Comert Electronic Ba

Cap 6.
Comerul electronic, eComer
Capitolul 6.
Comerul electronic, eComer
Cuprins capitol 6.
(Figuri 6-1/cap6.2., 6-2/cap6.3.,6-3/cap6.5.2.,6-4/cap6.5.2.,6-5/cap6.5.2.,6-6/cap6.6)
6.1. O clasificare a comerului electronic

6.2. Schema de principiu a comerului electronic
6.3. Elementele componente ale comerului electronic
6.4. Riscurile, fraudele i disputele n comerul electronic
6.5. Securitatea comerului electronic
6.5.1. Securitatea telecomunicaiilor protocoalele SSL i TLS
6.5.2. Securitatea tranzaciilor de plat protocoalele 3-D Secure,
SecureCode, i SET
6.6. Anatomia unei tranzacii de eComer care folosete protocolul 3-D Secure
6.7. Exemple de eComer actual. Piee electronice, licitaii, furnizori de servicii de
plat prin Internet
6.7.1. Comerul electronic ntre consumatori i companii, sau comerul electronic
cu amnuntul (B2C)
6.7.2. Piee electronice, licitaii electronice
6.7.3. Furnizori de servicii de plat prin Internet
6.8. Comerul electronic n Romnia
Note i bibliografie
Pli Electronice, 2004
dr.ing. Dan Vasilache
Cap 6. Comerul electronic, eComer
Reputata revist englezeasc The Economist a publicat n mai 2004 un raport

special destinat comerului electronic din care vom cita cteva afirmaii
semnificative: eComerul nu numai c a devenit ceva uria, n sine, dar a crescut
ntr-un asemenea mod nct va schimba felul n care se fac afacerile, cu sau fr
Internet; nici o companie nu i mai poate permite s ignore Internetul;
competiia pe Internet este feroce.... transparena preurilor e o regul ....
consumatorii au acces la un volum fr precedent de informaii asupra produselor....
comportamentul consumatorilor se schimb, ei folosesc Internetul pentru a lua
decizii privind cumprturile pe care le fac i n afara Internetului; rspndirea
conexiunilor rapide la Internet a constituit un factor cheie n creterea eComerului;
... ngrijorarea referitoare la fraude reprezint cel mai mare pericol pentru comerul
pe Internet; companiile de software, proiectanii de situri i furnizorii de servicii
care au contribuit la constituirea Internetului trebuie de urgen s-l fac un loc mai
sigur pentru desfurarea afacerilor (1).
Comerul electronic, eComerul, aprut prin 1994, este comerul care se
desfoar prin mijloace electronice, adic prin calculatoare i sisteme de
telecomunicaii. Cea mai mare parte a acestui comer desfurat ntre cumprtori
persoane i comerciani - companii se desfoar prin reeaua public a Internetului,
i de aceea a spune eComer echivaleaz cu a spune comer pe Internet, sau comer
n timp real (online), dar acest comer poate avea loc i prin reele de telecomunicaii
care nu sunt publice ci aparin unor sisteme private de pli i transfer de fonduri. O
alt definiie, mai larg, descrie eComerul ca fiind constituit din toate plile n care
datele tranzaciei (pltitor, destinatar, sum, etc) sunt transmise electronic,
pltitorul i pltitul sunt implicai direct n tranzacie, iar toate informaiile necesare
autorizrii plii sunt schimbate ntre cele dou pri, electronic (2).
n 2002 existau aproximativ 170 de milioane de utilizatori de Internet n
Europa, i cam acelai numr n America de Nord. Numrul de servere sigure (SSL),
capabile de a gzdui situri (website) de comerciani era de circa 185.000.
n Romnia, n anul 2003, numrul de utilizatori de Internet reprezenta circa
24% din populaie, numrul de calculatoare personale era de circa 2,1 milioane, iar
numrul de furnizori de servicii de Internet (ISP) era de 400 (3).
Aceste cifre indic existena unei infrastructuri impresionante i de neignorat,
capabile s ofere toate serviciile necesare dezvoltrii eComerului, inclusiv n
Romnia.
Simplu spus eComerul este un comer rapid, care se desfoar n timp real,
i comod, iar cumprtorii i comercianii au drept pia, prin Internet, ntreaga
lume, magazinele fiind deschise 24 din 24. Cel mai mare pericol al acestui tip de
comer este riscul de fraud. Ultimele tehnologii ns, ca de exemplu protocolul de
autentificare 3-D Secure adoptat de Visa i MasterCard, diminueaz substanial acest
risc, iar eComerul este n prezent ntr-o dezvoltare puternic, inclusiv n Romnia.
Instrumentele de plat n comerul electronic sunt cardurile bancare, cecurile
electronice, scrisorile de credit electronice, ordinele de transfer electronice, i, n
general, orice instrument bancar de iniiere a unei pli care poate fi pus sub form
electronic i pentru care exist un sistem de procesare.
Pentru desfurarea n bune condiii de securitate comerul electronic trebuie
s ndeplineasc o serie de cerine: asigurarea confidenialitii i integritii datelor
pe timpul pstrrii i transmiterii lor; autentificarea tranzaciilor (individualizarea
fiecrei tranzacii); asigurarea independenei de natura punctului de acces la Internet
(device independence), astfel ca cumprturile s se poat face de la un calculator
personal, de la un asistent personal digital (PDA), telefon, etc; asigurarea
interoperabilitii care permite pli globale, transfrontaliere; asigurarea unei
complete evidene contabile care poate servi n caz de dispute, fraude, probleme
legale, etc.
n acest capitol vom face o clasificare a tipurilor de eComer, urmat de o
prezentare a principiilor i elementelor constitutive ale comerului electronic, o
descriere a anatomiei unei tranzacii de eComer prin Internet n care plata este
iniiat prin carduri, o prezentare a riscurilor i a metodelor de asigurare a securitii,
dup care vom face o scurt prezentare a unor sisteme existente de eComer, bazate
pe Internet, inclusiv n Romnia.
6.1. O clasificare a comerului electronic
Comerul electronic poate fi mprit n dou categorii mari: comerul ntre

persoane i companii (B2C, business-to-consumers, companii-consumatori), numit i
comerul electronic cu amnuntul, i comerul ntre companii (B2B, business-tobusiness).
Comerul electronic cu amnuntul are loc ntre consumatorii (persoane fizice)

care dispun de un calculator personal cuplat la Internet i comercianii care i expun
produsele pe un sit, prin care persoanele vd i aleg produsele expuse pe sit, dup
care iniiaz plata produselor cumprate cu un card bancar de plat. Acest tip de
eComer deruleaz cel mai mare numr de trazacii, dar valoarea total anual a
acestuia este totui nesemnificativ n raport cu valoarea tranzaciilor din comerul
electronic dintre companii.
Comerul electronic dintre companii const n mod majoritar din comerul
dintre companiile care se aprovizioneaz (procurement) i cele care sunt furnizori de
produse (suppliers). Furnizorii i expun marfa pe Internet iar companiile care
achiziioneaz aleg i emit o comand (order) electronic de achiziionare (plata
fiind, de regul, realizat ulterior electronic, sau ne-electronic, prin mijloacele
bancare existente). n 2001, n SUA, valoarea acestui comer a depit 31 de
trilioane de dolari, dar doar sub 1% din tranzaciile de plat au fost iniiate prin
carduri de plat, vasta majoritate a plilor fiind iniiate prin cec i transfer de fonduri
prin casele automatizate de transfer/decontri (ACH, Automated Clearing House) (4).
Comerul electronic se poate desfura n ntregime n timp real (on-line), caz
n care att autorizarea tranzaciei de plat, ct i decontarea interbancar, au loc n
timp real. Sau se poate desfura doar parial n timp real (autorizarea n secunde,
iar decontarea a 2-a zi, cum este cazul n care plata se face prin carduri de plat
naionale sau internaionale), n care doar autorizarea de plat cu card se obine n
timp real, iar decontarea interbancar se face ulterior prin sistemul de carduri, sau
prin intermediul serviciilor bancare obinuite care pot fi, sau nu, electronice, sau n
cazul n care decontarea este amnat pn n momentul n care comerciantul
prezint documentul prin care cumprtorul certific faptul c a primit marfa
comandat. Livrarea mrfii de ctre comerciant poate avea i ea loc n timp real, ca
n cazul descrcrii (download) imediat dup autorizare, de pe Internet a unor astfel
de produse cum ar fi muzic, imagini sau software, sau poate avea loc la cteva zile
dup acceptarea comenzii. Este important ca autorizarea tranzaciei s aib loc n
timp real pentru ca cumprtorul s perceap efectiv c, n cteva secunde, a fcut o
cumprtur.
O form foarte rspndit de eComer ntre consumatori i comercianii cu sit
pe Internet este aceea n care comerciantul folosete situl su doar ca pe un
catalog de prezentare a produselor (descriere, pre, condiii de plat i livrare, etc),
iar cumprtorul alege, i d o comand de cumprare, nsoit de identificarea i
adresa sa, fr ns a i plti. Comerciantul i va confirma primirea comenzii i va
livra marfa la domiciliu, moment n care va fi i pltit (de regul cu numerar sau prin
ramburs, dar i cu cec sau cu card, dac operatorul care livreaz marfa dispune de
un terminal de plat POS mobil). n acest caz comanda este electronic i n timp
real, iar livrarea i plata se desfoar ulterior, de regul n cteva zile (modelul de
plat pizza delivery).
O alt form de comer electronic are loc n cadrul aa numitelor licitaii
electronice (electronic auctions) care au loc pe Internet, cumprtorii i vnztorii
fiind persoane sau companii. Vnztorii i expun pe un sit specializat produsele pe
care doresc s le vnd, nsoite de un pre minim la care sunt dispui s l vnd,
iar cumprtorii conectai la acel sit ofer preurile pe care sunt dispui s le
plteasc. Vnztorul va alege cumprtorul care a oferit cel mai mult i va intra n
contact direct cu acesta pentru a perfecta ulterior vnzarea i detaliile de realizare a
acesteia, pe cale electronic, sau altfel.
Comerul electronic se poate realiza direct ntre cele dou pri cumprtorul
i comerciantul, sau se poate realiza prin intermediul unor companii specializate care
furnizeaz servicii de plat prin Internet (PSP, Payment Service Provider). n acest
caz situl comerciantului va fi cuplat (de regul tot prin Internet) la situl furnizorului
de servicii de plat, iar acesta va prelua, n numele comerciantului i bncii acestuia,
procesarea electronic a tranzaciei de plat cu card a cumprtorului (va obine
autorizarea tranzaciei i va furniza comerciantului datele tranzaciei astfel ca
acceptatorul acestuia s obin decontarea de la emitent).
Marea majoritate a comerului electronic care are loc prin Internet sau prin
reelele private de telecomunicaii este un comer domestic n care cumprtorul i
comerciantul au aceiai moned, moneda rii. n cazul n care plata se face prin
carduri internaionale, iar emitentul cardului i acceptatorul comerciantului sunt,
ambii, membrii ai aceluiai sistem internaional de carduri (cum ar fi Visa,
MasterCard sau JCB), atunci comerul se poate desfura i transfrontalier, moneda
cumprtorului putnd fi diferit de moneda comerciantului. n cazul acestui comer
transfrontalier dificultatea const n mecanismele de livrare a mrfii i n problemele
de legislaie legate de reglementrile bancare i de rezolvare a eventualelor dispute
care pot apare n actul de comer.
Comerul electronic se poate desfura sub multe forme, cu toate sau numai
unele dintre etapele actului de comer desfurndu-se electronic (prezentarea i
alegerea produselor, lansarea comenzii, autorizarea plii, livrarea, decontarea
final). Clasificarea prezentat mai sus, fr a fi exhaustiv, a urmrit n esen
introducerea ideilor principale care stau la baza acestui tip de comer.
6.2. Schema de principiu a comerului electronic

n acest capitol vom prezenta schema de principiu a comerului electronic
desfurat pe Internet ntre cumprtori, sau consumatori (persoane fizice), i
comerciani, n care plata cumprturilor se face prin card bancar de plat, cardul
fiind naional sau internaional.
n figura 6.1 se prezint schema general de principiu n care apar principalele

elemente ale comerului electronic un sit de comerciant aflat pe un server de
gzduire, cumprtorul cu calculatorul su personal cuplat software printr-un
navigator (browser) la Internet, bncile emitent i acceptatoare a cardului cu care
se face plata, i sistemul de carduri (naional sau internaional) din care fac ambele
parte. Dreptunghiul figurat punctat i cuprinznd calculatorul personal, legtura prin
Internet, i situl comerciantului este echivalent, din punctul de vedere al
acceptatorului comerciantului, cu un terminal de plat cu card, adic reprezint un
POS virtual (VPOS, Virtual POS; a nu se confunda cu situaia n care datele de card
sunt introduse de la un calculator personal al unui comerciant n vederea obinerii
unei autorizri prin Internet, caz care poart deasemenea numele de POS virtual).
Schema este similar n cazul plii prin cec electronic, ordin de plat electronic, etc
se nlocuiete doar cardul cu cecul, i sistemul de pli prin carduri cu cel de pli
prin cecuri, etc.
O cumprtur pe Internet se desfoar, n principiu, astfel. Cumprtorul

acceseaz situl unui comerciant prin intermediul navigatorului din calculatorul su
(de exemplu MS Internet Explorer) cruia i furnizeaz adresa comerciantului (de
exemplu www.comerciant.ro). Odat ajuns pe paginile magazinului virtual al
comerciantului, va cerceta produsele prezentate i va selecta unul sau mai multe
produse pe care le va pune apoi n coul, sau cruciorul, virtual de cumprturi
(shopping cart). Rolul coului este de a aduna toate cumprturile i de a afia
totalul de plat, astfel nct n momentul plii s se cear o singur autorizare pe
totalul de plat i nu cte una pentru fiecare produs. Apoi programul specializat al
sitului comerciantului l va invita pe cumprtor s-i introduc ntr-un formular
(HTML form) pe care i-l afieaz, datele de identitate nume, adres de email,
adres de facturare (billing address) i adres de livrare (shipping address), precum
i datele de plat tip de card, numr de card, dat de expirare. Dup ce
cumprtorul i citete datele de pe card i le introduce manual de la tastatur n
formularul afiat, va apsa un buton special al formularului (inscripionat, de
exemplu, cu Cumpr) a crui apsare echivaleaz cu generarea unei comenzi
ferme de cumprare i, n acelai timp, cu acceptarea totalului de plat, i a regulilor
i condiiilor de plat i de livrare a produselor pe care comerciantul le-a afiat pe sit,
iar cumprtorul este obligat s le cunoasc. Programul specializat al sitului va
aduga automat la datele cumprtorului o alt serie de date care descriu plata
(sum, moned, numrul de identificare a tranzaciei) i identitatea comerciantului,
i va forma din toate acestea un mesaj pe care l va transmite la sistemul de
management de carduri, SMC, al acceptatorului comerciantului prin legtura de
telecomunicaii dintre serverul care gzduiete situl, i acceptator. SMC-ul
acceptatorului se afl acum, n principiu, n starea n care a primit un mesaj cu o
cerere de autorizare de la unul din terminalele sale de plat POS instalat la unul din
comercianii si. Mai departe autorizarea tranzaciei se desfoar ca n cazul unei
tranzacii ce are loc la un POS dintr-un magazin real, adic acceptatorul emite prin
sistemul de carduri o cerere de autorizare ctre emitentul cardului, de la care
primete apoi un rspuns de autorizare. Rspunsul este trimis de acceptator la
serverul care gzduiete situl comerciantului su, iar programul special din sit
afieaz pe ecranul cumprtorului o pagin cu un raport prin care i confirm (sau
infirm) acestuia efectuarea cumprturii, angajamentul implicit al comerciantului de
a-i livra produsele i condiiile de livrare. Raportul afiat poate fi tiprit de
cumprtor i este echivalent cu o chitan de plat. Dup un numr de zile
produsele expediate de comerciant ajung la cumprtor, iar n momentul livrrii la
adresa de livrare care a fost indicat, cumprtorul va accepta livrarea mrfii prin
semnarea unui document de recepie. Acest document va ajunge napoi la
comerciant i va putea servi n eventualele rezolvri de dispute. Acceptatorul va
putea credita imediat dup autorizare contul comerciantului su, dup care introduce
tranzacia n fiierul su de tranzacii pe care l va trimite la emitent n vederea
decontrii interbancare.
Din momentul n care cumprtorul a apsat pe butonul Cumpr din
formularul afiat, trimindu-i datele de card i ordinul de cumprare, i pn n
momentul n care programul special din situl comerciantului i afieaz raportul de
rspuns cu confirmarea efecturii cumprturii, timpul scurs este, de regul, de circa
5-10 secunde. Acest timp de rspuns se compune, n mare, din partea de circa 2-4
secunde petrecut de tranzacie n sistemul de carduri i din partea de 3-5 secunde
petrecut n Internet (serverul sitului comerciantului, telecomunicaii cu protocol
sigur SSL sau TLS). n cazul utilizrii unor protocoale de autentificare a deintorului
de card, cum ar fi protocolul 3-D Secure, se mai adaug un interval de pn la 10-15
secunde necesare autentificrii cumprtorului, cardului i comerciantului.
Tranzacia de plat descris este o tranzacie cu card de tipul cardul-nu-esteprezent, adic nici cumprtorul i nici cardul nu se afl n faa comerciantului
atunci cnd se face plata, ceea ce conduce la un risc asumat de comerciant (i de
acceptator) mai mare dect n cazul unei pli de tip cardul-este-prezent care are
loc ntr-un magazin real. Ca urmare msurile de securitate luate n cazul eComerului
prin Internet sunt mai puternice i mai cuprinztoare. Iat, pe scurt, n cele ce
urmeaz, care sunt msurile uzuale de securitate.
Legturile de telecomunicaii dintre calculatorul personal al cumprtorului i
serverul care gzduiete situl comerciantului, precum i acelea dintre acest server i
SMC-ul acceptatorului comerciantului, trebuie s fie legturi sigure care s asigure
confidenialitatea datelor comunicate i s garanteze autenticitatea celor dou pri
de la capetele transmisiei. Aceste telecomunicaii se implementeaz printr-un
protocol special numit SSL (Secure Socket Layer protocol) sau prin succesorul
acestuia, numit TLS (Transport Layer Security protocol), ambele asigurnd criptarea
(simetric) a mesajelor i autentificarea ambelor pri. Legtura ntre serverul de
gzduire i SMC-ul acceptatorului se poate face i direct, printr-o linie nchiriat care
nu e public (cum ar fi n cazul Internetului), mai ales n cazul n care acceptatorul
are mai multe situri de comerciant (un portal) pe un acelai server, securitatea i
viteza transmisiunilor trebuind s fie astfel mult sporit.
Cardul cu care cumprtorul face cumprturi pe Internet poate fi un card

obinuit al sistemului de carduri sau un card special destinat plii prin Internet, care
asigur cumprtorului o siguran sporit. Astfel de carduri speciale pot avea, de
exemplu, o limit maxim a sumei din cont, o perioad de expirare foarte scurt, sau
pot fi carduri virtuale ce sunt folosite de regul numai pentru o singur cumprtur,
dup care sunt rencrcate cu suma necesar urmtoarei cumprturi.
Autentificarea prilor implicate ntr-o tranzacie de comer electronic este
probabil cea mai important msur de asigurare a securitii tranzaciilor. Prile
implicate sunt deintorii de carduri, emitenii cardurilor, comercianii i eventual
porile de acces (gateway) de la Internet la sistemul de plat cu carduri. n prezent
exist trei astfel de protocoale de autentificare utilizate n eComer: protocolul SET
(Secure Electronic Transactions), protocolul 3-D Secure (Three-Domains Secure) i
protocolul SecureCode (ultimele dou fiind asemntoare i aparinnd, respectiv, lui
Visa i lui MasterCard). Vom reveni asupra acestor protocoale.
Comerciantul va ncheia cu acceptatorul su de pli cu carduri prin Internet,
un contract special de comerciant pe Internet, cu condiii i prevederi speciale,
specifice acestui tip de comer. Comisionul pe care comerciantul l va plti
acceptatorului per fiecare tranzacie de eComer este de regul mai mare decat n
cazul comerului real, de exemplu de 3-10% din valoarea tranzaciei, fa de circa
1-3% n cazul comerului real. Contractul cu acceptatorul va prevede de asemeni
modul de desfurare a disputelor ce pot apare ntre cumprtor i comerciant, cu
indicarea clar a responsabilitilor acceptatorului i celor ale comerciantului, n cazul
fraudelor sau a altor excepii.
6.3. Elementele componente ale comerului electronic
Vom face aici o scurt descriere a principalelor elemente conceptuale

componente ale comerului electronic, iar n capitolele urmtoare vom detalia
elementele mai importante legate de riscuri, fraude i securitate. Nu toate
elementele componente se afl n toate sistemele de eComer.
Principalele elemente componente ale unei activiti de comer electronic
desfurat prin Internet sunt urmtoarele:
a) comerciantul, acceptatorul su i situl (website) comerciantului pe Internet;
b) cumprtorul pltitor cu card, calculatorul su personal, portofelul su electronic

i emitentul cardului;
c) telecomunicaiile sigure ntre cumprtor i sit, i ntre sit i acceptatorul
comerciantului;
d) aplicaia de eComer a acceptatorului, distribuit, cu un modul client n situl
comerciantului i un modul server n SMC-ul acceptatorului, i poarta de acces la
Internet (gateway);
e) serverul din Internet care asigur gzduirea siturilor de comerciant i legturile cu
SMC-urile acceptatorilor (sau ale procesatorilor independeni adoptai de acetia);
f) riscurile, fraudele i disputele;
g) protocoalele de autentificare care asigur securitatea sporit a tranzaciei;
h) costul tranzaciilor i microplile;
i) pieele electronice, licitaiile.
a) Comerciantul, acceptatorul su i situl pe Internet al comerciantului
Comerciantul care dorete s vnd prin Internet i s accepte pli prin
carduri, trebuie mai inti s-i gseasc o banc acceptatoare care s-i ofere un
contract special de cont de comerciant pe Internet. Acest acceptator va trebui s
dispun de un sistem de management de carduri, SMC, capabil de a procesa
tranzacii de eComer, sau s externalizeze aceast procesare ctre un procesator
independent specializat.
Contractul de comerciant pe Internet, care se ncheie ntre comerciant i banca
acceptatoare care ofer serviciile de eComer, este un contract cu clauze speciale
destinate a acoperi riscurile mai mari ale acestui tip de comer, pe care i le asum
acceptatorul. De regul acceptatorul va verifica bine comerciantul i credibilitatea lui
nainte de a-l admite. Unele din riscurile mari ale acceptatorului sunt acelea ca
comerciantul s nu livreze marfa pltit (cu tranzacia autorizat), caz n care
cumprtorul va cere banii napoi de la acceptator prin intermediul emitentului su,
sau acela c, dup livrarea mrfii, cumprtorul s nu recunoasc c a fcut
tranzacia sau c tranzacia a fost fcut fraudulos (cazul tipic de I did not do it
nu am fcut-o ) i s cear iar banii napoi. Pentru acoperirea acestor riscuri mrite
acceptatorul poate cere un comision mai mare per fiecare tranzacie, clauze
asiguratorii, etc.
Comerciantul va apela apoi la un furnizor de servicii de Internet (ISP, Internet
Service Provider) cruia i va cere s-i gzduiasc (hosting) un sit (website) propriu
de comer, numit magazin virtual, i s-i furnizeze o adres de Internet de forma, de
10
exemplu, www.numecomerciant.com. Comerciantul i poate proiecta el nsui

propriul sit, poate apela la serviciile unor companii specializate, sau poate recurge la
oferta acceptatorului de a-i crea magazinul i de a i-l pune ntr-un portal de eComer
al acceptatorului, alturi de magazinele virtuale ale altor comerciani ai si.
Situl comerciantului se compune de regul dintr-o pagin de intrare cu rol de
prezentare general a comerciantului i a magazinului, i dintr-un set de pagini cu
prezentarea produselor (descriere, pre). O serie de pagini vor informa cumprtorii
asupra condiiilor de plat i de livrare a produselor cumprate, i vor descrie
responsabilitile comerciantului i cumprtorului n toate situaiile, normale sau de
excepie, precum i avertizarea legal c dac apas butonul Cumpr, care d
comanda de cumprare, atunci accept implicit toate condiiile comerciantului i
toate responsabilitile care i revin, aa cum sunt afiate pe sit. Aproape ntotdeauna
situl va conine i o pagin (cu programul aferent) care reprezint coul, sau
cruciorul, virtual al cumprtorului (shopping cart). Cumprtorul selecteaz pe
rnd produsele dorite i le trimite n co, iar coul va nsuma toate cheltuielile i va
indica cumprtorului doar un total final de plat. Exist multe variante de programe
care implementeaz un co virtual, unele dintre acestea fiind disponibile gratuit pe
Internet. La sfritul cumprturilor, cumprtorul va examina coninutul coului i
totalul de plat i dac e mulumit va apsa un buton prin care declar c e gata de
plat. Un astfel de buton inscripionat de exemplu cu Dorii s pltii acum?, va
trimite pe ecranul calculatorului cumprtorului un formular (form) de plat, invitnd
cumprtorul s introduc datele sale de identificare i ale instrumentului su de
plat.
Dup introducerea n formular a datelor, cumprtorul apas butonul de
generare a comenzii ctre comerciant, inscripionat de exemplu cu Cumpr, iar
acesta va determina expedierea datelor comenzii (produsele selectate, datele de card
ale cumprtorului, datele privind livrarea, datele comerciantului i altele) din sit
ctre SMC-ul acceptatorului, prin intermediul programului su care rezideaz n sit i
care reprezint modulul client de eComer al acceptatorului. Dup ce acceptatorul va
primi rspuns de la emitent la cererea de autorizare a plii, programul su de
eComer, adic modulul server de eComer din SMC-ul su, va expedia rspunsul
ctre sit, iar modulul client din sit va afia cumprtorului un raport final care i
indic efectuarea, sau neefectuarea, cumprturii, i acceptarea sau neacceptarea
plii. Este posibil ca modulul client din sit s emita i un mesaj de pot electronic
(email) ctre calculatorul cumprtorului pentru a-i confirma cumprtura i pentru
11
a-i aminti eventual i condiiile de livrare a produselor cumprate (adres i data de

livrare, de exemplu).
ntruct toate tranzaciile de eComer trec prin SMC-ul acceptatorului, modulul
server de eComer al acestuia va genera periodic, de exemplu o dat pe zi, cte un
fiier de comenzi (order file) pentru fiecare din comercianii si pe Internet. Fiierul
de comenzi primit de un comerciant i indic acestuia toate livrrile ferme i cu plata
acceptat, pe care trebuie s le fac ctre toi cumprtorii si. Comerciantul poate
dispune i de o baz de date de comenzi chiar pe sit, iar modulul client de eComer
poate furniza toate datele unei comenzi acceptate pentru a fi nscrise, comand cu
comand, n aceast baz de date, caz n care nu mai este necesar fiierul descris
anterior. Comerciantul va efectua livrrile pe baz de document de recepie semnat
de cumprtor i va pstra aceste documente. Acceptatorul face decontarea
interbancar cu emitenii cardurilor care au fcut cumprturile i poate credita
contul comerciantului imediat dup autorizare, cernd documentul de recepie doar
n cazurile de disput.
b) Cumprtorul pltitor cu card, emitentul cardului, calculatorul personal al

cumprtorului i portofelul electronic, ePortofel
Cumprtorii pe Internet pot folosi pentru plat orice card (cu band
magnetic sau cu cip) emis cu permisiunea sau cu scopul de a fi folosit n acest fel de
plat. innd seama de riscurile plilor pe Internet emitenii pot emite carduri
speciale care urmresc, n caz de fraud, micorarea pe ct posibil a efectelor
acesteia.
Exist mai multe categorii de astfel de carduri cu risc redus pe Internet
carduri nregistrate de emitent pentru a fi folosite cu un protocol de autentificare
(cum este 3-D Secure), carduri cu parametri care reduc riscul, i carduri, sau conturi,
virtuale.
Cardurile nregistrate cu un protocol ca 3-D Secure sau SET ofer maxima
siguran. Visa i MasterCard, i n curnd i JCB, ofer posibilitatea nregistrrii
cardurilor lor de debit sau de credit n sistemul protocolului 3-D Secure (promovat de
Visa i agreat i de celelalte dou). Vom reveni asupra acestui protocol i a
semnificaiei nregistrrii (enrollment) unui card.
Cardurile cu risc redus n plile pe Internet au parametri stabilii la emitere n
aa fel nct n caz de fraud, pierderea s fie ct mai mic. Uzual se pune o limit
maxim de mic valoare pe suma care poate exista n cont n orice moment (de
12
exemplu maxim 100 euro), iar data de expirare a validitii cardului se stabilete ca
fiind apropiat de data emiterii. Pot fi micorai i parametrii care stabilesc valoarea
maxim admis pentru o cumprtur (de exemplu 50 euro) sau numrul maxim de
tranzacii pe Internet, pe zi (de exemplu maxim 2 tranzacii pe zi). Emitentul va
decide parametrii de risc i va emite un produs adresat n mod special plii pe
Internet.
O protecie bun se asigur prin cardurile virtuale, emise de fapt ca un cont
virtual (virtual account) a crui descriere (nume, numr de cont, dat de expirare,
moned, etc) e nmnat deintorului sub forma de informaie tipizat pe un
formular, sau sub forma unui card obinuit de plastic, dar care nu are band
magnetic (nu poate fi folosit n lumea real). Contul cardului virtual e ncrcat de
cumprtor cu puin timp naintea efecturii cumprturii cu o valoare apropiat de
valoarea la care se va face cumprarea. Contul va fi rencrcat naintea urmtoarei
cumprturi (de pe un alt card, dintr-un cont de debit, de la ATM sau POS, sau prin
serviciile bancare electronice prin Internet sau prin telefonie mobil). Astfel de
carduri, n Romnia, sunt de exemplu cardul virtual Virtuon (cu sigla Visa, fr PIN i
fr band magnetic) emis de BCR, i cardul Taifun Virtual (cu sigla MasterCard)
emis de Banc Post (5).
O alt metod de a reduce ansele de a capta datele unui card n vederea unei
folosiri frauduloase este aceea de a genera pseudo-numere de card. Emitentul va
emite astfel de carduri i va stabili n interiorul SMC-ului su o perioad de
valabilitate foarte scurt, de la o jumtate de or pn la maxim cteva luni, dup
care numrul de card va dispare definitiv din evidena SMC-ului, iar cumprtorul va
putea cere apoi emiterea unui alt astfel de card, pentru o alt cumprtur. Cardul
poate avea aparena unui card de credit dar n sistemul emitentului va putea fi pus n
coresponden cu un cont de debit (care d o mai mare siguran emitentului).
Calculatorul personal al consumatorului trebuie s fie legat fizic la Internet
(dial-up, cablu, reea) i s dispun de un navigator (browser) capabil de a asigura
legturi sigure (https:) adic care folosesc protocoalele SSL sau TLS. La calculator ar
putea fi legat, dar aceasta nu este un lucru frecvent, i un cititor de carduri cu band
magnetic care ar prelua datele de pe cardul de plat, sau un cititor de carduri cu cip
care ar prelua din cip datele secrete (cuvinte de control, chei, certificate) ale
consumatorului, necesare eventual n cazul autentificrii sale n cadrul protocoalelor
de securitate, sau ar putea fi legate alte dispozitive speciale de autentificare (token).
Cumprturile pe Internet pot fi mult uurate prin conceptul de portofel
electronic, ePortofel (eWallet). Un portofel electronic este un program rezident n
13
calculatorul cumprtorului care conine toate datele de plat ale cumprtorului,

adic datele de identitate (nume, adrese, diverse) i datele de card de plat, i este
iniializat de cumprtor o singur dat cu toate aceste date. Apoi, n momentul
completrii formularului care i apare pe ecran ca urmare a efecturii cumprturii,
datele din ePortofel sunt trecute automat (un simplu clic) n formular. Acest ePortofel
poate rezida n condiii de securitate i n serverele pentru situri de comerciani sau
n servere specializate, putnd fi astfel disponibil i din alte puncte de acces la
Internet, nu numai de pe calculatorul personal al cumprtorului. Portofelul poate
pstra i chitanele tranzaciilor efectuate, colectnd datele din pagina cu raportul de
ncheiere a tranzaciei. Pentru completarea automat a formularului comerciantului
cu datele din ePortofel, portofelul i formularul trebuie s fie compatibile (adic s
aparin aceluiai sistem).
c) Telecomunicaii sigure
Datele care circul ntre calculatorul cumprtorului i SMC-ul acceptatorului,
trecnd prin serverul de gzduire a sitului comerciantului, trebuie s rmn
permanent secrete, nealterate i s provin de la o surs (cumprtor,
comerciant/server, acceptator) autentic.
Aceasta se asigur prin protocoale sigure de transmisiuni cum sunt SSL
(Secure Sockets Layer), succesorul su similar TLS (Transport Layer Security), PCT
(Private Communication Technology), i altele. Cel mai utilizat protocol sigur n
eComer este SSL, urmat de TLS care se bazeaz pe el i i aduce unele mbuntiri.
Caracteristic acestor protocoale este faptul c la fiecare operaiune de cuplare se
genereaz o nou cheie de criptare i se face o nou autentificare (cel puin a
serverului de gzduire a sitului comerciantului). Vom reveni asupra protocolului SSL.
Dac legtura ntre acceptator i serverul de gzduire se asigur printr-o linie
nchiriat, care este mai sigur dect cea public prin Internet, poate fi suficient un
protocol mai simplu de telecomunicaii, care s asigure doar o criptare a mesajelor
(eventual i un cod MAC pentru verificarea integritii), fr autentificarea capetelor
transmisiei. Dac legtura se face prin Internet, se poate folosi i protocolul VPN
(Virtual Private Network) care, asemeni SSL-ului, asigur criptarea i integritatea
mesajelor, precum i autentificarea prilor.
d) Aplicaia de eComer a acceptatorului modulul client i modulul server
de eComer, poarta de acces la Internet
14
Banca acceptatoare care ofer clienilor si comerciani serviciul de comer

electronic prin Internet cu plat prin card trebuie s dispun de un SMC capabil de
procesare a tranzaciilor generate n cadrul acestei forme de comer. Aceast
funcionalitate a SMC-ului acceptatorului se asigur printr-o aplicaie (set de
programe) compus din dou pri, sau module un modul aflat n SMC i numit
modulul server de eComer, i un modul aflat n situl fiecrui comerciant din serverul
de gzduire numit modulul client de eComer. ntre cele dou module funcioneaz
legtura sigur de telecomunicaii care se stabilete ntre acceptator i server. n
cazul plii cu carduri aparinnd marilor sisteme de carduri mesajele care circul
prin aceast legtur sunt n formatul ISO 8583. Rolul fundamental al aplicaiei de
eComer a acceptatorului este de a dialoga cu cumprtorul i de a transforma
tranzacia de eComer n aa fel nct s produc o tranzacie echivalent cu una
obinuit, din lumea real, produs de un card la un terminal de plat POS, care s
fie procesat de sistemul existent de pli prin carduri, cu extensiile necesare (6).
Un acceptator are de regul mai multe situri de comerciani aflate pe acelai
server de gzduire, sau pe servere diferite. Fiecare sit de comerciant dispune de un
modul client de comer electronic care apeleaz la unicul modul server de comer
electronic din SMC-ul acceptatorului. Eventual fiecare server de gzduire dispune de
un singur modul client, care e folosit de toate siturile de comerciani care aparin
aceluiai acceptator.
Logic vorbind sistemul acceptatorului dispune de o interfa cu Internetul prin
intermediul creia se face tot schimbul de informaii cu serverele de comerciani.
Aceast interfa are numele de poart de plat (payment gateway), sau poart de
access (gateway), cuprinde protocoalele de transmisiuni i modulul server de
eComer al acceptatorului, fcnd legtura ntre Internet i sistemul de pli prin
carduri, trecnd prin SMC-ul acceptatorului.
Rolul modului client este de asigura interfaa cu navigatorul cumprtorilor,
adic de a transmite datele primite de la cumprtori la modulul server din SMC-ul
acceptatorului, de a primi rspunsul de la acesta, i de a-l trimite napoi la
navigatorul cumprtorilor. Modulul client va aduga datelor cumprtorului i
identitatea comerciantului (Merchant ID). n esen, la momentul plii, modulul
client va afia un formular (HTTP form) pe ecranul cumprtorului n care acesta i
va introduce datele secrete ale cardului cu care pltete, dup care va forma cu
aceste date (plus nc altele) un mesaj pe care l va expedia, cu titlu de cerere de
autorizare, ctre modulul server. La primirea rspunsului de la modulul server va
genera pe ecranul cumprtorului o pagin-raport cu informaiile care i confirm
15
acestuia efectuarea plii i datele operaiei de cumprare. Va putea eventual trimite

cumprtorului i un mesaj electronic (email) de confirmare a operaiei. Desigur, va
pstra ntr-un fiier o nregistrare a tuturor mesajelor transmise i recepionate.
Rolul modului server este de a primi tranzaciile de eComer cu cererile de
autorizare de la toate modulele client, de a le transforma n tranzacii ale sistemului
adugnd i identitatea acceptatorului i, dup autorizare, de a le trimite modului
client de la care a venit cererea de autorizare.
n cazul folosirii protocoalelor de autentificare speciale, cum sunt 3-D Secure i
SET, ambele module, client i server, vor dispune de funcionalitile suplimentare
cerute de aceste protocoale, principiile rmnnd aceleai.
Acceptatorul care nu dispune de un SMC propriu capabil s ofere serviciile de
eComer poate apela la serviciile unui procesator independent de tranzacii cu
carduri, care are aceast facilitate. n acest caz legturile cu serverele de gzduire
ale siturilor comercianilor i cu sistemul de pli prin carduri sunt asigurate de
procesatorul independent, iar acceptatorul pstreaz doar o singur legtur (de
regul printr-o linie nchiriat) cu procesatorul. Aceast modalitate este prezentat n
figura 6.2. n Romnia un astfel de procesator independent este compania PayNet
(www.paynet.ro), iar procesatorul Romcard (www.romcard.ro), care aparine unor
bnci mari, ofer deja pentru bncile proprietare, i pentru alte bnci, un serviciu de
comer electronic complet i certificat bazat pe protocolul 3-D Secure, sub siglele
Visa i MasterCard (a se vedea i capitolul 12.2).
16
e) Serverul de gzduire a siturilor de comerciani

Serverul de gzduire a siturilor de comerciani aparine unui furnizor de servicii
de Internet (ISP, Internet Service Provider) cu obinuitele servicii de gzduire pagini
HTML (sau XML), de pot electronic, i de legturi de telecomunicaii cu
acceptatorii poteniali. Acceptatorii pot dispune de propriul server de gzduire pentru
comercianii lor, sau indic acestora serverele cu care lucreaz.
Un astfel de server poate gzdui multe situri de comerciani, fiecare cu numele
lui de Internet, i de la mai muli acceptatori. Pentru fiecare acceptator va exista
probabil cte un tip diferit de modul client de eComer, care se afl n situl (fiierul
de pagini) comercianilor acelui acceptator. Serverul va avea legturi de
telecomunicaii cu fiecare acceptator n parte.
Calitile cele mai importante ale serverului de gzduire trebuie s fie
sigurana de funcionare (un grad de disponibilitate mai mare de 99,5% este strict
necesar), viteza de procesare i de telecomunicaii, i capacitatea mare de stocare
de situri.
Serverul trebuie de asemenea s aparin unei companii n care toate prile
implicate au o mare ncredere, adic s fie autentificat de o Autoritate de Certificare
17
admis de toi (cum ar fi de exemplu compania american VeriSign, care este un

furnizor global de certificate de autenticitate pentru servere).
f) Riscurile, fraudele i disputele
Riscurile de fraud n comerul electronic prin Internet sunt generate pe de o
parte de reeaua de telecomunicaii publice, inerent nesigur, a Internetului i pe de
alt parte de faptul c tranzacia se face n situaia cardul-nu-este-prezent n faa
comerciantului n momentul cumprrii. Vom defini riscul ca posibilitatea apariiei
unor pierderi sau unor daune. Pierderile pot fi financiare sau de confidenialitate.
Telecomunicaiile publice nesigure, accesibile oricui i tuturor, ofer ansa unei
interceptri frauduloase a mesajelor, din care se pot extrage date secrete (de card,
de identitate) care ar putea fi ulterior folosite n mod fraudulos, n dauna
deintorului de card cumprtor, sau a comerciantului.
Faptul c deintorul i cardul nu sunt prezeni n faa comerciantului ofer
ansa prezentrii la plat a unui card fraudulos, sau a unui cumprtor cu identitate
frauduloas (card and cardholder impersonation).
Cazurile frecvente de fraud n care comerciantul accept plata dar nu livreaz
marfa, sau n care cumprtorul primete marfa comandat i pltit dup care
declar c nu el a fcut tranzacia i reclam banii napoi, conduc la dispute ale cror
proceduri de rezolvare cost toate prile implicate.
Pierderile directe i indirecte datorate fraudelor vor fi suportate de comerciant
(acceptator), de emitentul cardului, de deintorul de card, i chiar de sistemul de
pli prin carduri n ansamblu n cazul n care un cumprtor nemulumit renun la
cardurile sistemului i trece la cardurile altui sistem.
S-a apreciat c n 2003 fraudele din eComer au generat pierderi financiare de
circa 1,8 miliarde dolari, 1 din 6 cumprtori cu card a fost, sub o form sau alta,
victima unei fraude financiare, i 1 din 12 cumprtori i-au vzut identitatea furat.
Frauda pe Internet este de circa 17 ori mai mare dect cea care are loc n
magazinele reale, tranzaciile frauduloase de comer electronic reprezentnd circa
1% din total, fa de numai circa 0.06% tranzacii frauduloase care au loc n
magazinele reale (7). Alte surse indic cifre mai mici pentru aceste fraude.
g) Protocoalele de autentificare care asigur o securitate sporit a
tranzaciilor 3-D Secure, SecureCode, SET
Dup o rapid dezvoltare a eComerului la sfritul deceniului 90, frauda
crescuse la un nivel considerat inacceptabil, iar rspndirea comerului electronic a
18
regresat. Aceast situaie a determinat creterea preocuprilor pentru securitate i

astfel au aprut, printre altele, protocoalele de securitate sporit specifice
eComerului, i anume mai nti complexul protocol SET susinut de Visa i
MasterCard, apoi protocoalele Verified by Visa bazat pe 3-D Secure al lui Visa i
SecureCode al lui MasterCard, ultimele dou similare ca concepie, dar mai simple i
mai usor de implementat dect SET. n prezent protocolul de autentificare
3-D Secure pare s se impun ca cea mai bun soluie fiind susinut de Visa (care l-a
inventat), de MasterCard i de JCB. De remarcat c n Romnia, din 2004, mai multe
bnci mari (BCR, Raiffeisen Bank, i Banca iriac) accept comerciani pe Internet i
emit carduri sub sigla Visa i MasterCard care pot fi folosite pentru comerul
electronic cu protocolul 3-D Secure, procesatorul acestor bnci fiind compania
Romcard. Vom reveni asupra acestor protocoale.
h) Costul tranzaciilor, microplile
Efectuarea oricrei tranzacii de eComer propune costuri pentru toate prile
implicate. Costul unei tranzacii de eComer are n general o parte fix de 0,1-0,5
dolari SUA i o parte variabil ce poate fi mai mare de 5% din sum (2). Cei care
suport n final aceste costuri sunt cumprtorii i comercianii. Comercianii rezolv
de regul problema ridicnd acoperitor preul produselor vndute. Cumprtorul
simte costul pe care trebuie s-l plteasc pentru o tranzacie pe Internet raportat
la valoarea produsului cumprat, dei costul n sine al tranzaciei nu depinde de
aceast valoare. Astfel nct n cazul cumprrii unor produse sau servicii de mic
valoare, costul tranzaciei de cumprare poate apare ca prea mare, eventual
inacceptabil. Internetul este un loc predilect pentru punerea n vnzare a produselor
i serviciilor de mic valoare cum ar fi software cvasi-gratuit, melodii, imagini,
informaii diverse, pentru care costul poate fi de civa dolari sau chiar civa ceni.
n acest caz avem de a face cu micropli (micro payments). Limita pentru definirea
unei micropli e pus convenional la 10, sau, dup alte surse, la 25 dolari SUA,
plile inferioare acestei limite fiind considerate micropli (2). Se definesc chiar
nanoplile, ca fiind plile a cror valoare este sub 1 dolar SUA. Pentru micro- i
nanopli pe Internet exist metode adecvate de plat care fac costul tranzaciei
foarte mic. Una din aceste metode este folosirea ePortomoneelor (ePurse) ca mijloc
de plat pe Internet, iar alta este plata prin transferul direct de fonduri ntre conturi
(accountbased transfer), conturile cumprtorilor i comercianilor aflndu-se la
aceiai entitate (dispare operaia de decontare), cum e cazul sistemelor de plat
PayPal i PayDirect.
19
i) Piee electronice, licitaii

Comerul electronic poate fi organizat i dup modelul pieelor reale mai
muli comerciani i prezint produsele i serviciile n cadrul aceluiai sit,
cumprtorii pot cerceta mai multe magazine virtuale, pot compara preurile i pot
participa la vnzrile de produse prin licitaie organizate de diveri vnztori, sau pot
cumpra la preurile fixe afiate.
Cumprtorii i vnztorii pot fi persoane fizice sau companii, n orice
combinaie persoane cu persoane (P2P), persoane cu companii (B2C), sau
companii cu companii (B2B). Administraia central (guvernul) i cea local
(guvernul local), n postur de companie, particip frecvent la achiziia de produse i
servicii de la furnizori, prin licitaie (B2G).
n cadrul unei licitaii vnztorul afieaz produsul, un pre minim de pornire,
i o durat a licitaiei, iar cumprtorii declar preul maxim pe care sunt dispui s-l
ofere, putnd s modifice acest pre pe durata licitaiei ntruct pot vedea n orice
moment preul cel mai mare oferit curent. Vnztorul alege, la sfritul perioadei de
licitaie, preul cel mai mare i intr n contact direct cu cumprtorul care l-a oferit,
pentru a perfecta vnzarea, stabilind modul de plat i condiiile de livrare. Plata se
poate face prin mijloacele electronice oferite de piaa electronic sau prin mijloacele
tradiionale existente ntre bncile celor doi.
O pia electronic, procedura de licitaie i mijloacele de plat sunt
implementate prin aplicaiile specifice ale companiei care deine situl, sau portalul, ce
reprezint piaa electronic.
6.4. Riscurile, fraudele i disputele n comerul electronic
Aa cum am artat, riscul de fraud n comerul electronic e datorat, n

principu, caracterului public al reelei de telecomunicaii a Internetului i faptului c
nici deintorul de card, i nici cardul, nu sunt prezeni n faa comerciantului n
momentul efecturii tranzaciei de cumprare.
n multe ri, conform legislaiei naionale, rspunderea pentru o tranzacie
frauduloas revine comerciantului (reprezentat de acceptatorul su) sau emitentului
cardului. Din acest motiv deintorul de card e puternic ncurajat, tiind c nu va
20
pierde bani n cazul unei fraude, atta vreme ct i respect propriile obligaii (fa
de emitent i fa de comerciant i regulile acestora) (8).
Vom prezenta pe scurt n cele ce urmeaz care sunt tipurile mai importante de
pericole de fraud care ar putea apare n acest tip de comer (9).
Un agent fraudulos care cunoate domeniul, pe care l vom numi fraudator,
poate intercepta mesajele transmise i poate extrage datele cardului. Mai trziu
fraudatorul poate efectua o tranzacie introducnd n comand datele de card astfel
obinute. Acest tip de fraud poate fi eliminat numai printr-o procedur de
autentificare a deintorului de card (prin PIN sau printr-o parol, sau expresie, de
control). Deintorul legal al cardului va nega, evident, c a fcut tranzacia i se va
declana o disput a crei rezolvare presupune costuri.
Fraudatorul poate modifica o comand de cumprare, schimbnd, de exemplu,
lista de cumprturi sau cantitatea acestora, astfel nct comerciantul va livra
produsele greit, iar cumprtorul va refuza recepionarea acestora i va cere banii
napoi. Comerciantul i va putea pierde clienii.
Fraudatorul poate modifica paginile din situl comerciantului cu scopul de a
dezinforma cumprtorii care se vor ndrepta astfel spre alt comerciant.
Fraudatorul poate fi chiar comerciantul dac va utiliza datele de card primite n
cursul unei pli (n cazul n care are acces la aceste date) pentru a efectua el nsui
tranzacii n locul deintorului de card legitim. Aceasta reprezint una din cele mai
mari temeri ale cumprtorilor pe Internet, care ar prefera s tie c datele lor de
card nu se pstreaz n situl comerciantului.
Fraudatorul poate s creeze un fals sit de comerciant, care arat ca un
magazin virtual legitim, dar care nu e legat de nici o banc acceptatoare sau sistem
de pli. El va capta astfel toate datele de card pe care cumprtorii pclii le vor
furniza cnd vor face o cumprtur.
Un deintor legitim al unui card legitim poate deveni un fraudator dac, dup
ce a efectuat o cumprtur i a primit produsele, neag c a fcut tranzacia i
ncearc s obin banii napoi.
Fraudatorii pot de asemenea s ncerce s fac nefolosibil un sit de
comerciant, genernd un numr foarte mare de tranzacii cu date de card inventate,
tranzacii care vor fi respinse, dar situl va fi practic nefolosibil de ctre cumprtorii
legitimi, fiind suprancrcat cu respingerea tranzaciilor invalide.
Ca urmare a diverselor forme de fraud un deintor de card care e
cumprtor pe Internet poate contesta, sau disputa, sub diverse motive, fie toat
tranzacia, fie doar aspecte ale acesteia. Cumprtorul se va adresa cu o plngere
21
ctre emitentul cardului su, iar acesta va ncepe o procedur de rezolvare a

disputei, conform regulilor sistemului de carduri i mpreun cu acceptatorul care
reprezint comerciantul, n scopul returnrii banilor, total sau parial (chargeback,
returnare plat). Motivele cele mai frecvente invocate de cumprtor sunt nu am
fcut tranzacia, nu doresc ceea ce am primit i nu am primit ceea ce am
cumprat. Rezolvarea acestor dispute implic costuri suplimentare relativ mari
pentru emitent i pentru acceptator, i, n mod frecvent, pierderile mai mari sunt
suferite de comerciant.
6.5. Securitatea comerului electronic
Msurile speciale de securitate n cazul comerului electronic prin Internet, n

care plile se fac cu carduri, sunt concentrate, n principal, n dou direcii
asigurarea securitii telecomunicaiilor, i asigurarea securitii tranzaciilor prin
procedee mai puternice de autentificare, n principal a deintorului de card. Prima
direcie ncearc s rezolve problema riscurilor generate de caracterul public al
transmisiunilor prin reeaua Internetului, iar a doua pe aceea a riscurilor generate de
o situaie n care cardul-nu-este-prezent (similar cu cazul comenzilor date prin
telefon sau pot).
Alte msuri de securitate sunt luate la nivelul legislaiei i al reglementrilor
bancare i ale sistemelor de carduri, iar altele urmresc comportamentul
cumprtorilor (memornd o istorie a tranzaciilor) i depistarea unui profil al
cumprtorului, sau comerciantului, potenial fraudulos cruia mai apoi i se vor
interzice tranzaciile. Unii emiteni pot utiliza chiar reele neuronale care pot
identifica un fel anume, susceptibil de a fi fraudulos, de a face cumprturile de
exemplu efectuarea unui mare numr de cumprturi ntr-un interval scurt de timp
(cteva ore) de pe multe situri de comerciant, caz n care cumprtorul va fi imediat
contactat pentru verificare.
6.5.1. Securitatea telecomunicaiilor protocoalele SSL i TLS
22
n prezent securitatea telecomunicaiei ntre calculatorul personal al

cumprtorului i serverul de gzduire al sitului comerciantului, precum i aceea
dintre acest server i procesatorul acceptatorului se asigur prin protocolul SSL, sau
prin succesorul su TLS.
Ambele protocoale asigur toate elementele fundamentale ale unei
transmisiuni sigure criptarea mesajelor care asigur confidenialitatea, verificarea
integritii coninutului mesajelor, i autentificarea entitilor de la ambele capete ale
transmisiunii.
Protocolul SSL (Secure Sockets Layer), ajuns astzi la versiunea 3.0, a fost
proiectat de compania american Netscape Communications n 1995 i s-a rspndit
n toat lumea fiind instalat n toate navigatoarele importante (Internet Explorer i
Netscape) i n toate serverele de gzduire de situri, devenind un standard de facto
al securitii telecomunicaiilor pe Internet. Iat pe scurt modul su de funcionare.
n momentul n care un navigator adreseaz un server n regim de securitate
(adrese ncepnd cu https:), acesta va trimite navigatorului propriul su certificat de
autenticitate, eliberat de o Autoritate de Certificare (care respect standardul X.509)
cunoscut i acceptat (cum ar fi VeriSign Inc.), criptat i semnat de aceasta cu
cheia sa secret i coninnd identitatea serverului i cheia public a serverului.
Opional, i navigatorul poate trimite certificatul su ctre server. Navigatorul va
decripta certificatul serverului (cu cheia public, pe care o cunoate, a Autoritii de
Certificare) i va obine cheia public a serverului, apoi va genera o cheie secret
valabil numai pentru cuplarea n curs (la fiecare legtur cu serverul se va genera o
nou cheie). Aceast cheie de criptare a mesajelor (de 40 sau 128 de bii) este la
rndul ei criptat cu cheia public a serverului, cruia i este apoi expediat. n acest
fel ambele capete ale transmisiei dispun acum de o cheie secret de criptare mesaje,
cu care i cripteaz mesajele pe care ncep s i le trimit. Aceast cheie de criptare
mesaje se folosete i la aplicarea unui cod MAC (Message Authentication Code) care
permite verificarea integritii mesajelor schimbate.
Protocolul TLS (Transport Layer Security) a fost elaborat de IETF (Internet
Engineering Task Force), organizaia de standardizare a Internetului, pe baza SSL
3.0 i reprezint o mbuntire a acestuia n mai multe privine. Este de ateptat s
se substituie treptat protocolului SSL (10).
6.5.2. Securitatea tranzaciilor de plat protocoalele 3-D Secure,

SecureCode i SET
23
O cretere substanial a securitii tranzaciilor de plat se poate obine prin

folosirea unor protocoale de autentificare al cror rol este s autentifice actorii
principali ai tranzaciei ce are loc pe Internet deintorul de card i cardul lui,
comerciantul i acceptatorul lui, i poarta de acces (gateway) din Internet ctre
sistemul de pli prin carduri. Aceasta autentificare se face fie prin certificate de
autenticitate care necesit un sistem de chei publice (PKI, Public Key Infrastructure),
fie prin alte metode, mai simple. Esenial este autentificarea deintorului de card
deoarece aici se afl sursa majoritii fraudelor.
Trei astfel de protocoale sunt astzi n folosin protocolul SET proiectat n
1996 de Visa, MasterCard, IBM i alii, protocolul 3-D Secure proiectat de Visa, i
protocolul SecureCode proiectat de MasterCard, ultimele dou n 2001. Cel care
asigur securitatea maxim, ntruct autentific pe toi actorii tranzaciei, este
protocolul SET. Acesta este ns un protocol complicat, scump i greu de
implementat, motiv pentru care nu este rspndit, pare ameninat cu dispariia i nu
vom insista asupra lui. Dintre celelalte dou, care sunt mai simple i mai uor de
implementat, protocolul 3-D Secure tinde s devin un standard de facto fiind
acceptat i de MasterCard i de JCB.
Protocolul de autentificare 3-D Secure este prezentat de Visa sub marca
Verified by Visa (VbV), aceast marc fiind prezent pe siturile comercianilor ai
cror acceptatori au aderat la protocol. MasterCard ofer ns sub marca proprie de
SecureCode un numr de trei protocoale de autentificare distincte, la alegere
pentru acceptatori protocolul SPA/UCAF (primul care a purtat marca), protocolul
CAP derivat din primul, i implementarea proprie a protocolului 3-D Secure.
Spre deosebire de SET, protocoalele 3-D Secure i SPA/UCAF nu mai impun
certificate de autenticitate pentru toate prile, ceea ce reprezint o mare
simplificare. Autentificarea deintorului de card se face n timpul tranzaciei de ctre
emitentul acestuia numai pe baza numelui i a unui cuvnt de control (password)
sau PIN (sau prin alte metode, la alegerea emitentului), certificatul de autenticitate
al cumprtorului nemaifiind strict necesar.
n cele ce urmeaz vom face o scurt prezentare a celor trei protocoale,
punnd un accent ceva mai mare pe 3-D Secure, dup care vom face o scurt
comparaie ntre protocoalele 3-D Secure i SecureCode (SPA/UCAF).
a) Protocolul SET
24
Acest protocol (11) foloeste certificate de autenticitate i genereaz diverse

chei pentru deintorul de card, pentru comerciant i pentru poarta de acces
(gateway) la sistemul de pli prin carduri. Poarta de acces se afl la nivelul
acceptatorului care are legatura cu sistemul de pli prin carduri i reprezint punctul
de acces din Internet n acceptator i mai departe n sistemul de carduri.
Certificatele de autenticitate sunt generate de Autoriti de Certificare diferite,
aflate ntr-o ierarhie, la vrful creia se afl o autoritate rdcin care aparine
consoriului SET, numit SETCo. Aceast rdcin va certifica Autoritile de
Certificare ale sistemelor de carduri (Visa, MasterCard) care, la rndul lor, vor
certifica emitenii i acceptatorii.
Fiecare emitent va fi apoi Autoritatea de Certificare pentru deintorii lui de
carduri, i cardurile lor, iar fiecare acceptator va fi Autoritatea de Certificare pentru
comerciani i porile lor de acces (de la serverul de gzduire la acceptator).
n prima faz a tranzaciei prile se autentific ntre ele deintorul de card
cu comerciantul (opional), deintorul de card cu poarta de acces (opional),
comerciantul cu deintorul de card (obligatoriu), i comerciantul cu poarta de acces
(obligatoriu).
n a doua i ultima faz are loc autorizarea tranzaciei n care, n maniera deja
descris, datele cardului ajung la acceptator care formuleaz o cerere de autorizare
ctre emitent, al crui rspuns l trimite apoi ctre calculatorul deintorului de card
trecnd prin poarta de acces i serverul de gzduire a sitului comerciantului.
25
n figura 6.3 se prezint schema de principiu a protocolului SET. O variant

simplificat a acestui protocol, numit 3-D SET (server based), care nu mai
pstreaz certificatul cumprtorului n calculatorul lui personal (fcnd astfel
posibil cumprarea i de la alte puncte de acces la Internet), nu s-a bucurat nici ea
de succes, rmnnd n continuare complicat i scump.
b) Protocolul 3-D Secure
Ca urmare a rspndirii reduse a protocolului SET, un protocol foarte sigur dar
complex i scump, Visa introduce n 2001 propriul protocol numit 3-D Secure, mai
simplu i mai uor de implementat, bazat pe un model de sistem de securitate care
cuprinde trei domenii (12). Scopul celor trei domenii este acela de a defini clar
responsabilitile prilor implicate n tranzacie. Cele trei domenii sunt Domeniul
Emitentului, care cuprinde deintorii de card i emitenii cardurilor lor; Domeniul
Acceptatorului, care cuprinde comercianii i acceptatorii lor; i Domeniul de
Interoperabilitate, care asigur comunicarea ntre emiteni, acceptatori i sistemul
Visa. Protocolul asigur autentificarea numrului de card, a deintorului de card, i a
comerciantului, la fiecare tranzacie.
n modelul celor trei domenii, 3-D, la tranzacia de plat autentificat particip
direct emitentul cardului i comerciantul. n momentul n care cumprtorul iniiaz
plata, comerciantul (modulul de 3-D Secure din situl lui) va cere mai nti
autentificarea numrului cardului iar apoi va cere emitentului s-i autentifice
deintorul de card. Dup ce va primi autentificarea semnat, va urma autorizarea
normal a plii (trimite la emitent, prin sistem, o cerere de autorizare, etc).
Comerciantul va ncepe deci ntotdeauna prin a cere emitentului s-i autentifice mai
nti cardul i deintorul de card.
Deintorul de card trebuie s se nregistreze (enrollment) n sistem la
emitentul su i s-i declare cel puin un nume i o parol prin care emitentul poate
s-l autentifice n momentul tranzaciei, trimind apoi aceasta autentificare
comerciantului. Protocolul las libertatea emitentului de a alege i alte metode de
autentificare a deintorului de card care s arate, n momentul efecturii tranzaciei,
c este deintorul legitim al cardului cu care se face plata. Emitentul poate astfel
cere deintorului de card s dispun de un certificat propriu de autenticitate, s
foloseasc un card inteligent (printr-un cititor cuplat la calculatorul personal) ca
depozitar sigur al identitii, sau s foloseasc metodele de autentificare din serviciile
26
bancare electronice (eBanking) proprii. Uzual ns deintorul de card e autentificat

de emitent doar prin nume i parol.
Dup ce l autentific, emitentul va genera un rspuns semnat electronic (un
certificat de autentificare a deintorului de card) pe care l trimite comerciantului
pentru a-i confirma autenticitatea deintorului de card, iar comerciantul va putea
trece la faza de autorizare normal a tranzaciei.
Deintorul de card este liber s-i instaleze i un portofel electronic, ePortofel
(eWallet), care va conine informaiile de identitate (nume, adres, parol, etc) i
cele de card (tip card, numr card, dat de expirare) i care i poate servi la
automatizarea procesului de completare a formularului de plat (form filling) i la
pstrarea chitanelor pentru tranzaciile efectuate.
Emitentul dispune de un serviciu de nregistrare n sistemul 3-D Secure a
cardurilor i deintorilor de card (nregistrarea se poate face i prin Internet)
pstrnd ntr-un server de nregistrare (Enrollment Server) numerele de card,
numele i parola deintorilor participani. Emitentul mai dispune i de un server de
control al accesului (ACS, Access Control Server) care are rolul de a primi cererile de
autentificare a cumprtorului venite de la comerciani, de a face autentificarea
acestuia verificnd numrul de card, numele i parola (sau o alt metod), i de a
trimite rspunsul semnat napoi la comerciant.
n domeniul de interoperabilitate Visa (sau MasterCard, care a aderat la
sistem) dispune de un Director (Directory Service) care este un server central pe
Internet (ce dispune de un certificat de autenticitate) n care se pstreaz numerele
de card ale tuturor cardurilor nregistrate n sistemul 3-D Secure (nscrise de
emiteni) precum i adresele de Internet (URL) ale serverelor de control al accesului
(ACS) ale emitenilor cardurilor nregistrate. n acest Director se pstreaz i o
arhiv a tuturor autentificrilor date de emiteni, pentru a servi rezolvrii unor
eventuale dispute.
n domeniul acceptatorului, acceptatorii trebuie s dispun de o poart de
acces (payment gateway) la sistemul de plat prin carduri Visa/MasterCard, iar
comercianii lor trebuie s-i instaleze, pe lng (sau n locul, dac i preia funciile)
modulul client de eComer, i un modul de 3-D Secure care poart numele standard
de MPI (Merchant Plug-In module), adic modul de comerciant 3-D Secure instalat n
sit. Acest modul de comerciant 3-D Secure va genera cereri de autentificare a
cardului i a cumprtorului ctre emitent, prin intermediul Directorului, iar dup
primirea rspunsului va trimite cererea de autorizare a tranzaciei ctre poarta de
acces a acceptatorului (prin intermediul modului client de eComer) care, la rndul
27
lui, o va trimite mai departe n sistemul de carduri prin acceptator. n cursul acestei
operaii modulul MPI al comerciantului se va autentifica fa de Director printr-un
certificat de autenticitate sau, mai simplu, printr-un password, iar Directorul va face
acelai lucru fa de comerciant. n felul acesta are loc, la fiecare tranzacie, i o
autentificare a comerciantului. Dup primirea rspunsului de autorizare, modulul
comerciantului va trimite cumprtorului o pagin cu un raport asupra efecturii
tranzaciei. n cazul n care tranzacia este iniiat de un card care nu este nregistrat
n sistemul 3-D Secure, comerciantul va putea sri peste etapa de autentificare a
cumprtorului i va trece direct la autorizare, sau va respinge tranzacia, dup cum
a ales acceptatorul.
Figura 6.4 prezint schema de principiu a domeniilor protocolului 3-D Secure.

Mesajele privind autentificarea circul ntre Domeniile emitentului i acceptatorului n
cadrul Domeniului de interoperabilitate, i au loc prin Internet. Mesajele prin care se
face autentificarea deintorului de card circul ntre acesta i emitentul su, n
cadrul Domeniului emitentului. Mesajele prin care se cere autorizarea tranzaciei i
se face procesarea plii circul ntre comerciant i acceptatorul su, n cadrul
Domeniului acceptatorului, iar aceleai mesaje dar care se schimb ntre acceptator
i emitent n vederea realizrii autorizrii i procesrii plii, circul n cadrul
Domeniului de interoperabilitate prin sistemul de carduri (VisaNet, BankNet).
Legturile prin Internet sunt legturi sigure, efectuate prin protocolul SSL, n care
fiecare entitate server dispune de un certificat de autenticitate iar mesajele sunt
criptate. n capitolul 6.6 vom prezenta anatomia unei tranzacii de eComer care
folosete protocolul 3-D Secure. Comerciantul nu are acces la datele cardului de
28
plat, care nu sunt stocate pe situl su, i poate vedea numai verdictul final de
autentificare dat de emitent autentificat sau neautentificat.
Protocolul 3-D Secure verific esenialmente autenticitatea cardului i a
deintorului de card i d astfel comerciantului ncrederea c va fi pltit dup ce va
livra produsele comandate. Protocolul poate fi folosit n principiu i pe alte canale de
plat telefoane mobile, asisteni digitali personali (PDA) sau televiziunea digital
prin cablu.
Visa estimeaz c introducerea protocolului va diminua cu pn la 80%
numrul de tranzacii disputate. Pentru a ncuraja rspndirea protocolului n
rndurile membrilor si, Visa a stabilit, pentru regiunea CEMEA n care se afl i
Romnia, termenul de aprilie 2003 ca un moment dincolo de care rspunderea (pn
la acea dat mprit ntre emitent i acceptator, n funcie de circumstane) n cazul
unei pierderi datorate unei fraude n comerul electronic va reveni acelei pri care
nu a implementat protocolul (liability shift). n SUA pn n 2004 protocolul a fost
deja adoptat de 80% din bnci, iar n Europa de peste 100 de bnci i peste 10.000
de comerciani.
c) Protocolul SecureCode
Sub denumirea de SecureCode, MasterCard ofer membrilor si trei protocoale
de autentificare a deintorului de card protocolul SPA/UCAF, protocolul CAP care
este o variant a primului, i protocolul 3-D Secure n versiunea MasterCard.
Asemeni lui Visa i tot n 2001, MasterCard anun protocolul SPA (Secure
Payment Application) bazat pe utilizarea unui mecanism de transport de date prin
reeaua sa (BankNet), denumit UCAF (Universal Cardholder Authentification Field)
care transport un aa numit semn de autentificare (authentication token) utilizat
pentru a indica autentificarea deintorului de card care a fcut tranzacia, motiv
pentru care este numit SPA/UCAF. Protocolul CAP (Chip Card Authentication
Program) este o variant a SPA pentru plata cu carduri inteligente i presupune de
regul cuplarea la calculator a unui cititor de astfel de carduri. MasterCard adopt
apoi n 2002 protocolul 3-D Secure ntr-o variant proprie i l prezint tot sub
denumirea generic de SecureCode. Acceptatorii MasterCard au libertatea de a-i
alege tipul dorit de protocol.
n cele ce urmeaz vom face o scurt prezentare a protocolului SPA/UCAF
(13). Protocolul cere participarea direct a emitentului care autentific cumprtorul
i a comerciantului care dispune de un modul client de eComer specific SPA, i
impune ca fiecare cumprtor deintor de card s-i instaleze n calculatorul su un
29
portofel electronic care i va servi la autentificare i la efectuarea plii. Acest

program (numit i SPA applet) are att funcia de ePortofel care deine datele de
identificare i de card de plat, ct i aceea de a interaciona cu comerciantul i cu
emitentul cardului.
Emitentul dispune de un server de ePortofel (wallet server, sau SPA server) i
distribuie cumprtorilor care se nregistreaz cte un ePortofel pe care acetia i-l
instaleaz apoi n calculatorul lor personal. n momentul nregistrrii (enrollment)
cumprtorul i va defini i o parol, sau un PIN, dup care va fi autentificat ulterior.
Cnd va ncepe tranzacia, ePortofelul se va activa i va cere deintorului de card
s se autentifice printr-un formular (se cere parola) dup care se va conecta la
emitent pentru a-i trimite aceste date i a-i cere o dovad a autentificrii. Serverul
emitentului va verifica datele introduse cu cele pstrate la momentul nregistrrii n
sistem i va genera un mesaj cu un semn de autentificare (authentication token)
pe care l va ntoarce ePortofelului. Acest semn de autentificare poart numele de
AAV (Accountholder Authentication Value), valoarea de autentificare a deintorului
de cont de card, i arat, n esen, dac parola introdus este corect, caz n care
deintorul de card este declarat autentic.
Comercianii au un modul client de eComer, specific protocolului, care le este
furnizat de acceptatorul participant la sistem. Acest modul interacioneaz cu
cumptorii i cu ePortofelele lor, precum i cu poarta de acces (unde e modulul
server de eComer) a acceptatorului. Cnd cumprtorul va declana cumprtura,
comerciantul va adauga la datele tranzaciei i semnul de autentificare (ce se va
pstra n cmpul UCAF din structura mesajelor care circul prin reeaua BankNet a
MasterCard), i va trimite totul ctre acceptator. Acesta va trimite mai departe
cererea de autorizare a tranzaciei i semnul de autentificare, prin reea la emitent.
Emitentul va compara semnul de autentificare primit cu cel pe care l-a generat
anterior n momentul autentificrii cumprtorului i dac acestea coincid, trece la
procedura de autorizare, ca urmare a creia napoiaz acceptatorului un rspuns la
cererea de autorizare.
30
n figura 6.5 se prezint simplificat modul de desfurare a unei tranzacii de

eComer realizate prin tehnologia MasterCard SecureCode, cu protocolul SPA/UCAF.
Tranzacia se desfoar, n mare, n felul urmtor.
ePortofelul cumprtorului detecteaz automat (pas 1) un sit de comerciant
membru al sistemului, citete date (pas 2) referitoare la formularul de comand i
identitatea comerciantului de pe situl acestuia, i n momentul iniierii cumprturii,
realizeaz o procedur de cerere de date de autentificare (pas 3) de la cumprtor,
dup care trimite (pas 4) datele asupra tranzaciei i cele de autentificare furnizate
de cumprtor, ctre serverul de ePortofele al emitentului. Emitentul autentific
cumprtorul i genereaz (pas 5) semnul de autentificare (valoarea AAV) pe care l
trimite (ca pe un certificat de autenticitate) ePortofelului. ePortofelul va transmite
acest semn ctre comerciant i va completa automat toate datele din formularul de
comand al comerciantului (pas 6). Comerciantul va trimite (pas 7) o cerere de
autorizare a tranzaciei, mpreun cu semnul de autentificare (memorat n mesajele
ce conin cmpul UCAF, ale sistemului), ctre acceptator, care o va expedia (pas 8)
mai departe prin reeaua BankNet a MasterCard ctre emitent, pe calea de
autorizare. Emitentul va compara semnul de autentificare primit acum cu cel generat
n pasul 5 i dac acestea coincid va executa procedura de autorizare i va expedia
(pas 9) rspunsul de autorizare ctre acceptator, de unde va ajunge (pas 10) la
comerciant. Comerciantul va memora rspunsul i tranzacia, i va afia (pas 11)
prin navigatorul cumprtorului, un raport cu rezultatul tranzaciei, care se va
memora i n ePortofel.
31
d) O scurt comparaie a protocoalelor 3-D Secure i SPA/UCAF

Ambele protocoale sunt mai simple i mai ieftin de implementat dect
protocolul SET, ns acesta din urm asigur maxima securitate. Ambele protocoale
fac autentificarea cumprtorului deintor de card de regul prin parol (singurul
secret ce dovedete autenticitatea), care e verificat de emitentul cardului, dar
emitenii sunt liberi s-i aleag i alte metode de autentificare ntruct ei genereaz
decizia final prin care cumprtorul este declarat autentic i legal deintor al
cardului. n ambele protocoale emitenii trebuie s dispun de programe specializate
specifice protocolului (server de acces i eventual, de nregistrare, la 3-D Secure, i
server de ePortofele la SPA/UCAF), iar comercianii trebuie s-i instaleze un modul
client de asemeni specific protocolului. Ambele protocoale asigur un eComer global,
internaional, prin faptul c se bazeaz pe sistemele de carduri Visa i MasterCard
care realizeaz pli transfrontaliere.
Protocolul SPA/UCAF este mai simplu i mai rapid dect 3-D Secure, pentru c
n acesta din urm autentificarea se desfoar n mai muli pai i sunt schimbate
mai multe mesaje, toate prin Internet. Deasemeni n 3-D Secure autentificarea se
face la fiecare tranzacie, n vreme ce la SPA/UCAF autentificarea se obine o singur
dat ntr-o sesiune de cumprturi, la nceputul ei, iar rezultatul este pstrat n
ePortofel ceea ce permite efectuarea unei serii ntregi de cumprturi la mai multe
situri de comerciani, fr ca autentificarea s se mai fac pentru fiecare tranzacie.
n 3-D Secure comerciantul se autentific explicit fa de Directorul sistemului
n vreme ce la SPA/UCAF comerciantul se autentific implicit, doar prin faptul c are
un modul client specific care e recunoscut de ePortofel.
Sistemul 3-D Secure este un sistem centralizat, n care toate cererile de
autentificare ale tuturor comercianilor trec printr-un Director central, aflat n
legatur cu toi emitenii i toi acceptatorii participani la sistem, n vreme ce
sistemul SPA/UCAF este descentralizat, iar o autentificare implic numai comunicarea
direct ntre cumprtor i emitentul su, neexistnd conceptul de Director.
n sistemul SPA/UCAF verdictul de autenticitate, pstrat n semnul de
autentificare (authentication token), este ataat explicit fiecrei tranzacii,
cltorete cu aceasta i e pstrat mpreun cu ea, ceea ce reprezint un lucru util n
rezolvarea eventualelor dispute, n vreme ce n 3-D Secure acest lucru nu se
ntmpl.
Deosebirea esenial ntre cele dou protocoale const n faptul c, n cazul lui
3-D Secure, cumprtorul nu trebuie s fac nici o modificare n calculatorul su
32
personal, n vreme ce n cazul lui SPA/UCAF acesta trebuie s cear de la emitentul

lui un program (ePortofel sau SPA applet) pe care trebuie s i-l instaleze singur.
Concluzia final pn n acest moment este aceea c avantajul oferit de
3-D Secure prin faptul c deintorul de card nu trebuie s aduc nici o modificare n
calculatorul su personal, depete dezavantajele pe care le poate avea fa de
SPA/UCAF, iar acest lucru l face s tind s devin un standard de facto al
autentificrii n eComerul prin Internet. Faptul c MasterCard a adoptat 3-D Secure
i-l prezint sub marca proprie este o dovad n acest sens.
6.6. Anatomia unei tranzacii de eComer care folosete

protocolul 3-D Secure
Pe baza figurii 6.4 care descrie domeniile protocolului 3-D Secure, n figura 6.6
se prezint anatomia unei tranzacii de eComer care folosete acest protocol.
Schema din figura 6.6 este aceiai i pentru Visa i pentru MasterCard, Directorul din
sistem, i sistemul de carduri, putnd aparine lui Visa sau lui MasterCard (i altor
sisteme ce ader la acest protocol, cum e cazul sistemului de carduri JCB). n
prezent exist n paralel un Director Visa i un Director MasterCard.
33
Tranzacia din figura 6.6 este iniiat de un card prin intermediul unui calculator
personal cuplat la Internet care dispune de un navigator major (Internet Explorer
sau Netscape). Legturile prin Internet folosesc protocoale SSL sau TLS i sunt
legturi sigure, adic confidenialitatea transmisiunii, integritatea mesajelor i
autentificarea serverului sunt toate asigurate. Comerciantul se poate autentifica fa
de Director printr-un certificat, sau printr-un identificator de comerciant (merchant
ID) i o parol (password) ce i-au fost alocate de acceptator, dup ce a fost verificat
i acceptat de acesta prin contractul de comerciant pe Internet, iar acceptatorul i-a
instalat pe sit un modul de comerciant 3-D Secure (MPI), alturi de (sau integrat cu)
modulul client de eComer.
Deintorul de card care dorete s fac tranzacii sigure de eComer folosind
protocolul 3-D Secure, se adreseaz n acest scop emitentului su. Emitentul, care
alege metoda de autentificare pe care o va aplica la momentul tranzaciei
deintorului de card, stabilete mpreun cu acesta datele de autentificare, de
exemplu numele nscris pe card i o parol. Emitentul ar fi putut cere deintorului
de card s-i cumpere un certificat de autenticitate i s-l instaleze n calculator, sau
s foloseasc un card inteligent (de exemplu Visa VSDC) prin intermediul unui cititor
de carduri inteligente cuplat la calculatorul su personal. Apoi emitentul, dup
verificarea datelor deintorului, va nscrie numrul de card n Directorul sistemului
3-D Secure indicnd i identitatea sa de emitent i adresa de Internet (URL) a
serverului su de control de acces, ACS. Din acest moment deintorul de card i
cardul su sunt verificai i nregistrai (enrolled) n sistemul 3-D Secure. n
descrierea care urmeaz vom presupune c deintorul de card nregistrat se
autentific fa de emitent prin nume i parol.
Din clipa n care cumprtorul, dup ce a ajuns pe situl comerciantului, a ales
produsele i le-a pus n coul de cumprturi, apas pe butonul care declaneaz
cumprarea, mesajele circul ntre prile implicate dup cum urmeaz:
Pas 1. Datele privind tranzacia de plat (de identitate deintor, i de card, suma,
etc) sunt n posesia comerciantului, care le nregistreaz (dar nu le poate accesa).
Pas 2. Modulul de comerciant 3-D Secure, MPI (Merchant Plug-In), din situl
comerciantului stabilete o legtur SSL/TLS cu Directorul sistemului i i trimite
acestuia numrul de card (PAN-ul) n vederea declanrii autentificrii cardului i a
deintorului de card. Modulul MPI se va autentifica fa de Director.
Pas 3. Directorul va cerceta n evidena proprie dac numrul de card implicat n
plat este nregistrat, i dac este, determin emitentul i adresa de Internet (URL) a
serverului de control de acces (ACS) al emitentului. Dac cardul deintorului nu este
34
nregistrat n sistemul 3-D Secure, Directorul va trimite un mesaj corespunztor

ctre modulul MPI al comerciantului, iar acesta va sri peste autentificare i va trece
la autorizarea tranzaciei (pasul 5), realiznd o tranzacie de eComer fr
autentificarea deintorului de card. Dac cardul este nregistrat, Directorul va
verifica cu serverul de control acces al emitentului dac exist o metod de
autentificare pentru card.
Pas 4. Serverul de control acces al emitentului verific dac numrul de card este
ntr-adevr cel generat de emitent i dac exist metod de autentificare pentru acel
numr de card, dup care trimite rspunsul napoi la Director.
Pas 5. Directorul trimite mai departe rspunsul primit ctre modulul de comerciant,
MPI. Dac modulul constat din rspuns c metoda de autentificare nu este
disponibil pentru acel numr de card (din variate motive), va trece imediat la
autorizarea tranzaciei, srind din nou peste autentificare.
Pas 6. Dac autentificarea se face, modulul MPI va expedia acum o cerere de
autentificare a deintorului de card ctre serverul de control acces ACS al
emitentului cardului. Aceasta se face pasnd adresa de Internet a serverului ACS
ctre navigatorul din calculatorul deintorului de card i redirecionndu-l (legtur
SSL/TLS) ctre serverul ACS al emitentului.
Pas 7. Serverul ACS recepioneaz cererea de autentificare i ncepe procedura de
autentificare.
Pas 8. Serverul ACS ncepe un dialog cu deintorul de card (prin afiarea unui
formular marcat ca aparinnd emitentului) prin care i cere acestuia numele i
parola. Dup autentificare serverul ACS va forma un mesaj de rspuns de
autentificare, pe care l semneaz cu semntura sa electronic pentru a garanta
integritatea i autenticitatea mesajului.
Pas 9. Serverul ACS va trimite acest mesaj ctre navigatorul calculatorului
deintorului de card pe care l va direciona napoi ctre modulul MPI al
comerciantului. n acelai timp va trimite datele de autentificare i ctre Directorul
sistemului pentru a fi pstrate n arhiva de autentificri a acestuia. Aceast arhiv a
Directorului este disponibil (accesul se face dup o autentificare) emitenilor i
acceptatorilor n cazul n care ntre acetia se declaneaz o disput privind vreo
iregularitate n desfurarea tranzaciei.
Pas 10. Modulul MPI din situl comerciantului recepioneaz mesajul de rspuns la
cererea de autentificare.
Pas 11. Modulul MPI valideaz semntura electronic a serverului ACS al emitentului
i verific integritatea mesajului.
35
Pas 12. Dac autentificarea deintorului de card a fost pozitiv, modulul MPI va
trece controlul ctre etapa de autorizare a tranzaciei, n care se generaz o cerere
obinuit de autorizare care se trimite (legtura SSL/TLS) porii de acces a
acceptatorului. Acceptatorul va obine prin sistemul de carduri un rspuns de
autorizare de la emitentul cardului, pe care l va trimite apoi modulului client de
eComer din situl comerciantului, iar acesta la rndul su va afia, prin navigatorul
calculatorului cumprtorului, o pagin cu raportul privind desfurarea tranzaciei,
acest raport fiind echivalent unei chitane.
6.7. Exemple de comer electronic actual. Piee electronice,

licitaii, furnizori de servicii de pli pe Internet
Cele prezentate n subcapitolele anterioare reprezint modele descriptive i

explicative a cror menire este de a permite nelegerea mecanismelor principale prin
care se efectueaz comerul electronic. Sistemele reale existente se bazeaz pe
aceste modele dar difer mai ntotdeauna de ele prin modalitatea de implementare,
prin gama de servicii oferite sau prin alte caracteristici tehnice particulare. n cele ce
urmeaz vom face scurte prezentri ale unor sisteme existente, mai cunoscute,
incluznd comerul electronic ntre consumatori i companii (B2C), ntre companii
(B2B), cel domestic i cel global (internaional sau transfrontalier), piee electronice
cu, i fr, licitaii, i companiile care sunt furnizori de servicii de plat pe Internet
(PSP, Payment Service Provider, sau IPP, Internet Payment Provider). Exemplele
alese au i rolul de a ntregi i mbogi imaginea asupra comerului electronic aa
cum a fost ea format numai din prezentarea principiilor i mecanismelor generale.
6.7.1. Comerul electronic ntre consumatori i companii, sau comerul
electronic cu amnuntul (B2C)
Acesta este eComerul care implic numrul cel mai mare de participani chiar
dac volumul valoric al acestui comer este nesemnificativ n comparaie cu volumul
valoric al eComerului ce are loc ntre companii (B2B). Totui, n 2003 n SUA,
volumul eComerului cu amnuntul a atins cifra de peste 75 miliarde de dolari, cu
36
tendine de cretere (dar reprezint numai circa 1% din volumul ntregului comer cu
amnuntul).
Includem n aceste cifre i vnzarea pe Internet a serviciilor ageniilor de voiaj
(travel agents), ageniilor de rezervri bilete, a produselor pentru aduli, jocuri de
noroc, etc. Aceste vnzri prin Internet par a fi foarte concentrate n ianuarie 2004
peste jumtate din toi utilizatorii americani de Internet (adic peste 83 de milioane)
au vizitat cel puin o dat siturile eBay sau Amazon (1).
Siturile de comerciani sunt foarte variate de la comerciani ce vnd un
singur produs sau serviciu, pn la situri prin care comerciantul prezint mii de
produse (cum ar fi compania englezeasc de componente electronice Maplin
Electronics www.maplin.co.uk - care ofer peste 12.000 produse distincte).
a) Amazon
Compania american Amazon (www.amazon.com), cu sediul n Seattle, este
cel mai mare comerciant cu amnuntul de pe Internet. n perioada Crciunului 2003
prin toate siturile sale aflate n mai multe ri, a primit peste 2 milioane de comenzi
ntr-o singur zi. ncepnd ca un vnztor de cri, compania s-a extins mult
ajungnd n prezent s vnd produse variate (electronice, calculatoare, muzic,
software, DVD-uri, etc) i n acelai timp s ofere spre vnzare prin siturile sale i
produsele altor mari companii cu care a semnat nelegeri n acest sens, fiind o
adevrat pia electronic. De asemenea orice persoan poate vinde produse prin
Amazon: i prezint produsul (cu pre), Amazon pune produsul n vnzare i anun
persoana prin email cnd produsul a fost vndut, persoana livreaz produsul
cumprtorului, Amazon i expediaz banii la o banc indicat. Situl prezint n
detaliu aceast metodologie.
Compania este, n esen, un mare intermediar ntre cumprtori i
productori, ntruct nu deine stocuri de produse, nu este o banc i nu livreaz
produse la domiciliu, ci are aranjamente contractuale cu toi participanii la actul de
comer care realizeaz aceste funcii. Amazon are ns un foarte bine dezvoltat
catalog de produse, adic o sofisticat (i interactiv) metodologie de prezentare a
produselor i a caracteristicilor acestora, i un bine pus la punct sistem de plat.
Metodele de plat sunt variante prin carduri (Visa, MasterCard, AMEX, JCB,
Dinners Club, Discover), cecuri electronice, ordine de plat electronice (money order,
purchase order) i, pentru companii n mod special, prin cont de credit Amazon pe
care se emit ordine de cumprare electronice. Amazon este desigur un comerciant al
37
unei bnci acceptatoare care e membr a tuturor sistemelor de carduri menionate,

i care accept i celelalte forme de plat electronic. Prin legturi cu astfel de
acceptatori aflai n mai multe ri, compania are prezen internaional.
Livrarea produselor cumprate se face printr-un mijloc care poate fi ales de
cumprtor, iar traseul pe care l urmeaz produsul ctre adresa de livrare
specificat n ordinul de cumprare poate fi urmrit prin Internet pe situl companiei
de transport alese UPS, DHL, FedEx, Eagle, Airborne Express i altele.
b) InterActivCorp, IAC agent de cltorii pe Internet
Compania american IAC este cel mai mare agent de servicii de cltorie, este
proprietara companiilor Expedia.com (www.expedia.com) i Hotels.com
(www.hotels.com) i a vndut pe Internet rezervri de cltorie (transport, hotel,
etc) n valoare de peste 10 miliarde de dolari n 2003. n acelai an peste 35 de
milioane de americani i-au folosit serviciile.
Produsul principal vndut este pachetul de cltorie (travel package) care
cuprinde variate combinaii de cltorii zboruri, hoteluri, nchirieri maini, tururi de
vizitare, bilete de spectacole, etc., acestea putnd fi personalizate dup dorina
cumprtorului.
Plata se face prin toate cardurile majore Visa, MasterCard, AMEX, Dinners
Club, Discover.
Ali mari furnizori de servicii de cltorie prin Internet sunt Travelocity i Orbitz
din SUA, Ebookers i Opodo din Anglia, sau pentru rezervri hotel Hilton, Marriott i
Hyatt din SUA, Accor Hotels din Frana i Le Meridien din Anglia.
c) Google, Yahoo!, MSN i AOL
Aceste companii nu sunt numai celebre motoare de cutare pe Internet ci i
participani direci la eComer (a se vedea de exemplu situl Microsoft MSN,
www.msn.com, care este i un portal-pia electronic de eComer).
Serviciile lor de cutare sunt folosite din ce n ce mai mult pentru a descoperi
i cumpra produse pe Internet. Se ofer i serviciul de a compara preurile afiate
de mai muli vnztori pentru un acelai produs (a se vedea serviciul Froogle oferit
de Google, fie prin buton, fie direct la adresa http://froogle.google.com).
38
6.7.2. Piee electronice, licitaii electronice

Pieele electronice sunt portaluri, adic situri de mari dimensiuni, care ofer
servicii complexe asemntoare unor piee reale prezentarea produselor mai
multor vnztori, posibilitatea de a organiza licitaii pentru cumprarea unui produs,
mijloace variate de plat i de livrare. Piaa electronic este esenialmente un
comerciant al unei bnci acceptatoare care accept pli prin cardurile majore sau
prin alte mijloace de plat electronic.
Pieele electronice permit ambele tipuri de eComer cu amnuntul (B2C), sau
ntre companii (B2B) i pot fi publice, universale, accesibile oricrui cumprtor i
vnztor, sau specializate (i oarecum nchise, existnd numai pentru cei din
domeniu) cum e cazul ntre grupuri de companii aflate ntr-o relaie de achiziiefurnizare (supply chain, lanul de aprovizionare) pe tipuri de produse, i bazate pe
sisteme i proceduri specializate, cu reele proprii de telecomunicaii sau sisteme
proprii (bazate pe software specific) de eComer.
a) Piee electronice specializate pentru comertul electronic ntre
companii (B2B)
Un astfel de mare sistem specializat de eComer ntre companii este, de
exemplu, Chem Connect (www.chemconnect.com) pentru produse chimice, plastic i
combustibili. Lozinca companiei este conectm cumprtori i vnztori din ntreaga
lume. Aceast pia cuprinde peste 9000 de companii membre din peste 150 de
ri, iar vnzrile totale din 2002 au atins cifra de afaceri de 9 miliarde de dolari.
Compania se declar cea mai mare pia electronic global de eComer ntre
companii i ofer i serviciul de licitaie prin Internet. Compania dispune de un
Centru de telecomunicaii propriu (Central Connectivity Hub) prin intermediul cruia
toi membrii se pot lega ntre ei, i pot schimba orice fel de informaii de pia, de
licitaie, de plat i livrare, etc.
n eComerul ntre companii plata efectiv se poate face i prin mijloacele
tradiionale, ne-electronice. n acest caz numai prima parte a actului de comer se
desfoar prin Internet, n piaa electronic prezentarea produselor, licitaia,
stabilirea condiiilor de plat, asigurare i livrare, etc.
Exist de asemenea companii care ofer soluii i aplicaii speciale (software)
prin care se pot implementa piee electronice de specialitate (vnzare, cumprare,
licitaie, plat, livrare, etc) per domenii de exemplu Forest Industry Network
39
(www.forestindustry.com) pentru companiile din domeniul industriei forestiere, sau

Farms Technology, LLC (www.farmstech.com) pentru domeniul agricol (ambele din
SUA) (14).
b) Piee electronice deschise pentru comeul electronic ntre companii (B2B)
Crearea unei piee electronice universale, deschise, nespecializate pe un
domeniu sau altul, este o problem mai dificil. Trei sisteme sunt deja cunoscute n
aceast privin sistemul WWRE, sistemul Bolero i sistemul Tradecard. Toate
urmresc s asigure toate facilitile necesare desfurrii unui comer pe Internet
ntre companii, indiferent de ara de origine a companiei i de natura produselor
vndute sau cumprate.
Sistemul WWRE (Worldwide Retail Exchange, www.wwre.com) este dedicat
comerului cu amnuntul ntre companii. Sistemul are n prezent 64 de companii
membre (ntre care Tesco, JCPenney, GlaxoSmithKline, Marks&Spencer) din toat
lumea i peste 100.000 de furnizori. Companiile membre i pot prezenta cataloagele
de produse i pot licita i negocia ntre ele prin intermediul platformei Exchange
bazate pe software-ul "B2B Commerce Platform" al companiei Ariba i "Trade Matrix"
al companiei i2.
Sistemul Bolero creat de compania american Bolero Internaional Ltd.
(www.bolero.net), n partenariat cu celebra cooperativ bancar SWIFT (Society for
Worldwide Interbank Financial Telecomunications), creaz o comunitate de
participani internaional care pot schimba ntre ei, prin protocoale sigure, toate
informaiile necesare actului de comer.
Sistemul Tradecard creat de compania american TradeCard Inc. din New York
(www.tradecard.com) ofer, n esen, acelai lucru ca sistemul descris anterior, i
asigur att pli domestice ct i transfrontaliere (14).
c) Piee electronice publice, deschise. Licitaii
Aceste piee sunt deschise oricrui vnztor sau cumprtor, persoan fizic
(consumator) sau companie, i oricrui produs sau serviciu, de la cri vechi i
muzic pn la avioane cu reacie. Exist multe astfel de piee ca de exemplu eBay,
Amazon, MSN, Barclaycard sau Yahoo!. Vom face o scurt prezentare a celei mai
cunoscute, eBay.
40
eBay (www.ebay.com) este cea mai mare i cea mai cunoscut pia
electronic din lume. n primul trimestru din 2004 prin eBay s-au vndut produse i
servicii n valoare de 8 miliarde de dolari. Veniturile nete ateptate ale companiei
eBay pe 2004 sunt de circa 3 miliarde de dolari, profitul net pe 2003 fiind de 442
milioane de dolari. Comunitatea eBay are peste 100 de milioane de membri
nregistrai n ntreaga lume. Oricine dorete s participe, ca vnztor sau
cumprtor, trebuie s se nregistreze ca membru. n fiecare zi se prezint spre
vnzare milioane de articole. Compania are situri locale (sub diverse nume) n 28
ri, n fiecare ar fiind adaptat la specificul rii respective - n Frana se vinde
ndeosebi vin, iar n Coreea de Sud ndeosebi brnz, pe lng desigur orice alt
produs. Situl EachNet din China, aparinnd eBay, are circa 2,4 milioane de membri.
Compania ofer comercianilor i serviciul de gzduire de magazine virtuale proprii,
avnd n prezent peste 150.000 de astfel de magazine, care vnd orice (1).
Cumprtorii pot cumpra produse sau servicii la preuri variabile, prin
licitaie, sau la preuri fixe, n funcie de oferta vnztorului. Plata se poate face n
felul n care convin cele dou pri sau prin Internet prin faimosul serviciu al
companiei, PayPal, care aparine lui eBay din 2002. PayPal cere numai adres de
email i un cont de membru deschis la PayPal (care nu este o banc) i asigur pli
ntre oricare doi astfel de membri. Aceast facilitate este extrem de atractiv pentru
companiile vnztoare care nu mai trebuie s-i deschid un cont de comerciant pe
Internet la o banc acceptatoare, ci pot avea contul propriu la orice banc doresc.
O licitaie ntre un cumprtor i un vnztor are loc, n esen, n felul
urmtor.
Cumprare. Cumprtorul introduce suma maxim pe care e dispus s-o dea
pentru produsul sau serviciul dorit, acest sum rmnnd secret fa de ali
cumprtori participani la licitaie. eBay urmrete toate ofertele i o reine pe cea
mai mare existent la sfritul perioadei de licitaie (de regul 7 zile). Ctigtorul
licitaiei intr n contact direct cu vnztorul, cumprtorul pltete i vnztorul
expediaz produsul. Plata se poate face prin card dac se folosete serviciul PayPal.
Vnzare. Produsul oferit este descris, inclusiv prin fotografii, iar vnztorul
indic un pre de pornire i durata licitaiei. Cumprtorii care liciteaz pot vedea n
orice moment care este oferta maxim curent; dar numai vnztorul poate vedea
toate ofertele. Oricare cumprtor poate s-i creasc oferta pe durata licitaiei
ntruct poate vedea n permanen care este preul cel mai mare oferit curent.
Att licitatorii ct i vnztorii i pot verifica reciproc reputaia pentru a stabili
ncrederea de care e nevoie pentru asigurarea vnzrii. Un vnztor poate refuza o
41
ofert dac nu are ncredere n licitantul care a fcut-o. eBay poate cere celor care se
nregistreaz s-i dea o adres de email prin care li pot cere informaii
suplimentare.
6.7.3. Furnizorii de servicii de plat prin Internet
Pieele electronice i siturile simple de comerciant i afieaz mijloacele proprii
prin care se poate face plata. Cel mai frecvent mijloc electronic de plat este cardul,
urmat de cecul electronic i ordinele de plat de diverse forme. Plata se poate face
ns i printr-o companie specializat care ofer servicii de plat (IPP, Internet
Payment Provider, sau PSP, Payment Service Provider).
Vom face o scurt prezentare a celor mai cunoscute servicii de plat prin
Internet - PayPal, Yahoo!PayDirect, VeriSign i Bibit (15).
a) PayPal
Compania american PayPal, cu sediul n California, este cel mai mare furnizor
de servicii de plat prin Internet, avnd peste 45 de milioane de membri cu cont
PayPal, aflai n 45 de ri i efectund transferuri anuale de peste 17 miliarde de
dolari. Serviciul de plat PayPal admite pli i prin telefonie mobil cu protocolul
WAP. Compania a fost cumprat n 2002 de eBay pentru a-i servi drept metod
principal de plat ntre cumprtori i vnztori. Obiectivul declarat al companiei
este de a deveni un standard de facto global pentru plile prin Internet, iar
compania intenioneaz s se extind cu situri locale n rile importante din Europa
i Asia.
n esen, PayPal permite oricrui cumprtor sau companie, care dispune de
o adres de email, s trimit i s primeasc bani n timp real. Pentru aceasta,
fiecare doritor se nregistreaz ca membru, i i se aloc un cont de membru PayPal la
o banc a companiei. Banca companiei este un acceptator n toate sistemele mari de
plat prin carduri, cecuri electronice, etc. Acest cont servete ca intermediar ntre
contul unui expeditor i contul unui receptor, conturi care pot fi deschise la orice
banc. PayPal nu este o banc ci doar un intermediar care transmite bani ntre
conturi aflate n diferite bnci din lume prin intermediul unui cont propriu de tranzit.
Serviciul este deosebit de util micilor comerciani i persoanelor fizice, care pot primi,
sau cere, pli pentru produsele vndute prin Internet fr a mai fi nevoie s-i
42
deschid un cont de comerciant pe Internet la o banc acceptatoare care s fac

parte din unul, sau mai multe, sisteme de pli prin carduri, cecuri electronice, etc.
Transferul de bani ntre entiti care sunt cumprtori sau vnztori, persoane
fizice sau companii, se poate face ca urmare a unui act de comer, sau ca un simplu
transfer de fonduri ntre dou conturi. Serviciul este folosit pentru transferul de
fonduri n toate combinaiile - ntre persoane (P2P), ntre companii (B2B), ntre
persoane i companii (B2C) i chiar pentru plata taxelor n SUA (P2G).
Transferul poate fi iniiat fie de expeditor printr-o operaie de Trimitere de bani
(Send money), fie de receptor printr-o operaie de Cerere de bani (Request money)
echivalent cu trimiterea unei facturi care trebuie onorat. Receptorii pltesc un
comision de 0,3 USD plus 2,2%...2,9% din suma primit, n funcie de ar. Se mai
adaug 2,5% dac are loc o conversie de valut. Pentru a ncuraja microplile, de
exemplu pentru cumprarea (download) de muzic digital, PayPal a introdus tarife
foarte mici pentru astfel de cumprturi imediate.
Trimiterea de bani ctre un receptor se desfoar n felul urmtor. De la
calculatorul expeditorului cuplat la www.paypal.com se introduce ntr-un formular
adresa de email a receptorului i suma de expediat, specificndu-se dac plata se
face dintr-un cont de card sau un cont bancar. Dup plat, receptorul va primi
imediat un mesaj de email prin care este anunat c a primit banii. Acest mesaj
conine o legtur (link) la PayPal unde receptorul i poate vedea contul de membru
cu suma tocmai intrat. Receptorul poate cere apoi transferul sumei din contul su
de membru PayPal ctre contul su deschis la banca proprie, operaie care este
efectuat de PayPal prin transfer electronic interbancar sau prin eliberarea unui cec.
PayPal va obine mai nti banii din contul de card al celui care trimite, i abia
apoi i va depune n contul de membru PayPal al receptorului. Pentru aceasta PayPal
va executa o tranzacie de tip POS cu datele de card i va obine de la emitent
autorizarea i apoi transferul de fonduri n propria banc PayPal.
Un avantaj important al acestei metode de plat este faptul c receptorul,
dac este un comerciant pe Internet, nu vede detaliile cardului de plat al
cumprtorului, ceea ce micoreaz serios temerile uzuale ale deintorilor de
carduri.
Cererea de bani de la un membru se desfoar similar - se furnizeaz n
formularul de plat afiat adresa de email a pltitorului i suma de bani cerut
(echivalent cu trimiterea unei note de plat). Pltitorul va primi un mesaj de
informare i instruciuni asupra modului de plat.
43
b) Yahoo!PayDirect
Serviciul de pli PayDirect al companiei Yahoo este similar lui PayPal i
servete n special microplilor (1 cent...10 dolari) ntre persoane (P2P). Membrii cu
adres de email i domiciul n SUA se nregistreaz, primesc un cont de membru
PayDirect i un portofel electronic (Yahoo!Wallet) n care sunt pstrate informaiile
de plat - datele de card, adresa de facturare i de livrare. Portofelul electronic va fi
folosit pentru completarea automat a formularului de plat afiat. Contul de
membru PayDirect se alimenteaz i se debiteaz prin transfer bancar iniiat de
membru prin operaii speciale efectuate de PayDirect (Add Money i Withdraw
Money).
Contul de membru e apoi folosit pentru a expedia sau cere bani (operaiile
Send Money i Request Money) ctre, sau de la, orice alt membru din SUA. n cazul
unei cereri de bani pentru un produs sau serviciu vndut, PayDirect va genera o
factur electronic pe care o va trimite pltitorului.
Ca o msur de securitate PayDirect va verifica adresa declarat de membru
prin trimiterea unei scrisori prin pot de la care ateapt un rspuns. n acelai scop
PayDirect va face i dou mici depuneri (sub 1 dolar) n contul membrului deschis la
banca proprie i cnd va primi confirmarea depozitelor va ti c acel cont declarat de
membru exist (confirmarea e dat de membru prin mesaj email). Conturile de
membru PayDirect sunt pstrate la banca internaional HSBC, cu care Yahoo are un
partenariat.
c) VeriSign
Compania american VeriSign, Inc., cu sediul n California, este o companie
binecunoscut pe Internet mai ales prin faptul c este o Autoritate de Certificare care
elibereaz certificate de autenticitate pentru serverele care stabilesc legturi de
telecomunicaii prin protocolul SSL/TLS, i n special pentru serverele care gzduiesc
situri de comerciani. Acest lucru ofer cumprtorilor garania c serverul pe care se
afl situl comerciantului este ntr-adevr cine apare c este, iar comercianii gzduii
au fost verificai de compania care deine serverul i sunt i ei cine par a fi.
44
VeriSign este un mare furnizor de servicii de plat pentru siturile de

comerciani, asigurnd procesarea a peste 30% din toate tranzaciile de eComer din
America de Nord.
n esen VeriSign (Centrul de Operaii, dotat cu servere sigure) este un
procesator independent de pli prin carduri, cecuri electronice i transferuri bancare
ACH (Automated Clearing House), care se interpune n poziia de poart de pli
(payment gateway) ntre siturile de comerciani i procesatorii mari de tranzacii cu
carduri din SUA care proceseaz pentru aproape toate bncile americane
acceptatoare. Astfel de mari procesatori independei sunt de exemplu First Data,
Paymentech, Nova i TeleCheck (dup principiul ilustrat n figura 6.2, VeriSign fiind
amplasat ntre norul Internet i procesatori). VeriSign este conectat la aceti
procesatori prin linii private sigure.
Serviciul de plat reprezentativ care este oferit comercianilor este
Payflow Pro. Comercianii care cumpr acest serviciu (preul este de 250 dolari
pentru instalare plus un comision lunar de 60 de dolari; se adaug costuri pentru
servicii suplimentare) i instaleaz o aplicaie (modul XML) client, de circa 400
kbytes, care va primi informaiile de plat furnizate de cumprtor n formularul
afiat i le va trimite la VeriSign. Centrul VeriSign va trimite cererea de autorizare
(pentru plata prin card i cec electronic) ctre procesatorul ce lucreaz pentru
acceptatorul comerciantului, i va napoia rspunsul de autorizare primit ctre
clientul din situl de comerciant. Serviciul poate asigura i prelucrarea tranzaciilor
care autentific cumprtorul prin sistemele Verified by Visa (3-D Secure) i
SecureCode.
O variant mai simpl a tehnologiei de plat Payflow este serviciul Payflow Link
prin care comerciantul adaug n situl su doar o legtur (link) HTML la VeriSign,
care i va furniza formularul de plat la fiecare tranzacie i va prelua apoi
prelucrarea tranzaciei introduse.
VeriSign ofer i un serviciu de monitorizare a fraudei (fraud screening) care
se face n timp real prin "filtrarea" ordinelor de plat ale cumprtorului dup astfel
de criterii ca - valoare mare, numr mare de articole cumprate ntr-o singur
tranzacie, ara de origine a cumprtorului, i altele (n total 19 criterii). Se
calculeaz un scor total final pe toate riscurile, iar comerciantul poate refuza (prin
setarea unui parametru n modulul client) ordinul de cumprare, chiar dac
tranzacia a fost autorizat de emitent.
Serviciile de pli ale lui VeriSign sunt atrgtoare n special pentru noii
comerciani pe Internet, crora le ofer faciliti i consultan n toate etapele
45
constituirii unei ntreprinderi de comer pe Internet - sugereaz furnizori siguri de

servicii de Internet (ISP) care gzduiesc situri de comer, procesatori sau bnci
acceptatoare care admit conturi de comerciant, serviciile de plat Payflow, evaluarea
n timp real a riscului unei tranzacii, centre de asisten permanent, etc.
d) Bibit
Compania european Bibit Global Payment Services, cu sediul n Olanda i
filiale n alte ri europene, este un furnizor de servicii de plat (PSP, Payment
Service Provider) orientat n mod special pe plile transfrontaliere (eComer
internaional) care se remarc prin bogia extraordinar a metodelor de plat peste 70 de metode, purtnd specificul multor ri.
Scopul lui Bibit este de a da posibilitatea unui cumprtor dintr-o ar s
plteasc produsele unui comerciant pe Internet din alt ar, folosind metodele de
plat care sunt obinuite n ara cumprtorului. Printre multele metode de plat,
att n timp real ct i tradiionale, se afl transferuri bancare electronice, debit
direct, carduri (incluznd portomenul electronic), pli prin telefonul mobil i pli
ntre persoane (prin PayPal de exemplu, care e una din metodele de plat).
Bibit ofer clienilor si, comercianii pe Internet, un serviciu complet, prin
externalizare - noii comerciani pot semna cu Bibit un contract de comerciant pe
Internet (banca acceptatoare este a lui Bibit), iar compania le ofer serviciile
complete de eComer prin centrul su de procesare, i aplicaiile Java instalate n
situl comerciantului. Compania este conectat direct cu un mare numr de bnci din
toat lumea i poate asigura autorizarea unei tranzacii n cteva secunde.
O tranzacie tipic de cumprare pe un sit de comerciant Bibit se desfoar n
felul urmtor: cumprtorul umple cruciorul de cumprturi cu produsele dorite i
d ordinul de cumprare; comerciantul (aplicaia client din sit) afieaz o list de
metode de plat specific rii cumprtorului, din care cumprtorul face o alegere;
apar o serie de formulare specifice metodei de plat alese, iar cumprtorul le
completeaz i accept plata (dialogul se poart n una din 6 limbi de circulaie
internaional, aleas de cumprtor); tranzacia e trimis la centrul Bibit care va
obine autorizarea de la instituia financiar implicat dup care anun automat
cumprtorul i comerciantul; dac tranzacia nu a fost acceptat, cumprtorului i
se ofer alegerea unei alte metode de plat.
Bibit ofer un sistem de pli complex i foarte puternic. Printre marii clieni ai
companiei se numr companiile Dell, NEC, Expedia i Yahoo.
46
6.8. Comerul electronic n Romnia
Comerul electronic n Romnia s-a dezvoltat rapid n ultimii ani i apare n

prezent sub trei forme principale: a) comerciani cu cataloage de produse pe Internet
i plata la livrare; b) comercianii care accept plata prin carduri n timp real prin
protocolul 3-D Secure, i c) situri de licitaie electronic destinate achiziiilor
administraiei publice.
Un caz aparte de comer electronic l reprezint tranzacionarea pe Internet a
aciunilor societilor de la Bursa de Valori Bucureti prin intermediul Societilor de
Servicii de Investiii Financiare, SSIF (16).
Recent compania romneasc GeCAD ePayment International SRL, membr a
Grupului GeCAD, n nelegere cu Banca iriac, a anunat c ofer comercianilor
servicii complete care dau acestora posibilitatea comod de a-i deschide magazine
virtuale i de a accepta plata n timp real prin carduri Visa i MasterCard n sistemul
3-D Secure, sau prin transfer i ramburs (www.epayment.ro).
a) Comercianii cu cataloage de produse pe Internet i plata la livrare
Aceasta este prima form de comer electronic prin Internet aprut n
Romnia. Exist n prezent un numr relativ mare de astfel de comerciani (17).
Comercianii prezint pe sit un catalog de produse, cu descrieri i pre, iar
cumprtorul poate folosi un crucior de cumprturi, dup care lanseaz ordinul de
cumprare. Livrarea se face la domiciliu sau produsele pot fi ridicate de la sediul
comerciantului. Unele situri fac doar prezentare de produse fr posibilitatea de a da
comand.
Plata se face la livrarea produselor prin numerar la sediul comerciantului sau al
cumprtorului, prin cec, transfer bancar, mandat potal, n rate, i chiar prin card,
n momentul livrrii, printr-un POS mobil.
b) Comerciani pe Internet cu plata prin card
47
ncepnd cu anul 2004 trei mari bnci acceptatoare i emitente (BCR,

Raiffeisen Bank, Banca iriac) i o banc emitent (AlphaBank) ofer comer
electronic prin Internet cu plata n timp real prin carduri Visa i MasterCard, folosind
protocolul 3-D Secure sub siglele Verified by Visa i Secure Code, respectiv.
Procesarea acestor tranzacii este asigurat de Romcard care este procesatorul celor
trei mari bnci i care ofer acest serviciu, n principiu, i altor bnci. Certificarea
Romcard de ctre Visa i MasterCard n calitate de procesator 3-D Secure este o
premier european, realizat prin proiecte pilot de cele dou mari sisteme de
carduri, ntruct pn n prezent procesarea 3-D Secure era realizat de fiecare
banc n parte. Se poate spune c, datorit Romcard, Romnia dispune n prezent de
eComer modern, cu un grad de siguran mult sporit. Vom reveni n capitolul 12.2
asupra acestei probleme.
Comercianii romni care doresc s foloseasc sistemul vor ncheia contracte
de comerciant pe Internet cu una din cele trei bnci acceptatoare, iar cumprtorii
care doresc s foloseasc carduri Visa sau MasterCard emise n Romnia de cele
patru bnci menionate pentru a face cumprturi n toat lumea prin acest sistem
se vor adresa acestor bnci pentru nregistrarea n sistem (18).
c) Achiziii electronice prin licitaie n administraia public
n cadrul Sistemului Electronic Naional, SEN, promovat de Ministerul
Comunicaiilor i Tehnologiei Informaiei sunt dezvoltate o serie de servicii
electronice de mare interes pentru ceteni i pentru administraia public din
Romnia. Un astfel de serviciu este Sistemul Electronic de Achiziii Publice (19).
Acest sistem permite cumprtorilor, numii autoriti contractante (uniti ale
administraiei publice) s organizeze licitaii pe produse pentru achiziia la cel mai
bun pre de la vnztorii numii ofertani. Metodologia este asemntoare, n
principiu, celei descrise n capitolul precedent pentru sistemul eBay i este descris
pe situl guvernamental www.e-licitatie.ro.
Licitaia electronic public este organizat pe dou categorii de produse produse standardizate i produse complexe.
Note i bibliografie
48
1. The Economist, May 15-21, 2004, A perfect market, A survey of e-commerce,

pag.9, pag. 1-16.
2. Electronic Commerce and Development Report 2001, UNCTAD, United Nations,
UNCTAD/SDTE/ECB/1, www.unctad.org/ecommerce. A se vedea i versiunea
raportului din 2003 (UNCTAD/SDTE/ECB/2003/1).
3. Ministerul Comunicaiilor i Tehnologiei Informaiilor, Statistici, www.mcti.ro.
4. MasterCard e-B2B Solutions, The Choice Strategy for Seizing a $30 Trillion
Opportunity, www.mastercardbusiness.com.
5. BCR www.bcr.ro, Banc Post www.bancpost.ro. A se vedea i revista eFinance,
Carduri virtuale pentru o lume virtual, Nr.39, noiembrie 2003.
6. Sistemele mari de pli prin carduri au fost realizate iniial pe baza modelului de
plat cu un card cu band magnetic. Dezvoltrile ulterioare constnd n plile cu
carduri cu cip i plile cu card din eComer sau mComer, au constat, esenialmente,
n "reducerea" noilor tipuri de tranzacii la modelul tranzaciei generate de un card cu
band magnetic pentru a putea fi procesate de sistemele existente, cu extensiile
necesare. Astfel o tranzacie cu un card cu cip, sau de comer electronic sau mobil,
conine toate datele unei tranzacii cu band magnetic la care se adaug, sau din
care lipsesc, cteva date suplimentare i specifice.
7. VeriSign Inc., www.verisign.com/products/, What Every Merchant Should Know
About Internet Fraud, 2003.
8. Electronification of Payments in Europe, European Central Bank (ECB), Monthly
Bulletin, May 2003.
9. Implementing Electronic Card Payment Systems, Cristian Radu, Artech House,
Computer Security Series, 2003, www.artechhouse.com.
10. The SSL 3.0 Protocol, Freier A. Karlton P., Kocher P., Internet-Draft, Nov. 1996.
The TLS Protocol - Version 1.0, Dierks T., Allen C., Internet-Draft, Nov. 1997
11. Set Secure Electronic Tranzactions, LLC, sau SET Co, ofer documentaia
complet a standardului (The SET Standard Book 1,2,3), www.setco.org
12. Visa 3-D Secure System Overview,
http://international.visa.com/fb/paytech/secure/pdfs/3DS_70015_01_System_
Overview_external_v1.0.2_May_2003.pdf.
13. MasterCard Secure Code este descris n mai multe locuri:
www.mastercardmerchant.com/securecode/getstarted.html;
www.mastercardintl.com/docs/ecaf_sell_sheet_final.pdf;
www.mastercardintl.com/docs/secure_code_user_brochure.pdf;
49
www.mastercardintl.com/docs/secure_merchant_brochure.pdf;
www.mastercardintl.com/docs/final_ucaf_smart_card_trifold.pdf.
14. Informaiile asupra acestor sisteme sunt generale. Sistemele fiind mai speciale,
informaiile complete sunt accesibile numai membrilor.
15. www.paypal.com, www.paydirect.com, www.verisign.com, www.bibit.com.
16. SSIF care ofer aceast facilitate sunt Vanguard, www.vanguard.ro, Prime
Tranzaction, www.primet.ro, Estinvest, www.estinvest.ro, i Romintrade,
www.onlinebroker.ro.
17. Cteva exemple alese la ntmplare: www.magazinultau.ro; www.comenzi.ro;
www.unireashop.ro; www.flanco.ro; www.dol.ro; www.flamingo.ro (ultimile dou
sunt situri 3-D Secure).
18. www.no-cash.ro, 2004 - Interviul lunii ianuarie cu Marin Mitroi, director Romcard
i "Soluii de plat on-line pentru magazine virtuale", Conferin asupra comerului
electronic n Romnia, 26.02.2004, Hotel Athenee Palace, eveniment No-Cash.
Metodologia de folosire a sistemului de ctre comerciani i cumprtori este descris
de exemplu pe situl BCR, www.bcr.ro, seciunea e-comm.
19. MCTI www.mcti.ro, www.e-guvernare.ro, www.e-licitatie.ro.
50

Comert Electronic Ba

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Comert Electronic Ba

Încărcat de

Drepturi de autor:

Formate disponibile

Cap 6.

Comerul electronic, eComer

6.1. O clasificare a comerului electronic

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

Reputata revist englezeasc The Economist a publicat n mai 2004 un raport

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

6.1. O clasificare a comerului electronic

Comerul electronic poate fi mprit n dou categorii mari: comerul ntre

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

Comerul electronic cu amnuntul are loc ntre consumatorii (persoane fizice)

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

6.2. Schema de principiu a comerului electronic

n figura 6.1 se prezint schema general de principiu n care apar principalele

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

O cumprtur pe Internet se desfoar, n principiu, astfel. Cumprtorul

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

Cardul cu care cumprtorul face cumprturi pe Internet poate fi un card

6.3. Elementele componente ale comerului electronic

Vom face aici o scurt descriere a principalelor elemente conceptuale

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

b) cumprtorul pltitor cu card, calculatorul su personal, portofelul su electronic

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

exemplu, www.numecomerciant.com. Comerciantul i poate proiecta el nsui

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

a-i aminti eventual i condiiile de livrare a produselor cumprate (adres i data de

b) Cumprtorul pltitor cu card, emitentul cardului, calculatorul personal al

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

calculatorul cumprtorului care conine toate datele de plat ale cumprtorului,

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer

Banca acceptatoare care ofer clienilor si comerciani serviciul de comer

Pli Electronice, 2004

dr.ing. Dan Vasilache

Cap 6. Comerul electronic, eComer