Universitatea de Vest din Timioara Facultatea de Economie i de Administrare a Afacerilor

Consideraii privind securitatea comerului electronic

Coordonator: Confereniar Dr. Claudiu Brnda

Masterand: Alexandru-Gabriel Dicu

Timioara 2013

CUPRINS
INTRODUCERE .......................................................................................................................................... 1 CAP I. Introducere n comerul electronic .................................................................................................... 2 1.1 Tipuri i faze ale tranzaciilor comerciale ........................................................................................... 2 1.2. Schimbul de date electronice (EDI) ................................................................................................... 3 1.3. Vulnerabiliti ale Internetului ce afecteaz comerul electronic ....................................................... 4 2.1 Cerine privind securitatea tranzaciilor comerciale ........................................................................... 8 2.2 Principalele protocoale de securizare a tranzaciilor ........................................................................... 9 2.2.1 Securitatea telecomunicaiilor (protocoalele SSL i TLS) ......................................................... 10 2.2.2 Securitatea tranzaciilor de plat (protocoalele 3-D Secure, SecureCode i SET) ..................... 10 CAP III. Exemple de e-commerce actual.Piee electronice, licitaii electronice ........................................ 16 3.1 Comerul electronic ntre consumatori i companii, sau comerul electronic cu amnuntul (B2C) . 16 3.2. Piee electronice, licitaii electronice ............................................................................................... 18 BIBLIOGRAFIE ......................................................................................................................................... 19

INTRODUCERE
Sfarsitul de secol este dominat clar de revolutia informatica desfasurata in Internet, considerat ca reprezinta cea de-a treia revolutie industriala. Internetul este o lume fascinanta si in continua schimbare, fiind in fruntea fenomenelor care influenteaza viitorul economic mondial. Se apreciaza ca Internetul, cea mai flexibila structura pe care a cunoscut-o omenirea, este cel mai important proiect de conectivitate umana creat pe Pamant. Se spune ca Internetul este al doilea mare sistem, alaturi de sistemul financiar mondial, care a devenit atat de mare incat a scapat de sub un control riguros din partea oamenilor. Internetul a evoluat insa foarte mult in scurta sa istorie. Pornit initial ca un proiect de conectare a centrelorde cercetare din SUA, functionand pe baza unui gentlemen agreement stabilit intre utilizatorii din mediul academic, astazi Internetul reprezinta scena unor interese economice, financiare si politice enorme. Unul din fenomenele care este in plina ascensiune si care va schimba profund societatea anilor viitori este ceea ce se cheama comert electronic (e-commerce). Dar ce este azi comertul electronic? Pentru unii inseamna sa cumpere bunuri de zi cu zi, pentru altii inseamna sa intre in retele private complexe, cu valoare adaugata si , de exemplu, sa rezerve bilete in diferite colturi ale lumii. Pentru unii, e-commerce reprezinta doar simpla coordonare electronic a tranzactiilor financiare de la distanta.Pentru altii, termenul acopera toate aspectelede cumparare si vanzare, inclusive marketing, promotion, advertising, transmiterea ordinelor de plata, servicii clienti. Insa obiectivul fundamental pentru toti este acelasi: sa se faca bani, cat mai multi bani. E-commerce nu reprezinta altceva decat o noua modalitate de a face afaceri, de a cuceri noi piete, cat mai intinse, de a crea potentialilor client facilitate cat mai atractive de compare de la distanta.Vestea buna in legatura cu comertul electronic este ca el este accesibil nu numai marilor firme prezente pe piata.Oricine are un PC si o conexiune la Internet poate sa-si faca simtita prezenta pe Web.Insa, daca vrea sa faca cu success e-commerce, are nevoie de cunostinte.Asa cum se spune adeseori, informatia(cunoasterea) inseamna putere. Tranzactiile de afaceri folosind telefonul, card-ul bancar, ghiseele automate de banca(ATM), reprezinta toate niste precursori ai cometului electronic de azi. Insa de abia la implementarea conceptului de EDI( Electronic Data Interchange) in anii 70 se poate vorbi de adevaratul inceput al e-commerce-ului. Cu ajutor EDI, tranzactiile de afaceri se pot desfasura pe retele, intre calculatoare, reducand sau eliminand necesitatea folosirii hartiei sau interventia umana. EDI a fost dezvoltat tocmai pentru a facilita comunicatiile marilor companii cu furnizorii lor, schimbul electronic al unor ordine de cumparare, plati de produse si servicii. Comertul electronic a avut o dezvoltare slaba bazat pe EDI, din cauza faptului ca numai companiile mari si avansate tehnologic puteau profita de aceasta noua tehnologie, pana la dezvoltarea Internetului. Lucrurile s-au schimbat rapid si tot mai multe companii, mici sau mari, au realizat ca Internetul este ideal nu numai pentru a informa oamenii, ci si in facilitarea cautarii produselor, comenzii lor, a achizitiei si platii acestor cumparaturi.
1

CAP I. Introducere n comerul electronic

Dac cu ctiva ani n urm practic comerul Internet nici nu exista, astzi acesta reprezinta un loc de atragere a unor enorme interese financiare. Comertul electronic este un concept integrat, creat pentru a unifica o are varietate de servicii in domeniul afacerilor, plecand de la posta electronica transmita intre diferite organizatii, register de adrese, sisteme comerciale commode de la domiciliu, servicii, bunuri si alte produse la alegere, sisteme electronice pentru efectuarea de plati de la distanta. Dar ce se intelege la ora actual prin comer Internet? Pentru multe firme, comerul Internet reprezint posibilitatea de a se efectua cumprturi prin reea, consultnd cataloage electronice on pe Web sau cataloage off pe CD-ROM si platind prin intermediul cartilor de credit sau, in viitorul foarte apropiat, prin intermediul unor portmonee electornice. Pentru altii, comertul Internet reprezinta relatiile de afaceri care se deruleaza prin retea intre furnizori si clienti, ca o alternative la variantele de comunicatiitraditionale prin fax, linii de comunicatii dedicate sau EDI pe retele cu valoare adaugata. Aceasta utilizare se mai numeste retea privata virtuala. O alta forma a comertului Internet, care se include pe cele anterioare, dar si multe alte utilizari inca neexploatate, o reprezinta autentificarea digitala. Ea implica o serie variata de documente, de la contracte sau comenzi pro forma, pana la imagini sau inregistrari vocale.

1.1 Tipuri i faze ale tranzaciilor comerciale

Termenul mai larg de afaceri electronice (in engleza Electronic Business) desemneaza multimea afacerilor asistate si bazate pe telecomunicatii si informatica. In acest context, comertul electronic este definit ca multimea activitatilor de vanzare/cumparare a unor bunuri si servicii, folosind mijloace de telecomunicatii si informatice. Scopul comertului electronic poate fi definit ca fiind tranzactia electronica. Cea mai mare parte a discutiilor referitoare la comertul electronic raman focalizate in zona achizitionarii, a cumpararii de bunuri si servicii. In general, in comertul traditional deosebim doua tipuri de tranzactii de cumparare: 1.Cumparaturile majore. Constau din acel tip de procese practicat de firme atunci cand urmaresc achizitii majore.Sunt bazate pe o succesiune de faze, care vor fi descrise in continuare:

Faza precontractula: Cumparatorul cauta informatii despre vanzarii de bunuri si servicii, despre bunurile si serviciile pe care le doresc si despre preturi, facilitate, termene si conditii aplicabile in cazul cumpararii. Vanzatorul cauta informatii prospective despre potentialii cumparatori ai bunurilor si serviciilor de care dispune. Faza contractuala: Pe parcursul acestei faze se stabileste o relatie formala intre cumparator si vanzator, se includ termini si conditii ce vor fi aplicate in tranzactie, prin incheierea unui contract. Faza realizarii comenzii: Implica plasarea si procesarea ordinelor de cumparare (oferta) si a raspunsurilor la acestea din partea vanzatorului, care se pregateste pentru livrare( acceptare). Unele tranzactii pot implica amendamente la ordinele de cumparare, renegocieri si anulari. Faza logistica: In aceasta faza a afacerii se livreaza bunurile sau se realizeaza serviciile. In plus, pot fi implicate unele servicii post-livrare, cum ar fi inspectii sau returnari. Faza de achitare: Bunul sau serviciul este platit. Tranzactiile relevante includ autorizari pentru efectuarea platii, plata si un raspuns pentru confirmarea efectuarii tranzactiei. Asociata la aceasta faza este institutia financiara a cumparatorului, pentru confirmarea tranzactiei ce afecteaza contul sau si pentru stabilirea tranzactiei si a balantei. Faza post-proces: Dup ace afacerea de baza a fost terminate, sunt necesare un numar de activitati aditionale. Cea mai intalnita este colectarea si raportarea informatiilor manageriale. Aditional, vanzarea unui bun sau serviciu poate crea o relatie intre vanzator si comparator prin service, intretinere, aducere la zi (upgrade) si eventual inlocuirea cu un alt bun sau serviciu.

2.Cumparaturi spontane (directe). O mare parte din achizitiile effectuate de firme sau persoane, implicand sume relative mici de bani, ce nu ofera pericolul platii unui prt prea mare sau al cumparaturii unui bun impropriu calitativ, poarta denumirea de procurare spontana de bunuri si servicii. Aceste mici cumparaturi sunt practicate in general intuitive sau spontan, cu un minim de decizii rationale.

1.2. Schimbul de date electronice (EDI)

Conceptul EDI (Electronic Data Interchange) este usor de nteeles dac ni-l imaginm ca un nlocuitor al ordinelor de plat bazate pe hrtie cu echivalentul lor electronic. n realitate este un termen mult mai cuprinztor, impactul EDI asupra e-commerce-ului fiind foarte mare. EDI ofer perspectiva unei comunicri uoare i ieftine a informaiei ntre firme i organizaii.
3

Altfel definit, EDI reprezint schimbul de documente n form electronic standardizat, ntre firme i organizaii, ntr-o manier automatizat, direct de la o aplicaie pe calculatorul unei organizaii/firme la o alt alicaie pe calculatorul altei organizaii/firme. Istoria EDI arat c primele aplicaii a ceea ce va deveni EDI au fost fcute n SUA. La originea ideii st o necessitate internaional care a nceput s se contureze n anul 1948, la Transportul Aerian din Berlin (Berlin Aircraft), unde munca de coordonare a formelor de consemnare a transporturilor de mncare i consumabile a impus o standardizare a acestor acte. Transmisia electronic a nceput n jurul anului 1960, iniial n industria transporturilor pe ci ferate i drumuri, unde standardizarea documentelor a devenit necesar. In 1969 s-a format TDCC(Comitetul de Coordonare a Datelor despre Transport al SUA), care a coordonat dezvoltarea unor reguli referitoare la setul de standarde existent, cu specificul industriei. Aproape n acelai timp, Departamentul Vmilor i Taxelor din Maria Britanie, asistat de SITPRO(Departamentul Britanic de Simplificare a Procedurilor Comerciale), a dezvoltat propriile sale standard pentru documentele utilizate n comerul internaional, numit TRADACOMS. Elementele eseniale ale arhitecturii EDI sunt: un mediu de transmisie electronic (o reea local sau Internetul), care este preferat pentru a trimite depozite fizice de informaii; o baz de mesaje formatate, structurate n acord cu standarde; aceste mesaje pot fi translatate, interpretate i parcurse n conformitate cu nite reguli explicite; o livrare rapid a documentelor electronice de la emitor la receptor; o comunicare direct ntre aplicaii i nu ntre persoane. EDI depinde de infrastructura tehnologiei informaionale. Aceasta poate include managementul datelor i posibiliti de comunicare n reea, poate cuprinde captarea eficient de date n format electronic, procesarea i conservarea datelor, accesul controlat la acestea i o transmisie viabil, sigur i eficient ntre locuri diferite. Poate fi folosit pentru a raionaliza proceduri, a reduce costurile i a implementa servicii rapide i de calitate, fiind un set de servicii strns legate de comerul electronic.

1.3. Vulnerabiliti ale Internetului ce afecteaz comerul electronic

Un factor principal care frnez dezvoltarea actual a e-commerce-ului l constituie insecuritatea. Internetul original a fost proiectat pentru cercetare i nu pentru desfurarea unor tranzacii comerciale. Se pot identifica mai multe probleme specifice de securitate, care pot fi considerate adevrate obstacole n dezvoltarea comerului Internet.

1.Noutatea domeniului Se poate vorbi despre comerul Internet ca fiind un adevrat nou domeniu de cunoatere. Desigur c el are anumite similitudini cu alte zone ale experienei umane: schemele obinuite de vnzare/cumprare bazate pe cartelele de credit, sistemele EDI, metodele tradiionale de protecie criptografic a datelor, gestiunea securitii site-urilor. Dar exist i unele deosebiri eseniale, care fac comerul Internet un domeniu nou i de mare viitor: factorul global al comerului Internet, care face s fie implicate firme i clieni din toat lumea, cu legi, obiceiuri i atitudini diferite, factorul inteligen, care face s se angajeze n gsirea unor soluii fore intelectuale deosebite, factorul de insecuritate, care deriv din faptul ca Internetul nu a fost proiectat s suporte tranzacii sigure, fiind inta permanent a unor atacuri ale hacker-ilor. Dar cum orice msuri de securitate sunt relative, soluiile practicate n acest domeniul reprezint un compromis ntre vulnerabilitate i riscuri. Este evident c exist o mulime de vulnerabiliti, c unele sunt mai cunoscute i preferate de atacatori i ca urmare soluiile de securitate i cheltuielile aferente trebuie focalizate ctre acestea. 2.Probleme de pia Limitarea curenta tehnologiei comerului Internet este paradoxal: dei exist instrumente criptografice puternice pentru asigurarea confidenialitii, integritii, autenticitii i a nerepudierii, att din categoria cifrurilor cu cheie secret (DES, IDEA, Triple DES, RC4, RC5,etc), ct i a cifrurilor cu cheie publice(RSA,DSA,PGP,SEEK), totui rspndirea acestor tehnologii este obstrucionat de unele fore de pia, care fac presiuni puternice asupra companiilor de a realiza noi i noi produse, de a realiza noi i noi aliane. O alt probleme legat de pia o reprezint lipsa unor standarde privitoare la securitatea tranzaciilor. Dou tehnologii, SSL(Security Socket Layer) si S-HTTP(Secure HTTP), au primit o oarecare acceptare n ultimii ani, cnd VISA, MasterCard si Microsoft au intrat n competiie. Istoric vorbind, Internetul a fost creat avnd la baz software public(liber) i o cooperare mutual ntre domeniile academic i de cercetare. Mediul utilizatorilor, al administratorilor i al programatorilor Unix s-a bazat pe o politic deschis, discuii i cooperare privind vulnerabilitaile i contracararea lor. Astzi divizarea pieei n productori i utilizatori de mainframe-uri i de PC-uri, a creat interese deosebite n elaborarea standardelor, a redus din consensul iniial, a condus la unele practici comerciale agresive, n special la giganii IBM sau Microsoft. n comunitatea PC-urilor, n cadrul creia opereaz majoritatea utilizatorilor, securitatea a fost i este nc mult ignorat. Sistemele de operare ale acestor tipuri de calculatoare au serioase ( i cunoscute) bree de securitate. Chiar dac sistemele de operare ale reelelor n care sunt conectate PC-urile au implementat msuri sofisticate de securitate, ele nu nltur
5

vulnerabilitatea mainilor conectate, care induc i reelei o anumit insecuritate. Trei lumi culturale deosebite, Unix, PC-uri si Mainframe-uri, converg pe Internet ntr-un moment n care securitatea tranzaciilor i a datelor a crescut n contiina utilizatorilor; acetia cer msuri din ce n ce mai eficiente n aces domeniu. Ultimii ani au subliniat viitorul deosebit al unei arhitecturi de securitate deschise, intens cercetat i discutat n momentul de fa, care s fie liber de taxe de licen i care s stea la baza standardelor de securitate Internet ce vor fi folosite i n comerul electronic. 3.Probleme ale guvernelor Datorit reglementrilor existente n unele ri puternic industrializate, i n special n SUA, guvernele exercit un control strict al exporturilor de criptografie puternic. Se fac unele excepii n domeniul criptografiei utilizate n bnci sau pentru procedurile de autentificare. Acest lucru creeaz un impact financiar negativ asupra companiilor de software care nu pot exporta programe ce sunt vndute current n ara lor. Desigur ns c, n alte ri, unde aceste restricii nu exist, se poate cumpra uor software criptografic ca DES, Triple DES, IDEA. De asemenea, exist numeroase site-uri pe Internet unde astfel de programe sunt disponibile liber i exist multe cri care nva programatorii s creeze mecanisme criptografice puternice. Aceste restricii guvernamentale, cu precdere n SUA, mpiedic utilizarea unor mecanisme de securitate puternice, rspndite n toat lumea i compatibile ntre ele. 4.Probleme de concepie Internetul opereaz ntr-un mediu de ncredere, n care era permis tuturor utilizatorilor situai la distan s acceseze, prin r-comenzi BSD (rlogin sau rsh), fiiere i resurse critice de pe calculatoare importante. Totodat, securitatea era lsat mai mult pe respectul reciproc al utilizatorilor, pe gentlemen agreement-ul stabilit ntre acetia dect pe puternice msuri tehnice i administrative. O protecie minim, considerat mult timp suficient, dar dovedit ulterior cu slbiciuni de concepie, au constituit-o sistemele de parole care creau o anumita barier la ptrunderea pe un sistem distant. Pe msur ce Internetul s-a extins, comunitatea utilizatorilor a crescut foarte mult, iar ntre acetia se gsesc numeroase persoane care nu mai respect regulile de comportament stabilite iniial de cercettori. Numai n ultimii ani am asistat la numeroare atacuri n Internet. Toate atacurile speculeaz proasta configurare a unor sisteme, unele erori n scrierea programelor, administrarea neglijent a unor noduri sau chiar neglijena unor utilizatori autorizai. De asemenea, unele atacuri mai sofisticate profit de lipsa total a unor servicii de securitate n ierarhia de protocoale TCP/IP, folosit de toate calculatoarele conectate la Internet. De exemplu, multe protocoale de nivelul de jos al ierarhiei TCP/IP, inclusive Ethernet, sunt de tip difuzare(broadcast). Ca urmare, este posibil pentru main conectat la un LAN s asculte traficul destinat altor maini. n acelai context, este posibil pentru orice calculator
6

conectat la Internet, cum ar fi de exemplu un furnizor de servicii, sa asculte legtura de comunicaii ce se stabilete ntre dou alte calculatoare. Aceste ascultri, insoite de memorarea traficului, sunt destinate att ncercrilor de aflare a unor parole de conectare, ct i de nregistrare a unor date confideniale. n contextul comerului electronic, atacurile de securitate se manifest cu preponderen prin urmtoarele ci: Ascultarea comunicaiilor. Acest tip de atac poate conduce la furtul unor informaii importante ale clienilor, cum ar fi numrul cartelei de credit, numrul de cont bancar, note de plat sau balane financiare. De asemenea, aceste atacuri conduc la furtul unor servicii, accesibile n mod normal doar celor care pltesc, cum ar fi cele de informare sau de distribuire de software. Furtul parolelor. Atacurile de acest tip pot fi folosite pentru a permite accesul la sisteme unde se afl informaii sau servicii importante. Folosirea unor algoritmi criptografici tot mai puternici pentru protejarea acestor date a mutat inta atacurilor de la ncercrile de a sparge protocolul la ncercrile de obinere a unor informaii n clar de la nodurile mai puin protejate. Modificarea datelor. Aceste atacuri folosesc la schimbarea coninutului unor tranzacii, ca de exemplu suma transferat din contul unei bnci, persoana pltit pe un cec electronic, valoarea unor comenzi pro forma etc. Inregistrarea. Acest tip de atac poate fi folosit pentru a permite unei pri comunicante s se dea drept alta. Atacatorul plaseaz n Internet un calculator destinat colectrii a sute de mii de numere de cartele de credit, numere de cont sau alte informaii despre diferii clieni ai comerului electronic. Folosind aceste informaii, atacatorii pot executa pli importante n numele unor persoane care nici nu bnuiesc sau pot colecta taxed de la diveri comerciani. Repudierea. Repudierea sau refuzul de recunoatere a unor tranzacii fcute prin reea creeaz serioase daune prilor implicate. Considerm, de exemplu, situaia unui cec bancar, refuzat nu pentru c nu are acoperire n cont, ci pentru simplul fapt c banca nu are mijloace de autentificare a acestuia. Comerul Internet intereseaz n mod esenial att marile companii, ct i micile companii. Conform unor date publicate recent, 50% dintre firmele care au peste 1000 de angajai au n momentul de fa cel puin un site Web, in timp ce 80% dintre firmele ce posed au astfel de site au sub 100 de angajai. Internetul devine foarte atractiv pentru micile firme, care pot fi foarte active pe reea, se pot face mult mai rapid cunoscute i i pot promova mai ieftin politica de pia. n acest context, multe afaceri au migrat n ultimii ani pe Internet. Practic, nu exist firm ntr-o ar cu dezvoltare cel puin medie care s nu aib create pagini Web, pe care se gsesc informaii despre serviciile i produsele oferite.

CAP II. Securitatea tranzaciilor n comerul electronic

Viitorul securitii tranzaciilor comerciale n Internet depinde de viteza cu care se vor elabora standarde, de putere i corectitudinea implementrilor fcute de firmele productoare de software, dar i de modul n care vor permite guvernele folosirea pe scar larg a algoritmilor de criptare puternici. n orice caz, o serie de probleme vor rmne n atenia specialitilor interesai n dezvoltarea aplicaiilor de comer Internet: securitatea intern o serie de rapoarte subliniaz c cel puin 75% dintre infraciunile de securitate sunt fcute de ctre persoane din interior, lucru valabil i n cazul crilor de credit i al fraudelor comerciale; atacurile externe continue atacurile hacker-ilor i mijloacele de protecie se amplific reciproc, fiind vorba de un adevrat proces iterativ, fr sfrit; cod maliios devine evident c ncercrile de a se crea secvene de cod ru intenionat vor continua, mai ales n contextul folosirii tot mai puternice a limbajulul JAVA; atacurile la servicii - se vor extinde, ncercnd s ocoleasc mecanismele tot mai perfecionate de confidenialitate i integritate

2.1 Cerine privind securitatea tranzaciilor comerciale

O soluie robust, care s asigure protecia tranzaciilor comerciale prin Internet, trebuie s aib n vedere urmtoarele cerine fundamentale de securitate: 1. Confidenialitatea (secretizarea) protejeaz coninutul tranzaciilor mpotriva citirii lor neautorizate, de ctre alte persoane dect receptorii specificai de emitor. Obiectivul acestei protecii l constituie fie prevenirea ascultrii i nregistrrii neautorizate a traficului de pe liniile de comunicaii, fie obstrucionarea accesului la cutiile de e-email, care sunt de fapt nite fiiere disc. Pentru mpiedicarea unor astfel de atacuri se prefer criptarea mesajelor. 2. Autentificarea originii tranzaciilor permite receptorului unui mesaj s determine n mod sigur identificarea expeditorului. Este un serviciu de securitate foarte necesar astzi, cnd este relativ uor s simulezi emiterea unor mesaje n numele unor ali utilizatori. Acest lucru creeaz mari semne de ntrebare asupra credibilitii tranzaciilor comerciale primite prin pot. Rezolvarea autentificrii se face prin semntur digital. 3. Integritatea datelor n reea furnizeaz receptorului unei tranzacii sigurana c mesajul prmit este indentic cu mesajul emis la origine. Acest serviciu protejeaz mpotriva unor atacuri care vizeaz modificarea mesajelor aflate n tranzit prin reea. Dei cele dou servicii de autentificare

i de integritate sunt prezentate ca servicii separate, ele sunt furnizate de obicei n tandem cu ajutorul sistemelor de rezumare i semntur digital. 4. mpiedicarea nerecunoaterii tranzaciei de ctre expeditor (nerepudierea), garanteaz integritatea i originea tranzaciilor din punctul de vedere al expeditorului, nu al destinatarului. Se mpiedic astfel c expeditorul unei tranzacii electronice s nege trimiterea ei. De asemenea, se permite tranzaciilor s fie transmise mai departe la ali destinatari, care s poat verifica identitatea originii mesajului. La recepie, se poate verifica c tranzacia nu a fost alterat, inclusiv de ctre emitorul su autentic. O utilizare foarte important a acestui serviciu este n comerul electronic, cnd trebuie transmise prin e-mail ordine de comand sigure, care s fie apoi confirmate i a cror emitere s nu poat fi negat. 5. Aplicarea selectiv a unor servicii. De multe ori este necesar acoperirea unor pri ale tranzaciilor, de exemplu cele coninnd numrul cartelei de credit a unui client. Acesta nu trebuie s fie accesibil n clar vnztorului, care poate abuza de utilizarea sa. Pentru aceasta se pot folosi sisteme criptografice cu chei publice, pentru a anvelopa numrul crii de credit al clientului. Acest lucru se face prin criptare cu cheia public a bncii, singura care va putea decripta informaia coninnd numrul crii de credit.

2.2 Principalele protocoale de securizare a tranzaciilor

Msurile speciale de securitate n cazul comerului electronic prin Internet, n care plile se fac cu carduri, sunt concentrate, n principal, n dou direcii: asigurarea securitii telecomunicaiilor, i asigurarea securitii tranzaciilor prin procedee mai puternice de autentificare, n principal a deintorului de card. Prima direcie ncearc s rezolve problema riscurilor generate de caracterul public al transmisiunilor prin reeaua Internetului, iar a doua pe aceea a riscurilor generate de o situaie n care cardul-nu-este-prezent (similar cu cazul comenzilor date prin telefon sau pot). Alte msuri de securitate sunt luate la nivelul legislaiei i al reglementrilor bancare i ale sistemelor de carduri, iar altele urmresc comportamentul cumprtorilor (memornd o istorie a tranzaciilor) i depistarea unui profil al cumprtorului, sau comerciantului, potenial fraudulos cruia mai apoi i se vor interzice tranzaciile. Unii emiteni pot utiliza chiar reele neuronale care pot identifica un fel anume, susceptibil de a fi fraudulos, de a face cumprturile de exemplu efectuarea unui mare numr de cumprturi ntr-un interval scurt de timp (cteva ore) de pe multe situri de comerciant, caz n care cumprtorul va fi imediat contactat pentru verificare.

2.2.1 Securitatea telecomunicaiilor (protocoalele SSL i TLS)

n prezent securitatea telecomunicaiei ntre calculatorul personal al cumprtorului i serverul de gzduire al sitului comerciantului, precum i aceea dintre acest server i procesatorul acceptatoruluise asigur prin protocolul SSL, sau prin succesorul su TLS. Ambele protocoale asigur toate elementele fundamentale ale unei transmisiuni sigure criptarea mesajelor care asigur confidenialitatea, verificarea integritii coninutului mesajelor, i autentificarea entitilor de la ambele capete ale transmisiunii. Protocolul SSL (Secure Sockets Layer), ajuns astzi la versiunea 3.0, a fost proiectat de compania american Netscape Communications n 1995 i s-a rspndit n toat lumea fiind instalat n toate navigatoarele importante (Internet Explorer i Netscape) i n toate serverele de gzduire de situri, devenind un standard de factoral securitii telecomunicaiilor pe Internet. Iat pe scurt modul su de funcionare: n momentul n care un navigator adreseaz un server n regim de securitate (adrese ncepnd cu https:), acesta va trimite navigatorului propriul su certificat de autenticitate, eliberat de o Autoritate de Certificare (care respect standardul X.509) i acceptat (cum ar fi VeriSign Inc.), criptat i semnat de aceasta cu cheia sa secret i coninnd identitatea serverului i cheia public a serverului. Opional, i navigatorul poate trimite certificatul su ctre server. Navigatorul va decripta certificatul serverului (cu cheia public, pe care o cunoate, a Autoritii de Certificare) i va obine cheia public a serverului, apoi va genera o cheie secret valabil numai pentru cuplarea n curs (la fiecare legtur cu serverul se va genera o nou cheie). Aceast cheie de criptare a mesajelor (de 40 sau 128 de bii) este la rndul ei criptat cu cheia public a serverului, cruia i este apoi expediat. n acest fel ambele capete ale transmisiei dispun acum de o cheie secret de criptare mesaje, cu care i cripteaz mesajele pe care ncep s i le trimit. Aceast cheie de criptare mesaje se folosete i la aplicarea unui cod MAC (Message Authentication Code) care permite verificarea integritii mesajelor schimbate. Protocolul TLS (Transport Layer Security) a fost elaborat de IETF (Internet Engineering Task Force), organizaia de standardizare a Internetului, pe baza SSL 3.0 i reprezint o mbuntire a acestuia n mai multe privine. Este de ateptat sse substituie treptat protocolului SSL.

2.2.2 Securitatea tranzaciilor de plat (protocoalele 3-D Secure, SecureCode i SET)

O cretere substanial a securitii tranzaciilor de plat se poate obine prin folosirea unor protocoale de autentificare al cror rol este s autentifice actorii principali ai tranzaciei ce
10

are loc pe Internet deintorul de card i cardul lui, comerciantul i acceptatorul lui, i poarta de acces (gateway) din Internet ctre sistemul de pli prin carduri. Aceasta autentificare se face fie prin certificate de autenticitate care necesit un sistem de chei publice (PKI, Public Key Infrastructure), fie prin alte metode, mai simple. Esenial este autentificarea deintorului de card deoarece aici se afl sursa majoritii fraudelor. Trei astfel de protocoale sunt astzi n folosin protocolul SET proiectat n 1996 de Visa, MasterCard, IBM i alii, protocolul 3-D Secure proiectat de Visa, i protocolul SecureCode proiectat de MasterCard, ultimele dou n 2001. Cel care asigur securitatea maxim, ntruct autentific pe toi actorii tranzaciei, este protocolul SET. Acesta este ns un protocol complicat, scump i greu de implementat, motiv pentru care nu este rspndit, pare ameninat cu dispariia i nu vom insista asupra lui. Dintre celelalte dou, care sunt mai simple i mai uor de implementat, protocolul 3-D Secure tinde s devin un standard de factor fiind acceptat i de MasterCard i de JCB. Protocolul de autentificare 3-D Secure este prezentat de Visa sub marca Verified by Visa (VbV), aceast marc fiind prezent pe siturile comercianilor ai cror acceptatori au aderat la protocol. MasterCard ofer ns sub marca proprie de SecureCode un numr de trei protocoale de autentificare distincte, la alegere pentru acceptatori protocolul SPA/UCAF (primul care a purtat marca), protocolul CAP derivat din primul, i implementarea proprie a protocolului 3-D Secure. Spre deosebire de SET, protocoalele 3-D Secure i SPA/UCAF nu mai impun certificate de autenticitate pentru toate prile, ceea ce reprezint o mare simplificare. Autentificarea deintorului de card se face n timpul tranzaciei de ctre emitentul acestuia numai pe baza numelui i a unui cuvnt de control (password) sau PIN (sau prin alte metode, la alegerea emitentului), certificatul de autenticitate al cumprtorului nemaifiind strict necesar. n cele ce urmeaz vom face o scurt prezentare a celor trei protocoale, punnd un accent ceva mai mare pe 3-D Secure, dup care vom face o scurtcomparaie ntre protocoalele 3-D Secure i SecureCode (SPA/UCAF). a) Protocolul SET Acest protocol foloeste certificate de autenticitate i genereaz diverse chei pentru deintorul de card, pentru comerciant i pentru poarta de acces (gateway) la sistemul de pli prin carduri. Poarta de acces se afl la nivelul acceptatorului care are legatura cu sistemul de pli prin carduri i reprezint punctul de acces din Internet n acceptator i mai departe n sistemul de carduri. Certificatele de autenticitate sunt generate de Autoriti de Certificare diferite, aflate ntro ierarhie, la vrful creia se afl o autoritate rdcin care aparine consoriului SET, numit SETCo. Aceast rdcin va certifica Autoritile de Certificare ale sistemelor de carduri (Visa, MasterCard) care, la rndul lor, vor certifica emitenii i acceptatorii. Fiecare emitent va fi apoi Autoritatea de Certificare pentru deintorii lui de carduri, i cardurile lor, iar fiecare acceptator va fi Autoritatea de Certificare pentru comerciani i porile lor de acces (de la serverul de gzduire la acceptator).
11

n prima faz a tranzaciei prile se autentific ntre ele deintorul de card cu comerciantul (opional), deintorul de card cu poarta de acces (opional), comerciantul cu deintorul de card (obligatoriu), i comerciantul cu poarta de acces (obligatoriu). n a doua i ultima faz are loc autorizarea tranzaciei n care, n maniera deja descris, datele cardului ajung la acceptator care formuleaz o cerere de autorizare ctre emitent, al crui rspuns l trimite apoi ctre calculatorul deintorului de card trecnd prin poarta de acces i serverul de gzduire a sitului comerciantului. b) Protocolul 3-D Secure Ca urmare a rspndirii reduse a protocolului SET, un protocol foarte sigur dar complex i scump, Visa introduce n 2001 propriul protocol numit 3-D Secure, mai simplu i mai uor de implementat, bazat pe un model de sistem de securitate care cuprinde trei domenii (12). Scopul celor trei domenii este acela de a defini clar responsabilitile prilor implicate n tranzacie. Cele trei domenii sunt Domeniul Emitentului, care cuprinde deintorii de card i emitenii cardurilor lor; Domeniul Acceptatorului, care cuprinde comercianii i acceptatorii lor; i Domeniul de Interoperabilitate, care asigur comunicarea ntre emiteni, acceptatori i sistemul Visa. Protocolul asigur autentificarea numrului de card, a deintorului de card, i a comerciantului, la fiecare tranzacie. n modelul celor trei domenii, 3-D, la tranzacia de plat autentificat particip direct emitentul cardului i comerciantul. n momentul n care cumprtorul iniiaz plata, comerciantul (modulul de 3-D Secure din situl lui) va cere mai nti autentificarea numrului cardului iar apoi va cere emitentului s-i autentifice deintorul de card. Dup ce va primi autentificarea semnat, va urma autorizarea normal a plii (trimite la emitent, prin sistem, o cerere de autorizare, etc). Comerciantul va ncepe deci ntotdeauna prin a cere emitentului s-i autentifice mai nti cardul i deintorul de card. Deintorul de card trebuie s se nregistreze (enrollment) n sistem la emitentul su i s-i declare cel puin un nume i o parol prin care emitentul poate s-l autentifice n momentul tranzaciei, trimind apoi aceasta autentificare comerciantului. Protocolul las libertatea emitentului de a alege i alte metode de autentificare a deintorului de card care s arate, n momentul efecturii tranzaciei, c este deintorul legitim al cardului cu care se face plata. Emitentul poate astfel cere deintorului de card s dispun de un certificat propriu de autenticitate, s foloseasc un card inteligent (printr-un cititor cuplat la calculatorul personal) ca depozitar sigur al identitii, sau s foloseasc metodele de autentificare din serviciile bancare electronice (eBanking) proprii. Uzual ns deintorul de card e autentificat de emitent doar prin nume i parol. Dup ce l autentific, emitentul va genera un rspuns semnat electronic (un certificat de autentificare a deintorului de card) pe care l trimite comerciantului pentru a-i confirma autenticitatea deintorului de card, iar comerciantul va putea trece la faza de autorizare normal a tranzaciei. Deintorul de card este liber s-i instaleze i un portofel electronic, ePortofel (eWallet), care va conine informaiile de identitate (nume, adres, parol, etc) i cele de card (tip card,
12

numr card, dat de expirare) i care i poate servi la automatizarea procesului de completare a formularului de plat (form filling) i la pstrarea chitanelor pentru tranzaciile efectuate. Emitentul dispune de un serviciu de nregistrare n sistemul 3-D Secure a cardurilor i deintorilor de card (nregistrarea se poate face i prin Internet) pstrnd ntr-un server de nregistrare (Enrollment Server) numerele de card, numele i parola deintorilor participani. Emitentul mai dispune i de un server de control al accesului (ACS, Access Control Server) care are rolul de a primi cererile de autentificare a cumprtorului venite de la comerciani, de a face autentificarea acestuia verificnd numrul de card, numele i parola (sau o alt metod), i de a trimite rspunsul semnat napoi la comerciant. n domeniul de interoperabilitate Visa (sau MasterCard, care a aderat la sistem) dispune de un Director (Directory Service) care este un server central pe Internet (ce dispune de un certificat de autenticitate) n care se pstreaz numerele de card ale tuturor cardurilor nregistrate n sistemul 3-D Secure (nscrise de emiteni) precum i adresele de Internet (URL) ale serverelor de control al accesului (ACS) ale emitenilor cardurilor nregistrate. n acest Director se pstreaz i o arhiv a tuturor autentificrilor date de emiteni, pentru a servi rezolvrii unor eventuale dispute. n domeniul acceptatorului, acceptatorii trebuie s dispun de o poart de acces (payment gateway) la sistemul de plat prin carduri Visa/MasterCard, iar comercianii lor trebuie s-i instaleze, pe lng (sau n locul, dac i preia funciile) modulul client de eComer, i un modul de 3-D Secure care poart numele standard de MPI (Merchant Plug-In module), adic modul de comerciant 3-D Secure instalat n sit. Acest modul de comerciant 3-D Secure va genera cereri de autentificare a cardului i a cumprtorului ctre emitent, prin intermediul Directorului, iar dup primirea rspunsului va trimite cererea de autorizare a tranzaciei ctre poarta de acces a acceptatorului (prin intermediul modului client de eComer) care, la rndul lui, o va trimite mai departe n sistemul de carduri prin acceptator. n cursul acestei operaii modulul MPI al comerciantului se va autentifica fa de Director printr-un certificat de autenticitate sau, mai simplu, printr-un password, iar Directorul va face acelai lucru fa de comerciant. n felul acesta are loc, la fiecare tranzacie, i o autentificare a comerciantului. Dup primirea rspunsului de autorizare, modulul comerciantului va trimite cumprtorului o pagin cu un raport asupra efecturii tranzaciei. n cazul n care tranzacia este iniiat de un card care nu este nregistrat n sistemul 3-D Secure, comerciantul va putea sri peste etapa de autentificare a cumprtorului i va trece direct la autorizare, sau va respinge tranzacia, dup cum a ales acceptatorul. Protocolul 3-D Secure verific esenialmente autenticitatea cardului i a deintorului de card i d astfel comerciantului ncrederea c va fi pltit dup ce va livra produsele comandate. Protocolul poate fi folosit n principiu i pe alte canale de plat telefoane mobile, asisteni digitali personali (PDA) sau televiziunea digital prin cablu. Visa estimeaz c introducerea protocolului va diminua cu pn la 80% numrul de tranzacii disputate. Pentru a ncuraja rspndirea protocolului n rndurile membrilor si, Visa a stabilit, pentru regiunea CEMEA n care se afl i Romnia, termenul de aprilie 2003 ca un moment dincolo de care rspunderea (pn la acea dat mprit ntre emitent i acceptator, n funcie de circumstane) n cazul unei pierderi datorate unei fraude n comerul electronic va reveni acelei pri care nu a implementat protocolul (liability shift). n SUA pn n 2004

13

protocolul a fost deja adoptat de 80% din bnci, iar n Europa de peste 100 de bnci i peste 10.000 de comerciani.

c)Protocolul SecureCode Sub denumirea de SecureCode, MasterCard ofer membrilor si trei protocoale de autentificare a deintorului de card protocolul SPA/UCAF, protocolul CAP care este o variant a primului, i protocolul 3-D Secure n versiunea MasterCard. Asemeni lui Visa i tot n 2001, MasterCard anun protocolul SPA (Secure Payment Application) bazat pe utilizarea unui mecanism de transport de date prin reeaua sa (BankNet), denumit UCAF (Universal Cardholder Authentification Field) care transport un aa numit semn de autentificare (authentication token) utilizat pentru a indica autentificarea deintorului de card care a fcut tranzacia, motiv pentru care este numit SPA/UCAF. Protocolul CAP (Chip Card Authentication Program) este o variant a SPA pentru plata cu carduri inteligente i presupune de regul cuplarea la calculator a unui cititor de astfel de carduri. MasterCard adopt apoi n 2002 protocolul 3-D Secure ntr-o variant proprie i l prezint tot sub denumirea generic de SecureCode. Acceptatorii MasterCard au libertatea de a-i alege tipul dorit de protocol. n cele ce urmeaz vom face o scurt prezentare a protocolului SPA/UCAF (13). Protocolul cere participarea direct a emitentului care autentific cumprtorul i a comerciantului care dispune de un modul client de eComer specific SPA, i impune ca fiecare cumprtor deintor de card s-i instaleze n calculatorul su un portofel electronic care i va servi la autentificare i la efectuarea plii. Acest program (numit i SPA applet) are att funcia de ePortofel care deine datele de identificare i de card de plat, ct i aceea de a interaciona cu comerciantul i cu emitentul cardului. Emitentul dispune de un server de ePortofel (wallet server, sau SPA server) i dis tribuie cumprtorilor care se nregistreaz cte un ePortofel pe care acetia i-l instaleaz apoi n calculatorul lor personal. n momentul nregistrrii (enrollment) cumprtorul i va defini i o parol, sau un PIN, dup care va fi autentificat ulterior. Cnd va ncepe tranzacia, ePortofelul se va activa i va cere deintorului de card s se autentifice printr-un formular (se cere parola) dup care se va conecta la emitent pentru a-i trimite aceste date i a-i cere o dovad a autentificrii. Serverul emitentului va verifica datele introduse cu cele pstrate la momentul nregistrrii n sistem i va genera un mesaj cu un semn de autentificare (authentication token) pe care l va ntoarce ePortofelului. Acest semn de autentificare poart numele de AAV (Accountholder Authentication Value), valoarea de autentificare a deintorului de cont de card, i arat, n esen, dac parola introdus este corect, caz n care deintorul de card este declarat autentic. Comercianii au un modul client de eComer, specific protocolului, care le este furnizat de acceptatorul participant la sistem. Acest modul interacioneaz cu cumptorii i cu ePortofelele lor, precum i cu poarta de acces (unde e modulul server de eComer) a acceptatorului. Cnd cumprtorul va declana cumprtura, comerciantul va adauga la datele

14

tranzaciei i semnul de autentificare (ce se va pstra n cmpul UCAF din structura mesajelor care circul prin reeaua BankNet a MasterCard), i va trimite totul ctre acceptator. Acesta va trimite mai departe cererea de autorizare a tranzaciei i semnul de autentificare, prin reea la emitent. Emitentul va compara semnul de autentificare primit cu cel pe care l-a generat anterior n momentul autentificrii cumprtorului i dac acestea coincid, trece la procedura de autorizare, ca urmare a creia napoiaz acceptatorului un rspuns la cererea de autorizare. d) O scurt comparaie a protocoalelor 3-D Secure i SPA/UCAF Ambele protocoale sunt mai simple i mai ieftin de implementat dect protocolul SET, ns acesta din urm asigur maxima securitate. Ambele protocoale fac autentificarea cumprtorului deintor de card de regul prin parol (singurul secret ce dovedete autenticitatea), care e verificat de emitentul cardului, dar emitenii sunt liberi s-i aleag i alte metode de autentificare ntruct ei genereaz decizia final prin care cumprtorul este declarat autentic i legal deintor al cardului. n ambele protocoale emitenii trebuie s dispun de programe specializate specifice protocolului (server de acces i eventual, de nregistrare, la 3 -D Secure, i server de ePortofele la SPA/UCAF), iar comercianii trebuie s-i instaleze un modul client de asemeni specific protocolului. Ambele protocoale asigur un eComer global, internaional, prin faptul c se bazeaz pe sistemele de carduri Visa i MasterCard care realizeaz pli transfrontaliere. Protocolul SPA/UCAF este mai simplu i mai rapid dect 3-D Secure, pentru c n acesta din urm autentificarea se desfoar n mai muli pai i sunt schimbate mai multe mesaje, toate prin Internet. Deasemeni n 3-D Secure autentificarea se face la fiecare tranzacie, n vreme ce la SPA/UCAF autentificarea se obine o singur dat ntr-o sesiune de cumprturi, la nceputul ei, iar rezultatul este pstrat n ePortofel ceea ce permite efectuarea unei serii ntregi de cumprturi la mai multe situri de comerciani, fr ca autentificarea s se mai fac pentru fiecare tranzacie. n 3-D Secure comerciantul se autentific explicit fa de Directorul sistemului n vreme ce la SPA/UCAF comerciantul se autentific implicit, doar prin faptul c are un modul client specific care e recunoscut de ePortofel. Sistemul 3-D Secure este un sistem centralizat, n care toate cererile de autentificare ale tuturor comercianilor trec printr-un Director central, aflat n legatur cu toi emitenii i toi acceptatorii participani la sistem, n vreme ce sistemul SPA/UCAF este descentralizat, iar o autentificare implic numai comunicarea direct ntre cumprtor i emitentul su, neexistnd conceptul de Director. n sistemul SPA/UCAF verdictul de autenticitate, pstrat n semnul de autentificare (authentication token), este ataat explicit fiecrei tranzacii, cltorete cu aceasta i e pstrat mpreun cu ea, ceea ce reprezint un lucru util n rezolvarea eventualelor dispute, n vreme ce n 3-D Secure acest lucru nu se ntmpl. Deosebirea esenial ntre cele dou protocoale const n faptul c, n cazul lui 3-D Secure, cumprtorul nu trebuie s fac nici o modificare n calculatorul su personal, n vreme ce n cazul lui SPA/UCAF acesta trebuie s cear de la emitentul lui un program (ePortofel sau SPA applet) pe care trebuie s i-l instaleze singur. Concluzia final pn n acest moment este aceea c avantajul oferit de 3 -D Secure prin faptul c deintorul de card nu trebuie s aduc nici o modificare n calculatorul su personal,
15

depete dezavantajele pe care le poate avea fa de SPA/UCAF, iar acest lucru l face s tind s devin un standard de facto al autentificrii n eComerul prin Internet. Faptul c MasterCard a adoptat 3-D Secure i-l prezint sub marca proprie este o dovad n acest sens.

CAP III. Exemple de e-commerce actual.Piee electronice, licitaii electronice

3.1 Comerul electronic ntre consumatori i companii, sau comerul electronic cu amnuntul (B2C)
Acesta este eComerul care implic numrul cel mai mare de participani chiar dac volumul valoric al acestui comer este nesemnificativ n comparaie cu volumul valoric al eComerului ce are loc ntre companii (B2B). Totui, n 2003 n SUA, volumul eComerului cu amnuntul a atins cifra de peste 75 miliarde de dolari, cu tendine de cretere (dar reprezint numai circa 1% din volumul ntregului comer cu amnuntul). Se includ n aceste cifre i vnzarea pe Internet a serviciilor ageniilor de voiaj (travel agents), ageniilor de rezervri bilete, a produselor pentru aduli, jocuri de noroc, etc. Aceste vnzri prin Internet par a fi foarte concentrate n ianuarie 2004 peste jumtate din toi utilizatorii americani de Internet (adic peste 83 de milioane) au vizitat cel puin o dat siturile eBay sau Amazon (1). Siturile de comerciani sunt foarte variate de la comerciani ce vnd un singur produs sau serviciu, pn la situri prin care comerciantul prezint mii de produse (cum ar fi compania englezeasc de componente electronice Maplin Electronics www.maplin.co.uk - care ofer peste 12.000 produse distincte). a) AMAZON Compania american Amazon (www.amazon.com), cu sediul n Seattle, este cel mai mare comerciant cu amnuntul de pe Internet. n perioada Crciunului 2003 prin toate siturile sale aflate n mai multe ri, a primit peste 2 milioane de comenzi ntr-o singur zi. ncepnd ca un vnztor de cri, compania s-a extins mult ajungnd n prezent s vnd produse variate (electronice, calculatoare, muzic, software, DVD-uri, etc) i n acelai timp s ofere spre vnzare prin siturile sale i produsele altor mari companii cu care a semnat nelegeri n acest sens, fiind o adevrat pia electronic. De asemenea orice persoan poate vinde produse prin Amazon: i prezint produsul (cu pre), Amazon pune produsul n vnzare i anun persoana prin email cnd produsul a fost vndut, persoana livreaz produsul cumprtorului, Amazon i expediaz banii la o banc indicat. Situl prezint n detaliu aceast metodologie.
16

Compania este, n esen, un mare intermediar ntre cumprtori i productori, ntruct nu deine stocuri de produse, nu este o banc i nu livreaz produse la domiciliu, ci are aranjamente contractuale cu toi participanii la actul de comer care realizeaz aceste funcii. Amazon are ns un foarte bine dezvoltat catalog de produse, adic o sofisticat (i interactiv) metodologie de prezentare a produselor i a caracteristicilor acestora, i un bine pus la punct sistem de plat. Metodele de plat sunt variante prin carduri (Visa, MasterCard, AMEX, JCB, Dinners Club, Discover), cecuri electronice, ordine de plat electronice (money order, purchase order) i, pentru companii n mod special, prin cont de credit Amazon pe care se emit ordine de cumprare electronice. Amazon este desigur un comerciant al unei bnci acceptatoare care e membr a tuturor sistemelor de carduri menionate, i care accept i celelalte forme de plat electronic. Prin legturi cu astfel de acceptatori aflai n mai multe ri, compania are prezen internaional. Livrarea produselor cumprate se face printr-un mijloc care poate fi ales de cumprtor, iar traseul pe care l urmeaz produsul ctre adresa de livrare specificat n ordinul de cumprare poate fi urmrit prin Internet pe situl companiei de transport alese UPS, DHL, FedEx, Eagle, Airborne Express i altele. b) InterActivCorp, IAC agent de cltorii pe Internet Compania american IAC este cel mai mare agent de servicii de cltorie, este proprietara companiilor Expedia.com (www.expedia.com) i Hotels.com (www.hotels.com) i a vndut pe Internet rezervri de cltorie (transport, hotel, etc) n valoare de peste 10 miliarde de dolari n 2003. n acelai an peste 35 de milioane de americani i-au folosit serviciile. Produsul principal vndut este pachetul de cltorie (travel package) care cuprinde variate combinaii de cltorii zboruri, hoteluri, nchirieri maini, tururi de vizitare, bilete de spectacole, etc., acestea putnd fi personalizate dup dorina cumprtorului. Plata se face prin toate cardurile majore Visa, MasterCard, AMEX, Dinners Club, Discover. Ali mari furnizori de servicii de cltorie prin Internet sunt Travelocity i Orbitz din SUA, Ebookers i Opodo din Anglia, sau pentru rezervri hotel Hilton, Marriott i Hyatt din SUA, Accor Hotels din Frana i Le Meridien din Anglia. c) Google, Yahoo!, MSN i AOL Aceste companii nu sunt numai celebre motoare de cutare pe Internet ci i participani direci la eComer (a se vedea de exemplu situl Microsoft MSN, www.msn.com, care este i un portal-pia electronic de eComer). Serviciile lor de cutare sunt folosite din ce n ce mai mult pentru a descoperi i cumpra produse pe Internet. Se ofer i serviciul de a compara preurile afiate de mai muli vnztori pentru un acelai produs (a se vedea serviciul Froogle oferit de Google, fie prin buton, fie direct la adresa http://froogle.google.com).

17

3.2. Piee electronice, licitaii electronice

Pieele electronice sunt portaluri, adic situri de mari dimensiuni, care ofer servicii complexe asemntoare unor piee reale prezentarea produselor mai multor vnztori, posibilitatea de a organiza licitaii pentru cumprarea unui produs, mijloace variate de plat i de livrare. Piaa electronic este esenialmente un comerciant al unei bnci acceptatoare care accept pli prin cardurile majore sau prin alte mijloace de plat electronic. Pieele electronice permit ambele tipuri de eComer cu amnuntul (B2C), sau ntre companii (B2B) i pot fi publice, universale, accesibile oricrui cumprtor i vnztor, sau specializate (i oarecum nchise, existnd numai pentru cei din domeniu) cum e cazul ntre grupuri de companii aflate ntr-o relaie de achiziie-furnizare (supply chain, lanul de aprovizionare) pe tipuri de produse, i bazate pe sisteme i proceduri specializate, cu reele proprii de telecomunicaii sau sisteme proprii (bazate pe software specific) de eComer. a) Piee electronice specializate pentru comertul electronic ntre companii (B2B ) Un astfel de mare sistem specializat de eComer ntre companii este, de exemplu, Chem Connect (www.chemconnect.com) pentru produse chimice, plastic i combustibili. Lozinca companiei este conectm cumprtori i vnztori din ntreaga lume. Aceast pia cuprinde peste 9000 de companii membre din peste 150 de ri, iar vnzrile totale din 2002 au atins cifr a de afaceri de 9 miliarde de dolari. Compania se declar cea mai mare pia electronic global de eComer ntre companii i ofer i serviciul de licitaie prin Internet. Compania dispune de un Centru de telecomunicaii propriu (Central Connectivity Hub) prin intermediul cruia toi membrii se pot lega ntre ei, i pot schimba orice fel de informaii de pia, de licitaie, de plat i livrare, etc. n eComerul ntre companii plata efectiv se poate face i prin mijloacele tradiionale, ne electronice. n acest caz numai prima parte a actului de comer se desfoar prin Internet, n piaa electronic prezentarea produselor, licitaia, stabilirea condiiilor de plat, asigurare i livrare, etc. b) Piee electronice deschise pentru comeul electronic ntre companii (B2B) Crearea unei piee electronice universale, deschise, nespecializate pe un domeniu sau altul, este o problem mai dificil. Trei sisteme sunt deja cunoscute n aceast privin sistemul WWRE, sistemul Bolero i sistemul Tradecard. Toate urmresc s asigure toate facilitile necesare desfurrii unui comer pe Internet ntre companii, indiferent de ara de origine a companiei i de natura produselor vndute sau cumprate. Sistemul Bolero creat de compania american Bolero Internaional Ltd. (www.bolero.net), n partenariat cu celebra cooperativ bancar SWIFT (Society for Worldwide Interbank Financial Telecomunications), creaz o comunitate de participani internaional care pot schimba ntre ei, prin protocoale sigure, toate informaiile necesare actului de comer.

18

BIBLIOGRAFIE V.V Patriciu, Monica Ene-Pietroanu, Ion Bica, Clin Vduva, Nicolae Voicu Securitatea comerului electronic, Ed.All, Bucureti 2001 Implementing Electronic Card Payment Systems, Cristian Radu, Artech House, Computer Security Series, 2003, www.artechhouse.com. Set Secure Electronic Tranzactions, LLC, www.setco.org

19