Universitatea Babeş-Bolyai

Criptografie aplicată
ı̂n economie şi gestiunea afacerilor

Curs 8

Comerţ electronic
Cuprins

1 Modele de comerţ electronic

2 Elemente componente ale comerţului electronic

3 Securitatea comerţului electronic

Comerţ electronic

Definiţie
Comerţul electronic reprezintă comerţul şi facilitarea comerţului
de produse şi servicii folosind reţele de calculatoare.

Primele idei şi realizări apar ı̂ntre anii 1970-1990.

Se dezvoltă ı̂n paralel cu reţelele de calculatoare şi cu
Internetul.

D. Vasilache, Plăţi electronice. O introducere, Ed. Rosetti,

Bucureşti, 2004.
Modele de comerţ electronic

Business-to-Business (B2B)
Un website vinde produsele sale unui cumpărător intermediar,
care apoi le vinde clientului final.
Business-to-Consumer (B2C)
Un website vinde produsele sale direct unui client.
Consumer-to-Consumer (C2C)
Un website ajută consumatorul să vândă unui alte consumator
bunuri proprii sau servicii prin publicarea acestor informaţii.
Consumer-to-Business (C2B)
Un consumator utilizează un website care prezintă mai multe
organizaţii de business pentru un anumit serviciu şi plasează o
estimare a sumei pe care doreşte să o cheltuiască pentru acel
serviciu, iar apoi una dintre organizaţiile de business care se
ı̂ncadrează ı̂n bugetul consumatorului contactează clientul şi
oferă serviciile.
Modele de comerţ electronic - cont.

Business-to-Government (B2G)
Un website acreditat de către guvern este folosit de către
acesta pentru a face comerţ şi schimb de informaţii cu
organizaţii de business.
Government-to-Business (G2B)
Un website este folosit de către guvern pentru a contacta
organizaţii de business.
Government-to-Citizen (G2C)
Un website este folosit de către guvern pentru a contacta
cetăţenii.
Comerţ electronic prin Internet cu plata prin card
Comerţ electronic prin Internet ı̂n care acceptatorii folosesc
un procesator independent
Elemente componente ale comerţului electronic

1 comerciantul, acceptatorul său şi website-ul comerciantului

2 cumpărătorul plătitor cu card, calculatorul său personal,
portofelul său electronic şi emitentul cardului
3 telecomunicaţiile sigure ı̂ntre cumpărător şi site, şi ı̂ntre site şi
acceptatorul comerciantului
4 aplicaţia de comerţ electronic a acceptatorului, poarta de
acces la Internet (gateway)
5 serverul din Internet de găzduire a site-urilor de comerciant şi
legăturile cu sistemele de management al cardurilor (SMC) ale
acceptatorilor (sau ale procesatorilor independenţi adoptaţi)
6 riscurile, fraudele şi disputele
7 protocoalele de autentificare pentru securitatea tranzacţiei
8 costul tranzacţiilor şi microplăţile
9 pieţele electronice şi licitaţiile
Elemente componente ale comerţului electronic - 1

Comerciantul, acceptatorul său şi website-ul comerciantului

comerciantul care doreşte să vândă prin Internet şi să accepte
plăţi prin carduri trebuie să ı̂şi găsească o bancă acceptatoare
care să-i ofere un contract special de cont de comerciant pe
Internet şi care să dispună de un SMC capabil de a procesa
tranzacţii de comerţ electronic, sau să externalizeze această
procesare către un procesator independent specializat
comerciantul ı̂şi proiectează un website propriu de comerţ,
numit magazin virtual, şi apelează la un furnizor de servicii de
Internet (ISP, Internet Service Provider) pentru găzduirea sa
şi furnizarea unei adrese de Internet
Elemente componente ale comerţului electronic - 2

Cumpărătorul plătitor cu card, calculatorul său personal,

portofelul său electronic şi emitentul cardului
cumpărătorii pe Internet pot folosi pentru plată orice card
emis cu scopul de a fi folosit ı̂n acest fel de plată, acestea
având parametri de minimizare a riscurilor
calculatorul personal al consumatorului trebuie să fie conectat
la Internet şi să dispună de un navigator (browser) capabil de
a asigura legături sigure (https)
un portofel electronic este un program rezident ı̂n calculatorul
cumpărătorului (sau ı̂n servere de site-uri de comercianţi) care
conţine toate datele de plată ale cumpărătorului, date
iniţializate de cumpărător o singură dată şi completate
automat ı̂n formular ı̂n momentul efectuării unei cumpărături
Elemente componente ale comerţului electronic - 3

Telecomunicaţiile sigure
datele care circulă ı̂ntre calculatorul cumpărătorului şi SMC-ul
acceptatorului, trecând prin serverul de găzduire a site-ului
comerciantului, trebuie să rămână permanent secrete,
nealterate şi să provină de la o sursă autentică
protocoale sigure de transmisiuni (https):
SSL (Secure Sockets Layer),
TLS (Transport Layer Security) - cel mai utilizat,
VPN (Virtual Private Network) etc.
caracteristic acestor protocoale: la fiecare operaţiune se
generează o nouă cheie de criptare şi se face o nouă
autentificare
Elemente componente ale comerţului electronic - 4

Aplicaţia de comerţ electronic a acceptatorului, poarta de

acces la Internet (gateway)
banca acceptatoare care oferă clienţilor săi comercianţi
serviciul de comerţ electronic prin Internet cu plată prin card
trebuie să dispună de un SMC capabil de procesare a
tranzacţiilor generate ı̂n cadrul acestei forme de comerţ
această funcţionalitate se asigură printr-o aplicaţie compusă
din 2 module: modulul server aflat ı̂n SMC şi modulul client
aflat ı̂n site-ul fiecărui comerciant din serverul de găzduire
ı̂ntre cele 2 module funcţionează legătura sigură de
telecomunicaţii care se stabileşte ı̂ntre acceptator şi server
sistemul acceptatorului dispune de o interfaţă cu Internetul,
numită poartă de acces (gateway), prin care se face schimbul
de informaţii cu serverele de comercianţi şi cuprinde
protocoalele de transmisiuni şi modulul server al acceptatorului
Elemente componente ale comerţului electronic - 5

Serverul din Internet de găzduire a site-urilor de comerciant

poate găzdui mai multe site-uri de comercianţi, de la mai
mulţi acceptatori
siguranţă de funcţionare
viteză de procesare şi de telecomunicaţii
capacitate mare de stocare de site-uri
trebuie să aparţină unei companii ı̂n care toate părţile
implicate au o mare ı̂ncredere (autentificat de o Autoritate de
Certificare, de ex. VeriSign)
Elemente componente ale comerţului electronic - 6

Riscurile, fraudele şi disputele

riscurile se referă la posibilitatea apariţiei unor pierderi
(financiare sau de confidenţialitate) sau daune
riscurile de fraudă sunt generate de reţele de telecomunicaţii şi
Internet nesigure şi de faptul că tranzacţiile se fac fără
prezenţa ı̂n faţa comerciantului ı̂n momentul cumpărării
cazurile de fraudă ı̂n care comerciantul acceptă plata dar nu
livrează marfa, sau ı̂n care cumpărătorul primeşte marfa
comandată şi plătită după care declară că nu el a făcut
tranzacţia şi reclamă banii ı̂napoi, conduc la dispute ale căror
proceduri de rezolvare costă toate părţile implicate
pierderile directe şi indirecte datorate fraudelor vor fi
suportate de comerciant (acceptator), de emitentul cardului,
de deţinătorul de card şi chiar de sistemul de plăţi prin carduri
Elemente componente ale comerţului electronic - 7

Protocoalele de autentificare pentru securitatea tranzacţiei

protocolul complex SET (1996), susţinut de Visa şi
MasterCard
protocolul mai simplu 3-D Secure (2001), dezvoltat de Visa, a
devenit cel mai utilizat
protocolul 3-D Secure este implementat şi folosit de:
Visa: Verified by Visa
MasterCard: MasterCard SecureCode
JCB International: J/Secure
American Express: American Express SafeKey
Elemente componente ale comerţului electronic - 8

Costul tranzacţiilor şi microplăţile

orice tranzacţie de comerţ electronic presupune costuri pentru
toate părţile implicate, iar cei care suportă ı̂n final aceste
costuri sunt cumpărătorii şi comercianţii
comercianţii rezolvă de regulă problema ridicând preţul
produselor vândute către cumpărători
ı̂n cazul cumpărării unor produse sau servicii de mică valoare
costul tranzacţiei de cumpărare poate apărea prea mare
pentru acestea se pot folosi sisteme care permit microplăţi:
transfer direct ı̂ntre conturile cumpărătorilor şi comercianţilor,
acestea aflându-se la aceeaşi entitate (de ex. PayPal)
Elemente componente ale comerţului electronic - 9

Pieţele electronice şi licitaţiile

comerţul electronic poate fi organizat şi după modelul pieţelor
reale: mai mulţi comercianţi ı̂şi prezintă produsele şi serviciile
ı̂n cadrul aceluiaşi site, cumpărătorii pot cerceta mai multe
magazine virtuale, pot compara preţuri, pot participa la
vânzări prin licitaţie sau pot cumpăra la preţurile fixe afişate
la licitaţii vânzătorul afişează produsul, un preţ minim de
pornire şi o durată a licitaţiei, cumpărătorii declară (şi
eventual modifică) preţul maxim pe care sunt dispuşi să ı̂l
ofere, iar la sfârşitul perioadei de licitaţie vânzătorul alege
preţul cel mai mare şi intră ı̂n contact direct cu cumpărătorul
care l-a oferit pentru a perfecta vânzarea
Securitatea comerţului electronic

1 Securitatea telecomunicaţiilor
elementele fundamentale ale unei transmisiuni sigure sunt
asigurarea confidenţialităţii prin criptare, verificarea integrităţii
conţinutului mesajelor şi autentificarea entităţilor de la ambele
capete ale transmisiunii
protocolul TLS
2 Securitatea tranzacţiilor
se realizează prin folosirea unor protocoale de autentificare (ı̂n
general prin certificate de autenticitate bazate pe criptosisteme
cu chei publice) pentru: deţinătorul de card şi cardul său,
comerciantul şi acceptatorul său şi poarta de acces (gateway)
din Internet către sistemul de plăţi prin carduri
protocolul 3-D Secure
Protocolul TLS (Transport Layer Security)

apărut ı̂n 1999 şi bazat pe protocolul SSL (Secure Sockets

Layer), proiectat de Netscape Communications ı̂n 1995
când un navigator adresează un server ı̂n regim de securitate
(https), serverul trimite certificatul său de autenticitate,
eliberat de o Autoritate de Certificare cunoscută şi acceptată
(de ex. VeriSign), criptat şi semnat de aceasta cu cheia sa
secretă şi conţinând identitatea serverului şi cheia sa publică
navigatorul va decripta certificatul serverului (cu cheia publică
a Autorităţii de Certificare) şi va obţine cheia publică a
serverului, apoi va genera o cheie secretă valabilă numai
pentru conectarea ı̂n curs
această cheie de criptare a mesajelor este la rândul ei criptată
cu cheia publică a serverului, căruia ı̂i este apoi expediată
astfel ambele părţi au o cheie secretă de criptare a mesajelor,
care se foloseşte şi la verificarea integrităţii mesajelor
Protocolul TLS (Transport Layer Security) - cont.
Exemplu de certificat

A se vedea exemple de certificate pe orice site securizat (https).

Protocolul 3-D Secure

introdus de Visa ı̂n 2001

se bazează pe un model de sistem de securitate care cuprinde
3 domenii, cu scopul de a defini clar responsabilităţile părţilor
implicate ı̂n tranzacţie
domeniul emitentului cuprinde deţinătorii şi emitenţii
cardurilor
domeniul acceptatorului cuprinde comercianţii şi acceptatorii
domeniul de interoperabilitate asigură comunicarea ı̂ntre
emitenţi, acceptatori şi sistemul companiei de carduri
protocolul asigură autentificarea numărului de card, a
deţinătorului de card şi a comerciantului la fiecare tranzacţie
Protocolul 3-D Secure - cont.
Protocolul 3-D Secure: domeniul emitentului

ı̂n momentul ı̂n care cumpărătorul iniţiază plata, comerciantul

(modulul de 3-D Secure din site-ul lui) va cere autentificarea
numărului cardului şi a deţinătorului de card
deţinătorul de card trebuie să se ı̂nregistreze ı̂n sistem la
emitentul său şi să-şi declare cel puţin un nume şi o parolă
(eventual şi date de autentificare suplimentare) prin care
emitentul poate să-l autentifice ı̂n momentul tranzacţiei,
trimiţând apoi această autentificare comerciantului
după autentificare, emitentul va genera un răspuns semnat
electronic (un certificat de autentificare a deţinătorului de
card) pe care ı̂l trimite comerciantului, iar acesta va putea
trece la faza de autorizare normală a tranzacţiei
Protocolul 3-D Secure: domeniul de interoperabilitate

compania de carduri dispune de un Director (Directory

Service) care este un server central pe Internet (ce dispune de
un certificat de autenticitate) ı̂n care se păstrează numerele de
card ale tuturor cardurilor ı̂nregistrate ı̂n sistemul 3-D Secure
(ı̂nscrise de emitenţi), adresele de Internet (URL) ale
serverelor de control al accesului (ACS) ale emitenţilor
cardurilor ı̂nregistrate şi o arhivă a tuturor autentificărilor date
de emitenţi, pentru a servi rezolvării unor eventuale dispute
Protocolul 3-D Secure: domeniul acceptatorului

acceptatorii trebuie să dispună de o poartă de acces (payment

gateway) la sistemul de plată prin carduri Visa/MasterCard,
iar comercianţii lor trebuie să ı̂şi instaleze şi un modul de 3-D
Secure numit MPI (Merchant Plug-In module)
modulul MPI va genera cereri de autentificare a cardului şi a
cumpărătorului către emitent, prin intermediul Directorului,
iar după primirea răspunsului va trimite cererea de autorizare
a tranzacţiei către poarta de acces a acceptatorului (prin
intermediul modulului client), care o va trimite mai departe ı̂n
sistemul de carduri prin acceptator
modulul MPI se va autentifica faţă de Director printr-un
certificat de autenticitate, iar Directorul va face acelaşi lucru
faţă de comerciant