Universitatea Valahia din Trgovite

Facultatea de tiine Economice

Specializarea ECTS III

Legislaia n domeniul comerul electronic

Profesor:Conf.Veronica tefan

Student: Petre Mariana Panselua

Specializare:E.C.T.S

Anul: III

Trgovite
2015

Cuprins

Introducere ..3
Capitolul I. Legislaia n domeniul comerului electronic...4
1. 1. Aspecte generale privind comerul electronic ...........................................................4
1. 2. Aspecte legislative care reglementeaza comertul electronic.................................5

Capitolul II.Aspecte juridice legate de comerul electronic....6

2.1. Reglementri n Uniunea European.......6
2.2. Legislaia naional.....7

Capitolul III.Etica n comerul electronic ...........10

Capitolul IV.Frauda pe internet........13
Capitolul V.Conceptul de securitate.........14
5.1. Politici de securitate15
5.2. Servicii si mecanisme de securitate..16
5.3. Securizarea sistemului....22
5.4. Clasificarea sistemelor de securitate...24
5.5. Principalele protocoale de securizare a tranzaciilor..25

Concluzii...29
Bibliografie...........30

Introducere
n economia actual informaia este unul dintre cele mai importante bunuri ale unei
organizaii, probabil inferioar doar resurselor umane. Fiecare aspect al societii, inclusiv
mediul de afaceri este influenat de faptul c trim ntr-o societate informaional n care aproape
totul este interconectat. Asta nu nseamn c fiecare aspect al vieii este online, ci mai degrab
c, indiferent dac cineva particip sau nu, el este afectat de acest aspect.
Din perspectiva afacerilor, informaia a devenit unul dintre cele mai de pre bunuri.
Astfel, securitatea informaiei are o importan deosebit pentru companiile care vor s
implementeze afaceri electronice. Principala problem referitoare la securitatea acestora este c
nsi natura informaiei mpreun cu mediul de creare, dezvoltare, stocare i transmisie calculatoarele, reelele de comunicaii i n mod special Internetul, care este prin concepie un
mediu deschis i nesecurizat - sunt foarte greu de controlat. n ziua de astzi este foarte uor s
creezi, s modifici i s transmii informaia.
Comerul electronic se refer la procesul de vnzare sau cumprare a unui produs
sau serviciu prin intermediul unei reele electronice. Cel mai popular mediu n care se realizaz
comer electronic este Internetul.
Comerul electronic acoper trei tipuri de tranzacii. n primul rnd, o tranzac ie se
poate realiza ntre o companie i un consumator. Cnd ne gndim la comer electronic, acest tip
de tranzacie este primul lucru care ne vine n minte.(...)A doua forma general de comer
electronic implica tranzacii intre doua companii.(...)n final, o form de comer electronic care a
devenit foarte popular n ultimii ani implic tranzacii ntre doi consumatori.
Practic, exist un numr aproape infinit de metode prin care o afacere electronic ar
putea fi atacat de hackeri, crackeri sau alte categorii de intrui. Intenia nu este de a produce o
list exaustiv, ci de a prezenta cele mai comune ameninri: hacking, cracking, spoofing,
sniffing, cai troieni, virui, viermi, denial of service etc.
inta final a atacurilor hackerilor o constituie comerul electronic.De ce? Din
cauza lrgimii orizontului dispozitivelor cu acces la Internet. n prezent, aproape totul este
fabricat cu conectare la Internet.() Desigur, orice dispozitiv conectat la web va trebui protejat
pentru c n caz contrar consumatorii i firmele vor avea reineri n a-l adopta. Companiile sunt
atrase de web pentru capacitatea acestuia de a rspndi informaii, de a vinde produse, de a
asigura servicii pentru client, de a permite ctigarea avantajului concurenial i de a fi n
legtur permanent cu clienii.
Comerul electronic este un domeniu relativ recent, dar cu un mare potenial de
cretere datorit avantajelor pe care le ofer att agenilor economici, ct i consumatorilor.
Concomitent cu extinderea acestui tip de faceri, apar anumite preocupri legate de reglementarea
domeniului, inclusiv n ceea ce privete respectarea regulilor de concuren. Exist i ncercri de
soluionare practic a chestiunii reglementarilor, aa cum sunt liniile directoare elaborate de
OECD nc din 1998. Beneficiile i potenialul de cretere al pieelor virtuale depind n mare
msur de modul n care sunt depite anumite limite i bariere specifice.

Capitolul I. Legislaia n domeniul comerului electronic

Apariia noilor metode de comunicare ce permit transmiterea informaiei n timp real i
cu o mare precizie a determinat folosirea acestora i n domeniul comercial.
Extinderea pieei - care a devenit una internaional - a fcut ca aceste mijloace moderne de
comunicare s fie incluse n sfera comerului, prin ele crescnd rapiditatea ncheierii raporturilor
juridice comerciale.
Astfel, ncheierea unor raporturi comerciale prin intermediul calculatorului sau prin alte
mijloace moderne de comunicare s-a impus, n ultimele decenii, i n ara noastr. Aceste
mijloace de comunicare sunt foarte diversificate: telexul i faxul - prin care se pot transmite la
distan i n scurt timp, cuvinte i imagini, i mijloace de stocare a informaiilor i actelor
efectuate de comerciani - benzi magnetice, microfilmele, compact discurile, care pot fi utilizate n
orice moment, ocupnd un spaiu redus1.
Majoritatea informaiilor ce pot avea un rol determinant n soluionarea litigiilor
comerciale nu mai sunt redactate pe suport de hrtie, ci sunt stocate n sisteme computerizate sau
n diferite forme accesibile computerului.
1. 1. Aspecte generale privind comerul electronic
n sens larg, comerul electronic reprezint un schimb electronic de informaii ntre o
afacere i clienii si. Acesta se poate realiza prin fax, telefon, voice-mail, e-mail, extranet sau
internet.
n sens restrns, comerul electronic este una din soluiile complexe pe care le ofer
tehnologia Internet. Aceasta nseamn c o multitudine de aplicaii i de furnizori de servicii
Internet trebuie s conlucreze ntr-o sincronizare perfect pentru ca un site de comer electronic s
poat funciona.
Noiunea de comer electronic, dei cunoscut anterior anului 2000, nu a fost legiferat n
Romnia pn la apariia Legii comerului electronic nr. 365/7 iunie 2002. Proiectul acestei legi
nr. 277/7 iunie 2000 a fost ntocmit n conformitate cu Directiva UNCITRAL privind comerul
electronic, adoptat de Organizaia Naiunilor Unite prin Rezoluia nr. 51/162 din 16 decembrie
1996 cu modificrile adoptate n anul 1998 i cu Directiva nr. 98/0191 din 13 mai 1998 a Uniunii
Europene privind semntura electronic.
Comerul electronic presupune utilizarea reelelor de calculatoare n scopul realizrii de
acte i fapte de comer. Principalele dou tipuri de operaiuni efectuate n comerul electronic
sunt business to business (ntre comerciani) i business to consumer (ntre comerciani i
consumatori). n primul caz este necesar, n primul rnd, legiferarea regimului documentelor
comerciale cu valoare contractual, n timp ce n al doilea caz trebuie legiferate, cu precdere,
elementele necesare funcionrii magazinului virtual. Industria comerului electronic mai
vorbete i despre tranzacia business to employee, care se refer la tranzaciile din interiorul
unei societi comerciale, destinate salariailor societii i efectuate prin sistemul intranet
propriu.
Pentru a nelege noiunea de fapt de comer trebuie pornit de la noiunea de act juridic,
fapt juridic, pentru a ajunge la cea de act juridic de comer, fapt de comer sau operaiune
comercial. Pe de alt parte, pentru a analiza cele dou tipuri principale de operaiuni efectuate n
comerul electronic, trebuie stabilite noiunile de comerciant (persoan fizic sau juridic),
necomerciant, consumator.
Comerul electronic se bazeaz pe semntura electronic, reglementat de Legea nr.
1 Stanciu D. Crpenaru, Drept comercial romn", Editura All Beck, Bucureti, 2000, pag.371372; Vasile Luha,

455/2001 i pe acceptarea unor standarde privind securitatea transmisiei i stocrii de date

(Legea nr. 365/2002).
1. 2. Aspecte legislative care reglementeaza comertul electronic
In consecinta, lista principalelor directive indentificate la nivel mondial se apropie mai mult de
abordarea Uniunii Europene decat cea a Statelor Unite, incluzand urmatoarele aspecte2:
Asigurarea confidentialitatii comunicatiilor mijlocite de Internet.
Asigurarea procesului invers, ca de exemplu posibilitatea autoritatilor ca in anumite
cazyri sa poate intercepta sau chiar bloca traficul Internet.
Securizarea comunicatiilor desfasurate pe Internet prin incriptare, certificate, semnaturi
digitale, smart card-uri sau alte metode.
Monitorizarea utilizarii informatiilor personale divulgate in timpul tranzactiilor
comerciale desfasurate pe Internet.
Controlarea tarifelor de acces la serviciile Internet, pentru prevenirea actiunilor anti-trust
sau de monopol.
Stabilirea regulilor care definesc validatatea contractelor si semnaturilor electronice.

Fiind pentru prina data cand tehnologia permite

crearea unei piete globale reale, legislatia trebuie
sa aiba un grad mare de compatibilitatea interstatala. In elaborarea legislatiei comertului
electronic, prima conditie este adoptarea legilor-cadru sau a unor directive constituite la nivelul
unor structuri multistatale. Legile-cadru contin elementele esentiale privind compatibilitatea si
ele trebuie adaptate in mod corespunzator in legislatia nationala. Al doilea element de care
trebuie tinut cont este neutralitatea tehnologica a legii.

2 Bucur.C.,Comertul electronic,Editura ASE, Bucuresti,2002;

Capitolul II. Aspecte juridice legate de comerul electronic

Unul dintre cele mai importante i dificile aspecte referitoare la sistemele de comer
electronic l reprezint existena unui cadru legal stabil n care s poat opera. Deoarece legislaia
privind schimbul este orientat n mod tradiional ctre documentaia n format hrtie,
translatarea acestor legi n mediul comerului electronic impune acelai efect legal pentru
documentele, mesajele i semnturile n format electronic.
De la Adam Smith ncoace, prin comer se nelege un schimb de bunuri n urma
cruia acestea capt o valoare. De la apariia primelor state, comerul a fost protejat, la nceput
cu bta, mai apoi cu legea. Am ajuns n punctul n care comerul se poate face utiliznd reele de
calculatoare i sisteme de comunicaii, dar cele dou trsturi eseniale au rmas aceleai. Adic,
n continuare, (e)Comerul nseamn schimb de bunuri i, n continuare, trebuie protejat cu fora
legii.

2.1. Reglementri n Uniunea European

Societatea informaional a evoluat considerabil n Uniunea European n ultimii ani,
ca urmare a eforturilor politice i financiare depuse att la nivelul Uniunii ct i a fiecrui Stat
Membru. Aproape o treime din familiile europene sunt acum conectate la Internet i circa dou
treimi dintre europeni dein telefoane mobile. Aproximativ jumtate din lucrtori utilizeaz
calculatoare la serviciu. Comerul electronic ntre companii crete i foreaz firmele s se
restructureze. Computerele din ce n ce mai puternice, terminalele mobile cu acces la Internet i
reelele de viteze mari sunt perspectivele cele mai apropiate care vor conduce la restructurarea
ntregii economii.
Procesul de instaurare a unei piee libere pentru serviciile societii informaiei, aa
numita eEurope, se regsete ntr-o serie de reglementri legislative, din a cror combinare
rezult un cadru regulamentar, deocamdat incomplet, dar destul de bine structurat i coerent n
raport cu dificultatea de a legifera un domeniu att de nou i de dinamic.

Avnd ncredere n flexibilitatea asigurat de directivele europene, instituiile

comunitare s-au hotrt s se ndrepte ctre o rglementare omogen a comerului electronic, n
mod diferit fa de atitudinea prevalent n Statele Unite, unde neintervenia legislatorului este
considerat element fundamental pentru o dezvoltare rapid i capital a fenomenului,
privilegiind n consecin recurgerea la autodisciplin, autoregularizare, pentru rezolvarea
problemelor cruciale, un exemplu n acest sens fiind protecia consumatorului online.
Lipsa unui cadru normativ specific pentru protecia consumatorilor, bazat pe
standarde nalte de siguran i pe definirea rspunderii furnizorilor, de altfel cel mai important
aspect fiind nesigurana remediilor la dispoziie n caz de litigiu, nu permite consumatorilor i
societilor din domeniu deplina exploatare a puterii comerciale a reelei.
n acest sens, au fost eliberate o serie de directive, dintre care menionm:
Directiva 1997/7 privind protecia consumatorilor n contractele la distan. (Normele
sale sunt foarte importante pentru segmentul B2C).
Directiva 1999/93/EC - a Parlamentului i Consiliului Uniunii Europene din 13
decembrie 1999 privind cadrul legal de utilizare a semnturii electronice.
Directiva 2000/31/EC - a Parlamentului i Consiliului Uniunii Europene din 8 iunie 2000
privind anumite aspecte legale ale serviciilor n societatea informaional, n particular ale
comerului electronic (indicat n mod curent ca directiva privind comerul electronic).

2.2. Legislaia naional

Comerul electronic a avut i are n continuare, o dezvoltare exponenial pe plan
mondial, fiind un adevrat vector economico-social. Romnia nu putea sta n expectativ n acest
domeniu, cu att mai mult cu ct exist deja, un mare decalaj ntre ea i majoritatea statelor
europene.
Datorit dimensiunii globale a Internetului i rapidei dezvoltri tehnice, era necesar
elaborarea unor reglementri clare care s in cont de noile tendine n materie de tehnologia
informaiei i comunicaiilor. n acelai sens, observm o explozie fr precedent a transmisiilor
de date, care necesit criptare sau autentificare, sistemele de plat non-cash, telefonia mobila 3G,
comerul electronic, direct sau indirect, impunnd rezolvarea unor noi abordri juridice.
n acest sens, n Romnia, au fost elaborate o serie de acte normative, dintre care
menionm 3:
Legea semnturii electronice 455/2001 stabilete regimul juridic al nscrisurilor n
format electronic i condiiile furnizrii de servicii de certificare a semnturilor electronice;
Legea comerului electronic 365/2002 ofer un cadru juridic strict privind furnizarea de
servicii de ctre societile informaionale, condiiile care trebuiesc ndeplinite pentru efectuarea
comunicrilor comerciale, ncheierea contractelor prin mijloace electronice, rspunderea
furnizorilor de servicii care acioneaz n calitate de intermediar, i nu n ultimul rnd, obligaia
de informare a autoritilor sau organelor cu atribuii de supraveghere i control, astfel nct piaa
romneasc n domeniu s se dezvolte armonios, fiind un adevrat vector pentru ntreaga
economie;
3 www.certsign.ro www.legi-internet.ro
www.dreptonline.ro
www.mcsi.ro
http://legi-internet.ro/blogs/
http://www.legi-internet.ro/

 Hotrrea Guvernului nr. 1308 din 11/20/2002 - privind aprobarea Normelor

metodologice pentru
aplicarea Legii 365/2002 privind comerul electronic (Clarificri asupra aspectelor legate de
comunicrile comerciale nesolicitate; Caracterul informaiilor i activitilor n domeniul
serviciilor societii informaionale);
Legea nr. 51/2003 - pentru aprobarea Ordonanei Guvernului nr. 130/2000 privind
regimul juridic al contractelor la distan;
Legea nr. 677/2001 - pentru protecia persoanelor cu privire la prelucrarea datelor cu
caracter personal i libera circulaie a acestor date;
Norme tehnice i metodologice din 13 decembrie 2001 pentru aplicarea Legii nr.
455/2001 privind semntura electronic;
Legea nr. 250/2003 - pentru aprobarea Ordonanei de urgen a Guvernului nr. 193/2002
privind introducerea sistemelor moderne de plat;
Regulament nr. 4/2002 al BNR privind tranzaciile efectuate prin intermediul
instrumentelor de plat electronic i relaiile dintre participanii la aceste tranzacii;
Legea nr. 506/2004 - privind prelucrarea datelor cu caracter personal i protecia vieii
private n sectorul comunicaiilor electronice;
Legea nr. 451/2004 privind marca temporal.
n consecin, se poate afirma c n domeniul comerului electronic Romnia a reuit,
s-i armonizeze legislaia cu cea comunitar.

Capitolul III. Etica n comerul electronic

Etica4, n domeniul economic, reprezint un sistem de norme de conduit care
permite aprecierea, din punct de vedere moral i social, a ceea ce este bine i ru n relaiile
dintre oameni, dintre indivizi i firm, dintre comerciani i clieni, dintre concureni, firme i
societate n scopul stabilirii unor raporturi folositoare pentru toti cei implicati. n acest context,
etica afacerilor este un domeniu de studiu aplicativ, sistematic cu privire la determinarea
principiilor morale, a codurilor de conduit i comportament ce reglementeaz relaiile dintre
partenerii de afaceri (vnztori i cumprtori).
Ideea de baz a specialitilor n business ethics, care abordeaz afacerile dintr-o
perspectiv lrgit, este aceea c toi membrii societii au diferite nevoi materiale, pe care
trebuie s le satisfac sistemul economic prin activiti de producie, prestri de servicii,
distribuie, repartiie etc. Privind relaiile economice la nivel macrosocial, se vede cu totul
altceva i anume faptul c, fr nevoile de consum ale populaiei, n-ar exista afaceri de nici un
fel. Faptul c o firm sau alta merge bine sau prost, n funcie de management i de conjuncturi,
este un lucru de neles. La nivel microeconomic, cadrul conceptual este destul de restrns, iar
argumentarea destul de stringent odat ce sunt acceptate premisele demersului: afacerea ca
ntreprindere privat n economia de pia, avnd drept unic scop maximizarea profitului prin
mijloace legale. Adoptnd o perspectiv mult mai larg, teoriile care definesc business-ul la scar
macrosocial au nevoie de un cadru conceptual mai vast i mai elaborat, n care s se poat
contura ntr-o argumentare nu att de strigent, o mare varietate de responsabiliti sociale
pe care business-ul trebuie s i le asume, nu motivate de interesul egoist al ntreprinztorilor, ci
n virtutea unor funcii i roluri sociale definite prin contractul social dintre ntreprinztori i
ansamblul societii. Pornind de la tranzaciile electronice i pn la dezvoltarea categoriilor de
e-business care acoper att e-commerce (comerul electronic vnzrile i cumprrile
online) ct i restructurarea proceselor de administrare fundamentate pe tehnologiile digitale,
deci e-business-ul nu se refer numai la tranzacii i la comunicaiile externe ci i la fluxurile de
informaii din interiorul firmelor (dintre departamente, subsidiare etc.), n timp ce comerul
electronic se ocup numai de tranzaciile cu bunuri i servicii.
Produsele i serviciile tranzacionate pe Internet tind s acopere aproape toate
necesitile umane cu acele bunuri care ofer profitabilitatea cea mai ridicat pentru productor
sau comerciant i sunt i cele mai avantajoase pentru consumator. Profitul ridicat n cazul
acestor categorii de produse i servicii este dat de lipsa, sau nivelul foarte redus al cheltuielilor
de transport/furnizare, depozitare, condiionare, service etc., ct i de uurina cu care pot fi
accesate de consumator. Locul unde consumatorul se ntlnete cu comerciantul n comerul
electronic este site-ul. Pentru site-urile din domeniul comercial trebuie avut n vedere, cel puin
teoretic (deocamdat), c utilizatorii trebuie s aib avantajul unei protecii consistente a
consumatorului, indiferent de locul de achiziie a produselor. n acest sens, se remarc
necesitatea unei coordonri internaionale privind formularea de reglementri n legtur cu
desfurarea comerului electronic.

4 Aspecte etice n Comerul Electronic (Ethical aspects in electronic commerce) ,Lect. univ. dr.
Liliana Nicodim, Universitatea Ovidius Constana.

n activitatea de pe Internet s-au remarcat o multitudine de probleme, ca de exemplu

nelivrarea produselor sau obstrucia n despgubirea clienilor, ceea ce impune apariia unei tere
pri care scontroleze desfurarea acestei activiti. Acest mecanism trebuie s acopere toate
organizaiile care desfoar activiti comerciale pe Internet, mecanism care trebuie s fie uor
accesibil, "prietenos", rapid i recunoscut de toate prile, inclusiv de guvernele naionale.
Coninutul site-ul este un element esenial i trebuie remarcat c exist o sumedenie de elemente
care trebuie avute n vedere pentru a putea desfura o activitate eficient dar i moral.
Informaiile obligatorii ce trebuie s se regseasc n site (mai ales n cele
comerciale) n tangen sunt:
a) Informaii despre furnizor - site-ul trebuie s ofere informaii detaliate despre
furnizor sau/i distribuitor precum i locaia geografic(originea) a acestora.
b) Informaii despre livrare - site-ul trebuie s ofere informaii clare pentru
consumator despre rile n care se efectueaz livrarea produselor nainte de a se procesa
comanda.
c) Informaii despre pre - preul este un element esenial i de aceea siteul trebuie s
afieze preul total (cu toate taxele incluse) nainte de a se efectua comanda. n pre trebuie
evideniate i taxele de livrare (transport).
d) Termenele i condiiile de livrare - sunt elemente care ofer informaii importante
despre renunarea la achiziie, plat, termenul de livrare precum i modalitile de rezolvare a
diferendelor dintre pri. Toate aceste elemente trebuie prezentate clientului clar, mai nainte de a
se completa comanda. Comercianii trebuie s includ n coninutul site-ului aceste elemente,
care vor evidenia clar termenele i condiiile mai nainte de a fi procesat comanda sau cel puin
un link ctre pagina unde exist acestea, care s precead confirmarea.Elementele din aceast
categorie trebuie s fie difereniate de alte informaii astfel, nct clienii s fie asigurai din
punctul de vedere al legalitii contractului.
e) Legea aplicabil - n general, consumatorii internaionali consider c legea care
guverneaz tranzacia ar trebui s fie aceea a rii consumatorului (aceea cu care acesta este
familiarizat). Acest aspect este controversat i se dezbate mult asupra lui. Unii dintre
comerciani stipuleaz n contract legea care este aplicabil, dar acest lucru nu este unanim
acceptat.
f) Confidenialitatea datelor - site-urile trebuie s aib o politic clar i uor de
neles relativ la confidenialitate. Aceasta trebuie s includ urmtoarele elemente:
Nu se vor cere, de ctre ofertant, dect informaiile absolut necesare i rezonabile pentru
desfurarea tranzaciei. Consumatorul trebuie scunoasc modul n care informaiile
sunt adunate, de ce i cum vor fi folosite acestea.
Consumatorul trebuie s aib dreptul de a refuza cererea de informaii ulterioare
(informaii cerute de ctre vnztor sau organizaii adiacente).
Trebuie s existe o persoan din cadrul organizaiei ofertante care s rspund de
protecia datelor, persoande care clienii trebuie s aib cunotin.
Clienii trebuie s aibposibilitatea de a modifica sau corecta informaiile despre ei.
Organizaia nu trebuie s furnizeze informaii despre clieni unei tere pri.
Aceste elemente importante privesc securitatea tranzaciei. Site-ul trebuie s
informeze asupra securitii tranzaciei. Informaiile trebuiesc prezentate ntr-o form clar i
uor de neles. Clientul trebuie asigurat c se gsete ntr-un mediu sigur. Clienii trebuie
informai despre drepturile lor i rspunderea pentru pagubele ce pot aprea dintr-o tranzacie
frauduloas.
Clienii trebuie s aib dreptul de a returna produsele ntr-o perioad de timp
specificat, fr a li se cere specificarea motivelor. Toate site-urile trebuie s aib o politic clar
n ceea ce privete returnarea produselor, care s fie evideniat nainte de comand. Informaiile
despre cum se returneaz bunurile trebuie afiate i trimise odat cu acestea la livrare. Site-ul
trebuie s mai conin informaii privind modul n care se pot face plngeri, care este procedura

i pe cine s contacteze precum i modalitatea de rspuns. Consumatorii trebuie s cunoasc

cile i modalitile de rezolvare a diferendului n cazul n care nu se ajunge la un acord ntre
pri. n ncercarea de a rezolva aceste probleme International Council of E Commerce
Consultants a elaborat un cod de etic care exprim consensul asupra aspectelor etice n comerul
electronic i are ca scop ncercarea de a educa att consumatorii ct i comercianii. Iat, n
continuare, elementele cheie care trebuie agreate de comerciani:
a) Pstrarea informaiilor confideniale (informaii care au fost dobndite din
tranzacii). Nu se vor colecta, publica sau transfera informaiile AE Comer electronic182
Amfiteatru Economic personale (n particular - liste cu clieni, sau informaiile personale ale
clienilor cum ar fi: numele, adresele de e-mail, telefoane) unei tere pri fr acordul clientului.
b) Se va proteja proprietatea intelectual.
c) Oferirea de ajutor, onestitate n activitatea desfurat.
d) Nu se va folosi software obinut ilegal sau neliceniat.
e) Desfurarea activitii doar n limitele legii.
Comerul electronic nu mai este nou, el are reguli specifice pe care participanii
trebuie s nvee s le respecte. Cele mai mari responsabiliti n asigurarea unui bun comer
electronic le au creatorii i proprietarii paginilor de web ce promoveaz acest tip de comer,
ntruct buna nelegere a mesajului i crearea unei atmosfere de ncredere depinde de acetia5.

5 Aspecte etice n Comerul Electronic (Ethical aspects in electronic commerce) ,Lect. univ. dr.
Liliana Nicodim, Universitatea Ovidius Constana.

Capitolul IV. Frauda pe internet

O problem major a pieelor virtuale este posibilitatea mai mare dect n cazul
pieelor tradiionale de manifestare a unor comportamente frauduloase sau neltoare, dat fiind
caracterul relativ anonim al participanilor. Ca urmare, alturi de comerciani oneti este foarte
posibil s opereze fali vnztori, care neal cumprtorii cu ajutorul unor site-uri atractive, a
reclamei agresive, a promisiunii oferirii de produse minune i a unor reduceri incredibile de
pre, pentru ca n final s nu ofere nici pe departe ceea ce promit sau s nu livreze nicio marf. n
plus, consumatorii se confrunt i cu posibilitatea de furt a identitii, prin metode din ce n ce
mai sofisticate (ex.: phishing). Seriozitatea problemei este indicat de creterea numrului de
reclamaiilor primite de la consumatorii nelai.
Astfel, n SUA sau primit peste 685000 plngeri n 2005, din care 63% au reprezentat
fraud i 37% furt de identitate;
nelciunea pe Internet este una din cauzele care pot mpiedica comerul electronic
s-i ating potenialul deplin i, n acelai timp, explic de ce tranzaciile B2C continu s
rmn n urma celor B2B n cele mai multe state.
Dezvoltarea comerului electronic depinde i de soluionarea problemei
mecanismelor de pre sigure, care s asigure protejarea datelor personale, sigurana efecturii
transferurilor de bani, costul n raport cu uurina efecturii operaiunilor etc.
Un studiu din 2002, efectuat sub egida OECD, nc punea n eviden ngrijorarea i
reinerea oamenilor de a-i lansa n spaiul virtual datele personale i ale instrumentelor de plat
(OECD, 2002). n prezent, mecanismele sunt mai sigure, nregistrndu-se o diversificare a gamei
instrumentelor de plat online: carduri de debit (mecanism dominant n tranzaciile online
internaionale), carduri de credit, e-banking, pli prin i din contul telefoanelor mobile, sisteme
de mediere (ex.: PayPal), bani electronici, micropli (pentru transferul sumelor foarte mici).
Ca urmare, se dezvolt n prezent o adevrat industrie a plilor online, unde,
alturi de actorii tradiionali bncile , ncep s opereze i noi venii, cum sunt societile de
telecomunicaii sau firmele specializate de servicii financiare online.

Capitolul V.Conceptul de securitate

Unul din principalele impedimente care au temperat rata de cretere a activitilor de
comer electronic este legat de securitate. Eliberarea potenialului de cretere a comerului
electronic, valorificarea avantajelor sale i contracararea barierelor menionate impun un demers
de reglementare din partea mediului de afaceri i/sau guverne. Direciile de aciune pot fi de
natur diferit 6:
social, de pild prin educarea consumatorilor;
tehnic, prin dezvoltarea unui instrumentar menit s asigure o protecie mai mare a
tranzaciilor i a participanilor (autentificare, filtre etc.) sau introducerea unor standarde de
operare;
legislativ, de exemplu, prin instaurarea obligaiei prezentrii pe site de informaii corecte
i complete, actualizate permanent, incluznd toate detaliile relevante despre produse sau servicii
i referitoare la pre i la eventualele costuri suplimentare.
Esena problemei const n faptul c n mod normal mesajele de pot electronic
sunt expediate necriptate. Cu alte cuvinte oricine le intercepteaz, poate citi coninutul fr
probleme. Din acest motiv i reinerea utilizatorilor n a-i trimite detaliile referitoare la propriul
card de credit prin e-mail.
Cum sunt protejate atunci numerele de identificare ale cardurilor i tranzaciile?
Tranzaciile dintre site-ul web al comerciantului i cumprator sunt criptate folosind tehnologia
SSL (Secure Socket Layer). Astfel se elimin posibilitatea ca un intrus s obin numrul
cardului, presupunnd c el intercepteaz datele astfel criptate. Aceast tehnologie prezint ns
i o deficient, i anume: SSL nu permite comerciantului s se asigure c persoana care folosete
cardul ntr-o tranzacie este chiar deintorul acestuia. Similar, SSL nu ofer nici o cale prin care
clientul s afle dac site-ul web al comerciantului este cu adevrat autorizat s accepte plata cu
carduri i c nu este doar un site pirat (fake) proiectat doar n scopul de a coleciona date despre
astfel de carduri.
Pentru a rezolva aceast problem, MasterCard i Visa promoveaz SET (Secure
Electronic Transaction), o tehnologie mai sigur dezvoltat prin conjugarea eforturilor mai
multor companii interesate. SET rezolv problema autentificrii prin asignarea unor certificate
digitale att clientului ct i comerciantului. Mai mult, SET ofer securitate sporit fa de cea
existent astzi pe piaa comercial tradiional. n loc s-i ofere comerciantului acces la numrul
cardului, SET l encodeaz de o manier care asigur faptul c doar consumatorul i instituiile
financiare au acces la el.
Fiecare dintre actorii implicai ntr-o tranzacie (comerciant, client sau instituie
financiar) folosete certificatul SET privat, care joac i rol de identificare. n practic, un ter
ofer serviciul de a furniza certificate digitale instituiilor financiare care emit carduri, iar
instituia financiar ofer certificate digitale clienilor si, deintori de credit carduri. Ct
privete comerciantul, procesul este similar: n momentul efecturii unei cumprturi on-line,
nainte de a se face vreun schimb de date, softul care integreaz tehnologia SET valideaz
6 Comer electronic i e-business n Romnia State Olimpia; Costache Ion, Amfiteatrul
Economic, nr.21, 2007, pag. 149-151

identitatea comerciantului i a deintorului cardului; procesul de validare const n verificarea

certificatelor digitale emise de furnizorii de servicii autorizai (teri).

5.1. Politici de securitate

Securitatea informaiei i a sistemului poate fi neleas ca abilitatea sistemului
informatic de a rezista, cu un anumit nivel de siguran, evenimentelor accidentale sau aciunilor
maliioase care compromit disponibilitatea, autenticitatea, integritatea i confidenialitatea
datelor stocate sau transmise i a serviciilor oferite sau accesibile prin aceste reele i sisteme
informatice.
Aadar
securitatea
implic
urmtoarele
caracteristici 7:
autenticitatea,
confidenialitatea, integritatea, disponibilitatea, controlul accesului, administrarea cheilor,
nerepudierea, managementul securitii.
Autenticitatea reprezint confirmarea identitii pretinse a unor entiti sau utilizatori.
Procesul de autentificarea trebuie s includ i posibilitatea anonimatului utilizatorului, pentru
anumite cazuri de servicii de tranzacii electronice. Autentificarea poate avea loc pentru prile n
comunicaie i/sau pentru sursa de date.
Astfel, se pot distinge dou categorii distincte de
autentificri:
autentificarea entitilor pereche: o entitate dintr-o pereche este cea pretins;
autentificarea originii datelor: sursa datelor recepionate este cea pretins;
Confidenialitatea este protecia comunicaiilor sau a datelor stocate mpotriva
interceptrii i citirii de ctre persoane neautorizate (informaia nu este disponibil sau dezvluit
persoanelor, entitilor sau proceselor neautorizate). Aceast caracteristic este strict legat de
asigurarea intimitii i de protecia vieii private.
Integritatea reprezint confirmarea faptului c datele care au fost trimise,
recepionate sau stocate sunt complete i nemodificate. Aceast caracteristic, n asociere cu
autentificarea, este foarte important n derularea tranzaciilor pe Internet.
Disponibilitatea este definit prin aceea c datele sunt accesibile i serviciile sunt
operaionale, n ciuda unor evenimente perturbatoare (de exemplu, ntreruperea alimentrii cu
energie, dezastre naturale, accidente sau atacuri). Disponibilitatea este o caracteristic vital mai
ales ntr-un context n care deranjamente i ntreruperi ale reelei de comunicaii pot duce la
perturbarea altor reele critice (cum ar fi, transportul aerian sau alimentarea cu energie).
Controlul accesului este caracteristica determinant n prevenirea folosirii
neautorizate a unei resurse, inclusiv folosirea resursei ntr-un mod neautorizat.
Administrarea cheilor este caracteristica prin care cheile de criptare se genereaz, se
stocheaz, se distribuie, se terg, se arhiveaz i se aplic n conformitate cu o politic de
securitate dat.
Nerepudierea se refer la asumarea responsabilitii unor mesaje sau comenzi, la
autenticitatea lor. Aceast caracteristic este important n cazul contractelor ntre firme prin
intermediul mesajelor electronice, n sensul n care un contract / comand nu trebuie s fie
repudiat ulterior de una din pri (n sensul n care este eliminat aceast posibilitate).
Managementul securitii este caracteristica folosit pentru aplicarea politicilor de
securitate n cadrul unei reele de comunicaii sau a unui sistem informatic.
Asigurarea securitii datelor la nivelul unei organizaii se face prin elaborarea i
aplicarea unei politici de securitate, implementate prin anumite mecanisme de securitate.

7 Modulul 8, Comer Electronic, Universitatea 1 Decembrie 1918 Alba Iulia, pag. 44-45.

O politic de securitate reprezint o formulare raional a ceea ce este i a ceea ce nu

este permis ntr-o organizaie. Politicile sunt directive administrative care stabilesc scopuri i
responsabiliti i de asemenea fundamenteaz modul de interpretare i rezolvare a conflictelor
ce pot apare. O politic de securitate trebuie s ndeplineasc urmtoarele condiii8:
S fie realizabil;
S fie concis i uor de neles;
S realizeze un echilibru ntre securitate i productivitate.
O astfel de politic trebuie s explice de ce e necesar, ce domenii acoper, s explice
consecinele i s defineasc cine s fie contactat i cine e responsabil.
Se pot defini mai multe tipuri de politici: politici pentru utilizatori, politici de
securitate fizic, politici pentru servere, politici de reea, etc.
Odat elaborat o politic de securitate, trebuie definite mecanismele de securitate. Un
mecanism de securitate este o metod, un instrument, o procedur de realizare a unei politici de
securitate. Acesta este definit ca o logic sau un algoritm ce implementeaz o funcie particular
de securitate ntr-un echipament fizic sau ntr-un program. n general, exist mai multe variante
de implementare a unui mecanism de securitate dat (de exemplu, cifrarea pe bloc i cifrarea
fluxurilor, pentru criptare).

5.2. Servicii i mecanisme de securitate

Servicii de securitate
Dup stabilirea politicii de securitate se selecteaz serviciile de securitate. Acestea
sunt funcii individuale care contribuie la creterea securitii sistemului. Fiecare serviciu de
securitate poate fi implementat prin diferite metode, numite mecanisme de securitate (tehnici de
securitate).
n documentele ISO, sunt specificate urmtoarele tipuri de servicii de securitate care
pot aprea ntr-un sistem distribuit:
1. servicii de securitate ale entitatilor
servicii de securitate pentru o singur entitate
identificarea sigur a unei entiti - are loc atunci cnd entitatea dorete s
"semneze" ntr-o reea;
autentificarea entitii - numit i verificarea identitii entitii, const n
stabilirea dac entitatea legal este cea care pretinde c este;
autorizarea entitii - stabilirea scopului activitilor i resursele necesare.
servicii de securitate ale unui grup de entiti
autentificarea mutual - se verific canalul de comunicaie (asocierea),
dup identificarea entitilor;
semntura digital - receptorul de date trebuie s fie sigur de originea
datelor, adic de identitatea i autenticitatea emitorului;
sigiliu digital - receptorul trebuie s fie sigur de coninutul original al
datelor;
pota certificat - emitorul va primi cte un mesaj de confirmare pentru
8 Securitatea n Internet. Traducere de Silviu Petrescu. Editura Teora.

fiecare mesaj trimis (semntura i sigiliu digital cu confirmare); el trebuie s

fie sigur c datele au fost livrate la receptor;
nerepudierea - emitorul trebuie s fie sigur asupra recepionrii datelor
cu coninutul original, deci el nu poate nega emisia unui mesaj sau coninutul
su original, iar receptorul nu poate nega recepia unui mesaj sau coninutul
su original.
pota electronic sigur - emitorul trimite un mesaj autentificat ctre
receptor, acesta nefiind activ n momentul livrrii mesajului.
teleconferina sigur - un grup de utilizatori folosesc n comun aceeai
cheie secret, la acelai moment de timp, pentru comunicaii mutuale.
cooperarea entitilor mutual suspicioase - se refer la cazul entitilor care se
suspiciaz reciproc;
semnare de contract - necesit ntotdeauna o informaie secret
echivalent, de reciprocitate.
aruncarea monedei - permite ca dou entiti s "arunce" o moned n
reea, rezultatul fiind aleatoriu i imposibil de influenat cele dou pri;
schema prag(k,n) - const ntr-un grup nchis de n utilizatori, care pot
stabili comunicaii mutuale, dac cel puin k dintre ei sunt activi n acelai
timp;

2. servicii de securitate ale comunicaiilor

servicii de securitate mpotriva atacurilor pasive - intrusul doar observ mesajele
care trec, protocolul, informaia aferent protocolului n mesaje etc., adic analiza
traficului, violarea securitii transmisiei;
confidenialitatea mesajelor
prevenirea analizei traficului
pseudonime digitale - utilizatorul folosete identiti diferite pentru fiecare
asociaie pe care o face, ascunznd adevrata identitate, att pentru intrui, ct
i pentru partenerii cu care comunic;

servicii de securitate mpotriva atacurilor active - const n operaii ilegale asupra

mesajelor interceptate, cum ar fi modificarea, tergerea, ntrzierea, duplicarea, inserarea
de mesaje false, reordonarea; atacurile sunt de trei tipuri: modificarea secvenei
mesajelor, refuzul de servicii, declanarea iniierii unei asociaii;
integritatea secvenei de mesaje - const n totalitatea serviciilor destinate
eliminrii atacurilor asupra autenticitii, integritii i ordinii;
continuitatea comunicaiei - asigur faptul c mesajele nu pot disprea de
pe o asociaie sau c asociaia nu poate fi ntrerupt n mod ilegal;
autentificarea asocierilor - verific integritatea asociaiei i elimin atacul
cu o identitate fals.

Mecanisme (tehnici) de securitate. Elemente de criptografie

Pentru implementarea serviciilor de securitate se identific urmtoarele mecanisme
de securitate 9 :
9 www.securitatea-informatica.ro

 cifrarea furnizeaz confidenialitate asupra datelor i asupra transmisiei datelor;

algoritmii de cifrare trebuie s fie reversibili i pot fi simetrici i asimetrici;
semntura digital const n dou etape:
1. semnarea datelor implic: cifrarea datelor i producerea unei valori rezumat, ca
urmare a aciunii unei funcii de dispersie; semnarea acestei informaii folosind cheia
secret a semnatarului.
2. verificarea semnturii se realizeaz cu cheia public a emitentului, i determin
dac semntura este autentic i a fost aplicat datelor originale.
controlul accesului folosete identitatea entitii pentru a stabilii drepturile de acces.
integrigatea datelor se refer la:
integritatea traficului (a irului de date) se folosesc numere de secven,
nlnuire criptografic sau marcarea timpului;
integritatea unei singure uniti de date: la emisie se adaug o sum de control
criptografic BCC(Block Check Code) , iar la recepie se genereaz valoarea
corespunztoare mesajului recepionat i se compar cu cea primit.
autentificarea schimbului este necesar implementrii serviciului de autentificare
mutual; mecanismul const n utilizarea unor informaii de autentificare, parole, furnizate de
emitor i verificate la recepie, a unor protocoale criptografice sau entiti hardware.
protecia traficului are ca scop analiza traficului; informaia de protecie a traficului
este protejat printr-un serviciu de confidenialitate.
notarizarea fiecare entitate utilizeaz mecanisme de cifrare, integritate, semnturi
digitale, iar eventualele conflicte ce pot aprea ntre ele sunt rezolvate de o a treia parte numit
notar.

Semntura digital
Cum se genereaz semntura electronic?
1.
2.
3.
4.

Asupra documentului se aplic un algoritm i se obine amprenta documentului;

Amprenta documentului este o niruire de bii;
Amprenta documentului intr n dispozitivul securizat;
Printr-un alt algoritm se aplic cheia privat peste amprenta documentului, rezultnd
semntura electronic.
5. Cheia privat rmne n memoria eTokenului, nu prsete niciodat dispozitivul,
aadar poate s fie utilizat doar de posesorul dispozitivului.
Document electronic

Amprenta documentului

Semntura electronic

Cheie
privat

Funcie de
dispersie

= SE

C
Utilizarea unui
dispozitiv de
creare a semnturii

Cum verific destinatarul semntura electronic?

Documentul pe care l-ai semnat electronic va pleca via Internet spre destinatar, care are
posibilitatea s verifice dac, ntr-adevr, ai semnat acel document
Mecanismul de verificare a semnturii electronice se bazeaz pe utilizarea cheii publice,
a unui algoritm de calcul i a semnturii electronice primite.

Verificarea semnturii digitale

Amprent
cifrat

(= SE)
Figura 1. Document semnat electronic
Amprent
cifrat
Cheie public a
semnatarului

Utilizarea unui
dispozitiv de
verificare a
semnturii

Amprent
C2

Funcie de
dispersie

Conden
sat C1

Amprent
C1

Ce trebuie s facem pentru a ne semna electronic?

Amprent
C2

Pasul I
Persoana interesat s semneze electronic documente trebuie s se prezinte cu cartea de
identitate sau buletinul la un furnizor de servicii de certificare n domeniul semnturii
electronice. Furnizorul de servicii de certificare joac rolul unui martor virtual care confirm
identitatea unei persoane.
Pasul II
n urma plii unei sume stabilite de furnizor vei intra n posesia un dispozitiv securizat,
necesar pentru a v putea semna electronic, ca, spre exemplu, eToken sau smart card. Pentru a
accesa aceste dispozitive tastai un cod PIN, pe care putei s l schimbai i care e cunoscut doar
de dvs.
Principiul a avea + a ti = a utiliza se traduce astfel:
am dispozitiv securizat + tiu PIN = utilizez dispozitivul n vederea crerii semnturii
electronice.
Pasul III
Conectai dispozitivul securizat fie la calculatorul furnizorului de servicii de certificare,
fie la calculatorul dvs. sau la orice alt calculator. Accesai site-ul furnizorului i completai
formularul pentru obinerea certificatului digital. Vei primi prin e-mail un cod de identificare
care va permite eliberarea acestuia.
Pasul IV
De asemenea, vei primi un certificat digital care atest dreptul dvs de a va semna
electronic i care conine:

cheia dumneavoastr public

datele dvs personale

Certificatul digital emis este semnat electronic de ctre furnizorul de servicii de
certificare, cu cheia lui privat. Certificatul digital leag persoana de cheia public. Certificatul
dvs. digital va fi disponibil pentru accesare pe site-ul furnizorului pentru care ai optat. Durata
valabilitii unui certificat este de maximum 1 an de la data comunicrii ctre client.
Certificatul digital reprezint o colecie de date n form electronic ce atest legtura
dintre datele de verificare a semnturii electronice i o persoan, confirmnd identitatea acelei
persoane.
Furnizor de servicii de certificare poate fi orice persoan, romn sau strin, care
elibereaz certificate sau care presteaz alte servicii legate de semntura electronic.
Ce se poate semna?

documente WORD

documente PDF

mailuri etc.
Furnizorii de servicii de certificare au obligaia s v informeze asupra modului de
utilizare a certificatului digital.
Msurile speciale de securitate n cazul comerului electronic prin Internet, n care plile
se fac cu carduri, sunt concentrate, n principal, n dou direcii asigurarea securitii
telecomunicaiilor, i asigurarea securitii tranzaciilor prin procedee mai puternice de
autentificare, n principal a deintorului de card. Prima direcie ncearc s rezolve problema
riscurilor generate de caracterul public al transmisiunilor prin reeaua Internetului, iar a doua pe

aceea a riscurilor generate de o situaie n care cardul-nu-este-prezent (similar cu cazul

comenzilor date prin telefon sau pot). 10
Alte msuri de securitate sunt luate la nivelul legislaiei i al reglementrilor bancare
i ale sistemelor de carduri, iar altele urmresc comportamentul cumprtorilor i depistarea unui
profil al cumprtorului sau comerciantului, potenial fraudulos cruia, mai apoi, i se vor
interzice tranzaciile. Unii emiteni pot utiliza chiar reele neuronale, care pot identifica un fel
anume, susceptibil de a fi fraudulos, de a face cumprturi : de exemplu, efectuarea unui numr
mare de cumprturi ntr-un interval scurt de timp (cteva ore) de pe multe situri de comerciant,
caz n care cumprtorul va fi contactat imediat pentru verificare.
Comerul electronic este vulnerabil la anumite ameninri de reea care se pot
concretiza n aciuni frauduloase, dispute contractuale, dezvluiri sau modificri ale
informaiilor. De aceea, orice organizaie trebuie s-si ia msuri pentru protejarea informa iilor
implicate n aceste activiti mpotriva ameninrilor specifice.
Msurile de securitate referitoare la comerul electronic trebuie s in seam de:
Nivelul de ncredere solicitat de parteneri n privina pretinsei identiti a celuilalt, de
exemplu prin autentificare;
Procese de autorizare pentru cine stabilete preurile, emite sau semneaz documentele
comerciale cheie;
Stabilirea i ndeplinirea cerinelor de confidenialitate, integritate, a celor legate de
dovada expedierii i primirii documentelor cheie, precum i de nerespingerea contractelor;
Confidenialitatea i integritatea tranzaciilor pe baz de comand, a informaiilor privind
plile, a detaliilor privind adresele de livrare i a confirmrilor de primire;
Nivelul de control adecvat pentru verificarea informaiilor de plat furnizate de client;
Eviatarea pierderii informaiilol privind tranzacia sau a copierii acestora;
Rspunderea legal pentru tranzaciile frauduloase. 11

Elemente de criptografie
Moduri de criptare a informaiilor

Criptografia este tiina scrierilor secrete. Un cifru se definete ca transformarea unui mesajclar sau text clar n mesaj-cifrat ori criptogram. Procesul de transformare a textului clar n text
cifrat se numete cifrare sau criptare, iar transformarea invers, a criptogramei n text clar, se
numete descifrare sau decriptare. Att cifrarea ct si descifrarea sunt controlate de ctre una
sau mai multe chei criptografice. Criptanaliza studiaz metodele de spargere a cifrurilor, de
obicei pentru determinarea cheii de cifrare din criptogram i text clar echivalent.
Cerinele criptografiei
Asigurarea confidenialitii
Datele nu pot fi citite dect de persoanele care trebuie s le cunoasc
Asigurarea integritii
Datele nu au fost modificate
Asigurarea autenticitii
Datele provin cu siguran dintr-o anumit surs
Asigurarea non-repudierii
Semntur electronic avansat
10 Pli Electronice,dr.ing. Dan Vasilache , 2004, pag. 22.
11 Auditul i Securitatea Sistemelor Informatice, Conf. Univ. Dr. Floarea BAICU, Drg. Ing.
Andrei-Mihai BAICU. Editura Victor, Bucureti, 2006.

Noi nevoi legate de dezvoltarea Internetului i a reelelor de telecomunicaii:

Verificri fr divulgare
Partajarea secretelor ...

Cryptographie symtrique
Adversaire

Chiffrement

Dchiffrement
message
chiffr C

message
clair M

Cl K

message
clair M

Chemin de confiance

Cl K

Figura 2. Ilustrare a criptografiei cu cheie simetric

Cryptosystme asymtrique
Adversaire

Chiffrement

Dchiffrement
message
chiffr C

message
clair M

message
clair M

Cl secrte Kpriv
Cl publique Kpub
Gnrateur de cls
asymtriques

Figura 3. Ilustrare a criptografiei cu cheie asimetric

5.3. Securizarea sistemului

Zone de vulnerabilitate i msuri protective
Ameninrile la adresa securitii datelor sunt amplificate de lucrul n reea. n
momentul de fa toate calculatoarele din organizaii lucreaz practic n reea, aa nct
consideraiile ce urmeaz au n vedere acest mod de lucru. Vom studia zonele de vulnerabilitate

n cazul unui sistem informatic conectat la Internet, mai nti folosind o reprezentare simplificat
ca n Figura 5.3.1, apoi vom detalia mai mult diferitele arii care trebuiesc protejate. Se va vedea
mai departe c o modalitate uzual de abordare a securitii este abordarea pe straturi, cu msuri
adecvate fiecrui nivel.

Figura 5.3.1. Reprezentare schematic a elementelor de vulnerabilitate ale unui sistem informatic.

Fiecare element al acestei figuri reprezint o vulnerabilitate care poate fi exploatat

de un atac i de aceea trebuie luate msuri de protecie.
Astfel, ntre client i furnizorul de servicii Internet (ISP) se pot lua urmtoarele
msuri de protecie: criptarea informaiilor, izolarea conexiunilor, detecia conexiunilor intrus,
autentificarea continu, securizarea fizic a site-ului.
n Internet protecia poate fi realizat prin folosirea reelelor private virtuale (VPNVirtual Private Network), detecia intruziunilor, criptare, multi rutare, folosirea prin microunde
sau laser n locul conexiunilor prin fir etc.
La firewall: permiterea numai a protocolului TCP/IP, filtrarea porturilor disponibile
(80, 20/21, 25), filtrarea adreselor IP, filtrarea coninutului pachetelor, criptarea i autentificarea,
urmrirea rutrii etc.
n reeaua de calculatoare se pot lua urmtoarele msuri: izolarea conexiunilor
externe de conexiunea principal, refuzul, la nivel de gateway a trecerii pachetelor n pachete
(tunelare), alegerea unor parole greu de ghicit, criptarea i autentificarea, logarea etc.
La nivelul sistemului de operare msurile utile sunt urmtoarele: un numr minim de
servicii/protocoale, schimbarea periodic a parolelor, actualizarea patch-urilor, izolarea fizic a
echipamentelor etc.
La nivelul aplicaiei: trebuie introduse restricii funcionale prin crearea grupurilor i
utilizatorilor, trebuie evitate privilegiile all in one, trebuie folosit criptarea i autentificarea,
trebuie asigurat securitatea bazei de date etc.
O alt ilustrare a pericolelor i metodelor de prevenire este prezentat n Figura 5.3.2.

Figura 5.3.2. O imagine a ameninrilor posibile la adresa unui sistem informatic.

Sursa: http://www.sv-issa.org/vormetric.ppt

Abordarea prezentat se ncadreaz n asigurarea proteciei pe nivele logice,

pornindu-se de la ideea c nu o singur bre poate compromite securitatea sistemului (Figura
5.3.3).

Figura 5.3.3. Abordarea securitii pe nivele.

Refacerea (recuperarea)
n ceea ce privete recuperarea n urma incidentelor aceasta implic mai multe
direcii:
La nivel fizic: echipamente, conectivitate, alimentare cu energie

 La nivel operaional: restaurarea SO, a driverelor, a patch-urilor

La nivelul datelor (coninutul informational.
n vederea unei ct mai bune recuperri dup incidente sunt utile urmtoarele
aciuni :
Salvri periodice (backup). Trebuie s existe capacitatea de a restaura funcionalitatea
100%, lucru care implic i compatibilitatea hardware.
Dup fiecare actualizare a patch-urilor trebuie create copii dup acestea.
Indiferent de dimensiunea datelor, o copie complet trebuie fcut periodic.
Suporturile de informaii (mediile de nregistrare) trebuie nlocuite la 1/2, 3/4 din timpul
de via recomandat de productor
Dispozitivele periferice pentru suporturile de informaie (uniti de dischet, uniti de
CD etc.) trebuie curate cu frecvena cerut de productor.
Mediile de stocare trebuie protejate de factori de ambian perturbatori (umiditate, praf,
temperaturi extreme).
Datele critice trebuie salvate i pe medii nemagnetice.

5.4. Clasificarea sistemelor de securitate

Centrul Naional al securitii calculatoarelor, NCSC (National Computer Security
Center) al Ageniei de Securitate Naional, NSA, U.S.A., a publicat o serie de documente, care
definesc criteriul pentru clasificarea sistemelor de ncredere.
Aceste criterii reprezint cadrul de lucru pentru dezvoltarea sistemelor de securitate.
Bine cunoscuta "Orange Book" definete apte clase de "trusted systems":
clasa "D" - protecie minim - acele sisteme care au fost evaluate, dar au renunat s
introduc echipamente pentru un nivel de securitate mai nalt;
clasa "C1" - protecie discreionar - acele sisteme care introduc control exact de ct au
nevoie i susin separarea utilizatorilor de date;
clasa "C2" - protecia controlului accesului - sisteme care au implementat pentru
controlul accesului clasa C1, i contabilizeaza aciunile utilizatorilor prin proceduri de
login;
clasa "B1" - protecie etichetat de securitate - sisteme care implementeaza un model de
politic de securitate formal, i faciliteaz etichetarea datelor i prescrierea controlului
accesului peste numirea subiectelor i obiectelor;
clasa "B2" - protecie structurat - sisteme care includ toate caracteristicile gsite n B1
i care asteap ca toate subiectele i obiectele s fie sisteme relative ADP;
clasa "B3" - domenii de securitate - sisteme care satisfac cerinele de monitorizare i
includ instrumente administrative de securitate, mecanisme, abilitatea de a semnala
evenimente curente relevante;
clasa "A1" - proiectarea verificrii - sistem similar cu B3, dar cu trsturi arhitecturale
adiionale i cerine asociate, cu specificaii de proiectare formale i verificarea tehnicilor.
n ceea ce privete implementarea securitii n reele locale, IBM i Microsoft
utilizeaz protejarea parolelor cu DES (Data Encryption Standard), n timp ce Novell i Banyan
folosesc concepte proprii.
Toate cele patru mari firme furnizeaz un management de securitate global.
Microsoft i Novell utilizeaz clasa C2 de securitate pentru implementrile lor client/server.

5.5. Principalele protocoale de securizare a tranzaciilor

Pentru furnizarea unor servicii care s asigure cerinele de securitate prezentate au
fost propuse mai multe protocoale criptografice. Dac majoritatea acestor protocoale sunt
similare n ceea ce privete serviciile oferite i algoritmii criptografici folosii, ele difer prin
maniera de furnizare a serviciilor i prin situarea lor n raport cu ierarhia de protocoale TCP/IP. O
serie de iniiative ncearc implementarea securitii la nivelul IP; altele peste TCP, la nivel
sesiune; altele ncearc extinderea unor protocoale la nivel aplicaie (FTP, HTTP, Telnet, e-mail)
cu faciliti suplimentare de securitate.
De asemenea, o serie de iniiative propun soluii de securizare a coninutului unor
documente, independent i mai presus de protocoalele existente la nivel de aplicaie, prin
intermediul unor utilitare separate.

Figura 5.5.1. Protocoale de securizare a tranzaciilor

Solutii de integrare a serviciilor de securitate n ierarhia de protocoale
Adepii soluiilor de implementare a securitii la nivel cobort n ierarhia de
protocoale vin cu argumentul c aceste soluii sunt transparente pentru utilizatorii finali i pentru
dezvoltatorii de aplicaii. Pe de alt parte, susintorii celeilalte abordari, a integrrii securitii la
nivelurile superioare, argumenteaz c n acest fel se pot implementa servicii specifice fiecrui
tip de aplicaie (protejarea selectiv a unor cmpuri din mesajele protocolului, metode
individuale, ca n HTTP etc.). Relaia dintre numeroasele iniiative de securitate i ierarhia de
protocoale este indicat n figura de mai sus.
Soluii de securitate la nivel reea
ncepnd cu anul 1993 s-au fcut eforturi pentru dezvoltarea unei arhitecturi de
securitate la nivel IP, care s furnizeze protecia criptografic a traficului n reea. Internetul
poate fi definit ca o reea de reele, care utilizeaz suita de protocoale TCP/IP. Din 1982, cel
mai folosit protocol Internet a fost IPv4. n momentul de fa se lucreaz la noua generaie de
protocoale IP, numite i IPv6 sau IPng (Internet Protocol New Generation). Principiul de
lucru al acestei familii de protocoale este simplu: datele sunt trimise sub forma unor blocuri
de caractere, numite datagrame sau pachete. Fiecare pachet este prefaat de un mic ansamblu
de octei, numit header (antet), urmat de datele propriu-zise, ce formeaz coninutul
pachetului. Dup sosirea la destinaie, datele transmise sub form de pachete distincte sunt
reasamblate n uniti logice de tip fiier, mesaj etc. Internetul comut pachetele pe diferite

rute de la surs la destinaie, astfel numindu-se reea cu comutare de pachete. Dezvoltrile

privind securitatea IP, n special n cazul noului IPv6, includ dou mecanisme care furnizeaz
aceste servicii:
Antetul de autentificare (Authentication Header-AH), care realizeaz autentificarea i
controlul integritii pachetelor, folosind algoritmul de hash MD5.
ncapsularea criptografic (Encapsulated Security Payload-ESP, care realizeaz
asigurarea confidenialitii pachetelor, folosind algoritmul DES.
Soluii de securitate la nivel sesiune
Evident, cel mai folosit protocol la acest nivel este SSL (Secure Sockets Layer),
introdus de Netscape n anul 1994. n 1995, Microsoft a introdus i un protocol numit PCT
(Private Communication Technology), n multe privine similar cu SSL i complet interoperabil
cu acesta.
SSL ofer servicii de securitate chiar deasupra nivelului TCP, folosind o combinaie de
criptosisteme cu chei publice i simetrice, care asigur implementarea confidenialitii,
integritii datelor i a autentificrii serverului i /sau a clientului. Autentificarea clientului
presupune ca fiecare dintre acetia s posede o pereche de chei criptografice: una public i alta
secret. Deoarece suportul pentru SSL este la ora actual integrat n Netscape Navigator i
n Microsoft Internet Explorer, cele mai folosite navigatoare (browser-e) n Internet, cerinele de
autentificare a clienilor implic necesitatea distribuirii certificatelor de chei publice ale tuturor
utilizatorilor de astfel de navigatoare de pe Internet. Deoarece numrul serverelor pe Internet este
mult mai mic dect cel al clienilor, este mult mai practic s se echipeze serverele cu
mecanismele criptografice cu chei publice pentru gestiunea semnturilor digitale i distribuia
cheilor. Se observ n ultimul timp o cretere a folosirii autentificrii clienilor n versiunile
Netscape, dar i n cadrul altor implementri SSL, ale altor furnizori de servere i browser-e
Web.
SSL folosete sisteme bazate pe chei publice pentru a schimba cheia de sesiune. O
dat obinut o cheie de sesiune, se poate folosi o varietate de algoritmi cu cheia
secret. Securitatea conexiunii realizat de SSL are urmtoarele proprieti:
conexiunea este privat: cifrarea este prefaat de protocolul de iniiere (hand-shake),
care are rolul de a stabili o cheie simetric de sesiune;
autentificarea folosete sisteme criptografice asimetrice;
conexiunea este sigur: transportul mesajelor include verificarea integritii, folosind
funcii de semntur digital cu chei publice (RSA, DSA) i funcii de rezumare-hash (MD5,
SHA).
SSL furnizeaz urmtoarele servicii: autentificare server, cifrarea datelor i
integritatea mesajelor. Protocolul SSL este construit pe niveluri: nivel articol, nivel de schimb al
specificaiilor criptografice, nivel de iniiere (handshake) etc.

Figura 5.5.2. Transmiterea datelor n ambele sensuri

Organismul de coordonare tehnic a Internetului, IETF (Internet Engineering Task

Force), a propus modificarea unor protocoale la nivel sesiune, pentru a se permite distribuia de
chei criptografice ce vor fi utilizate n aplicaiile TCP/IP. Acest lucru d posibilitatea stabilirii
unor asociaii sigure ntre dou sisteme sau doi utilizatori. Desi mai sunt nc pai de fcut
pentru a se crea un standard n acest context, se profileaz deja cteva soluii interesante12:
Protocolul SKIP (Simple Key Exchange for Internet Protocols) utilizeaz certificatele de
chei publice pentru schimbul unor chei criptografice simetrice, de lung folosin, ntre dou
pri comunicante. Aceste certificate sunt obinute prin utilizarea unui protocol separat, executat
deasupra protocolului UDP (User Data Protocol).
Protocolul Photuris. Principalul dezavantaj al protocolului SKIP const n faptul c, dac
o persoana (proces) obine o cheie SKIP pe termen lung, aceasta poate decripta toate mesajele
generate anterior cu aceast cheie. Photuris reprezint o alternativ care ncearc nlturarea
acestui dezavantaj. Se folosesc chei de lung durat doar pentru autentificarea cheilor de sesiune
(de scurt durat, o singur cheie pe sesiune).
Protocolul ISAKMP (Internet Security Association and Key Management Protocol) ofer
un sistem generic de gestiune a cheilor i nu unul specific, ca la SKIP sau Photuris. Prin faptul c
nu specific n mod explicit un anumit algoritm criptografic sau protocol, ISAKMP se dovedete
o soluie mai flexibil.
Este greu de prezis care va fi viitorul securitii la nivel sesiune. O bun parte din
specialiti consider c SSL ofer o bun soluie pe termen scurt, deoarece nu impune o
modificare a protocoalelor la nivel aplicaie. Este ns necesar construirea, n viitor, a unei
ntregi arhitecturi de securitate Internet, proiectat i implementat n mod unitar.
Exist un grup de lucru al IETF - Public Key Infrastructure Working Group (PKIX) dedicat tocmai studierii posibilitilor de realizare a unei astfel de infrastructuri globale de
certificare a cheilor publice.

Concluzii
Viteza cu care evolueaz tehnologia Internet-ului este impresionant. Dac acum se
apreciaz c deja exist cteva milioane de oameni care folosesc serviciile Internet n fiecare
moment, numrul lor va crete exponenial n anii urmtori. Dintr-un recent sondaj a reieit c,
dac cu un an n urm 70% din utilizatorii Internet-ului apreciau e-mail-ul ca principal beneficiu
i doar 30% Web-ul, astzi 50% din persoane consider pe primul loc e-mail-ul, 40% Web-ul i,
deja 10%, comerul i plile electronice. n acest domeniu revoluia abia a nceput: s observm
c plile electronice reprezint un fel de e-mail n raport cu banii reali, aa cum pota electronic
reprezenta, acum civa ani, o adevarat revoluie n comunicaiile dintre persoane.
Poate fi internetul sigur? Da. Internetul poate fi sigur. ns pentru ca acest lucru s
se ntample, trebuie efectuate modificri substaniale, cum ar fi larga informare a publicului
asupra acestei probleme. Muli utilizatori privesc nc Internetul ca pe o jucrie, un mod bun
pentru a se amuza cteva ore. Aceast mentalitate trebuie s se schimbe. ()

12 www.snec.ro

Membrii mass-mediei au ajutat cu siguran n aceast situaie, chiar dac relatrile

lor referitoare la Internet nu au fost ntotdeauna corecte. Am remarcat n majoritatea ziarelor o
mrire a spaiilor acordate tehnologiei. Exist buni redactori de specialitate, care ncearc s
aduc n casele cititorilor informaii importante.() n acelai timp, utilizatorii devin cu fiecare
zi tot mai bine informai n privina securitii. Pe msura creterii educa iei publice, productorii
vor putea veni n ntampinarea cerinelor clienilor.
Astfel c, comerul electronic se afl nc ntr-o faz incipient. Clienii manifest
temeri n ceea ce privete acest tip de comer datorit, n special, problemelor de securitate
aprute (furtul ID-urilor, parolelor, numerelor cardurilor de credit, confidenialitatea datelor
personale, etc.). Acestea se datoreaz faptului c, multe firme nu au adoptat modelul electronic
potrivit pentru derularea comerului lor electronic sau ntmpin dificulti n integrarea
comenzilor legate de securizarea site-ului Web i a informaiilor culese online, n activitatea
curent a firmei.
Cu toate acestea, este o certitudine faptul c numrul clienilor magazinelor
electronice i a firmelor care adopt soluiile comerului electronic este n continu cretere.
Muli furnizori de servicii Internet popularizeaz sistemul de cumprare online tocmai pentru a
induce un plus de ncredere i consideraie.
Marea majoritate a atacurilor cibernetice de succes sunt posibile datorit unor
vulnerabiliti prezente ntr-un numr mic de servicii obinuite ale sistemului de operare, ne luate
n considerare de majoritatea webmasterilor i administratorilor.
Pentru a elimina aceste ameninri i a rspunde la cerinele pieei privind securitatea
n Internet, n general, i pe cea a comerului electronic n particular, au fost elaborate mai multe
standarde i protocoale pentru securizarea comunicaiilor (SSL v2/v3, TLS, PCT, PGP, IPSec,
L2T2P, P2PTP, SSH) i pentru protejarea tranzaciilor comerciale efectuate prin intermediul
Internet-ului (SET). De asemenea au fost implementate att instrumente necesare unei analize
corecte a riscurilor i vulnerabilitilor, instrumente de monitorizare, detectare i respingere a
intruziunilor n timp real (IDS), ct i soluii firewall, antivirus, PKI i VPN.
Practic, securitatea trebuie s devin o component de baz pentru toate site-urile
Web de comer electronic, importana sa fiind, n ultima perioad, luat n considerare din ce n
ce mai mult de firmele care au adoptat aceast form de comer, acestea avnd ca exemplu
experienele negative ale unor site-uri Web de comer electronic care nu i-au luat msurile
necesare n ceea ce privete securitatea Web i au avut de suferit n urma exploatrii
vulnerabilitilor de securitate existente de ctre hackeri. Aceasta a afectat imaginea companiilor
respective i a dus la pierderi mari n plan financiar.
Pentru viitor se anticipeaz realizarea unui grad mai mare de securizare a site-urilor
Web. n acest sens se prevede realizarea unui sistem care va impune un standard de clasificare a
vulnerabilitilor produselor software, n funcie de gradul de risc al acestora. Sistemul va oferi
un limbaj comun de descriere a importanei problemelor de securitate, nlocuindu-le pe cele
elaborate de fiecare furnizor n parte.
Prin marea sa extindere i flexibilitate, comerul electronic devine un canal de
vnzri din ce n ce mai important pentru companiile din zilele noastre. Designul unei mai bune
interfee cu utilizatorul, care s valorifice eficacitatea comerului electronic, dezvoltarea de
modaliti de msurare a eficacitii site-urilor de comer electronic, cataloagelor electronice, i
publicaiilor pe Internet, utilizarea de metode de plat cu o infrastructura mai uor de neles, i
care s asigure securitatea legalitatea plilor.
Dezvoltarea i implementarea unui cadru legal de lucru care s in cont de noile
necesiti aduse de afacerile electronice, stabilirea de standarde de prezentare, transmisie i
procesare a tranzaciilor electronice i coordonarea eforturilor diferiilor participani, dar mai
ales coordonarea activitilor la nivel global i reducerea conflictelor ntre eforturile la nivel
naional.

Din punctul de vedere al consumatorului, avantajele utilizrii comerului electronic

sunt numeroase: acces 24 ore/zi, ofert 'global', nivel nalt de acces pe piee diferite, costuri
sczute ale informaiei / comunicaiei, acces la noi piee i produse etc.
Aceste avantaje sunt nsoite, ns, i de o serie de riscuri datorate naturii specifice
acestui nou tip de comer: efectuarea plii naintea primirii mrfii, site-ul de e-commerce mai
puin tangibil dect magazinul tradiional, riscul securitii transmiterii datelor financiare i
personale sensibile, incertitudinea posibilitii de revenire asupra unei tranzacii etc.
Lipsa de ncredere a fost adesea identificat drept una din principalele bariere pentru
consumatorii angajai n tranzaciile on-line, motiv pentru care comerul electronic depinde
esenial de climatul de ncredere on-line. Departe de a fi rezolvate problemele de securitate i
acceptabilitate necesare, sistemele electronice de plat, puternic cercetate i experimentate azi,
vor progresa rapid, devenind o realitate a Cyberspace-ului anilor viitori.

Bibliografie:

1.

Aspecte etice n Comerul Electronic (Ethical aspects in electronic commerce) ,Lect.

univ. dr. Liliana Nicodim, Universitatea Ovidius Constana.

2. Auditul i Securitatea Sistemelor Informatice, Conf. Univ. Dr. Floarea BAICU, Drg.
Ing. Andrei-Mihai BAICU. Editura Victor, Bucureti, 2006.
3.

Comer electronic i e-business n Romnia State Olimpia; Costache Ion, Amfiteatrul

Economic, nr.21, 2007, pag. 149-151

4. Modulul 8, Comer Electronic, Universitatea 1 Decembrie 1918 Alba Iulia, pag. 44-45.

5. Programarea n ASP pentru Comer Electronic, Stephen Walther, Jonathan Levine,

Editura Teora.
6. Pli Electronice,dr.ing. Dan Vasilache , 2004, pag. 22.
7. Securitatea n Internet. Traducere de Silviu Petrescu. Editura Teora.
8. Securitatea Reelelor, Stuart McClure, Joel Scambray, George Kurtz. Traducere de
Cora Radulian, Mihai Mnstireanu i Mihai-Dan Pavelescu. Editura Teora.
9. www.certsign.ro
www.legi-internet.ro
www.dreptonline.ro
www.mcsi.ro
http://legi-internet.ro/blogs/
http://www.legi-internet.ro/
10. www.snec.ro
11. www.securitatea-informatica.ro