О том, какие стандарты безопасной передачи данных в интернете претендуют на роль глобального, рассказал глава российского представительства Europay АНДРЕЙ КОРОЛЕВ в интервью корреспонденту Ъ МАКСИМУ Ъ-БУЙЛОВУ.
— Зачем нужны дорогостоящие ухищрения для организации приема пластиковых карт в интернете?
— Сейчас в мире выпущено более 1 млрд карт MasterCard. И свобода приема этих карт должна быть обеспечена во всех средах, предполагающих безналичную оплату. У нас рынок электронной коммерции пока маленький, но он быстро растет.— Быстро растет рынок интернет-расчетов между корпоративными партнерами (b2b) или расчетов интернет-магазинов с физическими лицами (b2c)?
— По последним отчетам, которые я видел, b2b, безусловно, растет быстрее, но и b2c не стоит на месте. Сейчас b2b уже вышел на тот уровень, когда он интересен банкам с экономической точки зрения. Рынок потребительских интернет-трансакций в ближайшие пять лет будет расти, но не станет доминирующим. Рынок реальных расчетов при помощи карт будет для банков интереснее. Так что если сегодня российский банк хочет обеспечить выход своих клиентов в интернет, то нормальный и относительно безопасный продукт — виртуальная карта.
— Как вы представляете себе будущее ранее широко разрекламированного протокола SET?
— SET — это абсолютный стандарт безопасности. Он хорош тем, что решает вопросы идентификации и на этой основе предоставляет гарантии всем участникам трансакции, начиная от держателя карты, эмитента, торговой точки и заканчивая эквайрером. В связи с таким всеобъемлющим набором мероприятий по безопасности это тяжелая и дорогая в запуске система. При этом те банки, которые нашли в этом экономический смысл, уже приняли решение по покупке и установке SET у себя. Таких решений в России как минимум два (Альфа-банк и Транскредитбанк.— Ъ) — банки умышленно шли на серьезные финансовые затраты, чтобы обеспечить безопасность, надежность и долговечность с точки зрения стандартов, которые они обеспечивают. Поскольку стандарт не приобрел ту популярность со стороны точек приема, на которую мы надеялись, он и не стал глобальным открытым стандартом.
— Вы говорите о российских интернет-магазинах или о компаниях, занимающихся интернет-коммерцией по всему миру?
— Мы предполагали, что абсолютная безопасность будет достаточным условием для глобального развития этого стандарта. После того как была сформулирована концепция протокола SET, появились другие решения, которые экономически целесообразнее решают вопросы безопасности. В результате SET не стал глобальным стандартом. А владельцы сертификатов — держатели карточки не могут полноценно использовать универсальность приема, которую дают международные карты. Поэтому в основном принятые решения по SET реализованы для замкнутых проектов. В этом случае SET является абсолютным решением как по безопасности, так и по технологичности.
— Есть протокол SSL, который существовал до появления SET и активно используется по сей день. Чем он не устраивает банки и платежные системы?
— Отсутствием безопасности — с точки зрения проверки клиента и проверки торговой точки. Он не обеспечивает должного уровня безопасности информационной среды. Если SSL успешно развивается в Северной Америке, то это объясняется особенностями местного рынка.
— Один стандарт слишком дорог, другой не обеспечивает безопасность. Им есть альтернативы?
— Помимо SET, который является абсолютным на сегодняшний день решением по обеспечению безопасности, есть несколько степеней обеспечения этой безопасности. Несколько лет назад появилась концепция трехдоменного SET. Идея состояла в том, что домены эмитента, эквайрера и собственно среда обмена информацией между эмитентом и эквайрером разделены. В этом случае строго регламентируется только обмен в рамках платежной системы между эмитентом и эквайрером. Другими словами, эмитент получает свободу выбора в работе с держателями карт, а эквайрер — в обеспечении безопасности при работе с торговыми точками.
— А у Europay/MasterCard есть свое решение для интернет-коммерции?
— Нашей платежной системой разработан и предлагается в качестве базового стандарт безопасности UCAF (Universal Cardholder Autentification Field). Там существует 23-байтное поле, закрытое шифром от торговой точки и эквайрера. Оно передается от держателя карты к эмитенту через торговую точку и эквайрера, которые не имеют доступа к шифру. Эмитент производит авторизацию. Таким образом, торговая точка с минимальными усовершенствованиями получает гарантию оплаты, что является одним из ключевых моментов в электронной торговле.
— А как держатель карты поймет, что магазин не поддельный и он получит товар, за который заплатил?
— У торговца на сайте будут стоять логотипы MasterCard или Maestro. А потом вся трансакция проходит через платежную систему. Ведется запись трансакций, и в спорном случае есть возможность узнать, какая сумма, когда и куда ушла с каждой карточки. То есть получается аналог трансакции в реальном мире. Это минимальный уровень безопасности. Причем как именно шифровать данные в этом 23-байтном поле, решает сам эмитент. Если у него нет готовых решений, то мы предлагаем собственное решение, которое может выполнять эти функции. Но банки смогут использовать и свои собственные разработки по обеспечению безопасности трансакций в рамках UCAF.
— Насколько реально то, что UCAF или 3D Secure станет глобальным стандартом?
— UCAF — это минимальный стандарт безопасности, и есть вполне определенные планы по его внедрению. С 5 апреля все банки-эквайреры, занимающиеся интернет-коммерцией, должны пройти сертификацию в течение шести месяцев на способность запроса и передачи 23-байтного зашифрованного поля. После этого срока пройдет стандартная процедура по передаче ответственности от тех, кто готов работать по новой технологии, к тем, кто не готов. Наш подход заключается в стимулировании безопасной передачи информации. Эквайреры будут вынуждены, если они работают в электронной коммерции, использовать UCAF. С точки зрения безопасности где-то между UCAF и SET находится 3D Secure. И между этими стандартами нет концептуальных противоречий. Дело в том, что и UCAF, и 3D Secure дают свободу выбора. Более того, UCAF разрабатывался с участием Visa. 3D Secure по концепции ничем не отличается от 3D SET. Противоречия между ними имеются лишь на уровне подходов и ближайших шагов.
— То есть сейчас все зависит от того, когда и о чем договорятся Visa и Europay/MasterCard на самом верху?
— Я воздержусь от комментариев относительно таких переговоров. Но очевидно, что банкам будет удобнее, когда будет выбран единый стандарт — экономически целесообразный и универсальный. Думаю, что рано или поздно здравый смысл здесь восторжествует.