20 февраля, вторник 01:13
Bankir.Ru

Объявление

Свернуть

Приглашаем всех желающих на конференцию Bankir.ru о проблемах взаимодействия банков и МСБ

Показать больше
Показать меньше

SET от Альфабанка

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • SET от Альфабанка

    CNews.ru 10.09.01 17:25 опубликовал статью
    «Международный стандарт безопасности электронной коммерции - теперь в России»
    http://forum.cnews.ru/mes.php?id=163...yes&board=4321

    С помощью платежной системы Ассист "Альфа-банк" впервые в России применил технологию SET для проведения платежей через интернет. "Альфа-банк" и компания "Рексофт", разработчик и владелец системы интернет-платежей "Ассист", объявили об успешном внедрении стандарта SET (Secure Electronic Transaction) для проведения интернет-платежей.

    Интересно как это реализовано и во что это обошлось?
    Можно ли уже начинать хвалить Альфу за это?
    С уважением, NewGreen

  • #2
    !!!
    sincerely yours

    Комментарий


    • #3
      Еще несколько вопросов

      - NewGreen, почему Ваша ссылка не работает?
      - почему на сайте Альфа-банка об этом ничего не говорится, только на сайте Ассиста?
      - как согласуется set с российскими гостами?
      - и, вообще, что за зверь такой этот set? В чем его специфика для карточек? Алгоритмы шифрования и подписи прошиты на карточке или в POS-терминале? Если это дополнительное ПО, то можно ли его использовать для подписи других документов, например, платежей в банк?

      Комментарий


      • #4
        sandyman

        Частично объяснено здесь.
        http://www.osp.ru/ecom/2000/01/030.htm

        В полном объеме реализованная технология SET подразумевает наличие у клиента smаrt карты.

        Алексей.

        Комментарий


        • #5
          Видно информацию на CNews.ru со временем затирают. Поэтому лучше обратиться за информацией на Ассист:

          http://www.assist.ru/news?id=131
          С уважением, NewGreen

          Комментарий


          • #6
            Видно информацию на CNews.ru со временем затирают. Поэтому лучше обратиться за информацией на Ассист:

            http://www.assist.ru/news?id=131


            Это не SET, а слабое подобие левой ...

            Алексей.

            Комментарий


            • #7
              Alexei Volchkov

              Поясните ваше утверждение.
              С уважением, NewGreen

              Комментарий


              • #8
                to Alexei Volchkov

                Пуще прежнего взъелась старуха...

                Свое знакомство со стандартной криптозащитой я начал с Outlook Express, порадовался, что могу ассиметричными ключами как подписывать свои письма, так и шифровать их. Поэтому долго не мог поверить, что SSL-стандарт, реализованный в броузере, где также используются ассиметричные ключи, не дает возможности подписи HTML страниц. Я все это к чему, может SET и есть та замена SSL для броузера, которая позволит подписывать HTTP траффик? А не только нечто специфическое для карточек.

                А, вообще, все должно быть примерно таким образом. Юзер покупает криптопакет, в котором реализованы как российские госты, так и международные стандарты. После установки данного пакета он сможет вместе со счастливыми обладателями аналогичных пакетов других фирм (в том числе импортных):

                - подписывать и шифровать свои письма, работая со стандартными почтовыми клиентами
                - адаптировать данный пакет для своего интернет-клиента
                - подключиться к любому B2B-сайту или B2B-площадке (для юрлиц), в том числе международным
                - оплачивать с банковского счета покупки в инет-магазинах и счета различных учреждений
                - подавать через интернет подписанные налоговые декларации, оформлять через интернет страховки, заключать через интернет договора (ну, понесло..)

                Насколько реальна такая перспектива для России?

                Комментарий


                • #9
                  То, что в Альфе начали внедрять SET - замечательно!
                  Внедрение любых новых (и не очень) технологий можно только приветствовать, т.к. это стимулирует конкуренцию и вообще развитие рынка интернет-финансов.
                  Однако в большие перспективы "массовой выдачи владельцам пластиковых карт Альфа-Банка SET сертификатов" (цитата из Асиста) и их последующее активное использование верится с трудом ...

                  Комментарий


                  • #10
                    sandyman
                    Чтобы такие мечты осуществились в России, их должен мечтать КРЕМЛЕВСКИЙ мечтатель...

                    Комментарий


                    • #11
                      to alexve

                      Зачем уж так пессимистично, закон об электронной подписи в России есть (или еще нет?). Криптопакеты с реализацией PKCS в полном объеме на российских гостах также имеются (пока 2 штуки). Остается развернуть B2B и B2C системы по моим схемам . И для клиентов (физики и юрики) банков участников данной системы мечта осуществится, правда в рамках рунета, ну и кроме почты.

                      Кстати, многое в Ваших руках - почему бы Вашему банку не стать ОСНОВАТЕЛЕМ !

                      PS А может рунета достаточно, откроют тот же Intel или Microsoft отделения своих магазинов в рунете по российским стандартам.

                      Комментарий


                      • #12
                        Alexei Volchkov

                        В полном объеме реализованная технология SET подразумевает наличие у клиента smаrt карты.

                        Алексей.


                        Кажется, что уважаемый эксперт здесь что-то перепутал. Хотелось бы увидеть разъяснение позиции.
                        С уважением, NewGreen

                        Комментарий


                        • #13
                          Технология Secure Elrctronic Transaction разработана для осуществления электронных платежей с гарантированным подтверждением подлинности. При этом спецификация SET разработана не для систем клиент-банк, не для систем управления счетом через интернет, а именно для платежных систем и обеспечения возможности осуществлять оплату карточкой через интернет. Таким образом, как прописано в спецификациях, необходимо иметь набор ключей идентификации (типа цепочки сертификатов в Х.509) и доверенное программное обеспечение. Есть два способа решения - отчужденный от карты софт и ключи идентификации или смарт-карта со всем этим брахлом. Так вот в догонку к SET были рекомендации по реализации процедур идентификации (а также шифрования и т.д.) на карте. Если взглянуть на мир реально, то при реализации на отчуждаемом софте SET примерно эквивалентен SSL с использованием сертификатов.

                          Алексей.

                          Комментарий


                          • #14
                            А вот и ответ от VISA подоспел.
                            «Коммерсантъ», 2 октября 2001 года

                            Visa уценила интернет-банкинг

                            Вице-президент Visa CEMEA Алан Гослар объявил российским банкам, что активно продвигавшийся Visa протокол безопасной передачи данных в Интернете – SET – перестал быть приоритетным. Тем самым банки, не спешившие вкладываться в новые технологии, сэкономили немалые деньги – новый протокол Visa (3D Secure) гораздо дешевле. Сам же Алан Гослар уходит на пенсию.

                            Стоит заметить, что до сих пор Visa активнейшим образом продвигала SET-протокол, и некоторые российские банки, естественно, уже внедрили эту технологию. Так, старший вице-президент Альфа-банка Владимир Изутин сообщил, что банк уже заканчивает подготовку к выпуску SET-сертификатов. Банк «Олимпийский» такие сертификаты уже выдает, а Транскредитбанк больше года пользуется SET-протоколом для обеспечения транзакций при расчетах за грузоперевозки на железной дороге.

                            По словам официального представителя Visa в России, «банки, установившие SET, ничего не потеряют». Однако 3D Secure значительно дешевле SET-протокола. Таким образом, если банки, поставившие SET-технологии, ничего не потеряли, то те, кто не успел это сделать, безусловно, выиграли. Ведь им безопасный способ оплаты через Интернет при помощи карт Visa обойдется значительно дешевле.

                            Правда, по словам Игоря Липанова, главы компании «Транскредиткарт», 3D Secure не сможет полностью заменить SET. Да и представители Visa на встрече с российскими банкирами говорили не об отказе от SET, а о смене приоритетов. Официальное решение о переходе с SET на 3D Secure еще не принято – его должны принять на совете директоров Visa CEMEA, который пройдет ориентировочно в конце октября. Тогда же будет обсуждаться и еще одна инициатива Visa. По словам Алана Гослара, Visa собирается помочь банкам перейти на чиповые технологии, для чего намерена выделить региону CEMEA 36 млн. долл. Причем эти деньги Visa намерена потратить не на рекламу чипа, а давать непосредственно банкам, выпускающим чиповые карты.

                            Можно повторить вопрос 1-го сообщения.
                            Интересно как это реализовано и во что это обошлось Альфе?
                            Можно ли уже начинать хвалить Альфу за это?
                            С уважением, NewGreen

                            Комментарий


                            • #15
                              Позиция КиберПлата и Платины по SET «ждать и готовиться» судя по всему более правильная.
                              В этом деле выигрывает не тот, кто первый стартует.
                              С уважением, NewGreen

                              Комментарий


                              • #16
                                sandyman

                                Свое знакомство со стандартной криптозащитой я начал с Outlook Express, порадовался, что могу ассиметричными ключами как подписывать свои письма, так и шифровать их. Поэтому долго не мог поверить, что SSL-стандарт, реализованный в броузере, где также используются ассиметричные ключи, не дает возможности подписи HTML страниц. Я все это к чему, может SET и есть та замена SSL для броузера, которая позволит подписывать HTTP траффик? А не только нечто специфическое для карточек.


                                А можно чуть поподробнее, а то я начинающий в этом нелегком деле (подписи) и очень хотел бы подписывать документы (клиента) ключами SSL. А то вариант с подписью, скажем КОКОНОМ, меня не устраивает из-за необходимости ставить ПО (сам кокон-клиент) на машину с которой производят связь (выход в инет).

                                Комментарий


                                • #17
                                  to Alex Novikov
                                  Да я тоже не эксперт. Что касается Outlook'а, то я получил сертификат в одном из сертификационном центре, который был указан в его справке (бесплатный для электронной почты, но сроком лишь на месяц). Второй сотрудник получил аналогичный сертификат для себя, ну и мы с нескрываемым удовольствием обменялись подписанными и защифрованными сообщениями. Потом встал вопрос об интернет-клиенте, который мы хотели попробовать сделать сами, а для него была желательна подпись документов стандартными средствами броузера. Облом!

                                  Как оказалось, практически вся криптозащита с подписью, которая используется в интернет-банкинге, требует установки своего софта у клиента. Более простой вариант - установка ActiveX элемента, который скачивается клиентом по сети, как например, в Крипто-про. Еще вариант, который используется Бифитом - софт криптозащиты встроен в Java-апплет с основной программой и также скачивается по интернету, а затем весь апплет сохраняется в кэше и вызывается уже оттуда.
                                  Конечно, можно обойтись и без подписи документов и использовать только встроенный SSL (для установки защищенного соединения и шифрования траффика)), что, кстати, и делают некоторые банки. Но тогда Вам будет трудно доказать клиенту, что банк списал деньги с его счета по распоряжению самого клиента.
                                  Возможно, кто из банкиров дополнит? Или поправит.

                                  Комментарий


                                  • #18
                                    sandyman
                                    Ничего трудного в доказывании нет. Просто средством доступа служит банковская карта клиента с кодом ПИН2, который выдается клиенту при получении карты вместе с обычным ПИН-кодом.
                                    ПИН2 служит только для управления счетом и расчетов в Инете.
                                    Клиент устанавливает защищенную SSL связь c банком и дальше для доступа к счету вводит реквизиты своей карты и ПИН2.
                                    Вот и все!!! За сохранность своего ПИН и ПИН2 каждый клиент несет только персональную ответственность. Не правда ли? А если что - блокируете карту и никакого несанкционированного доступа.

                                    Подробнее, например, на http://www.povk.ru/
                                    Regards, VADSON

                                    Комментарий


                                    • #19
                                      to VADSON

                                      Хорошо, но зачем тогда даже карточки продвигают то SET протокол, то теперь 3D Secure?

                                      Комментарий


                                      • #20
                                        VADSON

                                        Хотел посмотреть материалы по ссылке - не получилось. Неправильная ссылка?

                                        Best regards,
                                        Zepp

                                        Комментарий


                                        • #21
                                          Можно поздравить Альфу с успехами в 2001 году. 3.7 млн зеленых - это не мало.

                                          http://www.oborot.ru/news/444/16
                                          http://www.oborot.ru/news/288/16

                                          Альфа и Ассист - молодцы.
                                          Но Платина и Киберплат лучше.
                                          С уважением, NewGreen

                                          Комментарий


                                          • #22
                                            Нашлась информация о реализации SET Альфой совместно с БПЦ
                                            http://www.paymentgate.ru/bpcservlet/BPC/News.jsp
                                            Но сразу возникает вопрос: а что реализовали с Ассистом? Или у Альфы 2 SETа?
                                            С уважением, NewGreen

                                            Комментарий


                                            • #23
                                              Нашлась информация о реализации SET Альфой совместно с БПЦ
                                              Прочитал. Технически грамотно. Но мне непонятно, что именно подписывается? Авторизационный запрос на списание по карточке? Но что это за сервер RBS, который "злоумышленник от имени интернет-магазина проведет платеж через систему RBS"?... Кому платеж? То есть я залезу на сервер магазина, введу данные чужой карты и оплачу? Мне-то что с этого, если перевод делается НА СЧЕТ МАГАЗИНА? Что за чушь? Что-то все это выглядит впариванием крутых технологий, извнините, лохам...

                                              Писал я коммерческий сервер одному американцу (платежи клиентов до $150). Вся оплата состоит в том, что клиент вводит в SSL-форме данные карточки (БЕЗ ПИНА), я программно пересылаю опять-же через за-SSL-енный канал на сервер goeMerchant.com, указывая в авторизационном запросе код и пароль магазина - и все. Деньги на счете есть - goeMerchant.com списывает их на счет магазина. Нет - отказ в авторизации. Что опасного в этой схеме? да ничего. Поэтому если ребята объяснят, зачем это магазину запрос на авторизацию электронно подписывать (кода и пароля мало?), был бы признателен...
                                              М.Голованов

                                              Комментарий


                                              • #24
                                                Хм-хм, извините, я влезу в ваше обсуждение.
                                                Вся оплата состоит в том, что клиент вводит в SSL-форме данные карточки (БЕЗ ПИНА), я программно пересылаю опять-же через за-SSL-енный канал на сервер goeMerchant.com, указывая в авторизационном запросе код и пароль магазина - и все.
                                                Уважаемый mgolovanov ! Подскажите, пожалуйста, а что в этой схеме может помешать кардеру проплатить с чужой карты, данные которой он узнал мошенническим путем?
                                                А запрос на авторизацию подписывать надо, наверно, затем, чтобы банк мог аутентифицировать магазин. Или я не права?
                                                Nikkiпятись!!!

                                                Комментарий


                                                • #25
                                                  а что в этой схеме может помешать кардеру проплатить с чужой карты, данные которой он узнал мошенническим путем?
                                                  Формально ничто. НО тонкость в том, что для авторизации в goeMerchant.com требуются данные, которые в полном объеме знает исключительно владелец карты. Там это, знаете ли, давно умеют. Это не ПИН, это имя (на карте), адрес и ЗИП (этого на карте нет). То есть если я все это не расскажу мошеннику, то ничего у него с моей картой не выйдет, даже если он ее сфотографировал.

                                                  Кстати, за последствия фрода отвечает хозяин сайта, поэтому это место мы с ним делали ОЧЧЧЕНЬ аккуратно. То есть даже при взломе сайта информация о карте получена со стороны быть не может. А взломать - эт вряд ли...

                                                  запрос на авторизацию подписывать надо, наверно, затем, чтобы банк мог аутентифицировать магазин
                                                  Для аутентификации достаточно проверить адрес сервера магазина, а также код и пароль в запросе. Нет, это нужно для того, чтобы в случае фрода свалить все на магазин. Почитайте на этом сервере весьма полезную статью (http://www.bankir.ru/author/54/analytics/556). И это очень плохо для магазина - он должен иметь защиту от мошенников. В случае, описанном выше, все риски берет на себя goeMerchant.com. Но то в Америке...
                                                  М.Голованов

                                                  Комментарий


                                                  • #26
                                                    mgolovanov НО тонкость в том, что для авторизации в goeMerchant.com требуются данные, которые в полном объеме знает исключительно владелец карты.
                                                    Это стандартная схема работы забугорных биллингов, которые, получив всю вышеперечисленную информацию о держателе, проверяют ее достоверность. Да, это избавит нас от кардеров, но не спасет от недобросовестного держателя карты, который потом откажется от платежа и по правилам МПС получит свои деньги обратно.
                                                    Да, и еще, я, правда, не знаю, какие условия проверки у goeMerchant.com , но обычно подобная проверка стоит магазину около 1 у.е. с каждой транзакции.

                                                    Для аутентификации достаточно проверить адрес сервера магазина, а также код и пароль в запросе. Нет, это нужно для того, чтобы в случае фрода свалить все на магазин.
                                                    Хм, и часто Вы сталкивались со случаями фрода при использовании SETа? А, возвращаясь к вышеизложенному, могу заметить, что по правилам тех же МПС, отказы от платежа при использовании SETа не принимаются.
                                                    Nikkiпятись!!!

                                                    Комментарий


                                                    • #27
                                                      Здравствуйте, господа, являясь сотрудником RBS, хотел бы внести ясность в некоторые вопросы, обсуждаемые здесь. В Альфа-банке не два SET, а один, естественно. Решение установлено компанией “Банковский производственный центр”. Этим решением пользуется Ассист. Кроме того, известно, что Ассист имеет и собственное оригинальное решение. Далее у “Банковского производственного центра” родилась дочка – RBS, в задачу которой входит предоставление услуг интернет – эквайринга, ориентируясь на мировые стандарты в этой области. Имея решение по SET, мы продолжаем искать технологические решения, позволяющие строить системы для клиента максимально гибко. Одно из таких решений обсуждается в этом форуме. В случае реализации классической архитектуры SET – системы, запрос от магазина подписывать не надо – это правда. Правда и в том, что по финансовым соображениям не каждый магазин себе такую реализацию позволит. А потому, возможны и другие системные решения. И они предлагаются, причем, заметьте, что не навязываются. Скоро будут предложены и новые опции. А аутентифицировать магазин с помощью электронной подписи надежнее, чем по IP, паролю и коду. Всегда рад конструктивной дискуссии, а вот “лохам мы ничего не впариваем”, поверьте.

                                                      Комментарий


                                                      • #28
                                                        отказы от платежа при использовании SETа не принимаются
                                                        Вот это и есть главное, что отличает SET от упоминавшихся Internet Payment Gateway'ев. Разумеется, идеальна система, в которой держатель счета подписывает свое платежное поручение. К этому все рано или поздно придет. А пока за бугром маются с картами, как я описал... Кстати, до сих пор не было возвратов. Были дурные клиентские покупки (когда клиент брал то, что ему явно не нужно), но тут все делается полюбовно...
                                                        М.Голованов

                                                        Комментарий


                                                        • #29
                                                          Вот, чего нашла:

                                                          Альфа-Банк запускает новую очередь проекта на основе SET-технологии

                                                          или это считается рекламой???
                                                          тогда уж сильно не бейте
                                                          Nikkiпятись!!!

                                                          Комментарий


                                                          • #30
                                                            Там же есть еще одна интересная заметка
                                                            В 2001 году Альфа-Банк упрочил свои позиции на рынке пластиковых карт
                                                            http://www.alfabank.ru/press/news/2002/01/16/243.html
                                                            Cудя по всему, SET является часть стратегического плана.
                                                            С уважением, NewGreen

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X