Documente Academic
Documente Profesional
Documente Cultură
Toaz - Info Comert Electronic PR
Toaz - Info Comert Electronic PR
COMERT ELECTRONIC
(E-COMMERCE)
2008
UTM: Facultatea de Stiinta si Tehnologia Informatiei Curs de Comert Electronic
Motto:
„In urmatorii 10 ani, firmele de succes vor fi acelea care folosesc instrumente digitale pentru a reinventa
felul in care se fac afacerile. Acestea sunt companii in care deciziile se iau repede, in care se actioneaza eficient,
si care-si impresioneaza pozitiv clientii, intr-un mod cat mai direct cu putinta.
Sper ca va veti convinge de posibilitatile de schimbare pozitiva pe care anii ce vin le vor demonstra, si ca acestea
va vor incanta.
Transformarile digitale va vor propulsa in fruntea unei unde de soc a schimbarii, care va zgudui modurile mai
vechi de a face afaceri.
Cu un sistem nervos digital, veti putea face @faceri cu viteza gandului – cheia succesului in secolul
acesta”.
CUPRINS:
PARTEA I.
PARADIGMA DE COMERT ELECTRONIC
(E-COMMERCE)
CURS 1.
CONCEPTUL DE COMERT ELECTRONIC
E-business se traduce in limba romana prin "afacere electronica" si se refera la organizarea tranzactiilor,
comunicatiilor si informatiilor, precum si la planificarea si controlul unei afaceri, folosind intregul potential al
tehnologiei informatiei.
Termenul de "e-business" a fost utilizat pentru prima data de IBM pentru a defini utilizarea tehnologiilor
Internet pentru imbunatatirea si transformarea procesele cheie dintr-o afacere. In definitia data de IBM,
e-business reprezinta o modalitate de "acces securizat, flexibil si integrat pentru desfasurarea diferitor afaceri
prin combinarea proceselor si sistemelor care executa operatii de baza ale afacerilor cu cele ce fac posibila
gasirea informatiilor pe Internet".
E-business reprezinta un nou mod de a face afaceri, un nou mod de a folosi tehnologia si un nou mod de crea
companii. Nu mai este niciun secret pentru nimeni ca internetul a revolutionat lumea afacerilor, care este in
permanenta schimbare incercand sa se adapteze la nevoile pietei digitale.
In conditiile in care Internetul a devenit parte integranta din societatea statelor dezvoltate, acest mediu nou nu
putea sa scape atentiei comerciantilor. Creat initial pentru schimbul de informatii si pentru posta electronica, el
a devenit cel mai dinamic mediu de afaceri.
Cele mai importante avantaje ale dezvoltarii unei afaceri electronice sunt:
Oportunitatea de a vinde si de a face cunoscute propriile produse la nivel global;
E-business reprezinta o strategie moderna in ceea ce priveste modul de a face afaceri, cea mai
importanta componenta a sa fiind e-commerce (comertul electronic) (Figura 1.1).
Comertul online (e-commerce) reprezinta vanzarea de produse si/sau servicii prin intermediul internetului. Nu
trebuie inteles ca afacerile online se limiteaza doar la vanzarea diverselor produse si/sau servicii cu ajutorul
internetului. O afacere electronica inseamna mult mai mult. Presupune mentinerea contactelor cu furnizorii, cu
posibilii parteneri de afaceri, dar si cu clientii, promovarea produselor si/sau serviciilor oferite etc., toate
folosind mijloacele electronice, cel mai raspandit fiind posta electronica (e-mailul).
Comertul online reprezinta o noua metoda de a face afaceri, fie ca este vorba despre extinderea, pe internet, a
unei afaceri existente sau de inceperea unei afaceri doar in mediul virtual. Acest tip de afacere atrage din ce in
ce mai multi adepti, foarte multi constientizand faptul ca acesta este comertul viitorului.
e-business
e-commerce
Desi comertul online, ca si cel offline, are la baza productivitatea si profesionalismul de care trebuie sa dea
dovada echipa care conduce afacerea, pe langa acestea dezvoltarea unei afaceri prin intermediul Internetului
(un e-business) presupune familiarizarea cu cateva particularitati. Astfel in cazul comertului electronic
competitia este mult mai dura, punandu-se accentul foarte mult pe inovare. In tara noastra, desi se fac
progrese de la an la an, internetul nu este la fel de dezvoltat ca in alte tari, acest lucru reprezentand un mare
dezavantaj (schimbarea conceptiei posibililor clienti despre achizitionarea produselor sau serviciilor cu ajutorul
calculatorului). Pe de alta parte, acest lucru poate fi un mare avantaj (gandeste-te numai cate afaceri online
care sunt prezente in alte tari nu au aparut si la noi).
Multe dintre afacerile online nu reusesc sa-si asigure succesul. De ce? Principala cauza o reprezinta tratarea
superficiala a afacerilor online de catre cei care le dezvolta. Multi cred ca simpla prezenta online, cateva
bannere publicate pe diverse site-uri, urmate apoi de o perioada de asteptare a clientilor, le asigura profitul.
Realitatea demonstreaza ca o afacere online trebuie tratata cu toata seriozitatea, la fel ca orice alta afacere.
La fel ca in cazul afacerilor traditionale, trebuie sa existe un plan de afaceri foarte bine pus la punct si nu in
ultimul rand trebuie sa fie si foarte realist si sa tina cont de caracteristicile comertului electronic.
Datorita ritmului continuu de crestere a utilizatorilor de internet, precum si datorita cresterii valorii tranzactiilor
efectuate online, afacerile electronice sunt prezente in diverse domenii si se impart in diverse categorii, cele
mai importante fiind:
e-commerce - comert electronic prin intermediul magazinelor online (www.amazon.com,
www.dell.com, www.wallmart.com, www.emag.ro, www.dol.ro). Solutii de plata online
(www.paypall.com, www.epayment.ro)
Termenul de comert electronic (e-commerce) este din ce in ce mai mult discutat pe masura ce Internetul
apare ca un mediu viabil pentru desfasurarea actiunilor de comert. Acest lucru s-a intamplat mai mult in ultimi
cinci ani datorita popularitatii din ce in ce mai mari pe care Internetul o cunoaste.
Brusca aparitie si avantul comertului electronic schimba lumea afacerilor, amenintand existenta nu mai a unor
firme, ci a intregi industrii. Unele industrii au fost obligate la restructurari puternice, in timp ce se dezvolta alte
noi afaceri si alte cai de a conduce afacerile traditionale.
Conform Wikipedia, comertul electronic (in engleza: Electronic Commerce sau E-Commerce) este demersul
de cumparare sau vanzare prin intermediul transmiterii de date la distanta, demers specific politicii expansive
a marketingului companiilor comerciale. Prin intermediul Internetului se dezvolta o relatie de servicii si schimb
de marfuri intre ofertant si viitorul cumparator.
Utilizarea tuturor mijloacelor electronice pentru participarea la o activitate de comert electronic poarta
denumirea de tranzactie electronica.
Strans legate de comertul electronic pot fi legate si alte activitati electronice, de exemplu, servirea
cumparatorilor, livrarea marfii (daca e vorba de medii electronice), colaborarea cu partenerii de afaceri sau si
conducerea unei organizatii prin mijloace electronice.
Poate din cauza incertitudini si vitezei cu care se schimba aceste mediu, exista foarte putina indrumare
strategica disponibila oamenilor de afaceri pentru a-i ajuta sa se descurce in acest teritoriu inca neexplorat
suficient.
Exista putine lucrari de relevanta si o multime de teorii si curente cu privire la acest nou mediu de afacerii.Din
acest punct de vedere incercarea de a defini comertul electronic nu ar avea un rezultat concret.
Primele definii ale comertului electronic au fost facute din nevoia de a legifera comertul electronic, cum ar fi de
exemplu definitia elaborata de Parlamentul European si publicata in Directiva 31/2000 a Comisiei Europene
cunoscute si sub numele de „Directiva asupra comertului electronic”.
In cadrul Directivei CE 31/2000 asupra comertului electronic se legifereaza mai multe aspecte, printre care:
In definitia sa simpla comertul electronic este un mijloc electronic folosit pentru a face tranzactii de
afaceri… Pe masura dezvoltarii tehnologiei si a folosirii Internetului pe scara larga, comertul electronic
a ajuns sa se refere la o gama mai larga de mijloace de afaceri cum ar fi: e-mail, Web-situri
informationale, cataloage on-line comenzi de bunuri si serviciu prin Internet, livrarea directa de
produse si alegerea caracteristicilor produsului…
(www.wvebiz.com)
Pentru unele firme, comert electronic inseamna orice tranzactie financiara care utilizeaza tehnologia
informatica. Pentru altele, notiunea de comert electronic acopera circuitul complet de vanzari - inclusiv
marketingul si vanzarea propriu-zisa. Majoritatea oamnenilor considera comertul electronic ca fiind orice
tranzactie comerciala condusa electronic pentru cumpararea unor produse cum ar fi carti, Cd-uri, bilete
de calatorie si altele. Dar, comertul electronic are, in sens larg, un impact mult mai profund asupra evolutiei
afacerilor si cuprinde, in fapt, nu numai noile achizitii comerciale ci si totalitatea activitatilor care sustin
obiectivele de marketing ale unei firme si care pot include, spre exemplu, publicitate, vanzari, plati, activitati
post-vanzare, servicii catre clienti etc.
Ca urmare, s-a largit gama de servicii care sprijina si acorda asistenta acestui nou domeniu al afacerilor.
Aceste servicii se refera la furnizorii de Internet, la sistemele de securitate si semnaturile electronice, la
Site web
Livrare
Plata electronica
Plata
Figura 1.3 Similitudinea intre comert traditional (stanga) si comert electronic – etape derulare
Ca exemplificare, in continuare, se vor analiza pasii necesari pentru achizitia unui produs (un calculator) in
varianta comertului traditional, iar apoi in cea a comertului electronic. Rezultatele sunt sintetizate in tabelul 1.1
Comparatie intre achizitia in comertul traditional si cea in comertul electronic.
a) Achizitia prin comert traditionala
Un salariat al unei firme doreste sa achizitioneze un calculator. Pentru acest lucru sunt realizati urmatorii pasi:
1. se emite o cerere, cu o serie de specificatii (configuratia pe care o doreste);
2. cererea este trimisa spre aprobare unuia dintre cei care au atributii pe linia achizitiilor in firma;
3. cererea aprobata va merge la departamentul de aprovizionare (comercial), unde se cauta, intr-un
catalog de oferte, produsul cerut pentru a selecta un model corespunzator si pentru a gasi
furnizorul;
4. urmeaza sa fie contactati mai multi furnizori pentru a determina disponibilitatea lor de a livra
calculatorul solicitat;
5. odata ce furnizorul a fost selectat, persoana de la comercial poate emite o comanda de
aprovizionare, pe care o trimite furnizorului fie prin fax, fie prin posta;
6. dupa ce comanda a fost primita de catre furnizor, acesta verifica situatia clientului, stocul existent
in depozit si momentul in care distribuitorul poate sa preia calculatorul si sa-l livreze la destinatie;
7. in functie de data la care se va face livrarea, furnizorul emite o comanda de transport, anunta
depozitul si intocmeste factura, pe o care o transmite firmei beneficiare, odata cu calculatorul;
8. persoana autorizata de la beneficiar va efectua plata, intr-un anumit mod, in functie de
instrumentele de plata acceptate de furnizor.
Tabelul 1.1 Comparatie intre achizitia in comertul traditional si cea in comertul electronic
Desi au fost prezentate si anterior, vom detalia avantajele utilizarii comertului electronic, din perspectiva a din
trei puncte de vedere: al companiei, al consumatorului si al societatii.
a) Avantajele companiei sau firmei:
extinderea zonelor de activitate pentru pietele nationale si internationale - cu un capital minim, o
companie poate rapid si usor sa-si localizeze clientii, furnizorii potriviti si cei mai buni parteneri de
afaceri din lume;
cresterea vitezei de comunicare;
Avantajele mentionate mai sus decurg in principal din caracteristicile tehnice si economice ale Internetului
(interoperabilitatea, caracterul global, WWW, costurile scazute de conectare la Internet, usurinta de utilizare a
browser-elor Web).
Tehnologia Internetului poate fi folosita pentru a transforma modul in care se desfasoara afacerile. Ea poate fi
vazuta ca un nou canal de desfacere, dar poate fi perceputa si ca o noua infrastructura, asemenea cailor
ferate, oferind o gama infinita de oportunitati pentru noi initiative. Figura 1.4 reprezinta caracteristicile
principalele ale tehnologiei Internetului si avantajele oferite de acestea pentru comertul electronic si afacerile
on-line.
a) Interactivitate
Dezvoltarea comunicarii in masa de-a lungul secolului a adus o contributie foarte importanta la modul in care
informatia era transmisa intre oameni. Marele dezavantaj al comunicarii in masa este ca fiecare individ
primeste acelasi mesaj indiferent de dorinta sa, gradul sau de cultura, dispozitie etc. Era vizibil ca acest mijloc
de comunicare are neajunsuri in ceea ce priveste eficienta in a influenta posibili clienti. Metode, cum ar fi
segmentarea si publicitatea tintita, au fost evidentiate pentru a putea face fata neajunsurilor acestui mod de
comunicare. Din acest motiv, mass-media nu s-a putut substitui niciodata celei mai vechi tehnici de vanzare,
vanzarea directa.
Interactivitatea a fost mentionata ca una dintre cele mai importante caracteristici care diferentiaza Internetul de
oricare alt mijloc mediatic. Interactiunea dintre grupurile de persoane si organizatii este acum posibila fara
nevoia ca un om sa asiste la aceasta interactiune, aceasta putand fi efectuata de computer.
b) Adaptarea in masa la client (Mass-customization)
Interactivitatea Internetului are ca rezultat un nivel mai mare de implicare din partea utilizatorului.
Interactivitatea este un factor esential pentru adaptarea comunicarii la cerintele fiecarui client, sa se produca
la o scara foarte mare, aducand astfel costurile acestei adaptari la un nivel rezonabil.
ADAPTARE IN
INTERACTIVITATE MASA
LA CLIENT
STRATEGII DE
UTILIZATORI
TIP PULL
CREATIVI
(CERERI)
ACCESIBILITATE
CERERI (PULL)
PERMANENTA
MAI MULTE
(NON STOP)
CURS 2.
CADRUL JURIDIC SI NORMATIV AL COMERTULUI ELETRONIC
Cum structura Internetului este astfel realizata incat nu exista un control global sau o detinere majoritara, nu
exista nici intelegeri globale despre jurisdictie, optiuni pentru un drept sau altul, comert, drepturi de autor,
reclama etc.
In comertul electronic, de cele mai multe ori partile nu se situeaza sub aceeasi jurisdictie si comunica printr-o
linie de comunicatie non-directa, astfel incat in orice disputa pot fi implicate mai multe seturi de legi nationale.
Acestea s-ar putea sa nu fie armonizate pentru aplicarea in caz de disputa, iar rezolutia finala sa nu fie ceea
ce partile au dorit, intentionat sau asteptat.
In plus, in schimburile electronice (e-trade) partile implicate intr-o trazactie vor include vanzatorul,
cumparatorul si furnizorul de servicii, furnizorii de comunicatii si orice persoana care va accesa mesajele care
formeaza tranzactia (cu sau fara consimtamant), acestea pot fi situate in tari diferite, cu legislatii diferite, care
sa afecteze contractul.
Mai mult, ar putea fi imposibil ca anumite afaceri, cum ar fi procesarile financiare sau de date, sa fie realizate
fara riscul aparitiei unor actiuni penale sau civile, deoarece ceea ce este legal intr-o anumita jurisdictie de
unde compania preia date si informatii, ar putea fi ilegal in tara in care acestea sunt utilizate.
Deoarece Internetul este o retea globala, riscurile sunt, de asemenea, globale.
Anumiti juristi in domeniul comertului electronic si al Internetului considera ca nu este nevoie de multe legi
nationale care sa reglementeze Internetul, si, implicit, comertul electronic (de unde ar putea rezulta o supra
reglementare nearmonioasa), ci de o regelementare internationala caracterizata prin claritate si globalitate,
pornind de la ratiuni comerciale, evitand reactii panicarde, dictate de interese politice sau protectioniste.
Orice forma de comert presupune incredere intre participanti. Contractele electronice din cadrul tranzactiilor
electronice nu se diferentiaza de cele clasice, ba mai mult, presupun o serie de dificultati specifice (asa cum s-
au prezentat in subcapitolul 1.5) datorate faptului ca partile nu se intalnesc fata-in-fata (face-to-face), iar
comunicarea se face prin canale nesigure, de regula prin Internet. De asemenea, in cazul tranzactiilor
electronice, de cele mai multe ori partile nu se situeaza sub aceeasi jurisdictie, astfel incat in caz de disputa
vor fi invocate mai multe seturi de legi nationale.
Constituirea increderii in cazul tranzactiilor electronice se bazeaza pe tehnologii de securitate, cum ar
fi semnaturile electronice si mecanismele de plata electronice, precum si pe un cadru legal care sa
sprijine folosirea acestor tehnologii informatice.
Unul dintre cele mai importante si dificile aspecte referitoare la comertul electronic il reprezinta existenta unui
cadru legal stabil in care sa poata opera. Deoarece legislatia privind schimbul este orientata in mod traditional
catre documentatia in format hartie, translatarea acestor legi in mediul comertului electronic impune acelasi
efect legal pentru documentele, mesajele si semnaturile in format electronic.
Directiva urmareste toate aspectele legate de utilizarea serviciilor societatii informationale in cadrul pietei
comunitatii UE si traseaza linii directoare pentru statele membre ce trebuie sa adopte in baza acesteia legi
specifice. In acest sens, directiva prevede:
pentru a garanta certitudinea juridica si increderea consumatorilor, este necesar ca prezenta directiva
sa stabileasca un cadru general clar de reglementare a anumitor aspecte juridice ale comertului
electronic pe piata interna.
obiectivul prezentei directive este de a crea un cadru juridic pentru a asigura libera circulatie a
serviciilor societatii informationale intre statele membre si nu de a armoniza domeniul dreptului penal
ca atare.
Legea nr.365/2002 privind comertul electronic, cu modificarile aduse prin Legea nr. 121 din 2006;
Hotararea Guvernului nr. 1308 din 11/20/2002 privind aprobarea Normelor metodologice pentru
aplicarea Legii 365/2002 privind comertul electronic;
Legea nr. 51/2003 pentru aprobarea OG nr. 130/2000 privind regimul juridic al contractelor incheiate
la distanta;
Legea nr. 193/2000 privind clauzele abuzive din contractele incheiate intre comercianti si consumatori;
OG nr.130/2000 privind protectia consumatorilor si executarea contractelor la distanta, republicata;
1. Legea nr. 365/2002 privind comertul electronic, cu modificarile aduse prin Legea nr. 121 din 2006:
Scop
Legea are ca scop stabilirea conditiilor de furnizare a serviciilor societatii informationale, precum si
prevederea ca infractiuni a unor fapte savarsite in legatura cu securitatea domeniilor utilizate in
comertul electronic, emiterea si utilizarea instrumentelor de plata electronica si cu utilizarea datelor de
identificare in vederea efectuarii de operatiuni financiare, pentru asigurarea unui cadru favorabil liberei
circulatii si dezvoltarii in conditii de securitate a acestor servicii;
(1) Furnizarea de servicii ale societatii informationale de catre persoanele fizice sau juridice nu este supusa
nici unei autorizari prealabile si se desfasoara in concordanta cu principiile concurentei libere si loiale, cu
respectarea dispozitiilor legale in vigoare.
(2) Prevederile alin. (1) nu aduc atingere dispozitiilor legale care impun autorizarea prealabila in vederea
desfasurarii unor activitati de catre persoanele fizice sau juridice, daca dispozitiile in cauza nu vizeaza in mod
expres si exclusiv serviciile societatii informationale sau furnizorii de servicii, in intelesul prezentei legi.
(3) Furnizarea de servicii ale societatii informationale de catre furnizorii de servicii stabiliti in statele membre
ale Uniunii Europene se face in conditiile prevazute in Acordul european instituind o asociere intre Romania,
pe de o parte, si Comunitatile Europene si statele membre ale acestora, pe de alta parte.
(4) Furnizarea de servicii ale societatii informationale de catre furnizorii de servicii stabiliti in alte state se face
in conditiile acordurilor bilaterale incheiate cu statele respective, la care Romania este parte.
Comunicari comerciale
(1) Efectuarea de comunicari comerciale prin posta electronica este interzisa, cu exceptia cazului in care
destinatarul si-a exprimat in prealabil consimtamantul expres pentru a primi asemenea comunicari.
(2) Comunicarile comerciale care constituie un serviciu al societatii informationale sau o parte a acestuia, in
masura in care sunt permise, trebuie sa respecte cel putin urmatoarele conditii:
a) sa fie clar identificabile ca atare;
b) persoana fizica sau juridica in numele careia sunt facute sa fie clar identificata;
c) ofertele promotionale, precum reducerile, premiile si cadourile, sa fie clar identificabile, iar conditiile care
trebuie indeplinite pentru obtinerea lor sa fie usor accesibile si clar prezentate;
d) competitiile si jocurile promotionale sa fie clar identificabile ca atare, iar conditiile de participare sa fie usor
accesibile si clar prezentate;
e) orice alte conditii impuse prin dispozitiile legale in vigoare.
Furnizorul de servicii este obligat sa puna la dispozitie destinatarului, inainte ca destinatarul sa trimita oferta
de a contracta sau acceptarea ofertei ferme de a contracta facute de furnizorul de servicii, cel putin
urmatoarele informatii care trebuie sa fie exprimate in mod clar, neechivoc si intr-un limbaj accesibil:
a) etapele tehnice care trebuie urmate pentru a incheia contractul;
b) daca contractul, o data incheiat, este stocat sau nu de catre furnizorul de servicii si daca este accesibil sau
nu;
c) mijloacele tehnice pe care furnizorul de servicii le pune la dispozitie destinatarului pentru identificarea si
corectarea erorilor survenite cu ocazia introducerii datelor;
d) limba in care se poate incheia contractul;
e) codurile de conduita relevante la care furnizorul de servicii subscrie, precum si informatii despre modul in
care aceste coduri pot fi consultate prin mijloace electronice;
f) orice alte conditii impuse prin dispozitiile legale in vigoare.
Incheierea contractului
Daca partile nu au convenit altfel, contractul se considera incheiat in momentul in care acceptarea ofertei de a
contracta a ajuns la cunostinta ofertantului.
2. Ordin al MCTI nr. 389 din 2007 privind procedura de avizare a instrumentelor de plata cu acces la
distanta, de tipul aplicatiilor Internet-banking, home-banking sau mobile-banking
4. Frauda cu investitii
Nu investiti in nici o afacere, bazandu-va pe aparente. Nu investiti in nimic decat dupa ce sunteti
absolut sigur si v-ati informat ca afacerea este legitima.
Informati-va despre identitatea reala a celui care va propune o afacere prin Internet si asigurati-va ca
persoana este de incredere. Orice detaliu este extrem de important. Nu investiti nimic daca aveti cel
mai mic dubiu.
Fiti extrem de atenti la propunerile de afaceri primite prin e-mail (sunt extrem de cunoscute cazurile
scrisorilor nigeriene). Fiti sceptici, cand persoane care se recomanda a fi oficiali straini va cer ajutorul
in mutaarea unor sume uriase de bani dintr-un cont in altul. Nu credeti in sumele mari promise care vi
se vor cuveni daca ii ajutati. Nu oferiti nici o informatie referitoare la contul dvs.
REGULA: Daca ceva suna prea frumos sa fie adevarat, e foarte posibil sa nu fie!
CURS 3.
MECANISME SI MODELE ALE COMERTULUI ELECTRONIC
In prezent, comertul electronic nu mai este o alternativa, ci sunt un fapt imperativ. Companiile Dot-com au
preluat parti importante din piata, exercitand astfel presiuni puternice asupra companiilor ce desfasoara un
comert traditional.
Un mecanism de comert electronic poate fi definit ca structura si actiunile in functie de care o organizatie sau
o persoana se manifesta in zona sa de piata.
In cadrul comertului electronic se evidentiaza trei mecanisme de baza:
business-to-consumer (B2C sau BTC) care include toate interactiunile dintre comercianti si
cumparatorii de produse si servicii;
business-to-business (B2B sau BTB) care include toate interactiunile dintre entitatile economice,
incluzand furnziorii si ceilalti parteneri comerciali;
consumer-to-consumer (C2C sau CTC) care include toate interactiunile dintre consumatori.
Industria comertului electronic face, in general, distinctie intre tranzactiile Business-to-business (B-2-B sau
BTB) si tranzactiile Business-to-consumer (B-2-C sau BTC):
B2B cuprinde toate tranzactiile ce se efectueaza intre doi sau mai multi parteneri de afaceri. Aceste
tranzactii se bazeaza, de obicei, pe sisteme extranet, ceea ce inseamna ca partenerii de afaceri
actioneaza pe Internet prin utilizarea de nume si parole pentru paginile de Web proprii. Acest
mecanism de comert electronic se imparte in 2 subclase:
o Tipul B2Bi este cazul in care exista un contract de parteneriat intre intreprinderi, un exemplu
in acest sens fiind o aplicatie pentru un lant de desfacere;
o Tipul B2M2B este cazul unui e-MarketPlace care se interpune intre cele doua afaceri, deci
existenta unei piete electronice in care interactioneaza mai multi cumparatori si mai multi
furnizori.
B2C se refera la relatiile dintre comerciant si consumatorul final, fiind considerat comert electronic cu
amanuntul. Acesta se imparte in:
o User-to-Business (U2B) Este cazul general in care un utilizator (intern sau extern)
interactioneaza asupra datelor si tranzactiilor unei intreprinderi. In caz particular se poate
aplica la o intreprindere care ofera servicii sau bunuri care nu pot fi prezentate si vandute prin
catalog. Poate fi vazut ca acoperind toate interactiunile de tip User-to-Business care nu sunt
acoperite de modelul User-to-Online Buying.
o User-to-Online Buying (U2OB) Este folosit pentru a descrie un caz special (un subset al
modelului User-to-Business) in care bunuri sunt vandute printr-un catalog folosind un card de
cumparari, un portofel etc. Acest model include ambele cazuri de consumatori: care cumpara
Parteneri
Consumatori Intreprinderi interni / externi
B2C $ B2B $
C2C B2C
vanzari B2B transfer prin Internet,
prin Intranet, extranet, EDI
,
Internet,
telefon, TV B2G
B2G proceduri comerciale,
Guvern informare, consultanta
Alte relatii stabilite prin intermediul retelei Internet, adiacente comertului electronic sunt considerate:
G2G - government to government
G2B - government to business
G2C - government to consumer
C2G - consumer to government
C2B - consumer to business
fiind sintetizate si comentate in tabelul 3.1.
B2G
B2B B2C
Intreprinderi (B) administratie,
comert electronic comert electronic
logistica
C2G
C2B C2C
Consumatori (C) achitare taxe
comparatie preturi comert electronic
on-line
Al doilea model identificat de Michael Rappa este cel bazat pe publicitatea on-line. Publicistul, reprezentat de
site-ul Web, pune la dispozitie produse, servicii ieftine sau servicii on-line cum ar fi e-mail gratuit sau servicii
de mesagerie on-line, care sunt amestecate cu mesaje publicitare. Publicitatea este sursa cea mai mare sau
singura sursa prin care site-ul respectiv obtine profit. Modelul publicitar este eficient numai in cazul in care
traficul site-ului este foarte mare sau foarte specializat. Exemple din aceasta categorie se prezinta in tabelul
3.3.
(Free Model)
Ofertant de
discconturi
Vinde bunuri si servici sub/sau la pretul de productie pentru a obtine Buy.com
(Bargain un profit din publicitate.
Discounter)
Informatiile oferite de consumatori precum si obiceiurile lor de cumpararea sunt foarte importante. Mai ales
cand aceasta informatie se foloseste in scopuri publicitare. Firmele ce opereaza dupa acest mod lucreaza prin
colectarea acestor informatii care dupa aceea sunt vandute catre terti. O astfel de firma ofera utilizatorilor
In cadrul acestui model intra vanzatorii on-line clasici cunoscuti si sub numele de “e-tailers”. Vanzarile
acestora se fac fie pe baza unei liste cu produsele si serviciile oferite fie pe baza de licitatii. Exemple din
aceasta categorie se prezinta in tabelul 3.5.
Vanzatorii virtuali Reprezinta o afacere care opereaza numai in cadru Internetului, Facetime, eToys,
oferind cumparatorului o gama larga de bunuri si serviciu. Amazon
(Virtual Merchant)
Site-uri ale Reprezinta site-uri apartinand afacerilor traditionale care au Gap
magazinelor decis sa ofere prezenta pe Web. Aceste site-uri pot contine fie
traditionale numai o prezentare a ofertei de produse, fie ofera o solutie B&N
complecta de vanzare on-line.
(Click and Mortar)
Vanzatorul de Reprezinta un comerciant care se ocupa numai cu produse si BitbyBit.net
produse servicii informationale (software, consultanta in anumit domeniu)
informationale care isi desfasoara vanzarea si distributia numai cu ajutorul
Internetului.
(Bit Vendor)
Vanzari pe baza de Reprezint migratia vanzarilor traditionale bazate pe catalog de Chef’s Catalog
catalog produse catre mediul on-line.
(Catalog Merchant)
Modelul producatorului sau modelul direct se bazeaza pe capacitatea Internetului de a permite producatorului
(o companie care a dezvoltat un anumit produs sau serviciu) sa intre in contact direct cu cumparatorii si astfel
sa scurteze canalul de distributie. Avantajele acestui model sunt o mai buna eficienta, un serviciu de
desfacere imbunatatit si o mai buna intelegere a preferintelor consumatorului. Exemple de astfel de modele
sunt: Dell Computer, Apple Computer.
Viabilitatea acestui tip de model se bazeaza pe loialitatea utilizatorilor. Utilizatorii investesc puternic in acest tip
de site atat timp cat si loialitate. Veniturile se bazeaza pe vanzarea de produse si servicii auxiliare, publicitate
sau contribuitii voluntare. Exemple din aceasta categorie se prezinta in tabelul 3.6.
Utilizatorii sunt taxati periodic (zilnic, lunar sau anual) pentru folosirea unui serviciu. De obicei continutul
acestor site-uri este mult mai valoros din punct de vedere informational decat continutul site-urilor similare dar
cu acces gratuit. Un sondaj recent efectuat de catre Jupiter Communications a aratat faptul ca 46% din
utilizatorii Internetului nu sunt dispusi sa plateasca pentru acest tip de serviciu. Din acest motiv este obisnuit
pentru un site sa combine serviciu gratuit cu serviciu pentru care trebuie platit un abonament.
Cele sapte modele de afaceri on-line sunt aplicate intr-o mare varietate de moduri, astfel oricarei firme ii este
posibil sa combine elemente apartinand diferitelor modele pentru a obtine un model profitabil propriu.
1. Distribuirea informatiilor
Inainte de a vinde, orice firma este nevoita sa-si faca cunoscute produsele si serviciile pe piata, ceea
ce inseamna promovare, publicitate si politici de marketing sau, la modul general, oferirea de informatii.
Apar doua scopuri diferite ale celor doi participanti la tranzactiile comerciale:
potentialii clienti vor solicita informatii despre firma si produsele ei;
firma care vinde are nevoie de informatii despre piata, modul in care poate sa-si gaseasca si
atraga clientii, ceea ce conduce la proiectarea acelor produse si servicii care vin in intampinarea
cerintelor pietei.
Prin comertul electronic, cele doua scopuri pot fi realizate concomitent, pentru ca dispune de o serie
de mijloace ce faciliteaza atingerea lor.
Modalitatile de distribuire a informatiilor sunt:
comunitatile de pe retea;
3. Efectuarea platilor
Clientii pot folosi pentru efectuarea platilor (in detaliu in cursurile 6,7,8 si 9):
credit cardurile;
cecurile electronice;
moneda electronica;
orice alt instrument care se incadreaza in categoria denumita microcash (folosita atunci cand platile
sunt de valori foarte mici, de numai cativa centi);
EDI si EFT.
Sunt firme specializate care pun la dispozitie:
software pentru servere Web comerciale, special proiectate pentru acceptarea platilor pe Web;
software pentru generarea de cataloage on-line;
Ambele categorii urmaresc realizarea legaturii cu bazele de date clasice ale unei firme, in care sunt
incluse inregistrari privind:
produsele firmei si comenzile primite;
urmarirea incasarilor.
4. Onorarea comenzilor
Acest proces difera in functie de produsele sau serviciile destinate vanzarii:
produse intangibile (informatii, software, documentatii, muzica etc.);
produse tangibile;
servicii.
5. Service-ul si asistenta
Vanzarea propriu-zisa ar putea fi doar inceputul unei lungi si avantajoase relatii cu un client.
Nu numai clientul ar putea sa aiba nevoie de asistenta pentru un produs sau un serviciu, ci si firma
care vinde, pentru ca, prin informatiile sau serviciile pe care le solicita clientul, aceasta poate sa-si
imbunatateasca mult produsele, determinand chiar atragerea de noi clienti.
Modalitati de asigurare a asistentei si service-ului:
telefoanele disponibile 24 de ore, 7 zile pe saptamana, la care clientii pot obtine lejer raspunsurile la
intrebarile pe care le pun (sistem deja arhicunoscut, in special in SUA, prin numerele care incep cu
800 sau telefonul verde pus la dispozitie la noi de RomTelecom);
e-mailul sau site-urile Web. Notele tehnice cu privire la caracteristicile produselor, modul de utilizare,
raspunsurile la intrebarile puse cel mai frecvent (FAQs), upgrade-ul softului, fixarea eventualelor bug-
uri din programe sunt o parte din cele mai dese solicitari din partea clientilor si care pot fi satisfacute
rapid pe Internet.
CURS 4.
INFRASTRUCTURI SI APLICATII ALE COMERTULUI ELECTRONIC
Sistemele de comert electronic sunt inca la inceput de drum, de aceea nu exista pana in prezent o solutie
clara de implementare, care sa asigure succesul sigur si de lunga durata.
Baza oricarei afaceri pe Internet este site-ul Web. De realizarea acestuia depinde succesul afacerii si
feedback-ul de la toate actiunile intreprinse de companie in retea.
Ce informatii vor fi prezentate pe site, ce instrumente vor fi activate, cum vor conlucra acestea intre ele –
depinde de modelul de afacere ales, obiectivele pe termen scurt sau lung, precum si de tipul segmentelor
auditoriului.
Introducerea unui sistem de comert electronic intr-o companie, inseamna inlocuirea vechiului sistem informatic
cu unul nou, care va integra toate fluxurile de date, informatii, acte, care se deruleaza intr-o companie. Acesta
va schimba compania din multe puncte de vedere, si anume al organizarii, al conducerii, al politicii de preturi,
al lantului de aprovizionare, al tipurilor de clienti, al disponibilitatii, al sistemului informatic, al veniturilor si
cheltuielilor, al politicii de personal etc.
In practica, comertul electronic inseamna mai mult decat existenta unui site Web, si anume home banking,
cumparaturi online din magazine si mall-uri virtuale, cumparari de actiuni, cautari de job-uri, conducere de
licitatii, colaborari electronice in cercetare, dezvoltare de proiecte.
Toate acestea reprezinta aplicatii de comert electronic, care necesita sustinere informationala, sisteme si
infrastructuri organizationale. Acestea sunt dependente de patru domenii mari: utilizatori, politici publice,
protocoale si standarde tehnice, alte organizatii. Managementul comertului electronic sta la baza piramidei si
coordoneaza aplicatiile, infrastructurile si bazele aplicatiilor.
Server
Server de
Navigator Tranzacţii Baza
comerciale Web aplicatii de
date
Server
Infrastructura de comunicatii a unei organizatii care realizeaza comert electronic trebuie sa contina
urmatoarele doua elemente de baza (Figura 4.2):
e-commerce front-end (in general, unul sau mai multe servere Web conectate la Internet);
e-commerce back-end necesare pentru a furniza informatii sistemelor din front-end (cum ar fi, de
exemplu, informatii despre produse si stocuri) si a extrage informatii din acestea (de exemplu,
cererile de transfer in sistemele logistice si platile efectuate printr-o terta parte). In aceasta zona
distingem urmatoarele componente:
o servere de aplicatii;
o server de plati;
o baza de date (clienti, produse, etc.)
o inventarul;
o contabilitatea.
Internet
Servere de Aplicaţii ale
Servere Web e-commerce organizaţiei
Servere de aplicaţii tip ERP
Servere de baze de
date BACK-END
Servere de email
FRONT-END
Figura 4.2 Componentele principale pe partea de server pentru un sistem de comert electronic
Principalele amenintari asupra componentelor front-end si consecintele acestora asupra afacerii sunt
prezentate in tabelul 4.1:
Pagini Web care contin informatii despre produs Descrestere treptata a profiturilor daca produsele
sau pret neconforme cu realitatea sunt vandute la un pret gresit
Legaturile (conexiunile) realizate intre sistemele interne, pentru a asigura operarea corespunzatoare a
aplicatiilor de comert electronic, pot expune sistemele de afaceri la noi amenintari care probabil nu au fost
analizate in momentul proiectarii.
In tabelul 4.2 sunt prezentate principalele amenintari si posibilele efecte asupra afacerii.
Accesarea neautorizata a sistemelor interne si Alterarea afacerii datorita hacker-ilor care pot
datelor din baza de date prin acces din Internet corupe informatia critica
Componentele middleware pot fi bazate pe obiecte: CORBA, DCOM, EJB (care nu au la baza obiectele de
tip SQL, http-CGI, RPC) si pe standarde: DCE, CORBA, SOAP.
Serverele de aplicatii constituie un exemplu de software middleware. In tabelul 4.3, sunt prezentate cateva
tipuri de servere de aplicatii si functiile lor.
Tranzactiile electronice din punctul de vedere al comertului electronic prezinta un numar de cerinte, care pot fi
clasificate astfel:
Cerinte privind legislatia – comertul electronic atrage dupa sine si o serie de efecte pe plan social,
politic si legal care trebuiesc rezolvate.
Cerinte privind standardele acceptate – pentru a realiza un sistem global pentru comert electronic,
trebuiesc realizate intelegeri cu toate partile implicate despre modul in care vor fi realizate tranzactiile.
Din aceasta cauza, standardele pot fi considerate parte integranta a oricarui sistem de comert
electronic.
Cerinte privind securitatea – caracteristicile de securitate, confidentialitate, integritate, disponibilitate si
nerepudiere se aplica aplicatiilor de comert electronic pentru a asigura procesul de comert, precum si
protectia datelor cu private si a preveni frauda.
Tranzactiile dintre cumparatori si vanzatori in comertul electronic pot include cereri de informatie, cursuri ale
preturilor, plasari de cereri, plata si servicii post vanzare. Gradul ridicat de incredere necesar pentru
asigurarea autenticitatii, confidentialitatii si livrarea la timp, al acestor tipuri de tranzactii poate fi dificil de
mentinut atata timp cat acestea au loc intr-o retea publica, lipsita de incredere, cum este Internetul.
Realizarea unui site Web de comert electronic, indiferent de modelul pe care il implementeaza (business-to-
consumer B2C sau business-to-business B2B) implica mai multe etape (vezi figura 4.3):
analiza/planificarea sistemelor
proiectarea sistemelor;
construirea sistemelor;
testarea;
implementarea si promovarea.
Inainte de a trece la crearea efectiva a unui site de comert electronic, compania care va detine acest site
trebuie sa poata da un raspuns la urmatoarele intrebari:
- Ce tipuri de produse vinde site-ul?
- Ce tipuri de informatii va gazdui site-ul?
Raspunsurile la aceste intrebari vor determina domeniile din care va fi alcatuit site-ul (vezi tabelul 4.5). De
exemplu, respectiva companie poate vinde produse care vor fi livrate clientilor prin posta, produse software
care vor fi incarcate direct de pe site, sau ambele categorii de produse. In cazul in care se doreste vanzarea
ambelor tipuri de produse, se vor construi domenii specifice fiecarui tip in parte. Un alt exemplu l-ar constitui
construirea unui domeniu dedicat discutiilor on-line: o companie poate decide sa ofere clientilor un forum de
discutii dedicat unor probleme care prezinta un anume interes pentru companie.
- Ce persoane din cadrul companiei vor fi responsabile pentru administrarea site-ului?
Situl companiei poate avea un singur administrator (suficient pentru site-uri de dimensiuni mici) sau mai multi,
pentru situatiile neprevazute in care unul dintre administratori este indisponibil. De asemenea, trebuie sa se
aiba in vedere stabilirea unei structuri de aprobatori (organizata ierarhic), care sa se ocupe de aprobarea
Implementare şi
Analiza / promovare
planificarea
sistemelor
Proiectarea
Construirea
sistemelor Testare
sistemelor
Tabelul 4.5 - Analiza sistemelor: obiectivele afacerii, functionalitatea sistemului, cerintele privind informatia
care trebuie publicata pe un site de comert electronic
Dupa ce s-au stabilit toate detaliile de la punctul precedent urmeaza o alta etapa la fel de importanta:
determinarea cerintelor necesare pentru dezvoltarea site-ului. Cerintele se refera, atat la hardware-ul si
software-ul necesar pentru implementarea sistemului de comert electronic, cat si la infrastructura de
comunicatii:
cerinte hard: caracteristicile masinilor folosite ca server (memorie, spatiu pe hard-disk, viteza
procesor etc.
cerinte soft: sistem de operare, server de Web, firewall, pachete de programe optionale (programe
de calcul al taxelor etc.), pachete software pentru asigurarea securitatii site-ului Web (SSL, TLS, PKI)
si a tranzactiilor (SET);
comunicatii: se refera la largimea benzii de comunicatie, topologii de retea etc.
Proiectarea sistemelor de comert electronic poate fi impartita in doua parti:
Proiectarea logica care include:
o Diagrama fluxului datelor, care descrie fluxul informatiei in site, functiile de procesare care
trebuiesc indeplinite si bazele de date care vor fi utilizate;
o Descrierea elementelor de securitate si a sistemelor de back-up in caz de urgenta, precum si
a masurilor care vor fi luate.
Proiectarea fizica traduce proiectarea logica in componente fizice (figura 4.5).
Proiectarea logica pentru un site Web de comert electronic simplu este prezentat in figura 4.4.
Figura 4.4 Structura logica a unui site Web de comert electronic simplu
Figura 4.5 Proiectarea fizica a unui site Web de comert electronic simplu
In urma completarii acestei etape, se va determina mai mult de 80% din costul pe care il implica realizarea
unui site de comert electronic.
Figura 4.6 Unelte software pentru implementarea unui site Web de comert electronic
Construire site
In-house Outsource
Găzduire site
Răspundere mixtă Complet externă
Outsource Construire: Internă Construire: Externă
Găzduire: Externă Găzduire: Externă
Figura 4.7 Alegerile care pot fi facute intre construirea si gazduirea site-ului
Factorii ce trebuie luati in considerare pentru optimizarea site-urilor Web de comert electronic sunt prezentati
in figura 4.8
Incarcarea paginii:
Generarea paginii:
Continutului paginii:
Timpul de raspuns al serverului
Alocarea eficientă a resurselor Optimizarea HTML
Praguri de utilizare a resurselor Optimizarea imaginilor
Monitorizarea performantelor Arhitectura site-ului
site-ului
Proiectarea si designul
continutului Marketing
18% 6%
Proiectare si mentenanta
sistem
Gazduire (hosting) 24%
11%
Hardware
20% Software
21%
CURS 5.
STUDIU DE CAZ. ANALIZA SITE-ULUI DE LICITATII ON-LINE EBAY
eBay International - in momentul de fata eBay are site-uri cu specificul unor tari in Austria, Australia,
Canada, Elvetia, Franta, Germania, Irlanda, Italia, Korea, Noua Zeelanda si Marea Britanie. Desigur,
nu este neobisnuit sa auzim ca membrii eBay Korea cumpara articole de la membrii din SUA sau ca
membrii din Australia cumpara de la membrii din Franta.
eBay Motors – este cea mai mare piata de licitatii de pe Internet destinata cumpararii si vanzarii de
produse auto. La orice ora, eBay Motors dispune de o lista bogata de vehicule de vanzare, de la
autoturisme la camioane, din aproape toate modelele si de la toti producatorii. De asemenea, site-ul
ofera atat masini de colectie si motociclete, cat si piese de schimb. eBay ofera neintrerupt si alte
servicii online, precum finantari, inspectii, asigurari auto, transport de vehicule, inregistrari si verificari.
eBay Stores – extinde piata pentru vanzatori permitandu-le sa creeze destinatii de cumparaturi
particularizate pentru a vinde propriile produse. Pentru cumparatori, eBay Stores reprezinta o cale
avantajoasa de accesare a bunurilor si serviciilor vanzatorului. Clientii care cumpara de pe eBay Store
sunt capabili sa cumpere imediat articolele selectate, la un pret fix sau la pretul rezultat in urma
licitatiei.
Buy It Now – reprezinta o imbunatatire optionala adusa listelor de articole. Buy It Now permite
cumparatorilor sa cumpere un articol la pretul specificat fara sa astepte terminarea licitatiei, oferind
astfel vanzatorilor o metoda usoara si avantajoasa pentru vanzarea rapida articolelor la un pret
specificat.
eBay Professional Services – serviciile profesionale ale eBay servesc la cresterea rapida a micilor
afaceri de pe piata furnizand o locatie pe eBay unde se pot gasi profesionisti si liber profesionisti care
pot oferi sprijin pentru toate tipurile de nevoi de afaceri, cum ar fi de exemplu, design Web,
contabilitate, suport tehnic, etc.
eBay Local Trading – eBay are site-uri locale in 60 de piete din SUA. Aceste site-uri eBay permit
utilizatorilor sa gaseasca mai usor articolele localizate in imediata lor apropiere si sa caute printre
produsele de interes local. Site-urile locale eBay ofera o atmosfera placuta, oferind in acelasi timp
suport clientilor pentru articole mai dificil de cumparat, precum: automobile, mobila, diverse dispozitive,
etc.
eBay Live Auctions – licitatiile online ofera informatii in timp real despre produsele vandute. O
tehnologie dezvoltata de eBay, Live Auction, autorizeaza licitatorii traditionali sa-si extinda vanzarile
dincolo de casa de licitatii si sa castige milioane de cumparatori online. Cumparatorii au astfel acces la
diferitele produse direct de acasa sau de la birou.
PayPal – de curand eBay a cumparat PayPal, o solutie globala destinata platilor in timp real, care
permite oricarei afaceri sau client cu o adresa de email sa efectueze securizat, convenabil si eficient
plati online. Paypal are peste 20 de milioane de utilizatori inregistrati, incluzand peste 3 milioane de
conturi destinate afacerilor.
Pe masura ce afacerea eBay a crescut, compania s-a vazut in fata a doua forte semnificative care vor provoca
infrastructura tehnologica si o vor obliga sa se transforme in noi directii.
Prima este reprezentata de transparenta site-ului. Indiferent de masuratorile care se faceau functie de vizite,
minute petrecute pe site, utilizatori inregistrati, articole de vanzare sau tranzactii (dupa numar sau volum)
eBay a fost si este compania care a redefinit ceea ce inseamna scalabilitatea.
A doua este data de evolutia serviciilor furnizate de eBay, precum si a celor care urmeaza sa le furnizeze.
Dupa cum a demonstrat prin eBay Stores si Buy It Now, eBay s-a dezvoltat peste modelul de comert prin
licitatii implementat initial.
a) Arhitectura eBay - V2
Arhitectura initiala a eBay, prezentata in figura 5.1, era o arhitectura bazata pe doua nivele. Aceasta avea la
baza un sistem procedural C++ proprietar, cu conectivitate directa de la logica de prezentare la logica datelor,
fapt ce a facut-o foarte vulnerabila in fata atacatorilor. Ea a reusit in cele din urma sa raspunda solicitarilor
clientilor, desi in ultima parte a existentei sale ea s-a confruntat cu puternice probleme de scalabilitate si
securitate .
Principalele limitari ale arhitecturii initiale ale eBay V2 se refereau in principal la:
Flexibilitate;
Scalabilitate;
Probleme majore de administrare.
Flexibilitate – datorita arhitecturii sale eBay V2 nu putea oferi clientilor modele multiple de cumparare, de
cautare,etc.
Scalabilitate – in acelasi timp, eBay se confrunta cu probleme de scalabilitate. Compania se afla intr-un
moment in care se atinsese limita arhitecturii de date, limitandu-se astfel si capacitatea hardware. Initial se
rula de exemplu, o baza de date Oracle intr-un sistem de operare Solaris pe un server Sun Enterprise 10000.
Upgrade-urile hardware necesare pentru performante sporite nu reprezentau o optiune, iar Sun nu a putut
oferi un Sun Fire 12K la timp.
Pentru a raspunde totusi solicitarilor clientilor, in conditiile in care eBay analiza posibilitatea implementarii unei
noi arhitecturi, eBay a suferit o serie de upgrade-uri semnificative, in ultima perioada a existentei sale. Acestea
au inclus migrarea de la un singur server de baze de date la un mediu de stocare in retea (SAN – Storage
Area Network) bazat pe tehnologia Sun StorEdge care sa asigure o mai buna securitate a tranzactiilor,
concomitent cu imbunatatirea functiei de cautare eBay si oferirea de noi modele de afaceri, in limitele impuse
de arhitectura existenta.
Probleme de administrare – se refera la faptul ca arhitectura eBay V2 era prea greu de mentinut. Aceasta, in
particular, a avut efect asupra dezvoltarii organizatiei, deoarece foarte mult timp era afectat mentenantei
sistemului si fixarii bug-urilor, decat diferentierii produselor. La acestea s-au adaugat atacurile asupra
serverului Web (IIS 4.0) si asupra bazei de date (Oracle), fapt pentru care aplicatiile trebuiau permanent
analizate si actualizate din punctul de vedere al amenintarilor si vulnerabilitatilor de securitate.
Cresterea fara precedent a traficului si a volumului tranzactiilor, impreuna cu cresterea cererii pentru o mai
buna functionalitate si pentru noi modele au stat la baza deciziei eBay de a analiza o noua arhitectura care sa
Peste 120 milioane de utilizatori eBay inregistrati au acces la cea mai mare si
mai de succes piata de licitatii din lume. Pentru a-i mentine cresterea si pentru
a facilita modele de afaceri online mai flexibile, eBay a creat o arhitectura de
generatie urmatoare care:
Functionalitatea de baza - permite schimbari usoare cu posibilitatea de a reutiliza elementele de
(cerinte) baza si de design;
- ofera scalabilitate si flexibilitate pentru a asigura cresterea rapida a
afacerii;
- sporeste eficienta dezvoltatorilor si administratorilor printr-un sistem de
mentenanta mau usor.
eBay foloseste o arhitectura avansata multinivel, deschisa, bazata pe
Platforma aplicatiei standarde si pe tehnologia J2EE. Serverul IBM WebSphere este folosit pentru
implementarea serviciilor de comert electronic.
Obiectivele arhitecturale ale eBay V3 includ obiectivele afacerii si cerinte privind calitatea serviciului, precum:
Timpul de vanzare;
Performanta, scalabilitatea si disponibilitatea;
Continuitatea afacerii;
Nivel client
Nivel date
TM
Sisteme Sun StorEdge 9960 cu
SAN (Storage Area Network) folosind tehnologie Sun
VERITAS NetBackup, Sun
StorEdge ShadowImage şi
Switch-uri Brocade Silkworm
Site-urile de licitatii online, printre care se numara si eBay, se afla permanent in fata unei varietati foarte mari
de amenintari.
Hackerii pot incerca sa fure ID-uri, parole si numere de carti de credit ale participantilor la licitatiile online,
putand manipula atat informatii referitoare la participanti, cat si preturile la produsele licitate de acestia. Pentru
a asigura protectia in cazul unor astfel de amenintari trebuie criptate comunicatiile si folosite firewall-uri pentru
a proteja retelele interne de un eventual atac din exterior.
Elementele de asigurare a securitatii, in cazul eBay, sunt reprezentate de: software antivirus, firewall-uri
performante, procese de autentificare (pentru numerele cardurilor de credit si al adreselor IP), SSL, o politica
complexa de acces la datele interne si pentru transferul datelor, servere depozitate in camere sigure, cu
accesul restrictionat, stocarea criptata a datelor, instalarea rapida si automata a patchurilor pe toate serverele
pentru toate vulnerabilitatile de securitate cunoscute, back-up-ul datelor si sisteme de recuperare in caz de
dezastru, programe de monitorizare a traficului etc.
O alta amenintare in fata licitatiilor online o reprezinta atacurile care afecteaza servicii ale furnizorului de
comert electronic (eBay in cazul de fata).
Principalele probleme de securitate cu care s-a confruntat site-ul de licitatii online eBay includ:
atacuri Denial of Service (DoS) – constau in inundarea retelei cu mesaje si cereri de date. Acestea
consuma toate resursele disponibile si impiedica functionarea normala a aplicatiilor. Cele mai multe
atacuri DoS sunt lansate impotriva site-urilor Web, cu scopul de a impiedica vizitarea acestora de
catre utilizatorii obisnuiti. Dintr-o perspectiva de afaceri atacurile de tip Denial of Service (DoS) par sa
fie cele mai periculoase. Desi nu implica neaparat si pierderi de date, pagubele financiare cauzate de
imposibilitatea furnizarii serviciilor catre clienti pot fi cu mult mai mari.
Contramasuri
Pentru cazul prezentat se recomanda instalarea update-ului MS04-013, iar in general, instalarea in timp util a
ultimelor patch-uri si update-ri de securitate.
atacuri de tip „phishing” – acte de frauda care presupun o incercare de furt a identitatii unui
utilizator de Internet prin trimiterea de email-uri sau link-uri catre pagini de Web care copiaza in detaliu
alte pagini de Web foarte cunoscute. Frecvent, prin aceste email-uri sau site-uri, hotii cibernetici roaga
utilizatorii de Internet sa furnizeze date personale de identificare foarte importante, precum parole,
numerele cardurilor de credit sau al conturilor bancare, folosind diferite pretexte, intre care cel mai
folosit este pretextul actualizarii bazei de date.
Vulnerabile in acest sens sunt browserele mai noi, cum ar fi Mozilla Firefox, Opera, in general browserele care
implementeaza IDN (International Domain Name) si care permit folosirea caracterelor internationale in scrierea
URL-urilor. De exemplu, atacatorii pot sa isi inregistreze un domeniu "ebay.com" in care litera "e" este inlocuita
cu litera "ë" din alfabetul ciliric.Atacatorilor nu le mai ramane decat sa faca o copie fidela a site-ului original si
sa trimita un e-mail utilizatorului, anuntandu-l ca a castigat o licitatie si ca e necesara reintroducerea datelor
personale pentru finalizarea tranzactiei, punand la dispozitie adresa falsa si indrumand utilizatorul sa dea click
pe ea.
Un astfel de atac a avut loc asupra eBay in luna noiembrie 2004 cand unii dintre clientii eBay au primit un e-
mail cel putin ciudat: "Your account may be used by a third party in a fraudulent activity with eBay. As a result,
your access to bid or buy on eBay has been restricted." Deci accesul la tranzactii de orice fel pe eBay al
clientului respectiv a fost restrictionat datorita faptului ca exista o a alta persoana care foloseste contul in
actiuni fraudulose. Pana aici toate bune si frumoase. In e-mailul respectiv exista si un link catre e-bay.
In campurile formularului de reinregistrare trebuiau introduse: datele de pe cartea de credit, numarul personal
de identificare ATM (PIN), numarul de securitate sociala, data nasterii, primul nume al mamei. Formularul se
afla pe un site replica fidela al eBay atat in ceea ce priveste partea de sus cat si in ce priveste link-urile interne
de pe cel original. Din pacate pentru cei care au completat-o, cererea nu venea de la eBay, dimpotriva era o
actiune frauduloasa. Incercarea de a contacta autoritatile de la eBay s-a dovedit a fi fara succes. La 12 ore
Costul abonamentului este de 15.000 USD pe an, atat pentru cei care furnizeaza informatia (Senders: institutii
financiare, companii de comert electronic, etc.), cat si pentru cei care o primesc (Receivers: furnizori de servicii
de Internet, in principal).
atacuri Cross-Site Scripting (XSS) – a devenit tot mai populare printre atacurile efectuate asupra
aplicatiilor Web. In acest caz, atacatorul trebuie sa acceseze contul victimei in timpul cel mai scurt
pentru a nu obtine erori gen "session expired". Vulnerabilitatile de tip XSS sunt de multe ori neintelese
de administratori, care nu le acorda o atentie prea mare, de multe facandu-se confuzia cu Cascading
Style Sheets (CSS).
Aproape toate scenariile de atac includ un atacator "activ" care incearca sa fure cookie-uri de la useri si in
acelasi timp sa incerce sa intre pe conturile lor. In general, pentru ca aceste incercari de "account hijacking" sa
aiba succes atacatorul trebuia sa se autentifice cu cookie-ul furat pana ce userul respectiv nu se deautentifica
de pe pagina (adica pana nu expira sesiunea).
In ultima perioada hackerii folosesc moduri automate sau semi-automate de atacuri tip XSS asupra site-urilor
(deci fara interventia hackerului, doar prin crearea unui script care manipuleaza tot).
O astfel de vulnerabilitate a fost descoperita in Oracle 9i Application Server, server de aplicatii folosit si de
eBay. Astfel, utilizatori rauvoitori o puteau utiliza pentru redirectiona utilizatorii catre un site Web fals, realizand
astfel atacuri de tip Cross Site Scripting.
atacuri asupra parolelor (accounts hijacked) - folosind problemele de securitate ale acestora din
rutina de mentenanta – vulnerabilitatea permitea unui posibil atacator care cunostea numele real al
unui utilizator eBay sa-i schimbe parola, luand astfel controlul asupra contului.
PARTEA a II-a.
SISTEME DE PLATI ELECTRONICE
IN COMERTUL ELECTRONIC
CURS 6.
CARDURI DE PLATA ELECTRONICA
Comertul electronic traditional se refera la utilizarea in retele cu valoare adaugata a unor aplicatii de tipul
transferului electronic de documente (EDI), a comunicatilor fax, codurilor de bare, transferului de fisiere si a
postei electronice. Extraordinara dezvoltare a interconectivitatii calculatoarelor in Internet, in toate segmentele
societatii, a condus la o tendinta tot mai evidenta a companiilor de a folosi aceste retele pentru a desfasura un
nou tip de comert, comertul electronic in Internet, care sa apeleze, pe langa vechile servicii amintite si altele
noi. Este vorba, de exemplu, de posibilitatea de a se efectua cumparaturi prin retea, consultand cataloage
electronice “on” pe Web sau cataloage “off” pe suporti de memorie si platind prin intermediul cartilor de credit
sau a unor portmonee electronice.
Pentru altii, comertul Internet reprezinta relatiile de afaceri care se deruleaza prin retea intre furnizori si clienti,
ca o alternativa la variantele de comunicatii “traditionale” prin fax, linii de comunicatii dedicate sau EDI pe
retele cu valoare adaugata. In fine, o alta forma a comertului Internet implica transferul de documente, de la
contracte sau comenzi pro forma, pana la imagini sau inregistrari vocale.
Acest nou tip de comert a stimulat insa cererea pentru noi metode adecvate de plata. In cadrul noului concept
de “sat global” (global village), dezvoltarea unor activitati comerciale intre participanti situati la mari distante
geografice unii de altii nu poate fi conceputa fara folosirea unor sisteme electronice de plati. Aceste noi
mijloace de plata permit transferarea comoda, sigura si foarte rapida a banilor intre partenerii de afaceri. De
asemenea, inlocuirea monedelor si bancnotelor, actualele forme traditionale de numerar, prin ceea ce
denumim bani electronici, conduce, pe langa reducerea costurilor de emitere si mentinere in circulatie a
numerarului, si la o sporire a flexibilitatii si securitatii sistemelor de plati.
Domeniul (interdisciplinar) al sistemelor electronice de plati este foarte vast. El se intinde de la problemele
arhitecturale si de software ale cartelelor inteligente, pana la fundamentele matematice ale criptografiei
utilizate in vederea securizarii platilor, trecand prin cunostintele economice specifice gestiunii platilor in
sistemele bancare clasice.
Viteza cu care evolueaza tehnologia Internet-ului este impresionanta. Daca acum se apreciaza ca exista
cateva zeci de milioane de oameni care folosesc serviciile Internet in fiecare moment, numarul lor va creste
exponential in anii urmatori. Dintr-un recent sondaj a reiesit ca, daca cu cativa ani in urma 70% din utilizatorii
Internet-ului apreciau e-mail-ul ca principal beneficiu si doar 30% Web-ul, in prezent, 30% din persoane
considera pe primul loc e-mail-ul, 50% Web-ul si, deja 20%, comertul si platile electronice. In acest ultim
domeniu revolutia abia a inceput: sa observam ca platile electronice reprezinta un fel de e-mail in raport cu
banii reali, asa cum posta electronica reprezenta, acum cativa ani, o adevarata revolutie in comunicatiile dintre
persoane.
Partea a II-a si capitolele care urmeaza isi propun o analiza cuprinzatoare a sistemelor moderne de plati
folosite si in comertul electronic. Vom incepe cu prezentarea deja “clasicelor” carduri, a cardurilor cu
microprocesor, a sistemelor de plati ce folosesc cardurile (protejate criptografic) in Internet, a sistemelor de
plati “off”, bazate pe portofel electronic si, nu in ultimul rand, vom exemplifica sistemele de plati “software”,
bazate pe protocoale criptografice in retea, in special a celor din categoria “microplatilor”.
Operatiuni cu carduri
Etapele fundamentale care caracterizeaza operatiunile cu carduri sunt: emiterea si acceptarea.
Emiterea cardurilor
O banca comerciala poate lansa pe piata doua tipuri fundamentale de carduri: de debit si de credit. La fiecare
dintre acestea, banca poate emite diferite variante, cu functiuni suplimentare fata de cele standard.
Acceptarea cardurilor
Figura 6.1 explica fluxul operatiunilor de acceptare la plata a unor tranzactii cu carduri (in engleza acquiring
system).
Transferul de fonduri prin carduri
Sistemul electronic de transfer de fonduri (EFT-Electronic Found Transfer) reprezinta ansamblul
dispozitivelor si procedeelor speciale care asigura deplasarea fluxurilor monetare de la platitor la beneficiar
intr-un mediu exclusiv electronic. Ele se efectueaza in timp real si fara prezenta inscrisului doveditor pe hartie.
Avantajele EFT sunt:
viteza de transfer,
securizarea transferului prin metode criptografice,
aplicatii autosecurizate.
VISA International
Este o organizatie non-profit, alcatuita din organisme financiare cum ar fi banci comerciale, case de economii
etc. VISA este o marca inregistrata, cu faimoasele benzi colorate in albastru, alb si galben si care permite
decontarea tranzactiilor internationale. VISA domina actualmente piata internationala a cardurilor. Iata
principalele tipuri de carduri VISA existente la ora actuala.
Cardul VISA Classic, in 2 variante:
o Cardul de debit VISA Classic-permite clientilor accesul rapid, controlabil si global la fondurile lor prin
intermediul punctelor de vanzare (EFTPOS -Post of Sale) sau a automatelor de bani (ATM). Cand se
folosesc sisteme manuale, autorizarea se face vocal, pentru sume ce nu depasesc o anumita valoare.
o Cardul de credit VISA Classic-permite lansarea unei linii de credit aprobate anterior, in baza careia
clientii pot cheltui folosind cardul. In sistemul on-line, cardul poate fi folosit la EFTPOS-uri. In cel off-
line, autorizarea telefonica prin voce ajuta la minimizarea fraudelor. Clientii pot face cumparaturi sau
pot obtine numerar de la banci si ATM-uri.
Cardul VISA Business este un produs destinat persoanelor ce calatoresc frecvent si fac afaceri, avand
un potential financiar ridicat. Utilizarea este asemanatoare cu cardul clasic, pentru plata calatoriilor de
afaceri, a vacantelor, inchirierea de autoturisme etc. Se ofera si numeroase servicii suplimentare (rezervari
hoteluri, asistenta medicala si juridica, inlocuirea cardurilor furate sau pierdute etc.).
Cardul Gold/Premier este cel care domina piata in acest moment. El este destinat clientilor cu venituri
mai mari si permite acces la fondurile proprii si la facilitati de creditare prin intermediul celei mai extinse
retele de ATM-uri si comercianti. Serviciile includ o limita de cheltuiala de cel putin 500 USD (sau
echivalentul in moneda locala) pentru fiecare ciclu de facturare, limita zilnica de retragere de la ATM-uri de
cel mult 200 USD, asistenta medicala si juridica in cazuri speciale, inlocuirea cardurilor furate sau pierdute,
tarife privilegiate pentru calatorii, hotel, acces la saloane clasa business ale aeroporturilor etc.
Cardul Electron este un debit card ce ofera bancii emitente posibilitatea de a controla, cu un grad de risc
redus, eliberarea de numerar prin ATM-uri sau POS-uri. Orice tranzactie cu un astfel de card trebuie
autorizata. Este folosit in cazul persoanelor pentru care riscul de utilizare a cardurilor este mai ridicat
(studenti, elevi, emigranti). Principala functie a acestui tip de card este inlocuirea numerarului.
Europay International
Este o organizatie non-profit care cuprinde MasterCard International (cu sediul in SUA) si Eurocard
International (cu sediul in Belgia). Se emit 2 tipuri de carduri: MasterCard si Eurocard. Iata principalele tipuri
de carduri Europay existente la ora actuala.
Cardul MasterCard/Eurocard Classic – este un card de tip debit sau credit care se adreseaza
tuturor categoriilor de utilizatori, prezentand un grad de siguranta adecvat. El poate fi folosit in intreaga
lume, atat la tranzactii comerciale cat si pentru numerar, prin echipamente ATM si POS, sau prin
prelucrare manuala.
Cardul Cirrus este un card de tip debit care se adreseaza utilizatorilor cu grad inalt de risc, putand fi
folosit in intreaga lume, pentru retragerea de numerar prin echipamente ATM.
Cardul Eurocard-ATM este un card de tip debit care se adreseaza utilizatorilor cu grad inalt de risc,
putand fi folosit numai in Europa, pentru retragerea de numerar prin echipamente ATM.
Cardul Eurocheque este un card de calatorie pentru Europa, pentru persoane ce nu detin conturi in
banca.
Cardul Edc este un card de tip debit care se adreseaza utilizatorilor cu grad inalt de risc, putan fi
folosit numai in Europa pentru tranzactii comerciale prin echipamente POS.
Cardul Maestro este un card de tip debit care se adreseaza utilizatorilor cu grad inalt de risc, putand
fi folosit in intreaga lume, pentru tranzactii comerciale prin echipamente POS.
Cardul Europay CLIP este un card cu chip - portofel electronic - ce combina avantajele numerarului
cu usurinta in folosire, securitatea absoluta si capacitatea unica de folosire oriunde in lume.
Detinatorul foloseste una din metodele de incarcare cu moneda sau valute la alegere, dupa care
poate folosi cardul oriunde in lume. Valoarea inglobata in card este memorata in chip, sumele platite
deducandu-se in momentul tranzactiei, astfel incat nu este necesara conectarea on-line si un PIN.
Deoarece valoarea cardului este limitata la suma stocata, riscurile generate de pierderi sau furt sunt
limitate. CLIP poate contine mai multe portofele electronice, fiecare cu o valuta diferita. Ele pot fi
incarcare fie din contul curent, fie cu numerar, fie “card-to-card”.
American Express
Este un sistem global de plati prin carduri, promovat de banca americana American Express. Iata principalele
tipuri de carduri American Express existente la ora actuala.
Cardul Business este un card orientat catre clientii care calatoresc mult si intretin regulat relatii de
afaceri precum si catre acei clienti cu potential financiar foarte ridicat.
Cardul Gold este un card orientat catre clientii cu potential financiar foarte ridicat, cerand anumite
conditii speciale de detinere.
Cardul Classic este un card orientat catre categoriile de clienti obisnuiti.
Banca Nationala a Romaniei a elaborat 2 acte normative care isi propun sa reglementeze folosirea cardurilor
in tara noastra.
Regulamentul nr.1 privind principiile si organizarea avizarii tehnice a sistemelor de plati si
decontari fara numerar, publicat in Monitorul Oficial nr.75 din 26.04.1995. Actul numeste Banca
Nationala ca Autoritate de Avizare Tehnica, prin Directia Plati si Decontari Bancare si descrie
procedurile si formalitatile prin care diferitele banci pot sa-si avizeze sisteme de plati fara numerar.
Regulamentul nr. 6 din 2006 privind privind emiterea si utilizarea instrumentelor de plata
electronica si relatiile dintre participantii la tranzactiile cu aceste instrumente. Reglementarea
are ca obiect stabilirea modului de organizare a activitatilor de transfer de fonduri si decontare prin
cartele de plata (plati cu carduri), efectuate de banci. Se definesc termeni specifici domeniului, cum ar
fi ATM, EFT POS, card, card multi-functional, card de debit, PIN, transfer de fonduri etc.
Facilitati generale
permit aplicatii multiple, plati electronice, etc.,
compatibilitate EMV, de tip debit/credit compatibile VISA EasyEntry,
control acces la date, mesaje sigure, autentificare,
compatibile ISO 7816-1, -2, -3
criptare Triple DES, rutine rapide de I/O, protocol T=0 (T=1 optional)
Aplicatii
plati electronice : portofel electronic, cartele de debit/credit,
cartele de identificare,
sisteme de loialitate si sisteme de plati inchise,
aplicatii multiple
1. Tip MPCOS-EMV
Exemplu de produs Capacitate memorie
MPCOS®-EMV64K 8 kilobytes
Kituri asociate: MPCOS-EMV Evaluation and Development Kit
6. 3 Carduri Java
O categorie noua de carduri inteligente sunt asa numitele Java Card (J-Card). Ele sunt aparent identice cu
cardurile bancare, fiind insa in realitate niste mici calculatoare capabile sa execute programe scrise in limbaj
Java. Ele sunt ideale pentru a memora informatii de acces in Internet, a servi la cumparaturi, la telefoane
portabile, sanatate etc. Java Cardurile contin in realitate o masina virtuala Java si un sistem de operare.
Java Card permite dezvoltarea rapida, folosind facilitatile si flexibilitatea limbajului Java, a unor aplicatii de e-
commerce, transport, banci etc. Capabile sa execute cod Java Card, conform specificatiilor elaborate de
JavaSoft (Java Card 2.0), aceste card-uri permit executia unor aplicatii multiple, folosind tehnologia orientata-
obiect. Vom aminti ca JavaSoft a elaborat, in 1996, specificatiile pentru Java Card 1.0, in 1998 cele pentru
Java Card 2.0, iar in prezent Java Card 3.0.
Dezvoltarea aplicatiilor pentru Java card-uri se face folosind Java Card 3.0 API. Proiectat cu sprijinul celor mai
importante firme producatoare de card-uri, acesta specifica un subset Java, potrivit pentru executie in medii a
caror memorie este limitata, asa cum sunt cardurile. Pentru dezvoltarea aplicatiilor cu productivitate crescuta
(se apreciaza o reducere a timpului de realizare a codului cu 60% in raport cu limbajele traditionale precum C)
se folosesc tools-uri integrate pentru Java, cum ar fi cele create de Borland, IBM, Microsoft, Sun si Symantec.
Java Card furnizeaza un mediu care asigura integritatea datelor prin detectarea programelor malicioase sau a
celor ce tenteaza sa acceada la date senzitive. Desi nu este acceptata in Java Card clasa Security Manager,
Microsoft a integrat Smart Card SDK ca parte a Microsoft Platform SDK din Windows Base Services. Aceasta
contine tools-urile si API-urile necesare crearii unor aplicatii Windows bazate pe smart card-uri. Microsoft
Platform SDK poate fi obtinut de la adresa:
http://www.microsoft.com/msdn/sdk.
Din punctul de vedere al dezvoltatorilor de aplicatii, exista 3 module API pentru accesul la serviciile oferite de
un smart card:CryptoAPI, Win32API si Scard COM.
Carduri de telecomunicatii
Lumea telefoanelor celulare care folosesc carduri inteligente este intr-o dezvoltare exploziva. Avantajul acestei
solutii este ca memorarea informatiilor se face in card si nu in telefon. Se poate astfel contoriza sigur folosirea
serviciilor telefonice, se garanteaza impiedicarea folosirii telefonului in caz de furt cu ajutorul unui cod secret
numit PIN si se pot cripta convorbirile pentru asigurarea confidentialitatii.
Carduri de loialitate
Aceste tipuri de carduri pot fi folosite de firme/magazine sau grupuri de firme/magazine care acumuleaza
puncte de “loialitate” pentru cumparatorii fideli in achizitionarea unor produse sau servicii. In plus, vanzatorii
pot acumula aici date de natura statistica privind cerintele si obiceiurile cumparatorilor. Pe card, fiecare
vanzator poate avea propriul sau program de loialitate.
Carduri TV
Cardurile inteligente sunt singurele dispozitive care asigura suficienta securitate pentru plata serviciilor TV.
Aceasta piata se dezvolta foarte rapid incepand cu anul 1998.
CURS 7.
TIPURI DE SISTEME DE PLATI ELECTRONICE IN INTERNET
Acest curs sintetizeaza mecanisme de plata care se fac in circumstanta in care platitorul nu este prezent la
punctul de vanzare sau service, dar are disponibila facilitatea unei conexiuni electronice, de obicei prin retea
(Internet). Unele dintre ele folosesc carduri (clasice sau portofele) celelalte se bazeaza pe protocoale
criptografice in retea.
7.1 Principalele sisteme de plati electronice in Internet
a) Sisteme bazate pe transmiterea criptata a cardurilor clasice
Schema dupa care se desfasoara o operatiune de creditare sau debitare a unui portofel este
urmatoarea:
1. se autentifica cardul cu ajutorul cheii avute la dispozitie de catre toti furnizorii de servicii;
2. se determina valoarea tranzactiei si se verifica soldul cardului;
3. se verifica detinatorul (prin PIN);
4. se face operatiunea de creditare/debitare;
5. se genereaza de catre card certificatul de debitare;
6. certificatul de debitare este verificat de cititorul de card.
Un sistem de plati bazat pe portofel electronic trebuie sa dispuna de urmatoarele componente de
securitate:
Portofelul, ce contine identificatorul de card, un identificator pentru banca emitenta pentru a se
permite compensarea si decontarea, soldul, chei criptografice de creditare pentru securizarea
reincarcarii, chei criptografice de debitare, pentru securizarea cumpararii, soldul maxim acceptat,
inregistrarea ultimelor tranzactii;
Cardul comerciantului, ce contine cheile secrete cu care POS-ul autentifica portofelul, verifica
extrasul de cont cu soldul curent si debiteaza soldul portofelului cu valoarea bunurilor sau serviciilor
precum si un PIN pentru evitarea folosirii neautorizate;
EFT POS, cu capacitate de conectare a 2 carduri, display pentru afisarea valorii curente stocate in
portofel si a tranzactiei. Verifica cardul si certificatul de debitare, permite detinatorului sa-si dea
acordul pentru cumparare, permite detinatorului sa-si introduca PIN-ul sau, tipareste pe hartie chitanta
cu suma tranzactiei si memoreaza tranzactiile.
Multe cumparari de bunuri si servicii prin Internet se fac platindu-se cu carduri obisnuite. Insa tranzactiile cu
carduri contin informatii confidentiale privind cardul si informatiile personale ale clientilor, ce pot fi interceptate
in timpul transmisiei prin Internet. Folosind un software special, o persoana care monitorizeaza traficul pe
retea, poate citi continutul acestor date confidentiale sau se poate interpune intre entitatile comunicante daca
mesajele transmise sunt in clar. In acest caz este necesara elaborarea unor standarde specifice sistemelor de
plati, care sa permita coordonarea partilor legitime implicate in transfer si folosirea corecta a metodelor de
securitate. Aceasta clasa de protocoale urmareste securizarea transmisiei unor informatii private intre patru
entitati:
un cumparator, care achizitioneaza un produs sau un serviciu;
un vanzator, care ofera produse sau servicii cumparatorilor;
un emitent, care furnizeaza un cont de card cumparatorului si
un achizitor, care mentine o relatie financiara cu vanzatorul.
Etapa Descriere
1 Cumparatorul poate cauta bunuri si servicii avand mai multe posibilitati:
Foloseste un browser pentru a consulta cataloage online din pagina de Web a
vanzatorului;
Consulta un catalog suplimentar aflat pe un CDROM;
Consulta un catalog pe hartie.
2 Cumparatorul alege bunurile pe care doreste sa le cumpere.
3 Cumparatorului ii este prezentata o lista a bunurilor, incluzand pretul acestora si pretul
total cu tot cu taxe. Aceasta lista trebuie furnizata electronic de serverul vanzatorului sau
de softul de cumparare electronica din calculatorul clientului. Uneori se accepta
negocierea pretului.
4 Cumparatorul alege mijloacele de plata. Sa consideram ca este ales ca mijloc de plata
cartea de credit (cardul).
5 Cumparatorul trimite vanzatorului o cerere impreuna cu instructiunile de plata. In aceasta
specificatie, cererea si instructiunile de plata sunt semnate digital de catre cumparatorii
care poseda certificate.
6 Vanzatorul solicita autorizatia de plata a clientului sau de la institutia financiara a
acestuia.
7 Vanzatorul trimite confirmarea cererii.
8 Vanzatorul trimite bunurile sau indeplineste serviciile solicitate in cerere.
9 Vanzatorul solicita plata bunurilor si serviciilor de la institutia financiara a cumparatorului.
Internet
Client Tranzactii Vanzator
Certificat Tranzactii
Certificate
Compensare
Inregistrare
Banca
Retele private
Pasul Descriere
1 Emitatorul A scrie un mesaj si printr-o functie de dispersie (hash) neinversabila produce o
valoare unica a acestuia, numita rezumatul mesajului. Aceasta valoare este un fel de
amprenta a mesajului si va fi folosita mai tarziu la testarea integritatii datelor transmise.
2 Utilizand cheia privata de semnatura, cripteaza rezumatul mesajului creand semnatura
digitala.
3 Genereaza o cheie simetrica aleatoare pe care o foloseste la cifrarea mesajului original, a
semnaturii si a copiei certificatului sau. Certificatul contine cheia publica de semnatura a lui
A.
4 Certificatul receptorului B, pe care A l-a obtinut inainte de inceperea comunicatiei securizate,
contine o copie a cheii publice de schimb a acestuia. A foloseste cheia pentru a cripta cheia
simetrica generata aleator. Cheia cifrata, numita anvelopa (invelis) digitala, va fi trimisa lui B
impreuna cu mesajul cifrat.
5 A trimite lui B un mesaj SET constand din urmatoarele: propriul mesaj criptat simetric,
semnatura si certificatul, precum si anvelopa digitala.
6 Receptorul B primeste mesajul SET de la A si decripteaza anvelopa digitala cu cheia lui
privata de schimb pentru a obtine cheia simetrica.
7 Se foloseste cheia simetrica la descifrarea mesajului propriu-zis, a semnaturii si a
certificatului lui A.
8 Se decripteaza semnatura digitala cu cheia publica de semnatura a lui A, pe care o obtine
din certificatul acestuia si recupereaza rezumatul mesajului scris de A.
9 Calculeaza un nou rezumat al mesajului descifrat.
10 In final, receptorul B compara cele doua rezumate. Daca acestea se potrivesc, poate fi sigur
de integritatea mesajului, si ca a fost semnat de catre A.
Tabelul 7.2 Pasii procesului criptografic al protocolului SET
Protocolul SET introduce o noua aplicatie a semnaturilor digitale, si anume conceptul de semnatura duala.
Consideram urmatorul scenariu: Vanzatorul B trimite o oferta cumparatorului A si o autorizatie bancii sale
Initiala Participant
C Cumparator (Cardholder)
M Vanzator (Merchant)
P Poarta de plati (Payment Gateway)
AC Autoritatea de Certificate (Certificate Authority)
Chei criptografice:
Pe “dintii” cheilor se indica proprietarul lor. Cheile marcate cu “PB” reprezinta cheile publice iar cele cu “PV”
sunt cheile private. Cheile cu un caro dedesubt sunt chei de semnatura, iar cele cu o cheie mica sunt chei de
schimb.
Semnatura digitala (initiala reprezinta proprietarul cheii private folosite la crearea semnaturii. De
exemplu, aceasta semnatura este creata cu cheia privata de semnatura a vanzatorului.
Semnatura duala. Initiala reprezinta proprietarul cheii private folosite la crearea semnaturii. De
exemplu, aceasta semnatura duala este creata cu cheia privata de semnatura a cumparatorului.
Certificate. Initialele din “stampila” reprezinta proprietarul cheii private folosite la semnarea
certificatului. Litera din certificat indica proprietarul certificatului, iar cele doua embleme fac distinctie
intre certificatele de schimb si cele de semnatura. “AC” din aceste simboluri indica faptul ca
certificatele sunt create de Autoritatea de Certificate, iar “M” precizeaza ca sunt ale vanzatorului.
Cheie simetrica folosita la criptarea datelor. Ea va fi totdeauna trimisa cu datele cifrate in anvelopa
digitala. Numarul scris in dreapta diferentiaza cheile simetrice folosite intr-un set de tranzactii.
Card. Folosit pentru a arata ca numarul de cont al cumparatorului este transmis in anvelopa digitala
impreuna cu cheia simetrica de criptare.
Datele protejate. Este folosit pentru a reprezenta informatiile de cont trimise in anvelopa digitala a
cererilor de inregistrare ale vanzatorului.
Mesaj cifrat. Include si anvelopa digitala. Datele din regiunea conturata sunt criptate cu o cheie
simetrica generata aleator (aici este identificata ca fiind a doua cheie de acest gen din setul de
tranzactii curent). Entitatea a carei cheie publica a fost folosita pentru cifrarea invelisului este scrisa
inainte de acesta (pentru exemplul de mai sus, Poarta de Plati). De mentionat faptul ca in acest caz
anvelopa digitala cuprinde si numarul de cont al cumparatorului pe langa cheia simetrica. De
asemenea, o portiune din mesajul criptat cu cheia simetrica generata aleator contine certificatul de
semnatura al cumparatorului si intreg mesajul este semnat dual de catre cumparator.
Principalele functii ale Autoritatii de Certificate sunt:
primeste cereri de inregistrare,
proceseaza si aproba / respinge cererile,
elibereaza certificate.
Fluxul de procesare descrie aceste functii ca si cum ale ar fi realizate de o singura entitate, dar de fapt pot fi
indeplinite de una pana la trei entitati. Firmele eliberatoare de carduri (Brands) si institutiile financiare
individuale isi examineaza necesitatile pentru a alege o solutie de implementare. Solutia aleasa poate fi
folosirea unui singur server care realizeaza functiile respective sau a mai multora pentru o procesare
distribuita.
Inregistrarea cumparatorului
Figura 7.8 este o prezentare generala a procesului de inregistrare a cumparatorului, aratand cei sase pasi
fundamentali, care vor fi descrisi in continuare.
Pasul 1. (Figura 7.9). Cumparatorul trebuie sa se inregistreze la un AC, inainte de a trimite mesaje SET
vanzatorului. Pentru a trimite mesaje SET Autoritatii de Certificate, cumparatorul trebuie sa aiba o copie a
cheii publice de schimb a AC-ului, care este furnizata in certificatul de schimb al acestuia. De asemenea, are
nevoie de o copie a formularului de inregistrare de la institutia sa financiara. Pentru aceasta, software-ul
cumparatorului trebuie sa asigure identificarea institutiei financiare de catre AC. Obtinerea formularului de
inregistrare necesita doua schimburi intre software-ul cumparatorului si AC. Procesul de inregistrare este
inceput cand software-ul cumparatorului primeste o copie a certificatului de schimb al AC-ului.
Inregistrarea vanzatorului
Figura 7.16 este o prezentare generala a procesului de inregistrare a vanzatorului, aratand cei cinci pasi
fundamentali.
Pasul 1. (Figura 7.17) Un vanzator trebuie sa se inregistreze la un AC inainte de a putea sa primeasca
instructiunile de plata de la cumparator sau sa proceseze tranzactii SET prin Poarta de Plati. Pentru a trimite
Incasarea
Figura 7.32 este o prezentare generala a procesului vanzatorului de incasare, aratand cei trei pasi
fundamentali.
CURS 8.
SISTEME DE PLATI BAZATE PE PORTOFEL, BANI ELECTRONICI SI CARDURI
Pentru buna intelegere a protocoalelor specifice EPS-ului prezentat, se vor preciza unele notatii utilizate:
-contor- reprezinta balanta curenta a cumparatorului, asa cum se materializeaza in portofel;
-suma_r- reprezinta valoarea ceruta bancii in timpul tranzactiei de retragere;
In cadrul acestei faze banca si cumparatorul executa un proces de autentificare mutuala, dupa care contorul
smart card-ului (cumparatorului) este incrementat corespunzator sumei retrase. Protocolul consta din schimbul
a 3 semnaturi:
Prima semnatura este executata de catre banca pentru a convinge smart cardul ca dialogheaza cu
banca, al carei client este si care este singura autorizata sa “vada” continutul portofelului electronic.
Pentru prevenirea unui atac prin reluare de mesaje vechi si inregistrate, smart card-ul alege la fiecare
nou protocol o valoare aleatoare, care este inclusa in semnatura.
In cadrul acestei faze, dupa ce s-a facut incrementarea contorului din smart card-ul cumparatorului, se retrag
de la banca un numar de cecuri in alb (blanchete). Este ca si cand smart card-ul ar retrage un “chitantier”,
continand mai multe cecuri. Se retrag in fapt atatea cecuri pana cand se reface numarul maxim admis pe
smart card, inlocuindu-se cecurile consumate in platile anterioare. Ideea protocolului este de a se obtine o
semnatura a bancii, cu cheia sa secreta DBC , asupra fiecarei chei publice ECec , a fiecarui cec in alb:
Cec_alb = [ DBC ( EC ec, C ) ]
Trebuie remarcat ca perechea de chei publice si secrete ( ECec , DCec ) sunt diferite pentru fiecare cec. De
asemenea, fiecare semnatura utilizeaza DBC, cheia secreta a bancii cumparatorului. In continuare se detaliaza
aceasta faza a protocolului de retragere, care se repeta pentru fiecare cec in alb obtinut de la banca.
Cumparatorul (Smart card-ul), notat C
Detine:
cheia publica a bancii EBC
Banca cumparatorului, notata BC
Detine:
perechea cheie secreta-cheie publica folosita de banca: (DBC , EBC )
Pasul 4. Smart card-ul cumparatorului verifica valabilitatea cecului cu cheia publica EBC a bancii
ECec , C =? EBC ( Cec_alb )
si apoi memoreaza cecul in alb.
Pasul 2. Smart card-ul cumparatorului trimite la vanzator, pentru autentificare, cecul in alb
C ------> V : Cec_alb = [ DBC ( EC ec, C ) ]
Pasul 3. Vanzatorul verifica autenticitatea cecului folosind cheia publica a bancii sale calculand astfel
cheia publica a cecului ECec :
ECec , C =? EBC ( Cec_alb )
Pasul 1. Vanzatorul trimite bancii factura platii, care contine si cecul completat
V ------> BV : [ a , suma_p , data , C , V , [ Cec_completat ]
Dubla depunere:
o se cauta in baza de date daca exista un alt transcript cu aceeasi valoare a , specificatie.
o in caz contrar, se crediteaza contul vanzatorului cu suma_p .
Dubla cheltuire:
o se cauta daca in baza de date, la clientul C, exista un alt cec avand aceeasi cheie publica
ECec. Daca se gaseste, cumparatorul a facut doua plati cu acelasi cec. Ca urmare, se
debiteaza contul cumparatorului cu valoarea suma_p.
In cazul in care bancile cumparatorului si vanzatorului sunt diferite, nu se parcurge pasul doi al protocolului si
se trece la protocolul (tranzactia) de clearing.
Protocolul de clearing
Acest protocol are loc intre banca cumparatorului si cea a vanzatorului, in cazul in care acestea sunt diferite.
Prin el se transmite bancii cumparatorului transcriptul de plata, pentru ca aceasta sa faca debitarea contului
cumparatorului. Protocolul este asemanator celui de depunere prezentat anterior.
Banca vanzatorului, notata BV
Detine memorate:
perechea cheie secreta-cheie publica folosita de banca ( EBV , DBV )
cheia publica a bancii cumparatorului EBC
cecul completat:
DBC ( ECec , C ) ,( DCec ( ECec , a, specificatie ) )
transcriptul (factura) de plata ce se va transmite:
a , suma_p , data , C , V , [ Cec_completat ]
Banca cumparatorului, notata BC
Detine:
perechea cheie secreta-cheie publica folosita de banca ( EBC , DBC )
cheia publica a bancii vanzatorului EBV
Pasul 1. Banca vanzatorului trimite bancii cumparatorului factura platii, care contine si cecul completat
BV ------> BC : [ a , suma_p , data , C , V , BV, [ Cec_completat ]
ECash are un caracter privat: desi banca tine o evidenta a fiecarei retrageri eCash si a fiecarui depozit Mint,
este imposibil ca banca sa stabileasca utilizarea ulterioara a eCash. Aceasta proprietate se datoreaza folosirii
unor criptosisteme cu chei publice RSA, cu o lungime a cheii de 768 biti. Pe langa anonimitatea platilor, eCash
asigura si ne-repudierea, adica acea proprietate care permite rezolvarea oricaror dispute intre cumparator si
Figura 8.5 Dan trimite propria moneda electronica pentru a fi semnata de banca sa
In loc ca banca sa creeze monezi electronice "albe", calculatorul unui utilizator (in exemplul nostru Dan) este
cel care creeaza in mod aleator monezile. Apoi ascunde aceste monezi, fiecare intr-o anvelopa digitala
speciala, si le trimite pe rand catre banca.
Banca retrage la fiecare receptie dolari din contul lui Dan si construieste validarea digitala a monedei, ca o
“stampila” pe plicul pe care Dan tocmai l-a trimis. Plicul astfel “stampilat” este returnat catre Dan. Atunci cand
calculatorul lui Dan va inlatura plicul, va obtine o moneda digitala dupa cum si-a dorit, insa validata de
stampila bancii. Dar pentru ca banca nu a vazut moneda ascunsa in plic, aceasta nu va putea spune, atunci
cand va receptiona o plata, din partea cui provine aceasta, adica cui apartin acei bani.
Atunci cand Dan are eCash pe hard-discul sau, poate cumpara ceva de la magazinul lui Vlad (Figura 8.7).
Primind o cerere de plata de la Vlad, Dan o aproba prin apasarea butonului “Yes” din fereastra. Programul sau
eCash va alege din portofelul lui (pe disc) monedele electronice potrivite pentru a forma totalul de plata.
Dupa aceasta, va sterge aceste monede si le va trimite prin retea catre magazinul lui Vlad. Atunci cand
programul lui Vlad a receptionat monedele, le va trimite automat catre banca. Apoi va astepta pana cand
acestea sunt acceptate sau respinse, inainte de a trimite bunurile cumparate catre Dan.
3. Soft-ul vanzatorului va contacta programul portofel al cumparatorului printr-o legatura TCP/IP, cerandu-i
plata.
4. Cand portofelul clientului primeste cererea, el va intreba cumparatorul daca accepta plata. In caz afirmativ,
va trimite catre vanzator exact monedele electronice necesare. Acestea vor fi criptate cu cheia publica a
vanzatorului:
EVANZATOR ( Monede)
In cazul in care nu se dispune de monedele care sa satisfaca exact cererea de plata, se trimite un refuz
vanzatorului.
5. Cand vanzatorul primeste monedele, le decripteaza cu cheia sa privata; apoi trebuie sa verifice validitatea
lor si eventuala dubla cheltuire. Pentru aceasta, se contacteaza banca si i se trimite un mesaj format din
monedele, semnate cu cheia vanzatorului si apoi criptate cu cheia publica a bancii:
EBANCA ( DVANZATOR ( Monede)
6. Banca decripteaza mesajul cu cheia sa privata si apoi valideaza banii, verificand numerele de serie cu
cele inscrise in baza sa de date ca fiind deja cheltuite. Daca seriile trimise de vanzator sunt gasite in baza
de date, inseamna ca banii sunt invalidati, ei fiind deja cheltuiti. Daca insa ei nu sunt in baza de date si
sunt semnati corect de banca cu cheia sa privata, banii sunt validati. Valoarea lor crediteaza contul
vanzatorului, banii sunt distrusi iar seriile le sunt memorate in baza de date. Soft-ul bancii notifica
vanzatorului incheierea cu succes a depunerii.
7. Se returneaza un mesaj-chitanta semnat electronic catre soft-ul portofel al cumparatorului.
8. Se trimite apoi un mesaj de confirmare de la portofel catre serverul Web.
9. Serverul Web inainteaza informatia catre clientul Web al cumparatorului.
Vom prezenta, cu titlu de exemplu, felul usor in care poate fi folosit in Internet sistemul electronic de plati
eCash, pentru cumpararea unor bunuri, via Web. Vom prezenta doua tranzactii tipice:
1. cumpararea unui CD de la un magazin on-line;
2. trimiterea unei plati eCash prin e-mail, catre o alta persoana;
Astfel s-a realizat plata electronica si se poate inchide soft-ul de acces la magazin.
2. Sa presupunem acum ca doriti sa trimiteti o plata eCash prin e-mail, la o alta persoana. Veti apasa
butonul “payments” (al treilea din stanga, in fereastra principala din Figura8.9). Imediat se afiseaza o fereastra
pentru plata prin e-mail (Figura 8.10). Apar afisate zone in care se completeaza suma, contul (adresa e-mail)
si un loc de mesaj, care sa insoteasca plata. Veti selecta “Save As” pentru a face numirea fisierului cu plata
electronica facuta de dumneavoastra altei persoane.
Apoi atasati fisierul cu plata, tocmai construit, la un e-mail si trimiteti-l la destinatar.
In situatia cand receptionati o plata eCash de la o alta persoana, veti apasa butonul “payments” din meniul
principal (Figura 8.9). Apoi localizati fisierul de plata in dosarul de “Attachemets” al programului cu care
gestionati posta electronica. In fereastra din figura 8.11 veti apasa butonul “Browse” pentru a cauta si
deschide fisierul de plata. Daca deschiderea fisierului s-a facut cu succes, se afiseaza o fereastra unde este
vizualizata si suma. Veti apasa butonul “Accept payment” pentru a accepta plata.
ECash Mint confirma validitatea banilor si crediteaza contul dumneavoastra, ceea ce se va putea observa prin
suma afisata in fereastra principala.
2. Vanzatorul trebuie sa verifice validitatea monedelor electronice primite. Pentru aceasta, le va trimite SM
pentru a le schimba cu alte monede electronice sau cu un cec. Vanzatorul genereaza o noua cheie
secreta simetrica de sesiune KVANZATOR pe care o va trimite impreuna cu banii la SM. Intreg mesajul este
criptat cu cheia publica a serverului:
ESM ( Monede, KVANZATOR, Tip-tranzactie)
3. Serverul SM verifica faptul ca banii sunt valizi, consultand baza sa de date. Un ban este valid daca
numarul sau serial apare in baza de date. SM va returna vanzatorului noi monede electronice sau un cec,
criptate cu cheia secreta de sesiune a vanzatorului:
KVANZATOR (Noi-monede).
4. Primind noii bani (sau cecul), vanzatorul se convinge ca a fost corect platit de cumparator. Acum el va
returna acestuia o confirmare, semnata cu cheia sa privata si cifrata cu cheia secreta de sesiune a
cumparatorului:
KCUMPARATOR (DVANZATOR (Suma, Id-tranzactie, data)).
Avantajele folosirii NetCash sunt scalabilitatea sistemului si securitatea. El este scalabil, intrucat se pot instala
SM multiple. Securitatea este asigurata de protocoalele sale criptografice. Insa spre deosebire de eCash,
sistemul NetCash nu este complet anonim. Este dificil, dar nu imposibil, pentru un SM sa pastreze inregistrari
despre persoanele carora li se emit monede si de la care se primesc acesti bani inapoi. Abilitatea cu care se
folosesc mai multe servere SM creste gradul de anonimitate al platilor.
CURS 9.
SISTEME DE MICROPLATI ELECTRONICE
Sisteme de micro-plati
In momentul de fata exista deja, sau sunt propuse, un numar de protocoale de plata pentru comertul
electronic, cum ar fi cele de la DigiCash, Open Market, CyberCash, First Virtual si NetBill. Toate sunt destinate
unor tranzactii "mari", de $5, $10 si mai mult, iar costul per tranzactie este de obicei de mai multi centi, plus un
procent din suma vehiculata. Atunci cand aceste costuri sunt aplicate la tranzactii ieftine, de 50 de centi sau
mai putin, costul devine semnificativ in pretul total al tranzactiei. Ca urmare, pentru a obtine efectiv un pret
minim pentru anumite bunuri si servicii "ieftine" ce urmeaza a fi cumparate, vor trebui utilizate noi protocoale.
Exista o serie de servicii on-line, care promoveaza ziare, reviste, referinte de munca si altele, toate avand
articole individuale care sunt ieftine daca sunt vandute separat. Avantajul de a cumpara articole individuale
ieftine poate face aceste servicii mai atractive utilizatorilor ocazionali ai Internet-ului. Un utilizator, care nu
agreeaza ideea de a deschide un cont de zece dolari cu un editor de publicatii necunoscut, poate fi dispus sa
cheltuiasca cativa centi pentru a cumpara un articol interesant la prima vedere. O aplicatie "ieftina" frecvent
utilizata o reprezinta plata vizitarii siturilor in Internet.
Sub forma de concept si proiect experimental, micro-platile se adreseaza nevoii existentei unei scheme
simple, ieftine, care sa poata suporta economic plati foarte mici, cativa dolari, centi si chiar fractiuni de centi.
Vom analiza cateva propuneri din aceasta categorie de sisteme electronice de plata.
9.1 MilliCent
MilliCent este un protocol sigur si simplu pentru comertul electronic in Internet. A fost creat pentru a accepta
tranzactii comerciale in care sunt implicate costuri mai mici de un cent. Este un protocol bazat pe o validare
descentralizata a banilor electronici pe serverele vanzatorilor, fara comunicatii aditionale, criptari scumpe sau
procesari separate.
Cheia inovatiei MilliCent este aceea de a introduce utilizarea “brokerilor” si a “scrip-urilor”. Brokerii (cei care
vand scrip-uri) au ca sarcina stabilirea de conturi cu vanzatorii si managementul acestor conturilor. Scrip-ul
este moneda digitala, specifica fiecarui vanzator in parte. Vanzatorii au sarcina de a valida local scrip-ul pentru
a preveni furtul, cum ar fi de exemplu dubla cheltuire, din partea clientilor.
O piesa de scrip reprezinta un cont al clientului care a fost stabilit cu vanzatorul. In orice moment, vanzatorul
are de rezolvat scrip-urile (conturile deschise) cu clientii cei mai recenti. Balanta contului este actualizata
dupa valoarea scrip-ului. Atunci cand clientul face o cumparatura cu scrip, costul cumparaturii este dedus din
scrip-ul total iar valoarea care ramane formeaza noul scrip, care este returnat ca rest. Atunci cand clientul a
terminat mai multe tranzactii, el poate "incasa" valoarea ramasa a scrip-ului (inchide contul).
Brokerii servesc drept conturi intermediare intre clienti si vanzatori. Clientii intra intr-o relatie de lunga durata
cu brokerii, in mare cam in acelasi mod cum s-ar face o intelegere cu o banca, o companie de credit-carduri
sau un ISP (distribuitor de servicii Internet). Brokerii cumpara si vand scrip-uri apartinand vanzatorilor, ca un
Scrip-ul are un camp pentru inregistrarea anumitor proprietati, care sunt inserate de vanzator sau broker,
atunci cand este produs scrip-ul. Aceste campuri de proprietati si valoarea lor depind de intelegerea dintre
brokeri si vanzatori. Brokeri obtin informatii de la clienti atunci cand acestia isi creeaza un cont si impun cateva
seturi de reguli pentru vanzarea de scrip vanzatorilor. Vanzatorii, desigur, sunt liberi sa includa daca doresc
aceste proprietati in scrip atunci cand produc ei insati unitatile valorice. Informatii cum ar fi statul de rezidenta,
sau varsta clientului ajuta vanzatorului in luarea deciziilor de vanzare. De exemplu, materialele destinate doar
adultilor pot fi oferite doar daca scrip-ul arata ca un client are varsta corespunzatoare.
Validarea si expirarea scrip-ului
Scrip-ul este validat in doi pasi. La primul pas (Figura 9.2), certificatul este recalculat si verificat prin
comparare cu certificatul trimis impreuna cu scrip-ul. Daca scrip-ul a fost contrafacut, atunci cele doua
certificate nu vor corespunde. La al doilea pas, existand un identificator unic (ID#) inclus in corpul scrip-ului,
vanzatorul poate verifica dubla cheltuire, uitandu-se daca are deja inregistrat identificatorul scrip-ului care
urmeaza a se cheltui. Generarea si validarea scrip-ului cer o scurta manipulare a textului si o operatie de
hash. In afara de cazul cand secretul este cunoscut, scrip-ul nu poate fi contrafacut sau alterat.
Vanzatorul inregistreaza identificatoarele unice ale fiecarei piese de scrip care este cheltuita, deci aceasta nu
poate fi recheltuita fraudulos. Pentru a degreva vanzatorul de mentinerea acestor inregistrari o perioada foarte
indelungata, fiecare piesa de scrip primeste o data la care expira. Odata scrip-ul expirat, vanzatorul nu-si va
mai face griji ca acesta poate fi recheltuit si ca urmare poate sterge inregistrarea aferenta scrip-ului.
Clientul este responsabil pentru reinoirea sau schimbarea in bani a scrip-ului, inainte ca acesta sa expire.
Scrip-ul vechi este trimis la vanzator, de unde se returneaza un scrip nou, cu o noua data de expirare si un
Protocoalele MilliCent
Scrip-ul sta la baza unei familii de protocoale MilliCent. Se vor descrie trei protocoale si vor fi comparate dupa
simplitate, secretizare si securitate. Primul protocol, "scrip in clar", este cel mai simplu si mai eficient. El sta la
baza celorlalte doua protocoale, dar nu poate fi util in practica pentru ca este mult prea nesigur. Al doilea
protocol, "privat si sigur", este un protocol sigur si ofera o buna confidentialitate, dar este destul de scump. Al
treilea protocol, "sigur fara criptare", este de asemenea sigur, dar nu ofera confidentialitate.
Scrip in clar
In cel mai simplu protocol MilliCent, clientul trimite catre vanzator o unitate valorica necheltuita de scrip in clar
(necriptata sau protejata in nici un fel) impreuna cu cererea de cumparare. Vanzatorul returneaza rezultatul
dorit (produs, informatie sau serviciu) impreuna cu o noua piesa de scrip (de asemenea, in clar) ca rest. Acest
protocol ofera servicii aproape nesigure: O a treia parte care „trage cu urechea” poate intercepta scrip-ul care
este returnat ca rest si il poate utiliza pentru sine. Atunci cand adevaratul proprietar va incerca mai tarziu sa
cheltuiasca scrip-ul, vanzatorul va avea o inregistrare care indica faptul ca acea piesa a fost deja cheltuita si
va refuza cererea.
Privat si sigur
Pentru a adauga securitate si confidentialitate la protocolul MilliCent, se stabileste un secret comun (o cheie
criptografica) intre cele doua parti care vor utiliza acest secret, pentru a realiza un canal de comunicatie sigur,
utilizand o metoda de criptare simetrica eficienta (cum ar fi, DES, RC4 sau IDEA).
Scrip-ul poate fi utilizat pentru stabilirea cheii. Atunci cand un client cumpara o piesa initiala de scrip de la
vanzator, este generat un secret pe baza identificatorului clientului, care este livrat intr-o maniera sigura,
impreuna cu scrip-ul (Figura 9.3). Aceasta cere ca fiecare tranzactie de acest tip sa se faca utilizand un
protocol sigur non-MilliCent, sau acest scrip sa fie cumparat utilizand o tranzactie sigura MilliCent.
Vanzatorul nu inregistreaza direct secretul asociat unui scrip. Este mai usor ca, pe baza campului din scrip,
identificator-client (Client-ID#), sa se faca o recalculare rapida a secretului. Identificatorul clientului trebuie sa
fie unic, pentru a avea o posibilitate de identificare sigura a acestuia.
Atunci cand vanzatorul receptioneaza o cerere, el obtine secretul clientului din identificatorul lui din scrip,
deriveaza cheia criptografica din secretul clientului si utilizeaza cheia din acest mesaj pentru decriptarea
cererii. Scrip-ul returnat poate fi in clar, atata timp cat raspunsul si orice noi secrete sunt returnate catre client
criptate cu cheia mesaj.
9.2 CyberCoin
Sistemul de micro-plati CyberCoin poate realiza in Internet plati de sume mici, de la 25 de centi la 10 $,
acoperind astfel o zona in care sistemul ce utilizeaza cartile de credit nu este fezabil din punct de vedere
economic. Vanzatorii de pe Web de servicii si produse ieftine, livrate imediat, au nevoie de o metoda de plata
asemanatore cu plata cash ce se efectueaza in magazine.
9.4 NetBill
NetBill este tot un protocol destinat vanzarii si cumpararii prin Internet a unor produse cu un cost mediu sau
redus. Un cumparator este reprezentat printr-un calculator client, care doreste sa cumpere informatii de pe un
server al unui vanzator. Un server de conturi (NetBill server) detine conturile ambelor parti, client si vanzator,
si are legatura cu o institutie financiara conventionala (banca). NetBill are un set de protocoale eficiente pentru
negocierea preturilor, livrarea bunurilor si plata acestora.
Modelul tranzactiilor NetBill
Acest model implica trei parti: cumparatori, vanzatori si servere de tranzactii NetBill. O tranzactie implica trei
faze: negocierea pretului, livrarea bunului si plata. Pentru bunurile reprezentate de informatii, care pot fi livrate
prin intermediul Internet-ului, protocolul NetBill leaga ultimele doua faze de livrare si plata a bunului intr-o
singura faza atomica.
Intr-o tranzactie NetBill, clientul si vanzatorul interactioneaza pe parcursul primelor doua faze. Serverul NetBill
nu intervine decat in a treia faza, cea a platii, atunci cand un vanzator trimite o cerere de tranzactie. Clientul
contacteaza serverul NetBill direct doar in cazul in care doreste sa comunice o eroare sau o cerere cu functie
administrativa.
Cecul electronic semnat si factura sunt transmise catre incasator prin e-mail sau printr-o tranzactie Web.
Incasatorul verifica semnatura platitorului din e-cec si factura, separa informatiile facturii si pune suma platita
in contul de primire. Incasatorul introduce codul sau PIN pentru deblocarea smart card-ului sau, utilizeaza
acest “carnet electronic de cecuri” pentru a aproba e-cecul si semneaza un depozit electronic pentru a incasa
suma din e-cec. Cecul aprobat (semnat de incasator) este dat mai departe bancii incasatorului pentru
depozitare. Ambele banci, cea a platitorului si cea a incasatorului, intre care se realizeaza de fapt tranzactia
reala a sumelor, verifica toate semnaturile si aprobarile din e-cec, utilizand doua nivele de certificate. Banca
CURS 10.
STUDII DE CAZ REFERITOARE LA PLATI ELECTRONICE
Atunci cand se face o cumparatura, produsul dorit este selectat printr-un browser Web. Serverul vanzatorului
trimite portofelului cumparatorului un mesaj cerere de plata in clar, semnat criptografic, cerere care descrie
cumpararea si tipurile de carduri care sunt acceptate pentru plata. Software-ul portofel afiseaza o fereastra
care permite cumparatorului sa aprobe achizitia si suma si sa selecteze cardul cu care se va face plata.
Se trimite inapoi vanzatorul un mesaj de plata, ce include o descriere a tranzactiei, criptata si semnata digital
de cumparator, precum si numarul cardului folosit. Vanzatorul trimite mai departe mesajul de plata la gateway-
ul CyberCash, impreuna cu propria sa descriere a tranzactiei, criptata si semnata digital. CyberCash
decripteaza si compara cele 2 mesaje si verifica cele 2 semnaturi. Daca lucrurile sunt OK, el autorizeaza
cererea vanzatorului trimitand un mesaj specific la software-ul acestuia. Apoi software-ul vanzatorului confirma
plata portofelului cumparatorului ("Raspuns la plata" in figura 10.5).
CyberCash opereaza propriul sau gateway ca un agent al bancii vanzatorului. De aceea, el trebuie sa fie de
incredere pentru a decripta mesajele si a le transfera pe retelele de autorizare conventionale ale bancilor.
Intrucat informatiile sunt criptate cu cheia publica a lui CyberCash, cunoscuta de software-ul ce opereaza
sistemul, vanzatorul nu poate vedea care este numarul cardului folosit de cumparator, eliminandu-se riscul
refolosirii acestui card la alte cumparaturi neautorizate.
Recent, firma CyberCash Inc. a extins sistemul initial de plata bazat pe transmisia sigura a cardurilor cu alte
facilitati pentru plati cu bani electronici: Secure Cash/Check si Secure Check, precum si CyberCoin, folosit
pentru valori mici. De asemenea, in stransa legatura cu CyberCash, la Universitatea California de Sud au fost
dezvoltate alte 2 sisteme asemanatoare: NetCash, pentru plati cu sume mici, bazate pe bani electronici si
NetCheque, un sistem bazat pe cecuri electronice.
vWALLET
Cardholders
FEDEX
PACKAGE
VISA -
BASE2
Delivery
Bankcard
Settlement
Acquirer vG
vPOS
Processor
Autorizarea unei plati cu card in sistemul clasic (fizic) difera de cel pe Internet (virtual). In sistemul fizic,
terminalul vanzatorului comunica cu instanta de autorizare (Processor), iar aceasta, prin reteaua specifica, cu
institutia financiara emitenta a cardului. De asemenea, printr-un proces "off", informatiile privind plata se
comunica bancii cumparatorului, pentru a se opera in contul sau. In cazul platilor virtuale prin Inernet,
detinatorul de card (cumparatorul), dupa consultarea catalogului on-line si alegerea produsului, completeaza
datele de identificare a cardului si suma de plata, cu ajutorul unei componente soft pe PC-ul sau, numita
vWallet. Apoi, o alta componenta -vPOS- plasata la vanzator, comunica cu un calculator gateway pe care se
executa soft-ul vGATE, aflat in administrarea unei institutii financiare. Aceasta componenta, considerata
sigura, se interfateaza cu reteaua actuala de autorizare si comunica "on" cu emitentul de carduri, pentru
autorizare si "off" cu banca cumparatorului, pentru debitarea contului acestuia.
Vom observa ca solutia VeriFone foloseste protocolul SET pentru asigurarea securitatii tranzactiilor pe Internet
si impiedicarea "spoofing-ului". Insa SET face apel la certificate digitale. Visa si MasterCard au selectat
organizatii care au dreptul sa emita certificate. Acestea entitati, numite Autoritati de certificare, sunt GTE si
VeriSign. Rolul lor este:
sa emita si sa revoce certificate,
sa autentifice cererile de chei publice,
sa inlocuiasca certificate.
In figura 10.7 se prezinta schema VeriFone pentru plati electronice.
In plus, orice alt instrument recunoscut de vanzator, poate fi folosit de vWALLET. De obicei vanzatorii
furnizeaza o lista cu instrumentele acceptate. Automat vWALLET blocheaza folosirea altor instrumente de
plata neacceptate.
Soft-ul registru de casa al vanzatorului vPOS
Software-ul vPOS ruleaza la vanzator, furnizand platilor Internet un inalt nivel de securitate prin folosirea
protocoalelor SSL sau SET. vPOS permite vanzatorilor sa accepte plati on-line de la clienti si creeaza fluxul
de tranzactii transmis la institutiile financiare. Flexibilitatea produsului permite efectuarea si de plati in rate sau
repetarea unor plati mai vechi. vPOS implementeaza functiunile clasicului registru de casa.
BIBLIOGRAFIE:
1. Chaffey, D., E-Business and E-commerce Management, Prentice Hall, Harlow, England, 2002.
2. Timmers Paul, Electronic Commerce – Strategies and Models for Business-to-business Trading, John
Wiley & Sons, 2001.
3. Michael Rappa, Business Models On The Web, UNC, 2001.
4. David Kosiour, Understanding Electronic Commerce, Microsoft Press, 1997.
5. Bill Gates, Business @ the Speed of Thought: Succeeding in the Digital Economy, Business Plus,
2000.
6. Willian Stallings, Cryptography and Network Security: Principles and Practices, 3nd edition, Prentice
Hall, 2003
7. Ford Warwick, Baum Michael , Secure Electronic Commerce – Building Infrastruture for Digital
Signatues and Encryption, Prentice Hall, 1997.
8. Bruce Schneier, Secrets and Lies: digital security in a networked world, New York: John Wiley& Sons,
2000.
9. Donald O’Mahony, Michael Pierce, Vitesh Tewari, Electronic Payment Systems for E-Commerce,
Artech House, 2001.
10. Victor Valeriu Patriciu, Ion Bica, Monica Pietrosanu, Calin Vaduva, Securitatea comertului electronic ,
Editura All, Bucuresti, 2001.
11. Victor Valeriu Patriciu, Ion Bica, Monica Pietrosanu, Iustin Priescu, Semnaturi electronice si securitate
informatica, Editura All, Bucuresti, 2006.
12. Iustin Priescu, Victor Valeriu Patriciu, Sebastian Nicolaescu, Securitatea postei electronice in Internet,
Editura ATM, 2006.
13. Davia Karp, eBay Hacks, O’Reilly, 2003.
14. Gabriela Mesnita, Afaceri electronice, Universitatea A.I.Cuza, Iasi, 2005.
15. Ioana Anastase, Comertul electronic in noua societate informationala, Universitatea Romano-
Americana, Bucuresti, 2005.
16. ***, Legea 365 din 2002 privind comertul electronic, cu modificarile Legea nr. 121 din 2006.
17. ***, Hotararea Guvernului nr. 1308 din 2002 privind aprobarea Normelor metodologice pentru
aplicarea Legii 365/2002 privind comertul electronic.
18. ***, Directiva 2000/31/CE referitoare la anumite aspecte juridice privind serviciile societatii
informationale in piata interna, in special comertul electronic, Jurnalul Oficial al Uniunii Europene
(JOCE) nr. L 178/2000.
19. ***, Ordin al MCTI nr. 389 din 2007 privind procedura de avizare a instrumentelor de plata cu acces la
distanta, de tipul aplicatiilor Internet-banking, home-banking sau mobile-banking, MCTI, 2007.
20. ***, Regulamentul nr. 6 din 2006 privind privind emiterea si utilizarea instrumentelor de plata
electronica si relatiile dintre participantii la tranzactiile cu aceste instrumente, BNR, 2006.