О своем отношении к различным стандартам безопасности в интернет-коммерции глава российского представительства Visa International ЛУ НАУМОВСКИЙ рассказал корреспонденту Ъ КИРИЛЛУ Ъ-ЯЧЕИСТОВУ.
— Почему платежи по пластиковым картам через интернет у нас непопулярны?
— Действительно, в России общий объем покупок через интернет невелик. На Западе для безопасности расчетов в интернете уже внедрен протокол SET. Это очень хорошая технология. Но, судя по реакции банков, не только российских, но и зарубежных,— она дороговата. Банку-эмитенту, использующему протокол SET для отслеживания операций по картам, приходится самому держать базу данных банков-эквайреров и торговых точек.Мы пытались найти более дешевую альтернативу этому протоколу. И полтора года назад в Сан-Франциско, где расположена техническая база Visa International, был разработан протокол 3D Secure — лицензия на этот продукт принадлежит Visa. По решению Европейского союза уже в июле этого года все интернет-магазины должны получить идентификацию на уровне этого протокола. Следовательно, банк-эквайрер таких интернет-магазинов должен иметь возможность предоставить им этот протокол. В случае отсутствия 3D Secure всю ответственность при спорных трансакциях несет он сам. Если он использует 3D Secure, а банк-эмитент нет, то ответственность берет на себя последний.
— В чем принцип работы 3D Secure?
— Есть три различных домена — банка-эмитента, интернет-магазина и Visa, через домен которой идет сообщение между держателем карты, торговой точкой и банками. Очень важно, что все сообщения идут не через нашу сеть, а через интернет. При этом Visa обеспечивает конфиденциальность информации. После того как держатель карты нажимает на интернет-странице на наш лозунг Verified by Visa и вводит свой пароль, эта информация идет к банку-эмитенту и происходит идентификация. Банк-эмитент через домен Visa отправляет запрос в интернет-магазин, после чего этот магазин идентифицируется своим банком-эквайрером. Таким образом, данные держателя карты известны только банку-эмитенту. В то же время владелец карты уверен в том, что данный магазин имеет Verified by Visa, то есть сертифицирован Visa через банк-эквайрер. В том случае, если банк-эмитент не получит от домена Visa подтверждения, что магазин имеет Verified by Visa, трансакция не произойдет.
Конечно, владелец карты может сделать покупки и в других, не имеющих статуса Verified by Visa, интернет-магазинах. Тогда ответственность по спорным сделкам несет банк-эмитент, и он должен будет предупреждать своих клиентов об этом.
— Используют ли 3D Secure другие платежные системы?
— Пока нет. С American Express дискуссий по этому вопросу не велось. А MasterCard мы предложили использовать 3D Secure. Ответа пока нет, но мы его ждем.
— Почему российским банкам необходим именно 3D Secure?
— Когда мы в конце 2000 года исследовали этот вопрос, мы пришли к выводу, что из российских банков протокол SET готовы внедрить единицы. К тому же тогда еще не было известно, какой из протоколов станет мировым стандартом Visa. Поэтому банки не торопились и ждали, когда Visa примет окончательное решение. Это произошло в конце прошлого года: было решено, что мировым стандартом, используемым нашей платежной системой, будет 3D Secure. Поэтому руководством Visa по региону CEMEA, куда входит и Россия, было принято решение, что до апреля 2003 года все банки и торговые точки, работающие с Visa, должны внедрить 3D Secure.
Банки смогут приобрести необходимое обеспечение сами или работать через общий сервис, предоставляемый Visa. Конечно, банки могут и не вводить этот протокол, но тогда все риски они будут брать на себя. Если же они используют 3D Secure, то взаимные претензии эмитентов и эквайреров разбираются внутри Visa — у нас разработана для этого целая система.
— Какие торговые точки имеют статус Verified by Visa?
— В основном интернет-магазины, находящиеся в США. Например, Dell, Comp USA, Target, Buy.com. Из банков — Bank of America, Bank One, Chase, Sun Trust, First USA.
— А в нашей стране?
— Пока в России ни у банков, ни у магазинов нет такого статуса. Для этого им надо сначала внедрить 3D Secure. Но перед тем как начнется этот процесс, мы предложили банкам создать единого оператора для проведения интернет-трансакций. Отдельные решения будут стоить банкам дороже. К тому же в этом случае, как показывает зарубежный опыт, банки будут неохотно делиться друг с другом так называемыми черными списками. Если же будет создан единый оператор, то при нем будет создана и общая служба по сбору негативной информации.
— Некоторые банки уже имеют сертификат SET. В случае перехода на 3D Secure им будет выплачена компенсация?
— Такой сертификат имеет Альфа-банк. Но еще полгода назад, до получения им официального сертификата SET, мы предупредили банк, что Visa будет внедрять 3D Secure. Поэтому о компенсациях речи не идет.
— Внедрение 3D Secure требует от банков дополнительных затрат. Почему бы им не использовать для интернет-платежей такой продукт, как Visa Virtual?
— Такая карта очень эффективна — это фактически безрисковый продукт. Но их эмитировано всего несколько тысяч. Visa Virtual была задумана как промежуточный шаг: в то время, когда мы разрабатывали этот продукт, банки не были готовы внедрять SET или 3D Secure. А процесс покупок в интернет-магазинах нам тем не менее хотелось сделать более безопасным. Конечно, с точки зрения банка эмитировать Visa Virtual, может быть, даже проще, чем использовать протокол 3D Secure, позволяющий делать покупки в интернете владельцам традиционным карт. Но конкуренция между банками покажет, какая политика окажется верной.