat de

valoarea la care se va face cumprarea. Contul va fi rencrcat naintea urmtoarei

cumprturi (de pe un alt card, dintr-un cont de debit, de la ATM sau POS, sau prin

serviciile bancare electronice prin Internet sau prin telefonie mobil). Astfel de

carduri, n Romnia, sunt de exemplu cardul virtual Virtuon (cu sigla Visa, fr PIN i

fr band magnetic) emis de BCR, i cardul Taifun Virtual (cu sigla MasterCard)

emis de Banc Post (5).

O alt metod de a reduce ansele de a capta datele unui card n vederea unei

folosiri frauduloase este aceea de a genera pseudo-numere de card. Emitentul va

emite astfel de carduri i va stabili n interiorul SMC-ului su o perioad de

valabilitate foarte scurt, de la o jumtate de or pn la maxim cteva luni, dup

care numrul de card va dispare definitiv din evidena SMC-ului, iar cumprtorul va

putea cere apoi emiterea unui alt astfel de card, pentru o alt cumprtur. Cardul

poate avea aparena unui card de credit dar n sistemul emitentului va putea fi pus n

coresponden cu un cont de debit (care d o mai mare siguran emitentului).

Calculatorul personal al consumatorului trebuie s fie legat fizic la Internet

(dial-up, cablu, reea) i s dispun de un navigator (browser) capabil de a asigura

legturi sigure (https:) adic care folosesc protocoalele SSL sau TLS. La calculator ar

putea fi legat, dar aceasta nu este un lucru frecvent, i un cititor de carduri cu band

magnetic care ar prelua datele de pe cardul de plat, sau un cititor de carduri cu cipcare ar prelua din cip datele secrete (cuvinte de control, chei, certificate) ale

consumatorului, necesare eventual n cazul autentificrii sale n cadrul protocoalelor

de securitate, sau ar putea fi legate alte dispozitive speciale de autentificare (token).

Cumprturile pe Internet pot fi mult uurate prin conceptul de portofel

electronic, ePortofel (eWallet). Un portofel electronic este un program rezident n

7/31/2019 ePCap6

14/50



calculatorul cumprtorului care conine toate datele de plat ale cumprtorului,

adic datele de identitate (nume, adrese, diverse) i datele de card de plat, i este

iniializat de cumprtor o singur dat cu toate aceste date. Apoi, n momentul

completrii formularului care i apare pe ecran ca urmare a efecturii cumprturii,

datele din ePortofel sunt trecute automat (un simplu clic) n formular. Acest ePortofel

poate rezida n condiii de securitate i n serverele pentru situri de comerciani saun servere specializate, putnd fi astfel disponibil i din alte puncte de acces la

Internet, nu numai de pe calculatorul personal al cumprtorului. Portofelul poate

pstra i chitanele tranzaciilor efectuate, colectnd datele din pagina cu raportul de

ncheiere a tranzaciei. Pentru completarea automat a formularului comerciantului

cu datele din ePortofel, portofelul i formularul trebuie s fie compatibile (adic s

aparin aceluiai sistem).

c) Telecomunicaii sigure

Datele care circul ntre calculatorul cumprtorului i SMC-ul acceptatorului,

trecnd prin serverul de gzduire a sitului comerciantului, trebuie s rmn

permanent secrete, nealterate i s provin de la o surs (cumprtor,

comerciant/server, acceptator) autentic.

Aceasta se asigur prin protocoale sigure de transmisiuni cum sunt SSL

(Secure Sockets Layer), succesorul su similar TLS (Transport Layer Security), PCT

(Private Communication Technology), i altele. Cel mai utilizat protocol sigur n

eComer este SSL, urmat de TLS care se bazeaz pe el i i aduce unele mbuntiri.

Caracteristic acestor protocoale este faptul c la fiecare operaiune de cuplare se

genereaz o nou cheie de criptare i se face o nou autentificare (cel puin a

serverului de gzduire a sitului comerciantului). Vom reveni asupra protocolului SSL.

Dac legtura ntre acceptator i serverul de gzduire se asigur printr-o linie

nchiriat, care este mai sigur dect cea public prin Internet, poate fi suficient un

protocol mai simplu de telecomunicaii, care s asigure doar o criptare a mesajelor

(eventual i un cod MAC pentru verificarea integritii), fr autentificarea capetelor

transmisiei. Dac legtura se face prin Internet, se poate folosi i protocolul VPN

(Virtual Private Network) care, asemeni SSL-ului, asigur criptarea i integritateamesajelor, precum i autentificarea prilor.

d) Aplicaia de eComera acceptatorului modulul clienti modulul server

de eComer, poarta de acces la Internet

7/31/2019 ePCap6

15/50



Banca acceptatoare care ofer clienilor si comerciani serviciul de comer

electronic prin Internet cu plat prin card trebuie s dispun de un SMC capabil de

procesare a tranzaciilor generate n cadrul acestei forme de comer. Aceast

funcionalitate a SMC-ului acceptatorului se asigur printr-o aplicaie (set de

programe) compus din dou pri, sau module un modul aflat n SMC i numit

modulul server de eComer, i un modul aflat n situl fiecrui comerciant din serverulde gzduire numit modulul client de eComer. ntre cele dou module funcioneaz

legtura sigur de telecomunicaii care se stabilete ntre acceptator i server. n

cazul plii cu carduri aparinnd marilor sisteme de carduri mesajele care circul

prin aceast legtur sunt n formatul ISO 8583. Rolul fundamental al aplicaiei de

eComer a acceptatorului este de a dialoga cu cumprtorul i de a transforma

tranzacia de eComer n aa fel nct s produc o tranzacie echivalent cu una

obinuit, din lumea real, produs de un card la un terminal de plat POS, care s

fie procesat de sistemul existent de pli prin carduri, cu extensiile necesare (6).

Un acceptator are de regul mai multe situri de comerciani aflate pe acelai

server de gzduire, sau pe servere diferite. Fiecare sit de comerciant dispune de un

modul client de comer electronic care apeleaz la unicul modul server de comer

electronic din SMC-ul acceptatorului. Eventual fiecare server de gzduire dispune de

un singur modul client, care e folosit de toate siturile de comerciani care aparin

aceluiai acceptator.

Logic vorbind sistemul acceptatorului dispune de o interfa cu Internetul prin

intermediul creia se face tot schimbul de informaii cu serverele de comerciani.

Aceast interfa are numele de poart de plat (payment gateway), sau poart de

access (gateway), cuprinde protocoalele de transmisiuni i modulul server de

eComer al acceptatorului, fcnd legtura ntre Internet i sistemul de pli prin

carduri, trecnd prin SMC-ul acceptatorului.

Rolul modului client este de asigura interfaa cu navigatorul cumprtorilor,

adic de a transmite datele primite de la cumprtori la modulul server din SMC-ul

acceptatorului, de a primi rspunsul de la acesta, i de a-l trimite napoi la

navigatorul cumprtorilor. Modulul client va aduga datelor cumprtorului i

identitatea comerciantului (Merchant ID). n esen, la momentul plii, modululclient va afia un formular (HTTP form) pe ecranul cumprtorului n care acesta i

va introduce datele secrete ale cardului cu care pltete, dup care va forma cu

aceste date (plus nc altele) un mesaj pe care l va expedia, cu titlu de cerere de

autorizare, ctre modulul server. La primirea rspunsului de la modulul server va

genera pe ecranul cumprtorului o pagin-raport cu informaiile care i confirm

7/31/2019 ePCap6

16/50



acestuia efectuarea plii i datele operaiei de cumprare. Va putea eventual trimite

cumprtorului i un mesaj electronic (email) de confirmare a operaiei. Desigur, va

pstra ntr-un fiier o nregistrare a tuturor mesajelor transmise i recepionate.

Rolul modului server este de a primi tranzaciile de eComer cu cererile de

autorizare de la toate modulele client, de a le transforma n tranzacii ale sistemului

adugnd i identitatea acceptatorului i, dup autorizare, de a le trimite moduluiclient de la care a venit cererea de autorizare.

n cazul folosirii protocoalelor de autentificare speciale, cum sunt 3-D Secure i

SET, ambele module, client i server, vor dispune de funcionalitile suplimentare

cerute de aceste protocoale, principiile rmnnd aceleai.

Acceptatorul care nu dispune de un SMC propriu capabil s ofere serviciile de

eComer poate apela la serviciile unui procesator independent de tranzacii cu

carduri, care are aceast facilitate. n acest caz legturile cu serverele de gzduire

ale siturilor comercianilor i cu sistemul de pli prin carduri sunt asigurate de

procesatorul independent, iar acceptatorul pstreaz doar o singur legtur (de

regul printr-o linie nchiriat) cu procesatorul. Aceast modalitate este prezentat n

figura 6.2. n Romnia un astfel de procesator independent este compania PayNet

(www.paynet.ro), iar procesatorul Romcard (www.romcard.ro), care aparine unor

bnci mari, ofer deja pentru bncile proprietare, i pentru alte bnci, un serviciu de

comer electronic complet i certificat bazat pe protocolul 3-D Secure, sub siglele

Visa i MasterCard (a se vedea i capitolul 12.2).

7/31/2019 ePCap6

17/50



e) Serverul de gzduire a siturilor de comerciani

Serverul de gzduire a siturilor de comerciani aparine unui furnizor de servicii

de Internet (ISP, Internet Service Provider) cu obinuitele servicii de gzduire paginiHTML (sau XML), de pot electronic, i de legturi de telecomunicaii cu

acceptatorii poteniali. Acceptatorii pot dispune de propriul server de gzduire pentru

comercianii lor, sau indic acestora serverele cu care lucreaz.

Un astfel de server poate gzdui multe situri de comerciani, fiecare cu numele

lui de Internet, i de la mai muli acceptatori. Pentru fiecare acceptator va exista

probabil cte un tip diferit de modul client de eComer, care se afl n situl (fiierul

de pagini) comercianilor acelui acceptator. Serverul va avea legturi de

telecomunicaii cu fiecare acceptator n parte.

Calitile cele mai importante ale serverului de gzduire trebuie s fie

sigurana de funcionare (un grad de disponibilitate mai mare de 99,5% este strict

necesar), viteza de procesare i de telecomunicaii, i capacitatea mare de stocare

de situri.

Serverul trebuie de asemenea s aparin unei companii n care toate prile

implicate au o mare ncredere, adic s fie autentificat de o Autoritate de Certificare

7/31/2019 ePCap6

18/50



admis de toi (cum ar fi de exemplu compania american VeriSign, care este un

furnizor global de certificate de autenticitate pentru servere).

f) Riscurile, fraudele i disputele

Riscurile de fraud n comerul electronic prin Internet sunt generate pe de o

parte de reeaua de telecomunicaii publice, inerent nesigur, a Internetului i pe dealt parte de faptul c tranzacia se face n situaia cardul-nu-este-prezent n faa

comerciantului n momentul cumprrii. Vom defini riscul ca posibilitatea apariiei

unor pierderi sau unor daune. Pierderile pot fi financiare sau de confidenialitate.

Telecomunicaiile publice nesigure, accesibile oricui i tuturor, oferansa unei

interceptri frauduloase a mesajelor, din care se pot extrage date secrete (de card,

de identitate) care ar putea fi ulterior folosite n mod fraudulos, n dauna

deintorului de card cumprtor, sau a comerciantului.

Faptul c deintorul i cardul nu sunt prezeni n faa comerciantului ofer

ansa prezentrii la plat a unui card fraudulos, sau a unui cumprtor cu identitate

frauduloas (card and cardholder impersonation).

Cazurile frecvente de fraud n care comerciantul accept plata dar nu livreaz

marfa, sau n care cumprtorul primete marfa comandati pltit dup care

declar c nu el a fcut tranzacia i reclam banii napoi, conduc la dispute ale cror

proceduri de rezolvare cost toate prile implicate.

Pierderile directe i indirecte datorate fraudelor vor fi suportate de comerciant

(acceptator), de emitentul cardului, de deintorul de card, i chiar de sistemul de

pli prin carduri n ansamblu n cazul n care un cumprtor nemulumit renun la

cardurile sistemului i trece la cardurile altui sistem.

S-a apreciat c n 2003 fraudele din eComer au generat pierderi financiare de

circa 1,8 miliarde dolari, 1 din 6 cumprtori cu card a fost, sub o form sau alta,

victima unei fraude financiare, i 1 din 12 cumprtori i-au vzut identitatea furat.

Frauda pe Internet este de circa 17 ori mai mare dect cea care are loc n

magazinele reale, tranzaciile frauduloase de comer electronic reprezentnd circa

1% din total, fa de numai circa 0.06% tranzacii frauduloase care au loc n

magazinele reale (7). Alte surse indic cifre mai mici pentru aceste fraude.

g) Protocoalele de autentificare care asigur o securitate sporit a

tranzaciilor 3-D Secure, SecureCode, SET

Dup o rapid dezvoltare a eComerului la sfritul deceniului 90, frauda

crescuse la un nivel considerat inacceptabil, iar rspndirea comerului electronic a

7/31/2019 ePCap6

19/50



regresat. Aceast situaie a determinat creterea preocuprilor pentru securitate i

astfel au aprut, printre altele, protocoalele de securitate sporit specifice

eComerului, i anume mai nti complexul protocol SET susinut de Visa i

MasterCard, apoi protocoalele Verified by Visa bazat pe 3-D Secure al lui Visa i

SecureCode al lui MasterCard, ultimele dou similare ca concepie, dar mai simple i

mai usor de implementat dect SET. n prezent protocolul de autentificare3-D Secure pare s se impun ca cea mai bun soluie fiind susinut de Visa (care l-a

inventat), de MasterCard i de JCB. De remarcat c n Romnia, din 2004, mai multe

bnci mari (BCR, Raiffeisen Bank, i Banca iriac) accept comerciani pe Internet i

emit carduri sub sigla Visa i MasterCard care pot fi folosite pentru comerul

electronic cu protocolul 3-D Secure, procesatorul acestor bnci fiind compania

Romcard. Vom reveni asupra acestor protocoale.

h) Costul tranzaciilor, microplile

Efectuarea oricrei tranzacii de eComer propune costuri pentru toate prile

implicate. Costul unei tranzacii de eComer are n general o parte fix de 0,1-0,5

dolari SUA i o parte variabil ce poate fi mai mare de 5% din sum (2). Cei care

suport n final aceste costuri sunt cumprtorii i comercianii. Comercianii rezolv

de regul problema ridicnd acoperitor preul produselor vndute. Cumprtorul

simte costul pe care trebuie s-l plteasc pentru o tranzacie pe Internet raportat

la valoarea produsului cumprat, dei costul n sine al tranzaciei nu depinde de

aceast valoare. Astfel nct n cazul cumprrii unor produse sau servicii de mic

valoare, costul tranzaciei de cumprare poate apare ca prea mare, eventual

inacceptabil. Internetul este un loc predilect pentru punerea n vnzare a produselor

i serviciilor de mic valoare cum ar fi software cvasi-gratuit, melodii, imagini,

informaii diverse, pentru care costul poate fi de civa dolari sau chiar civa ceni.

n acest caz avem de a face cu micropli (micro payments). Limita pentru definirea

unei micropli e pus convenional la 10, sau, dup alte surse, la 25 dolari SUA,

plile inferioare acestei limite fiind considerate micropli (2). Se definesc chiar

nanoplile, ca fiind plile a cror valoare este sub 1 dolar SUA. Pentru micro- i

nanopli pe Internet exist metode adecvate de plat care fac costul tranzacieifoarte mic. Una din aceste metode este folosirea ePortomoneelor (ePurse) ca mijloc

de plat pe Internet, iar alta este plata prin transferul direct de fonduri ntre conturi

(accountbased transfer), conturile cumprtorilor i comercianilor aflndu-se la

aceiai entitate (dispare operaia de decontare), cum e cazul sistemelor de plat

PayPal i PayDirect.

7/31/2019 ePCap6

20/50



i) Piee electronice, licitaii

Comerul electronic poate fi organizat i dup modelul pieelor reale mai

muli comerciani i prezint produsele i serviciile n cadrul aceluiai sit,

cumprtorii pot cerceta mai multe magazine virtuale, pot compara preurile i pot

participa la vnzrile de produse prin licitaie organizate de diveri vnztori, sau potcumpra la preurile fixe afiate.

Cumprtorii i vnztorii pot fi persoane fizice sau companii, n orice

combinaie persoane cu persoane (P2P), persoane cu companii (B2C), sau

companii cu companii (B2B). Administraia central (guvernul) i cea local

(guvernul local), n postur de companie, particip frecvent la achiziia de produse i

servicii de la furnizori, prin licitaie (B2G).

n cadrul unei licitaii vnztorul afieaz produsul, un pre minim de pornire,

i o durat a licitaiei, iar cumprtorii declar preul maxim pe care sunt dispui s-l

ofere, putnd s modifice acest pre pe durata licitaiei ntruct pot vedea n orice

moment preul cel mai mare oferit curent. Vnztorul alege, la sfritul perioadei de

licitaie, preul cel mai mare i intr n contact direct cu cumprtorul care l-a oferit,

pentru a perfecta vnzarea, stabilind modul de plati condiiile de livrare. Plata se

poate face prin mijloacele electronice oferite de piaa electronic sau prin mijloacele

tradiionale existente ntre bncile celor doi.

O pia electronic, procedura de licitaie i mijloacele de plat sunt

implementate prin aplicaiile specifice ale companiei care deine situl, sau portalul, ce

reprezint piaa electronic.

6.4. Riscurile, fraudele i disputele n comerul electronic

Aa cum am artat, riscul de fraud n comerul electronic e datorat, n

principu, caracterului public al reelei de telecomunicaii a Internetului i faptului cnici deintorul de card, i nici cardul, nu sunt prezeni n faa comerciantului n

momentul efecturii tranzaciei de cumprare.

n multe ri, conform legislaiei naionale, rspunderea pentru o tranzacie

frauduloas revine comerciantului (reprezentat de acceptatorul su) sau emitentului

cardului. Din acest motiv deintorul de card e puternic ncurajat, tiind c nu va

7/31/2019 ePCap6

21/50



pierde bani n cazul unei fraude, atta vreme ct i respect propriile obligaii (fa

de emitent i fa de comerciant i regulile acestora) (8).

Vom prezenta pe scurt n cele ce urmeaz care sunt tipurile mai importante de

pericole de fraud care ar putea apare n acest tip de comer (9).

Un agent fraudulos care cunoate domeniul, pe care l vom numi fraudator,

poate intercepta mesajele transmise i poate extrage datele cardului. Mai trziufraudatorul poate efectua o tranzacie introducnd n comand datele de card astfel

obinute. Acest tip de fraud poate fi eliminat numai printr-o procedur de

autentificare a deintorului de card (prin PIN sau printr-o parol, sau expresie, de

control). Deintorul legal al cardului va nega, evident, c a fcut tranzacia i se va

declana o disput a crei rezolvare presupune costuri.

Fraudatorul poate modifica o comand de cumprare, schimbnd, de exemplu,

lista de cumprturi sau cantitatea acestora, astfel nct comerciantul va livra

produsele greit, iar cumprtorul va refuza recepionarea acestora i va cere banii

napoi. Comerciantul i va putea pierde clienii.

Fraudatorul poate modifica paginile din situl comerciantului cu scopul de a

dezinforma cumprtorii care se vor ndrepta astfel spre alt comerciant.

Fraudatorul poate fi chiar comerciantul dac va utiliza datele de card primite n

cursul unei pli (n cazul n care are acces la aceste date) pentru a efectua el nsui

tranzacii n locul deintorului de card legitim. Aceasta reprezint una din cele mai

mari temeri ale cumprtorilor pe Internet, care ar prefera stie c datele lor de

card nu se pstreaz n situl comerciantului.

Fraudatorul poate s creeze un fals sit de comerciant, care arat ca un

magazin virtual legitim, dar care nu e legat de nici o banc acceptatoare sau sistem

de pli. El va capta astfel toate datele de card pe care cumprtorii pclii le vor

furniza cnd vor face o cumprtur.

Un deintor legitim al unui card legitim poate deveni un fraudator dac, dup

ce a efectuat o cumprturi a primit produsele, neag c a fcut tranzacia i

ncearc s obin banii napoi.

Fraudatorii pot de asemenea s ncerce s fac nefolosibil un sit de

comerciant, genernd un numr foarte mare de tranzacii cu date de card inventate,tranzacii care vor fi respinse, dar situl va fi practic nefolosibil de ctre cumprtorii

legitimi, fiind suprancrcat cu respingerea tranzaciilor invalide.

Ca urmare a diverselor forme de fraud un deintor de card care e

cumprtor pe Internet poate contesta, sau disputa, sub diverse motive, fie toat

tranzacia, fie doar aspecte ale acesteia. Cumprtorul se va adresa cu o plngere

7/31/2019 ePCap6

22/50



ctre emitentul cardului su, iar acesta va ncepe o procedur de rezolvare a

disputei, conform regulilor sistemului de carduri i mpreun cu acceptatorul care

reprezint comerciantul, n scopul returnrii banilor, total sau parial (chargeback,

returnare plat). Motivele cele mai frecvente invocate de cumprtor sunt nu am

fcut tranzacia, nu doresc ceea ce am primiti nu am primit ceea ce am

cumprat. Rezolvarea acestor dispute implic costuri suplimentare relativ maripentru emitent i pentru acceptator, i, n mod frecvent, pierderile mai mari sunt

suferite de comerciant.

6.5. Securitatea comerului electronic

Msurile speciale de securitate n cazul comerului electronic prin Internet, n

care plile se fac cu carduri, sunt concentrate, n principal, n dou direcii

asigurarea securitii telecomunicaiilor, i asigurarea securitii tranzaciilor prin

procedee mai puternice de autentificare, n principal a deintorului de card. Prima

direcie ncearc s rezolve problema riscurilor generate de caracterul public al

transmisiunilor prin reeaua Internetului, iar a doua pe aceea a riscurilor generate de

o situaie n care cardul-nu-este-prezent (similar cu cazul comenzilor date prin

telefon sau pot).

Alte msuri de securitate sunt luate la nivelul legislaiei i al reglementrilor

bancare i ale sistemelor de carduri, iar altele urmresc comportamentul

cumprtorilor (memornd o istorie a tranzaciilor) i depistarea unui profil al

cumprtorului, sau comerciantului, potenial fraudulos cruia mai apoi i se vor

interzice tranzaciile. Unii emiteni pot utiliza chiar reele neuronale care pot

identifica un fel anume, susceptibil de a fi fraudulos, de a face cumprturile de

exemplu efectuarea unui mare numr de cumprturi ntr-un interval scurt de timp

(cteva ore) de pe multe situri de comerciant, caz n care cumprtorul va fi imediatcontactat pentru verificare.

6.5.1. Securitatea telecomunicaiilor protocoalele SSL i TLS

7/31/2019 ePCap6

23/50



n prezent securitatea telecomunicaiei ntre calculatorul personal al

cumprtorului i serverul de gzduire al sitului comerciantului, precum i aceea

dintre acest server i procesatorul acceptatorului se asigur prin protocolul SSL, sau

prin succesorul su TLS.

Ambele protocoale asigur toate elementele fundamentale ale unei

transmisiuni sigure criptarea mesajelor care asigur confidenialitatea, verificareaintegritii coninutului mesajelor, i autentificarea entitilor de la ambele capete ale

transmisiunii.

Protocolul SSL (Secure Sockets Layer), ajuns astzi la versiunea 3.0, a fost

proiectat de compania american Netscape Communications n 1995 i s-a rspndit

n toat lumea fiind instalat n toate navigatoarele importante (Internet Explorer i

Netscape) i n toate serverele de gzduire de situri, devenind un standard de facto

al securitii telecomunicaiilor pe Internet. Iat pe scurt modul su de funcionare.

n momentul n care un navigator adreseaz un server n regim de securitate

(adrese ncepnd cu https:), acesta va trimite navigatorului propriul su certificat de

autenticitate, eliberat de o Autoritate de Certificare (care respect standardul X.509)

cunoscuti acceptat (cum ar fi VeriSign Inc.), criptat i semnat de aceasta cu

cheia sa secreti coninnd identitatea serverului i cheia public a serverului.

Opional, i navigatorul poate trimite certificatul su ctre server. Navigatorul va

decripta certificatul serverului (cu cheia public, pe care o cunoate, a Autoritii de

Certificare) i va obine cheia public a serverului, apoi va genera o cheie secret

valabil numai pentru cuplarea n curs (la fiecare legtur cu serverul se va genera o

nou cheie). Aceast cheie de criptare a mesajelor (de 40 sau 128 de bii) este la

rndul ei criptat cu cheia public a serverului, cruia i este apoi expediat. n acest

fel ambele capete ale transmisiei dispun acum de o cheie secret de criptare mesaje,

cu care i cripteaz mesajele pe care ncep si le trimit. Aceast cheie de criptare

mesaje se folosete i la aplicarea unui cod MAC (Message Authentication Code) care

permite verificarea integritii mesajelor schimbate.

Protocolul TLS (Transport Layer Security) a fost elaborat de IETF (Internet

Engineering Task Force), organizaia de standardizare a Internetului, pe baza SSL

3.0 i reprezint o mbuntire a acestuia n mai multe privine. Este de ateptat sse substituie treptat protocolului SSL (10).

6.5.2. Securitatea tranzaciilor de plat protocoalele 3-D Secure,

SecureCode i SET

7/31/2019 ePCap6

24/50



O cretere substanial a securitii tranzaciilor de plat se poate obine prin

folosirea unor protocoale de autentificare al cror rol este s autentifice actorii

principali ai tranzaciei ce are loc pe Internet deintorul de card i cardul lui,

comerciantul i acceptatorul lui, i poarta de acces (gateway) din Internet ctre

sistemul de pli prin carduri. Aceasta autentificare se face fie prin certificate deautenticitate care necesit un sistem de chei publice (PKI, Public Key Infrastructure),

fie prin alte metode, mai simple. Esenial este autentificarea deintorului de card

deoarece aici se afl sursa majoritii fraudelor.

Trei astfel de protocoale sunt astzi n folosin protocolul SET proiectat n

1996 de Visa, MasterCard, IBM i alii, protocolul 3-D Secure proiectat de Visa, i

protocolul SecureCode proiectat de MasterCard, ultimele dou n 2001. Cel care

asigur securitatea maxim, ntruct autentific pe toi actorii tranzaciei, este

protocolul SET. Acesta este ns un protocol complicat, scump i greu de

implementat, motiv pentru care nu este rspndit, pare ameninat cu dispariia i nu

vom insista asupra lui. Dintre celelalte dou, care sunt mai simple i mai uor de

implementat, protocolul 3-D Secure tinde s devin un standard de facto fiind

acceptat i de MasterCard i de JCB.

Protocolul de autentificare 3-D Secure este prezentat de Visa sub marca

Verified by Visa (VbV), aceast marc fiind prezent pe siturile comercianilor ai

cror acceptatori au aderat la protocol. MasterCard ofer ns sub marca proprie de

SecureCode un numr de trei protocoale de autentificare distincte, la alegere

pentru acceptatori protocolul SPA/UCAF (primul care a purtat marca), protocolul

CAP derivat din primul, i implementarea proprie a protocolului 3-D Secure.

Spre deosebire de SET, protocoalele 3-D Secure i SPA/UCAF nu mai impun

certificate de autenticitate pentru toate prile, ceea ce reprezint o mare

simplificare. Autentificarea deintorului de card se face n timpul tranzaciei de ctre

emitentul acestuia numai pe baza numelui i a unui cuvnt de control (password)

sau PIN (sau prin alte metode, la alegerea emitentului), certificatul de autenticitate

al cumprtorului nemaifiind strict necesar.

n cele ce urmeaz vom face o scurt prezentare a celor trei protocoale,punnd un accent ceva mai mare pe 3-D Secure, dup care vom face o scurt

comparaie ntre protocoalele 3-D Secure i SecureCode (SPA/UCAF).

a) Protocolul SET

7/31/2019 ePCap6

25/50



Acest protocol (11) foloeste certificate de autenticitate i genereaz diverse

chei pentru deintorul de card, pentru comerciant i pentru poarta de acces

(gateway) la sistemul de pli prin carduri. Poarta de acces se afl la nivelul

acceptatorului care are legatura cu sistemul de pli prin carduri i reprezint punctul

de acces din Internet n acceptator i mai departe n sistemul de carduri.

Certificatele de autenticitate sunt generate de Autoriti de Certificare diferite,aflate ntr-o ierarhie, la vrful creia se afl o autoritate rdcin care aparine

consoriului SET, numit SETCo. Aceast rdcin va certifica Autoritile de

Certificare ale sistemelor de carduri (Visa, MasterCard) care, la rndul lor, vor

certifica emitenii i acceptatorii.

Fiecare emitent va fi apoi Autoritatea de Certificare pentru deintorii lui de

carduri, i cardurile lor, iar fiecare acceptator va fi Autoritatea de Certificare pentru

comerciani i porile lor de acces (de la serverul de gzduire la acceptator).

n prima faz a tranzaciei prile se autentific ntre ele deintorul de card

cu comerciantul (opional), deintorul de card cu poarta de acces (opional),

comerciantul cu deintorul de card (obligatoriu), i comerciantul cu poarta de acces

(obligatoriu).

n a doua i ultima faz are loc autorizarea tranzaciei n care, n maniera deja

descris, datele cardului ajung la acceptator care formuleaz o cerere de autorizare

ctre emitent, al crui rspuns l trimite apoi ctre calculatorul deintorului de card

trecnd prin poarta de acces i serverul de gzduire a sitului comerciantului.

7/31/2019 ePCap6

26/50



n figura 6.3 se prezint schema de principiu a protocolului SET. O variant

simplificat a acestui protocol, numit 3-D SET (server based), care nu mai

pstreaz certificatul cumprtorului n calculatorul lui personal (fcnd astfel

posibil cumprarea i de la alte puncte de acces la Internet), nu s-a bucurat nici ea

de succes, rmnnd n continuare complicati scump.

b) Protocolul 3-D Secure

Ca urmare a rspndirii reduse a protocolului SET, un protocol foarte sigur dar

complex i scump, Visa introduce n 2001 propriul protocol numit 3-D Secure, mai

simplu i mai uor de implementat, bazat pe un model de sistem de securitate care

cuprinde trei domenii (12). Scopul celor trei domenii este acela de a defini clar

responsabilitile prilor implicate n tranzacie. Cele trei domenii sunt Domeniul

Emitentului, care cuprinde deintorii de card i emitenii cardurilor lor; Domeniul

Acceptatorului, care cuprinde comercianii i acceptatorii lor; i Domeniul de

Interoperabilitate, care asigur comunicarea ntre emiteni, acceptatori i sistemul

Visa. Protocolul asigur autentificarea numrului de card, a deintorului de card, i a

comerciantului, la fiecare tranzacie.

n modelul celor trei domenii, 3-D, la tranzacia de plat autentificat particip

direct emitentul cardului i comerciantul. n momentul n care cumprtorul iniiaz

plata, comerciantul (modulul de 3-D Secure din situl lui) va cere mai nti

autentificarea numrului cardului iar apoi va cere emitentului s-i autentifice

deintorul de card. Dup ce va primi autentificarea semnat, va urma autorizarea

normal a plii (trimite la emitent, prin sistem, o cerere de autorizare, etc).

Comerciantul va ncepe deci ntotdeauna prin a cere emitentului s-i autentifice mai

nti cardul i deintorul de card.

Deintorul de card trebuie s se nregistreze (enrollment) n sistem la

emitentul su i s-i declare cel puin un nume i o parol prin care emitentul poate

s-l autentifice n momentul tranzaciei, trimind apoi aceasta autentificare

comerciantului. Protocolul las libertatea emitentului de a alege i alte metode de

autentificare a deintorului de card care s arate, n momentul efecturii tranzaciei,c este deintorul legitim al cardului cu care se face plata. Emitentul poate astfel

cere deintorului de card s dispun de un certificat propriu de autenticitate, s

foloseasc un card inteligent (printr-un cititor cuplat la calculatorul personal) ca

depozitar sigur al identitii, sau s foloseasc metodele de autentificare din serviciile

7/31/2019 ePCap6

27/50



bancare electronice (eBanking) proprii. Uzual ns deintorul de card e autentificat

de emitent doar prin nume i parol.

Dup ce l autentific, emitentul va genera un rspuns semnat electronic (un

certificat de autentificare a deintorului de card) pe care l trimite comerciantului

pentru a-i confirma autenticitatea deintorului de card, iar comerciantul va putea

trece la faza de autorizare normal a tranzaciei.Deintorul de card este liber s-i instaleze i un portofel electronic, ePortofel

(eWallet), care va conine informaiile de identitate (nume, adres, parol, etc) i

cele de card (tip card, numr card, dat de expirare) i care i poate servi la

automatizarea procesului de completare a formularului de plat (form filling) i la

pstrarea chitanelor pentru tranzaciile efectuate.

Emitentul dispune de un serviciu de nregistrare n sistemul 3-D Secure a

cardurilor i deintorilor de card (nregistrarea se poate face i prin Internet)

pstrnd ntr-un server de nregistrare (Enrollment Server) numerele de card,

numele i parola deintorilor participani. Emitentul mai dispune i de un server de

control al accesului (ACS, Access Control Server) care are rolul de a primi cererile de

autentificare a cumprtorului venite de la comerciani, de a face autentificarea

acestuia verificnd numrul de card, numele i parola (sau o alt metod), i de a

trimite rspunsul semnat napoi la comerciant.

n domeniul de interoperabilitate Visa (sau MasterCard, care a aderat la

sistem) dispune de un Director (Directory Service) care este un server central pe

Internet (ce dispune de un certificat de autenticitate) n care se pstreaz numerele

de card ale tuturor cardurilor nregistrate n sistemul 3-D Secure (nscrise de

emiteni) precum i adresele de Internet (URL) ale serverelor de control al accesului

(ACS) ale emitenilor cardurilor nregistrate. n acest Director se pstreazi o

arhiv a tuturor autentificrilor date de emiteni, pentru a servi rezolvrii unor

eventuale dispute.

n domeniul acceptatorului, acceptatorii trebuie s dispun de o poart de

acces (payment gateway) la sistemul de plat prin carduri Visa/MasterCard, iar

comercianii lor trebuie s-i instaleze, pe lng (sau n locul, dac i preia funciile)

modulul client de eComer, i un modul de 3-D Secure care poart numele standardde MPI (Merchant Plug-In module), adic modul de comerciant 3-D Secure instalat n

sit. Acest modul de comerciant 3-D Secure va genera cereri de autentificare a

cardului i a cumprtorului ctre emitent, prin intermediul Directorului, iar dup

primirea rspunsului va trimite cererea de autorizare a tranzaciei ctre poarta de

acces a acceptatorului (prin intermediul modului client de eComer) care, la rndul

7/31/2019 ePCap6

28/50



lui, o va trimite mai departe n sistemul de carduri prin acceptator. n cursul acestei

operaii modulul MPI al comerciantului se va autentifica fa de Director printr-un

certificat de autenticitate sau, mai simplu, printr-un password, iar Directorul va face

acelai lucru fa de comerciant. n felul acesta are loc, la fiecare tranzacie, i o

autentificare a comerciantului. Dup primirea rspunsului de autorizare, modulul

comerciantului va trimite cumprtorului o pagin cu un raport asupra efecturiitranzaciei. n cazul n care tranzacia este iniiat de un card care nu este nregistrat

n sistemul 3-D Secure, comerciantul va putea sri peste etapa de autentificare a

cumprtorului i va trece direct la autorizare, sau va respinge tranzacia, dup cum

a ales acceptatorul.

Figura 6.4 prezint schema de principiu a domeniilor protocolului 3-D Secure.

Mesajele privind autentificarea circul ntre Domeniile emitentului i acceptatorului n

cadrul Domeniului de interoperabilitate, i au loc prin Internet. Mesajele prin care se

face autentificarea deintorului de card circul ntre acesta i emitentul su, n

cadrul Domeniului emitentului. Mesajele prin care se cere autorizarea tranzaciei i

se face procesarea plii circul ntre comerciant i acceptatorul su, n cadrul

Domeniului acceptatorului, iar aceleai mesaje dar care se schimb ntre acceptator

i emitent n vederea realizrii autorizrii i procesrii plii, circul n cadrulDomeniului de interoperabilitate prin sistemul de carduri (VisaNet, BankNet).

Legturile prin Internet sunt legturi sigure, efectuate prin protocolul SSL, n care

fiecare entitate server dispune de un certificat de autenticitate iar mesajele sunt

criptate. n capitolul 6.6 vom prezenta anatomia unei tranzacii de eComer care

folosete protocolul 3-D Secure. Comerciantul nu are acces la datele cardului de

7/31/2019 ePCap6

29/50



plat, care nu sunt stocate pe situl su, i poate vedea numai verdictul final de

autentificare dat de emitent autentificat sau neautentificat.

Protocolul 3-D Secure verific esenialmente autenticitatea cardului i a

deintorului de card i d astfel comerciantului ncrederea c va fi pltit dup ce va

livra produsele comandate. Protocolul poate fi folosit n principiu i pe alte canale de

plat telefoane mobile, asisteni digitali personali (PDA) sau televiziunea digitalprin cablu.

Visa estimeaz c introducerea protocolului va diminua cu pn la 80%

numrul de tranzacii disputate. Pentru a ncuraja rspndirea protocolului n

rndurile membrilor si, Visa a stabilit, pentru regiunea CEMEA n care se afli

Romnia, termenul de aprilie 2003 ca un moment dincolo de care rspunderea (pn

la acea dat mprit ntre emitent i acceptator, n funcie de circumstane) n cazul

unei pierderi datorate unei fraude n comerul electronic va reveni acelei pri care

nu a implementat protocolul (liability shift). n SUA pn n 2004 protocolul a fost

deja adoptat de 80% din bnci, iar n Europa de peste 100 de bnci i peste 10.000

de comerciani.

c) Protocolul SecureCode

Sub denumirea de SecureCode, MasterCard ofer membrilor si trei protocoale

de autentificare a deintorului de card protocolul SPA/UCAF, protocolul CAP care

este o variant a primului, i protocolul 3-D Secure n versiunea MasterCard.

Asemeni lui Visa i tot n 2001, MasterCard anun protocolul SPA (Secure

Payment Application) bazat pe utilizarea unui mecanism de transport de date prin

reeaua sa (BankNet), denumit UCAF (Universal Cardholder Authentification Field)

care transport un aa numit semn de autentificare (authentication token) utilizat

pentru a indica autentificarea deintorului de card care a fcut tranzacia, motiv

pentru care este numit SPA/UCAF. Protocolul CAP (Chip Card Authentication

Program) este o variant a SPA pentru plata cu carduri inteligente i presupune de

regul cuplarea la calculator a unui cititor de astfel de carduri. MasterCard adopt

apoi n 2002 protocolul 3-D Secure ntr-o variant proprie i l prezint tot sub

denumirea generic de SecureCode. Acceptatorii MasterCard au libertatea de a-ialege tipul dorit de protocol.

n cele ce urmeaz vom face o scurt prezentare a protocolului SPA/UCAF

(13). Protocolul cere participarea direct a emitentului care autentific cumprtorul

i a comerciantului care dispune de un modul client de eComer specific SPA, i

impune ca fiecare cumprtor deintor de card s-i instaleze n calculatorul su un

7/31/2019 ePCap6

30/50



portofel electronic care i va servi la autentificare i la efectuarea plii. Acest

program (numit i SPA applet) are att funcia de ePortofel care deine datele de

identificare i de card de plat, ct i aceea de a interaciona cu comerciantul i cu

emitentul cardului.

Emitentul dispune de un server de ePortofel (wallet server, sau SPA server) i

distribuie cumprtorilor care se nregistreaz cte un ePortofel pe care acetia i-linstaleaz apoi n calculatorul lor personal. n momentul nregistrrii (enrollment)

cumprtorul i va defini i o parol, sau un PIN, dup care va fi autentificat ulterior.

Cnd va ncepe tranzacia, ePortofelul se va activa i va cere deintorului de card

s se autentifice printr-un formular (se cere parola) dup care se va conecta la

emitent pentru a-i trimite aceste date i a-i cere o dovad a autentificrii. Serverul

emitentului va verifica datele introduse cu cele pstrate la momentul nregistrrii n

sistem i va genera un mesaj cu un semn de autentificare (authentication token)

pe care l va ntoarce ePortofelului. Acest semn de autentificare poart numele de

AAV (Accountholder Authentication Value), valoarea de autentificare a deintorului

de cont de card, i arat, n esen, dac parola introdus este corect, caz n care

deintorul de card este declarat autentic.

Comercianii au un modul client de eComer, specific protocolului, care le este

furnizat de acceptatorul participant la sistem. Acest modul interacioneaz cu

cumptorii i cu ePortofelele lor, precum i cu poarta de acces (unde e modulul

server de eComer) a acceptatorului. Cnd cumprtorul va declana cumprtura,

comerciantul va adauga la datele tranzaciei i semnul de autentificare (ce se va

pstra n cmpul UCAF din structura mesajelor care circul prin reeaua BankNet a

MasterCard), i va trimite totul ctre acceptator. Acesta va trimite mai departe

cererea de autorizare a tranzaciei i semnul de autentificare, prin reea la emitent.

Emitentul va compara semnul de autentificare primit cu cel pe care l-a generat

anterior n momentul autentificrii cumprtorului i dac acestea coincid, trece la

procedura de autorizare, ca urmare a creia napoiaz acceptatorului un rspuns la

cererea de autorizare.

7/31/2019 ePCap6

31/50



n figura 6.5 se prezint simplificat modul de desfurare a unei tranzacii deeComer realizate prin tehnologia MasterCard SecureCode, cu protocolul SPA/UCAF.

Tranzacia se desfoar, n mare, n felul urmtor.

ePortofelul cumprtorului detecteaz automat (pas 1) un sit de comerciant

membru al sistemului, citete date (pas 2) referitoare la formularul de comandi

identitatea comerciantului de pe situl acestuia, i n momentul iniierii cumprturii,

realizeaz o procedur de cerere de date de autentificare (pas 3) de la cumprtor,

dup care trimite (pas 4) datele asupra tranzaciei i cele de autentificare furnizate

de cumprtor, ctre serverul de ePortofele al emitentului. Emitentul autentific

cumprtorul i genereaz (pas 5) semnul de autentificare (valoarea AAV) pe care l

trimite (ca pe un certificat de autenticitate) ePortofelului. ePortofelul va transmite

acest semn ctre comerciant i va completa automat toate datele din formularul de

comand al comerciantului (pas 6). Comerciantul va trimite (pas 7) o cerere de

autorizare a tranzaciei, mpreun cu semnul de autentificare (memorat n mesajele

ce conin cmpul UCAF, ale sistemului), ctre acceptator, care o va expedia (pas 8)

mai departe prin reeaua BankNet a MasterCard ctre emitent, pe calea de

autorizare. Emitentul va compara semnul de autentificare primit acum cu cel generat

n pasul 5 i dac acestea coincid va executa procedura de autorizare i va expedia(pas 9) rspunsul de autorizare ctre acceptator, de unde va ajunge (pas 10) la

comerciant. Comerciantul va memora rspunsul i tranzacia, i va afia (pas 11)

prin navigatorul cumprtorului, un raport cu rezultatul tranzaciei, care se va

memora i n ePortofel.

7/31/2019 ePCap6

32/50



d) O scurt comparaie a protocoalelor 3-D Secure i SPA/UCAF

Ambele protocoale sunt mai simple i mai ieftin de implementat dect

protocolul SET, ns acesta din urm asigur maxima securitate. Ambele protocoale

fac autentificarea cumprtorului deintor de card de regul prin parol (singurul

secret ce dovedete autenticitatea), care e verificat de emitentul cardului, dar

emitenii sunt liberi s-i aleagi alte metode de autentificare ntruct ei genereazdecizia final prin care cumprtorul este declarat autentic i legal deintor al

cardului. n ambele protocoale emitenii trebuie s dispun de programe specializate

specifice protocolului (server de acces i eventual, de nregistrare, la 3-D Secure, i

server de ePortofele la SPA/UCAF), iar comercianii trebuie s-i instaleze un modul

client de asemeni specific protocolului. Ambele protocoale asigur un eComer global,

internaional, prin faptul c se bazeaz pe sistemele de carduri Visa i MasterCard

care realizeaz pli transfrontaliere.

Protocolul SPA/UCAF este mai simplu i mai rapid dect 3-D Secure, pentru c

n acesta din urm autentificarea se desfoar n mai muli pai i sunt schimbate

mai multe mesaje, toate prin Internet. Deasemeni n 3-D Secure autentificarea se

face la fiecare tranzacie, n vreme ce la SPA/UCAF autentificarea se obine o singur

dat ntr-o sesiune de cumprturi, la nceputul ei, iar rezultatul este pstrat n

ePortofel ceea ce permite efectuarea unei serii ntregi de cumprturi la mai multe

situri de comerciani, fr ca autentificarea s se mai fac pentru fiecare tranzacie.

n 3-D Secure comerciantul se autentific explicit fa de Directorul sistemului

n vreme ce la SPA/UCAF comerciantul se autentific implicit, doar prin faptul c are

un modul client specific care e recunoscut de ePortofel.

Sistemul 3-D Secure este un sistem centralizat, n care toate cererile de

autentificare ale tuturor comercianilor trec printr-un Director central, aflat n

legatur cu toi emitenii i toi acceptatorii participani la sistem, n vreme ce

sistemul SPA/UCAF este descentralizat, iar o autentificare implic numai comunicarea

direct ntre cumprtor i emitentul su, neexistnd conceptul de Director.

n sistemul SPA/UCAF verdictul de autenticitate, pstrat n semnul de

autentificare (authentication token), este ataat explicit fiecrei tranzacii,

cltorete cu aceasta i e pstrat mpreun cu ea, ceea ce reprezint un lucru util nrezolvarea eventualelor dispute, n vreme ce n 3-D Secure acest lucru nu se

ntmpl.

Deosebirea esenial ntre cele dou protocoale const n faptul c, n cazul lui

3-D Secure, cumprtorul nu trebuie s fac nici o modificare n calculatorul su

7/31/2019 ePCap6

33/50



personal, n vreme ce n cazul lui SPA/UCAF acesta trebuie s cear de la emitentul

lui un program (ePortofel sau SPA applet) pe care trebuie si-l instaleze singur.

Concluzia final pn n acest moment este aceea c avantajul oferit de

3-D Secure prin faptul c deintorul de card nu trebuie s aduc nici o modificare n

calculatorul su personal, depete dezavantajele pe care le poate avea fa de

SPA/UCAF, iar acest lucru l face s tind s devin un standard de facto alautentificrii n eComerul prin Internet. Faptul c MasterCard a adoptat 3-D Secure

i-l prezint sub marca proprie este o dovad n acest sens.

6.6. Anatomia unei tranzacii de eComer care folosete

protocolul 3-D Secure

Pe baza figurii 6.4 care descrie domeniile protocolului 3-D Secure, n figura 6.6

se prezint anatomia unei tranzacii de eComer care folosete acest protocol.

Schema din figura 6.6 este aceiai i pentru Visa i pentru MasterCard, Directorul din

sistem, i sistemul de carduri, putnd aparine lui Visa sau lui MasterCard (i altor

sisteme ce ader la acest protocol, cum e cazul sistemului de carduri JCB). n

prezent exist n paralel un Director Visa i un Director MasterCard.

7/31/2019 ePCap6

34/50



Tranzacia din figura 6.6 este iniiat de un card prin intermediul unui calculator

personal cuplat la Internet care dispune de un navigator major (Internet Explorer

sau Netscape). Legturile prin Internet folosesc protocoale SSL sau TLS i sunt

legturi sigure, adic confidenialitatea transmisiunii, integritatea mesajelor i

autentificarea serverului sunt toate asigurate. Comerciantul se poate autentifica fa

de Director printr-un certificat, sau printr-un identificator de comerciant (merchantID) i o parol (password) ce i-au fost alocate de acceptator, dup ce a fost verificat

i acceptat de acesta prin contractul de comerciant pe Internet, iar acceptatorul i-a

instalat pe sit un modul de comerciant 3-D Secure (MPI), alturi de (sau integrat cu)

modulul client de eComer.

Deintorul de card care dorete s fac tranzacii sigure de eComer folosind

protocolul 3-D Secure, se adreseaz n acest scop emitentului su. Emitentul, care

alege metoda de autentificare pe care o va aplica la momentul tranzaciei

deintorului de card, stabilete mpreun cu acesta datele de autentificare, de

exemplu numele nscris pe card i o parol. Emitentul ar fi putut cere deintorului

de card s-i cumpere un certificat de autenticitate i s-l instaleze n calculator, sau

s foloseasc un card inteligent (de exemplu Visa VSDC) prin intermediul unui cititor

de carduri inteligente cuplat la calculatorul su personal. Apoi emitentul, dup

verificarea datelor deintorului, va nscrie numrul de card n Directorul sistemului

3-D Secure indicnd i identitatea sa de emitent i adresa de Internet (URL) a

serverului su de control de acces, ACS. Din acest moment deintorul de card i

cardul su sunt verificai i nregistrai (enrolled) n sistemul 3-D Secure. n

descrierea care urmeaz vom presupune c deintorul de card nregistrat se

autentific fa de emitent prin nume i parol.

Din clipa n care cumprtorul, dup ce a ajuns pe situl comerciantului, a ales

produsele i le-a pus n coul de cumprturi, apas pe butonul care declaneaz

cumprarea, mesajele circul ntre prile implicate dup cum urmeaz:

Pas 1. Datele privind tranzacia de plat (de identitate deintor, i de card, suma,

etc) sunt n posesia comerciantului, care le nregistreaz (dar nu le poate accesa).

Pas 2. Modulul de comerciant 3-D Secure, MPI (Merchant Plug-In), din situl

comerciantului stabilete o legtur SSL/TLS cu Directorul sistemului i i trimiteacestuia numrul de card (PAN-ul) n vederea declanrii autentificrii cardului i a

deintorului de card. Modulul MPI se va autentifica fa de Director.

Pas 3. Directorul va cerceta n evidena proprie dac numrul de card implicat n

plat este nregistrat, i dac este, determin emitentul i adresa de Internet (URL) a

serverului de control de acces (ACS) al emitentului. Dac cardul deintorului nu este

7/31/2019 ePCap6

35/50



nregistrat n sistemul 3-D Secure, Directorul va trimite un mesaj corespunztor

ctre modulul MPI al comerciantului, iar acesta va sri peste autentificare i va trece

la autorizarea tranzaciei (pasul 5), realiznd o tranzacie de eComer fr

autentificarea deintorului de card. Dac cardul este nregistrat, Directorul va

verifica cu serverul de control acces al emitentului dac exist o metod de

autentificare pentru card.Pas 4. Serverul de control acces al emitentului verific dac numrul de card este

ntr-adevr cel generat de emitent i dac exist metod de autentificare pentru acel

numr de card, dup care trimite rspunsul napoi la Director.

Pas 5. Directorul trimite mai departe rspunsul primit ctre modulul de comerciant,

MPI. Dac modulul constat din rspuns c metoda de autentificare nu este

disponibil pentru acel numr de card (din variate motive), va trece imediat la

autorizarea tranzaciei, srind din nou peste autentificare.

Pas 6. Dac autentificarea se face, modulul MPI va expedia acum o cerere de

autentificare a deintorului de card ctre serverul de control acces ACS al

emitentului cardului. Aceasta se face pasnd adresa de Internet a serverului ACS

ctre navigatorul din calculatorul deintorului de card i redirecionndu-l (legtur

SSL/TLS) ctre serverul ACS al emitentului.

Pas 7. Serverul ACS recepioneaz cererea de autentificare i ncepe procedura de

autentificare.

Pas 8. Serverul ACS ncepe un dialog cu deintorul de card (prin afiarea unui

formular marcat ca aparinnd emitentului) prin care i cere acestuia numele i

parola. Dup autentificare serverul ACS va forma un mesaj de rspuns de

autentificare, pe care l semneaz cu semntura sa electronic pentru a garanta

integritatea i autenticitatea mesajului.

Pas 9. Serverul ACS va trimite acest mesaj ctre navigatorul calculatorului

deintorului de card pe care l va direciona napoi ctre modulul MPI al

comerciantului. n acelai timp va trimite datele de autentificare i ctre Directorul

sistemului pentru a fi pstrate n arhiva de autentificri a acestuia. Aceast arhiv a

Directorului este disponibil (accesul se face dup o autentificare) emitenilor i

acceptatorilor n cazul n care ntre acetia se declaneaz o disput privind vreoiregularitate n desfurarea tranzaciei.

Pas 10. Modulul MPI din situl comerciantului recepioneaz mesajul de rspuns la

cererea de autentificare.

Pas 11. Modulul MPI valideaz semntura electronic a serverului ACS al emitentului

i verific integritatea mesajului.

7/31/2019 ePCap6

36/50



Pas 12. Dac autentificarea deintorului de card a fost pozitiv, modulul MPI va

trece controlul ctre etapa de autorizare a tranzaciei, n care se generaz o cerere

obinuit de autorizare care se trimite (legtura SSL/TLS) porii de acces a

acceptatorului. Acceptatorul va obine prin sistemul de carduri un rspuns de

autorizare de la emitentul cardului, pe care l va trimite apoi modulului client de

eComer din situl comerciantului, iar acesta la rndul su va afia, prin navigatorulcalculatorului cumprtorului, o pagin cu raportul privind desfurarea tranzaciei,

acest raport fiind echivalent unei chitane.

6.7. Exemple de comer electronic actual. Piee electronice,

licitaii, furnizori de servicii de pli pe Internet

Cele prezentate n subcapitolele anterioare reprezint modele descriptive i

explicative a cror menire este de a permite nelegerea mecanismelor principale prin

care se efectueaz comerul electronic. Sistemele reale existente s

epcap6

Documents