Захист системи електронних платежів

Порядок діяльності платіжної системи визначається її правилами, встановленими платіжною організацією відповідної платіжної системи.

Правила платіжної системи (крім внутрішньобанківських платіжних систем) мають встановлювати організаційну структуру платіжної системи, умови членства, порядок вступу та виходу із системи, принцип виконання документів на переказ, відповідно до визначеного пунктом 9.5 цієї статті, відкликання документів на переказ, порядок вирішення спорів, управління ризиками в системі, систем страхування, систему захисту інформації, порядок проведення реконсиляції та інші положення, визначені платіжною організацією.

Правила відповідної платіжної системи, а також договори, що укладаються між учасниками цієї платіжної системи (крім внутрішньобанківських платіжних систем), повинні передбачати порядок врегулювання неплатоспроможності та інших випадків нездатності виконання членами платіжної системи своїх зобов'язань.

Банк визначає умови та порядок функціонування власної внутрішньобанківської платіжної системи з урахуванням вимог закону та нормативно-правових актів Національного банку України.

Правила внутрішньодержавної платіжної системи та міжнародної платіжної системи, платіжною організацією якої є резидент, мають бути узгоджені платіжною організацією цієї платіжної системи з Національним банком України.

При проведенні переказу платіжні системи мають право здійснювати взаємозалік на основі клірингу або виконувати кожний документ на переказ окремо.

Для формування та обробки документів за операціями із застосуванням спеціальних платіжних засобів, документів на переказ, документів на відкликання платіжні системи, а також банки повинні використовувати системи захисту інформації та мають право використовувати спеціальні платіжні засоби, ідентифікатори держателя  спеціального платіжного засобу, програмно-технічні засоби і телекомунікаційні канали зв'язку.

Порядок використання платіжними системами, а також окремими банками платіжних інструментів, програмно-технічних засобів, систем захисту інформації та телекомунікаційних каналів зв'язку визначається правилами цих систем та відповідними договорами, з урахуванням вимог закону та нормативно-правових актів Національного банку України.[6]

Закон «Про захист інформації в інформаційно-телекомунікаційних системах»

В цьому Законі йдеться мова про регулювання відносини у сфері захисту інформації в інформаційних, телекомунікаційних та  інформаційно-телекомунікаційних системах.

Об'єктами захисту в системі являється інформація, яка обробляється в ній та програмне забезпечення, яке призначено для обробки цієї інформації.

Суб'єктами відносин, пов'язаних із захистом інформації в системах, є:

• власники інформації;
• власники системи;
• користувачі.

Порядок доступу до інформації, перелік користувачів та їх повноваження стосовно цієї інформації визначає власник інформації.

Порядок доступу до інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, перелік користувачів та їх повноваження стосовно цієї інформації визначається законодавством.

У випадках, передбачених законом, доступ до інформації в системі може здійснюватися без дозволу її власника в порядку, встановленому законом.

Відповідальність за забезпечення захисту інформації в системі покладається на власника системи.

Власник системи, в якій обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, утворює службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним.

Про спроби або факти несанкціонованих дій у системі щодо інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, власник системи повідомляє уповноважений орган у сфері захисту інформації.[5]

Закон України «Про банки і банківську діяльність»

Цей Закон визначає структуру банківської системи, економічні, організаційні і правові засади створення, діяльності, реорганізації і ліквідації банків. Метою Закону є правове забезпечення стабільного розвитку і діяльності банків в Україні, створення належного конкурентного середовища на фінансовому ринку, забезпечення захисту законних інтересів вкладників і клієнтів банків, створення сприятливих умов для розвитку економіки України та підтримки вітчизняного товаровиробника.

Принципи побудови системи захисту банківських документів складається з комплексу апаратно-програмних засобів захисту інформації та ключової інформації до них, а також технологічних й організаційних заходів.

Система захисту електронних банківських документів охоплює всі етапи розроблення, упровадження й експлуатації програмно-технічного забезпечення СЕП та інформаційних задач автоматизації банківської діяльності. Ця система визначає чіткий розподіл відповідальності на кожному етапі підготовки, оброблення та виконання електронних банківських документів на всіх рівнях.

Службові особи організації, які відповідають за захист електронних банківських документів, зобов'язані надавати письмові або усні відомості про стан засобів захисту та їх використання, а також про стан захисту інформації в програмному забезпеченні САБ (у тому числі системи «клієнт-банк»,а також інших систем, на які поширюються вимоги Національного банку щодо інформаційної безпеки), технологію оброблення електронних банківських документів в організації та систему захисту інформації під час їх оброблення на вимогу територіального управління /Центральної розрахункової палати Національного банку.

Організація зобов'язана повідомляти територіальне управління /Центральну розрахункову палату Національного банку про порушення роботи із засобами захисту протягом одного робочого дня. Орієнтовний перелік порушень в організації роботи із засобами захисту інформації Національного банку України.[2]

Закон України «Про захист інформації в автоматизованих системах»

Метою цього Закону є встановлення основ регулювання правових відносин щодо захисту інформації в АС за умови дотримання права власності громадян України і юридичних осіб на інформацію та прав доступу до неї, права власника інформації на її захист, а також встановленого чинним законодавством обмеження на доступ до інформації. Дія  цього Закону поширюється на будь-яку інформацію, що обробляється в АС. [4]

Закон України «Про електронний цифровий підпис»

Цей Закон визначає правовий статус електронного цифрового підпису та регулює відносини, що виникають при використанні електронного цифрового підпису.

Дія цього Закону не поширюється на відносини, що виникають під час використання інших видів електронного підпису, в тому числі переведеного у цифрову форму зображення власноручного підпису.

Електронний цифровий підпис підтверджено з  використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису Під час перевірки використовувався посилений сертифікат ключа, чинний на момент накладення електронного цифрового підпису. Особистий ключ підписувача  відповідає відкритому ключу, зазначеному у сертифікаті.

 Електронний підпис не може  бути визнаний недійсним лише через те, що він має електронну форму або не ґрунтується на посиленому сертифікаті ключа.

Електронний цифровий підпис призначений для забезпечення діяльності фізичних та юридичних осіб, яка здійснюється з використанням електронних документів.

Електронний цифровий підпис використовується  фізичними та юридичними особами – суб'єктами електронного документообігу для ідентифікації підписувача та підтвердження цілісності даних в електронній формі.

Використання електронного цифрового підпису не змінює порядку підписання договорів та інших документів, встановленого законом для вчинення правочинів у письмовій формі.

Нотаріальні дії із засвідчення  справжності електронного цифрового підпису на електронних документах вчиняються  відповідно до порядку, встановленого законом. [3]

 

 

1.2. Огляд міжнародних стандартів електронних розрахунків.

 

 

Стандарт SET.

Абревіатура SET розшифровується як Secure Electronic Transactions – безпечні (або захищені) електронні транзакції. Стандарт SET, спільно розроблений компаніями Visa і MasterCard, обіцяє збільшити обсяг продажів за кредитними картками через Internet. Сукупна кількість потенційних покупців - власників карток Visa і MasterCard в усьому світі – перевищує 700 мільйонів чоловік. Забезпечення безпеки електронних транзакцій для такого числа покупців могло б призвести до помітних змін, зреалізований у зменшенні собівартості транзакції для банків та процесингових компаній. До цього слід додати, що і American Exdivss оголосила про намір приступити до впровадження стандарту SET.

Для того щоб зробити транзакцію відповідно до стандарту SET, обидві що у угоді сторони - покупець і торгуюча організація (постачальник) - повинні мати рахунки в банку (або іншої фінансової установи), що використовує стандарт SET, а також розташовувати сумісним з SET програмним забезпеченням. У такій якості можуть, наприклад, виступати Web-браузер для покупця і Web-сервер для продавця - обидва, очевидно, з підтримкою SET.

Концепція Cyber Cash.

Компанія CyberCash, розташована в м. Рестон (штат Вірджинія, США) була піонером у розробці багатьох концепцій, використаних у стандарті SET, і прийняла на себе зобов'язання однією з перших впровадити SET. Безліч покупців і торговельних організацій по всьому світу використовують систему SIPS (simple Internet payment system) виробництва CyberCash. Є стимул для використання програмного забезпечення CyberCash: на додаток до підвищеної безпеки програмне забезпечення поставляється вільно (тобто безкоштовно) як покупцям, так і продавцям. Плата за використання системи CyberCash включається в оплату за обслуговування кредитних карток.

Платежі без кодування - система First Virtual.

З огляду на проблеми, що виникають у зв'язку з необхідністю пересилки номерів кредитних карток через Internet: необхідність кодування і забезпечення гарантій від розшифровки третіми особами, можна сформулювати альтернативний підхід. Він полягає в повній відмові від пересилання інформації, що відноситься до кредитних карток, через Internet. Компанія First Virtual (США) розробила систему, використовуючи яку, покупець ніколи не вводить номер своєї кредитної картки. На додаток до платіжної системи First Virtual підтримує власну систему електронної пошти, званої InfoHaus. Це пов'язано з тим, що основними видами товарів у First Virtual є програмне забезпечення і інформація, на підтримку яких і орієнтована система електронної пошти.

Система Digital Cash.

Digital Cash, яка використовує цифрові  чи електронні готівкові (гроші) – найбільш радикальна форма електронної комерції. Мабуть, тому її поширення здійснюється досить повільно. Розглянуті вище системи традиційні в принциповому плані - звичайні грошові транзакції реалізовані в них в електронному Internet-варіанті. У той же час електронні готівкові - новим типом грошей. Вони потенційно можуть призвести до радикальних змін у грошовому обігу і його регулюванні. [14]

 

 

 

1.3. Структура та основні  поняття платіжних систем

 

 

Система електронних платежів складається з:

- прикладного програмного забезпечення - набору комп'ютерних програм, що дозволяють системі вирішувати конкретні задачі, які ставляться користувачами;

- телекомунікаційного середовища, що включає апаратуру зв'язку  та системне програмне забезпечення, що служать для обміну інформацією про платежі та іншими контрольними повідомленнями між відправником,, обробником та отримувачем інформації;

- засобів захисту інформації (програмно-технічних, нормативно-правових, адміністративно-організаційних).

У свою чергу прикладне програмне забезпечення складається з програмно-технічних комплексів автоматизованих робочих місць (АРМ) СЕП призначених для проведення розрахунків; системи резервування роботи СЕП у разі збоїв, відмов обладнання або інших надзвичайних ситуацій; інформаційно-пошукової системи, призначеної для одержання довідкової інформації про проходження платежів.

Інформаційна безпека означає можливість протистояти спробам нанесення збитків власникам або користувачам платіжної системи при різних навмисних або ненавмисних впливах на неї. Система захисту інформації повинна забезпечувати безперервний захист інформації щодо переказу коштів на всіх етапах її формування, обробки, передачі та зберігання. Електронні документи, що містять інформацію, яка належить до банківської таємниці або є конфіденційною, повинні бути зашифрованими під час передавання їх за допомогою телекомунікаційних каналів зв'язку.

Захист інформації – сукупність організаційно-технічних заходів і правових норм для запобігання заподіянню шкоди інтересам власника інформації чи автоматизованої системи та осіб, які користуються інформацією. Об'єктами захисту є інформація, що обробляється в автоматизованій системі, права власників автоматизованої системи, права користувача.

Безпеку платіжних систем можна розглядати як таку, що складається зі зовнішньої та внутрішньої.