COMPUTERWORLD
Specializovaný týdeník o výpočetní technice
o Internetu
(CW 19/97)

Jak je to vlastně s obchodem na Internetu?

Pavel Houser

Především je potřeba si ujasnit pojmy

Standard SET je aplikace navržená tak, aby umožňovala spolupráci bank, držitelů platebních karet a obchodníků

Rozvoj elektronického obchodu je v kritickém bodě. Spotřebitelská poptávka po bezpečném elektronickém nakupování je velmi vysoká. Obchodníci chtějí jednoduché a levné metody pro provádění elektronických transakcí. Finanční instituce potřebují definovat požadavky na dodavatele softwaru. Je třeba motivovat asociaci bankovních karet k vydání specifikací pro bezpečné platby a současně respektovat a zachovat vztah mezi obchodníky, držiteli karet a příslušnými bankami.

O čem je vlastně řeč?

Elektronický obchod, transakční aplikace, obchodování po Internetu, elektronická komerce... Mnoho pojmů, které se zčásti překrývají a v nichž je zmatek. Ten navíc umocňuje skutečnost, že pojmy vznikly z anglických ekvivalentů, různě překládaných, eventuálně také nepřekládaných.

Co lze nazývat obchodem po Internetu?

Elektronický obchod je termín sice často používaný, ale současně nejednoznačný. Může znamenat i záležitosti okolo platebních karet (což s Internetem prakticky nesouvisí) nebo prodej softwaru po Síti, kde proces platby s Internetem opět nemusí mít už nic společného. Elektronická komerce zase může obnášet i komerční využití Internetu obecně, např. jako reklamního média. Termín transakční aplikace zní hezky, ale opět asi není nejšťastnější. Proto bude nadále řeč o obchodování na Internetu.

Jak to souvisí s platebními kartami?

Jednoduše tak, že při některých operacích napíšete číslo (heslo, prostě rozhodující informaci) své karty a pošlete je po Síti. I v případě použití protokolu secure http však může být informace zachycena a zneužita. V okamžiku, kdy informace dojde, bude si obchodník chtít zřejmě většinu údajů ověřit. Banka, jež s ním má uzavřenou smlouvu, mu sdělí, zda lze transakci provést (nikoliv výši účtu či jméno klienta). Obchodník nemá žádnou možnost zjistit, zda údaje ve vyplněném dotazníku souhlasí a riziko eventuální reklamace nese pouze on.

Tato situace není ideální -- dokonce ani za předpokladu, že obchodník s reklamacemi již počítá. Uveďme si jeden příklad za všechny: Po Internetu byl distribuován software, přičemž sdělení čísla karty předcházelo stažení programu. Většina kupujících se zachovala nepoctivě a uvedla číslo karty falešné. Provedené platby byly tudíž často reklamovány. Tento fakt nebyl pro obchodníka ještě nijak osudný; s distribucí nebyly spojené téměř žádné zvláštní náklady a i zlomek tržeb byl z tohoto důvodu pro něj ziskem.

Situace se ovšem naopak ukázala být neúnosnou pro banku, která musela neustále vyřizovat reklamace malých částek a služba z tohoto důvodu zanikla. Ukázalo se, že tudy cesta nevede.

Co je to SET?

SET je zkratka, která znamená Security Electronic Transaction. První návrh specifikace SET je starý již dva roky. Finální podoba verze 1.0 by měla být přijata v polovině tohoto roku.

Specifikace SET vychází ze situace naznačené v úvodu článku.

V dalším výkladu se budu opírat o informace, jež mi poskytl pan Erik Štěrba, který v ČSOB zastává funkci vedoucího vývoje v oboru platebních karet a byl tak laskav, že se pokusil vnést do celé záležitosti trochu světla.

SET vychází ze skutečnosti, že Internet není sítí, kde by existovala dostatečná bezpečnost -- tu je proto nutné vytvořit až na úrovni aplikace.

Aplikace je navržena tak, aby umožňovala spolupráci bank, držitelů kreditních karet (plátců) a obchodníků.

Požadavky, které jsou kladeny na internetový obchod, se přitom nijak neliší od jakékoliv jiné výměny dat, jimž přisuzujeme velkou důležitost. Jedná se o důvěrnost informace o platbě, celistvost (integritu) přenášených dat, autentifikaci zákazníků, obchodníků a zúčtovatelských bank. V rámci SET jsou definovány nezbytné algoritmy i protokoly, systém je otevřen vůči různým platformám.

Uvedených cílů se dosahuje standardními metodami, tj. kódováním, digitálním podpisem a certifikačními autoritami.

Na chvilku se zastavíme u kódování. V tomto případě vystupují do popředí přednosti asymetrického kódování, které umožňuje, aby tajný klíč měla k dispozici pouze jedna konkrétní osoba. Systém je rovněž otevřený pro nově přistupující uživatele služby. Záležitostem kódování je ve specifikaci SET samozřejmě přikládána velká pozornost (jak se vyrovnat s budoucím zrychlováním procesorů?). Zájemce o tuto problematiku a její matematický popis lze odkázat na stránku RSA (http://www.rsa.com).

Účastníkem obchodování přes Internet je držitel karty (respektive majitel účtu), banka, která vydala kartu, obchodník a zúčtovatelská banka obchodníka. V SET už není nezbytně nutné explicitně zadávat číslo karty z klávesnice, protože přiřazení účastníka konkrétní odeslané objednávce je automatické.

Námitka proti otevřenosti systému může znít takto: obchodník přece nemůže mít ověřené všechny potenciální partnery (nemůže mít všechny veřejné klíče). Vlastní však veřejné klíče certifikačních autorit, od nichž potom získá i veřejný klíč zákazníka. Je ovšem pravda, že vícestupňové procesy jsou obecně méně spolehlivé.

Záležitosti autentifikace se mohou leckdy zdát příliš složité a komplikující transakci. Pokud se platba vede v nižších částkách, lze předpokládat, že metody ověření mohou být podstatně jednodušší. Proto se takový význam přikládá programům, které umožňují platbu co nejmenších částek (což navíc umožňuje platit nejen za zboží, ale i za informace -- platba "per click" u stránek médií).

Kontrola

Banka potřebuje pro reklamační účely vědět, jaký druh zboží byl během transakce prodán. Obchodník ovšem nestojí o to, aby banka znala detailně jeho aktivity. O druhu zboží je proto informován pouze nakupující, banka však má k dispozici jednoznačné přiřazení pomocí identifikačního čísla.

Chyby a reklamace

V případě reklamace je odpovědnost opět na obchodníkovi. Lze však zjistit, zda klient potvrdil nákup určitého zboží digitálním podpisem. Poněvadž je objednávka nyní jednoznačně přiřaditelná konkrétní osobě, může být postižen i zákazník -- vyloučením ze systému, ztrátou pověsti, vymáháním dlužné částky (je-li karta kreditní). Zde je samozřejmě markantní rozdíl mezi standardními západními státy a situací u nás. Banka přirozeně nemá zájem na celém řetězci reklamací a sporů, snaží se pouze zprostředkovat platbu.

Problematika akcií

Nejproblematičtější částí obchodování přes Internet je obchod s cennými papíry, jejichž cena není dopředu dána a tvoří se podle aktuálního poměru nabídky a poptávky. Zatímco ostatní transakce jsou v zásadě vratné, v tomto případě podobné řešení neexistuje. Transakce, uznané jako neplatné, samozřejmě ovlivní i ceny akcií při transakcích platných.

Závěr?

Na rozdíl od jiných prostředků je SET komplexní systém, zprostředkující po Internetu informace související s platbami za zboží. Za předplokladu bezpečnosti asymetrického kódování je i spolehlivým prostředkem umožňujícím určit, kdo a za co platí a kdo platbu garantuje. Pro úspěšné uvedení do života potřebuje kromě implementace souvisejícího softwaru též legislativní podporu institutu digitálních podpisů a ustanovení certifikačních úřadů.

O zřízení bankovních služeb přes Internet ještě v tomto roce uvažuje podle údajů společnosti Datapro 36 % amerických peněžních domů.


| <<< | CW o Internetu | COMPUTERWORLD | IDG CZ homepage |