CyberCash Secure Internet Payment System

Od kwietnia 1995 r. istnieje możliwość dokonywania płatności za pomocą kart kredytowych w oparciu o system CyberCash (http://www.cybercash.com). System wykorzystuje silną kryptografię do ochrony danych w trakcie zawierania transakcji. CyberCash realizuje bezpieczny protokół dla zakupów wykorzystujących karty płatnicze w Internecie, bazując na istniejącej infrastrukturze rozliczeń transakcji kartowych.

Odmiennie do protokołu SSL, chroniącego całą sesję internetową, protokół CyberCash chroni te elementy transakcji, które dotyczą zapłaty kartą płatniczą. Kluczową różnicą pomiędzy bezpieczną sesją internetową a bezpiecznym protokołem płatności jest to, że ta pierwsza chroni przekaz danych przed intruzami, podczas gdy drugi zapewnia metodę komunikacji gwarantującą zapłatę sprzedawcy i ochronę poufności numeru karty płatniczej dla klienta.

Protokoły bezpiecznej sesji typu SSL pozostawiają szczegóły realizacji płatności, takie jak numer i data ważności karty, niechronione przed sprzedawcą i tylko reputacja, lojalność i uczciwość sprzedawcy może w tym przypadku zaowocować uzasadnionym uzyskaniem i utrzymaniem zaufania klienta. Gwarancja ochrony i poprawnego użycia numeru karty, przekazanego w zaufaniu przez klienta, w takiej sytuacji nie istnieje! Nieostrożny albo nieświadomy właściciel sklepu internetowego może dopuścić do wykradzenia poufnych informacji o kartach klientów ze swojego serwera. Historia e-commerce pokazuje, że takie wpadki mogą przydarzyć się nawet wielkim i popularnym sprzedawcom w Sieci.

W systemie CyberCash szczegóły dotyczące karty płatniczej klienta przepływają przez system sprzedawcy w sposób nie narażający poufności - są zaszyfrowane kluczem niedostępnym dla niego. Sklep pośredniczy w przekazie informacji o karcie, ale nie ma do nich dostępu. Bezpieczeństwo systemu gwarantuje użycie protokołu SSL z kluczem 128-bitów do ochrony łączności poprzez Internet i algorytmu 3DES do szyfrowania danych o rozliczanej transakcji.

CyberCash jest brokerem transakcji. Zarabia w sposób oczywisty dostarczając technologię i pośrednicząc w obsłudze transakcji. Opłata za zainstalowanie pakietu CyberCash Register, obsługującego w sklep internetowy, wynosi 495 US$, miesięczna rata za obsługę przez system to 20 US$, opłata za każdą transakcję wynosi 0.20 US$.

Początkowa identyfikacja stron transakcji opiera się na sprawdzaniu tożsamości sprzedawcy w oparciu o certyfikaty kluczy publicznych. Identyfikacyjna część transakcji zabezpieczona jest klasycznym protokołem SSL. Z chwilą, kiedy klient dokona końcowego wyboru, pozna listę i cenę swoich zakupów i zdecyduje się na zapłatę kartą, na ekranie jego przeglądarki automatycznie pojawia się formularz w którym podaje dane swojej karty i szczegóły dostawy. Zaszyfrowana informacja o transakcji (zamówienie i szczegóły płatności), poprzez Sieć dociera do modułu CashRegister serwera sprzedawcy. Tam jest uzupełniana o dane identyfikacyjne sklepu. Szczegóły płatności pozostają niedostępne dla sprzedawcy, dzięki zaszyfrowaniu kluczem publicznym serwera CyberCash. Jest to zabezpieczeniem przed nieuczciwymi sprzedawcami, którzy chcieliby wykorzystać do własnych transakcji numery kart kredytowych swoich klientów.

Całość informacji opisującej sklep i płatność poprzez Internet dociera do serwera CyberCash CashRegister. Tu odszyfrowana wiadomość, po sprawdzeniu wiarygodności zarówno klienta, jego karty płatniczej, jak również uprawnień sklepu internetowego, przekazana zostaje bezpiecznym kanałem transmisyjnym, poza Internetem, do banku handlowca. Ten dokonuje autoryzacji zlecenia zapłaty z bankiem klienta i akceptuje lub odrzuca transakcję. Akceptacja transakcji uruchamia przelew środków na konto handlowca. Informacja autoryzacyjna wraca do serwera CyberCash. Operacja kończy się zawiadomieniem handlowca o pozytywnym sfinalizowaniu transakcji. Cały proces zapłaty trwa nie więcej niż kilkadziesiąt sekund.

CashRegister może być wbudowany w większość systemów sklepów internetowych. System obsługuje wszystkie podstawowe karty kredytowe - Visa, MasterCard, American Express, Discover.

Istnieje możliwość ściągnięcia interfejsu sklepowego, tzw. Pakietu Łączącego (ang. Merchant Connection Kit) bezpośrednio ze strony CyberCash. Pakiet Łączący jest dostępny dla następujących platform: Microsoft NT Server, Solaris (platforma Sparc i Intel), HP-UX, AIX, True64Unix, SCO (OpenServer i Unixware), Red Hat Linux, BSDI, Free BSD.

System CyberCash CashRegister umożliwia trzy sposoby realizacji płatności:

• poprzez Pakiet Łączący (MCK) - klient odwiedza stronę sklepu, wybiera produkt i płaci poprzez wprowadzenie danych karty płatniczej do formularza przygotowanego przez sklep. Dane o karcie płatniczej docierają do serwera CyberCash poprzez serwer sklepu. Rozwiązanie takie jest polecane dla rozwiniętych i w pełni zautomatyzowanych witryn handlowych.

• poprzez API - sklep wprowadza dane dotyczące zapłaty do skryptu, który uruchamia na swoim serwerze. Ten sposób obsługi jest odpowiedni do realizowania okresowych płatności np. rachunków za abonament opłacany kartą. Plik z danymi personalnymi, adresem, numerem karty kredytowej jest wprowadzany jako wsad do skryptu, który następnie jest używany do uzyskania autoryzacji i obsługi okresowo powtarzanych transakcji.

• poprzez serwer administracyjny - w tym przypadku serwer sklepu loguje się do serwera administracyjnego E-Commerce Services Manager, dostępnego pod adresem http://cr.cybercash.com , podając swój login i hasło. W dostępnym w tym miejscu formularzu są wprowadzane dane o kliencie: imię i nazwisko, adres i numer karty płatniczej. Dane te są przekazywane do serwera CyberCash. Ten sposób obsługi płatności jest właściwy dla realizowania zamówień otrzymanych telefonicznie, faksem, pocztą zwykłą lub elektroniczną.

System CyberCash wykorzystuje około 23 tysiące firm na całym świecie. Miesięczny wolumen obsługiwanych transakcji sięga 10 milionów.

Andrzej Józef Majewski | opublikowane 16-11-2000 | wersja do druku