Comerţul electronic



Introducere în comerţul electronic

 

 Ca şi o scurta definiţie, putem spune despre comerţul electronic că este procesul modern de tranzacţionare a oricăror bunuri, servicii sau informaţii, între un vânzător şi un cumpărător, cu precizarea că întâlnirea dintre cerere si ofertă, negocierile, precum si întreg procesul de vânzare-cumpărare se realizează prin intermediul unui mediu electronic.

 Acest mediu electronic a fost iniţial telefonia fixă sau faxul, ulterior internetul, telefonia mobilă sau mai nou televiziunea interactivă.

 

 Se poate vorbi despre comerţ electronic începând cu perioada anilor `70, totuşi trebuie făcută precizarea că iniţial era vorba despre o formă primitivă a acestuia, şi anume folosirea telefonului si a unei cărti de credit pentru a comanda diferite produse sau pentru a rezerva un bilet de avion, etc. La sfârşitul anilor `70, pentru a satisface nevoile unor mari companii de a schimba mai eficient documente cu diferitele sucursale, a fost dezvoltat conceptul EDI (Electronic Data Interchange), care permitea comunicaţiile marilor companii cu furnizorii lor, emiterea de ordine de vânzare/cumpărare, plăţi ale unor bunuri sau servicii, totul desfăşurându-se prin intemediul reţelelor private deţinute de marile companii. EDI nu a avut la acea vreme o foarte largă răspândire, deoarece implica investiţii enorme în infrastructură, nu exista o standardizare a conceptului la acea vreme(facând aproape imposibilă comunicarea între companii), iar noutatea domeniului a restrâns si mai mult cercul celor care au avut curajul sa investească.

 Aceeaşi dezvoltare extrem de lentă a comerţului electonic s-a înregistrat şi în anii care au urmat, pâna la dezvoltarea internetului. Iniţial internetul a fost gândit ca un mediu academic de comunicare între universitaţile americane si guvernul american, unele oranizaţii non profit şi câteva persoane publice. Treptat, lucrurile s-au schimbat, tot mai mulţi îşi dădeau seama de potenţialul internetului, de faptul că internetul poate însemna mai mult decât informare şi documentare, iar internetul a început să fie treptat folosit şi pentru activităţi de reclamă, căutare, cumpărături, plăţi, etc. Internetul era mult mai ieftin decât EDI, şi de aceea s-a dezvoltat rapid. Probabil cel mai important factor care a stat la baza înfloririi comertului electronic, a fost dezvoltarea la începutul anilor `90 a limbajului HTML (Hyper Text Markup Language), şi ulterior a primelor programe de navigare grafice.

 În prezent, internetul este un mediu cu sute de milioane de utilizatori, cu zeci de milioane de calculatoare conectate, sute de mii de reţele care formează această pânză de paianjen care este World Wide Web. Comerţul electronic a ajuns la o cifră de afaceri de peste 1000 de miliarde de dolari, mult peste veniturile din industia comunicaţiilor şi cea aeronautică luate la un loc.

 Datorită acestei dezvoltări nebanuite a domeniului, au apărut o serie de noi termeni, pe care-i folosim frecvent în viaţa de zi cu zi: e-Mail, e-Commerce, e-Business, e-Payment, sau mai noile m-Business, m-Payment, etc.

 Internetul este în ziua de azi cea mai mare şi cea mai diversificată piaţa din lume, practic orice consumator care beneficiază de o simplă conexiune poate studia ofertele miilor de comercianţi, şi mai mult, printr-un simplu click poate comanda şi cumpara produsul dorit, fară să paşească într-un magazin clasic, fară să piardă timp sau bani  prin căutari clasice. De asemnea, se deschid orizonturi nebanuite pentru comercianţi, orice afacere putând acum avea succes, nemaicontând marimea sau ţara de provenienţă. Există nenumărate exemple de afaceri care au pornit de la nimic şi au ajuns departe, acesta este cazul Yahoo, care a pornit ca o ideea a doi studenţi americani de a-si publica linkurile favorite, cazul Amazon, magazin virtual care în scurt timp a depaşit de mai multe ori veniturile Barnes & Noble, o librarie cu renume, sau cazul eBay, o companie înfiintată in urma cu 8 ani, care a cumparat deja mai multe case de licitaţii, printre care Butterfield&Butterfield, casa de licitaţii veche de 135 de ani.

 Totuşi, chiar şi în ziua de azi, există multe companii care din anumite motive sunt reticente la folosirea ecommerce-ului.

 

 În general pe internet se desfăşoară activităţi de:

§         informare

§         comunicare

§         reclamă

§         prospectare

§         vânzare

§         contractare

§         negociere

§     transport

 

Tipuri ale comerţului electronic

 

1. După tipul de tranzacţie

 

§          Companie – Consumator

§          Companie – Companie

§          Consumator – Consumator

 

  2. Dupa tipul de articole tranzacţionate

 

§         Tranzacţionarea electronică a unor bunuri fizice, tangibile

ŕ    transportul bunurilor se desfaşoară prin metode clasice

ŕ    prin mediul electronic se desfşoară activităţile de reclamă, prospectare, negociere, vânzare şi plată

ŕ    exemple: cărţi, echipamente electronice, echipament sportiv, autoturisme, etc.

 

§         Tranzacţionarea electronică a informaţiilor sau a unor servicii

ŕ      acolo unde este cazul, transportul se realizează folosind mediul electronic

ŕ      exemple: poşta electronică, ştiri, muzică, conferinţe, gazduire de site-uri, consultanţă, afaceri la burse, informaţii audio, video, cursuri online, etc.

   

 O mare problemă a comerţului electronic este în ziua de astazi securitatea. Iniţial internetul era un mediu academic, care se baza într-o mare masură pe un „gentlemen-agreement” între utilizatorii acestuia. În momentul în care internetul a trecut pe principii comerciale, au aparut şi persoanele rău intenţionate, care în lipsa unor sisteme de securitate bine puse la punct aveau acum posibilitatea de a frauda prin diferite mijloace activitaţile economice care se desfaşurau în acest mediu. Furtul de informaţii, cumparaturile folosind cărţi de credit furate, accesul neautorizat sau simpla distrugere deliberată a unor sisteme informatice ar fi doar o parte dintre ameninţările care planează asupra lumii comerţului electronic.

 Tocmai pentru a asigura siguranţa şi buna funcţionare a comerţului electronic s-a trecut la dezvoltarea unor tehnologii care să oprească atacurile tot mai frecvente şi cu pagube din ce în ce mai mari.

     

Cerinţe privind securitatea comerţului electronic

 

§      Confidenţialitatea – protejarea tranzacţiilor împotriva citirii lor neautorizate

§      Autentificarea originii tranzacţiilor – permite receptorului unui mesaj comercial de orice fel să fie sigur de identitatea expeditorului

§      Integritatea datelor – conferă receptorului unei tranzacţii comerciale siguranţa că mesajul primit este identic cu cel original

§      Nerepudierea tranzacţiei – împiedică pe iniţiatorul tranzacţiei să nu o mai recunoască ulterior, conferă deci ordine de comandă sigure

§      Ascunderea anumitor parţi ale tranzacţiilor – anumite lucruri, cum ar fi numere de carţi de credit, trebuie ascunse cumva chiar de ochii vânzătorului, care ar putea abuza de acestea

   

 Cel mai frecvent utilizat protocol de securizare a tranzacţiilor  între doi agenţi pe internet este SSL (Secure Sockets Layer), care foloseşte un sistem bazat pe o pereche de chei criptografice, una publică şi alta privată, folosite în prima fază a unei tranzacţii, în urma verificării se schimbă o cheie simetrică de sesiune, care va fi folosită pe întreaga durată a tranzacţiei. Protocolul SSL garantează că sesiunea este privată, adică întreg fluxul de date care circulă între sursă şi destinaţie este encriptat(şi nu ar putea fi citit de terţi chiar dacă ar fi interceptat), iar datorită folosirii semnaturilor digitale, se asigura şi integritatea datelor transmise. Protocolul SSL este la ora actuală implementat de majoritatea programelor de navigare(browsere) existente, cheile publice necesare iniţierii unei tranzacţii fiind stocate pe servere.

 

Noţiuni de criptografie  

 Criptografia este domeniul care studiază modalităţile de a proteja un document de accesul neautorizat. Mesajul este criptat pe baza unui algoritm folosind o cheie, rezultând un cifru, sau criptogramă. Pentru a decripta mesajul se foloseşte aloritmul invers, folosind cheia de decriptare, care poate fi identică sau nu cu cea folosită iniţial pentru criptare. Există în prezent algoritmi de criptare atât de puternici încât este aproape imposibil de imaginat că un text encriptat cu RSA, spre exemplu, ar putea fi vreodată spart.

 

§         Cifruri simetrice

ŕ      Cifrurile simetrice folosesc aceeaşi cheie atât la encriptare cât şi la decriptare, datorita cărui fapt prezintă probleme de securitate dacă se doreşte ca un număr relativ mare de utilizatori să participe la respectiva tranzacţie.

ŕ      Se folosesc de multe ori în combinaţie cu cifrurile asimetrice (ca şi în cazul SSL)

ŕ       exemple: DES(Data Encryption Standard) , IDEA (Internetional Data Encryption Algorithm)

 

§         Cifruri asimetrice

ŕ      Cifrurile asimetrice folosesc două chei distincte de cifrare, una dintre ele este denumita cheie privată iar cealaltă cheie publică

ŕ   Cheia privată este secretă şi este cunoscută doar de către proprietar, iar cheia publică este distribuită tuturor partenerilor de comunicaţie

ŕ      Orice partener poate encripta un mesaj folosind cheia publică a destinatarului, dar o dată encriptat, mesajul nu mai poate fi decriptat decât folosind cheia privată, deţinută exclusiv de către proprietar. Această schemă nu asigură autentificarea celui care iniţiază transferul, cheia publică fiind disponibilă tuturor. Este garantată siguranţa comunicaţiei, mesajul putând fi decriptat doar de catre destinatar.

ŕ      Procesul de encriptare/decriptare poate funcţiona şi invers, principiu pe care se bazează conceptul de semnătură digitală

   

Semnături digitale

 

 În general, putem spune că semnarea unui document de orice fel nu adaugă nimic nou la conţinutul sau esenţa acestuia, dar are o serie de scopuri bine definite:

§       Identificare – cel care a semnat documentul este identificat ca şi autorul acestuia

§       Caracter oficial – semnarea unui document are anumite implicaţii juridice, de care cel în cauză este bine să fie conştient

§       Acord – de multe ori un document este semnat pentru a se confirma acordul celui care semnează ca documentul să aibă efect legal

 

 O semnătură trebuie să îndeplinească anumite condiţii:

§       sa fie autentică – adică să aparţină autorului documentului

§       sa fie nefalsificabilă – adică să nu fie posibilă reproducerea frauduloasă

§       sa fie nereutilizabilă – adică să nu poată fi mutată fraudulos pe un alt document

§       sa fie nerepudiabilă – adică semnatarul să nu mai recunoască autenticitatea ei

§       documentul semnat să fie nealterabil – o data semnat acesta nu trebuie sa poată fi modificat

   

 Principiul semnăturilor digitale este bazat pe conceptul de encriptare asimetrică, folosindu-se o cheie publică şi o cheie privată.

 

 Procesul de semnare digitală a unui document se realizează în mai multe etape:

§      Se generează un rezumat al documentului

§      Acest rezumat este encriptat cu cheia privată a autorului

§      Criptograma astfel rezultată se ataşează documentului original, documentul fiind trimis la destinaţie

 

 De asemenea, verificarea semnăturii de către destinatar se face în mai multe etape

§      Se generează din nou un rezumat al documentului

§      Se decriptează criptograma ataşată mesajului folosindu-se cheia publică a expeditorului

§      Se compară cele două rezumate, iar în cazul unei potriviri exacte, semnătura este validată

   

 Se îndeplinesc astfel toate condiţiile prezentate anterior:

§      Semnătura este autentică, întrucât se verifică doar cu cheia publică a emiţătorului

§      Semnătura este nefalsificabilă, deoarece numai emiţatorul cunoaşte cheia privată

§      Semnătura este nereutilizabilă, deoarece ea este în funcţie de conţinutul documentului

§      Documentul este nealterabil, deoarece dacă se modifică ceva în document, semnătura nu va mai putea fi verificată la recepţie

§      Semnătura este nerepudiabilă, deoarece receptorul documentului nu are nevoie de ajutorul emiţătorului pentru verificarea semnăturii

 

Sisteme de plăţi pe internet

 

 În lumea tranzacţiilor fizice, plaţile se desfaşoară după o schemă clasică, numită şi „Modelul celor 4 căsuţe”(The four-box model):

 

§      Banca emitentă emite un card pe numele cumpărătorului.

§      Cumpărătorul intră în contact cu un vânzător şi decide să cumpere un anumit produs.

§      Vânzătorul trimite datele cumpărătorului la Banca sa, denumită aici Achizitor.

§      Prin intermediul unei reţele private, Achizitorul trimite informaţiile Emitentului spre validare.

§      O dată validate datele cumpărătorului, Achizitorul comunică rezultatul clientului său(Vânzătorul).

§      În final, vânzătorul comunică rezultatul tranzacţiei cumpăratorului iar Emitentul realizează operaţia financiară în contul posesorului de card.

 

 Foarte important este ca datele referitoare la cardul clientului sunt pasate prin intermediul unor metode sigure, cum ar fi spre exemplu un POS.

 

 În cazul unei tranzacţii electronice pe internet, schema de mai sus se modifică după cum urmează:

 Se observă deci că nu există un contact direct între cumpărător si vânzător, iar cumpărătorul trebuie să transmită cumva datele sale de identificare prin intermediul internetului.

 Se pune în primul rând problema unei transmisii securizate, cel mai important factor de risc într-o tranzacţie online fiind interceptarea transmisiei de către terţi, ceea ce ar putea duce la folosirea frauduloasă a informaţiilor.

 

Există mai multe metode prin care cumpărătorul poate transmite informatiile private vânzătorului:

 

Fără nici un fel de protecţie

 Prin această metodă, cumpărătorul poate completa un formular de pe pagina web a vânzătorului sau trimite un email cu informaţiile despre comandă si cartea de credit. Această metodă este total nerecomandată de către toate instituţiile financiare, care şi recomandă clienţilor lor să le evite.

 Este metoda prin care se realizează cele mai multe fraude, mesajul transmis trecând prin mai multe noduri de reţea, unde urechi nepoftite ar putea asculta şi intercepta informaţiile confidenţiale.

 Este în acelaşi timp metoda cea mai ieftină şi cel mai simplu de implementat.

 

Transmiterea prin SSL (Secure Sockets Layer)

 Chiar dacă transmiterea prin SSL rezolvă problema securizării transmisiei între cumpărător şi vănzător, precum şi problema legată de integritatea datelor transmise, rămân o serie de probleme nerezolvate. SSL asigură doar o conexiune securizată punct-la-punct, ceea ce înseamnă ca vânzătorul are acces la toate informaţiile clientului, pe care le va şi stoca in baza sa de date. Astfel SSL nu asigură confidenţialitatea datelor stocate în baza de date a vânzătorului.

 De asemenea, SSL nu poate identifica cumpăratorul ca şi deţinătorul de drept al cardului respectiv.

 Având în vedere toate acestea, SSL este o metodă mai bună, dar nu asigură adevărata protecţie şi fiabilitate de care este nevoie într-o tranzacţie online.

 

Carduri virtuale

  Un card virtual este un al doilea cont asociat unui card fizic. Cardul virtual se poate folosi exact ca şi un card fizic, cu menţiunea că deţinătorul acestuia poate transfera oricând de pe cardul fizic o anumită sumă pe cel virtual, iar pentru plaţile pe internet vor fi disponibile doar fondurile existente pe acesta din urmă. De asemenea, în cazul unor carduri de credit, proprietarul poate stabili o limită maximă a creditului, pentru ca în cazul unor fraude să nu piardă totul.

 O mare problemă a comerţului electronic o constituie repudierea tranzacţiilor de catre proprietarii de carduri, deci de către cumpărători. Din păcate nici folosirea cardurilor virtuale nu rezolvă această problemă.

 

Număr de cont fictiv

 Prin această metodă, o tranzacţie online începe prin contactarea Emitentului de către deţinătorul de card, care este identificat şi i se atribuie un număr fictiv de card, care este asociat cu contul real în baza de date a Emitentului. Apoi cumpăratorul poate folosi acest număr fictiv pentru a-şi face cumpărăturile. Cumpărătorul trimite acest număr fictiv mai departe la Achizitor  iar acesta din urmă înapoi la Emitent pentru autentificare. Emitentul asociază numărul fictiv cu numărul de cont real, validând tranzacţia.

 Acest tip de plată rezolvă problema repudierii tranzacţiei de către cumpărător, deoarece înainte de orice tranzacţie el trebuie să obţină de la Emitent numărul de cont fictiv, folosind o aplicaţie software instalată în prealabil pe calculatorul personal. De asemenea, numărul de cont real nu este trimis pe web, neexistând posibilitatea ca acesta să fie interceptat.

 Ca şi slăbiciuni ale acestei metode de plată, se poate aminti faptul că nu există o identificare a comerciantului, iar tranzacţia se bazează tot pe securitatea oferită de SSL.

 

 

 Există şi sisteme mult mai complexe de securizare a tranzacţiilor, cum ar fi spre exemplu SET (Secure Electronic Transaction) dezvoltat de Visa şi Europay, care este de altfel sistemul cel mai folosit, mai ales pentru tranzacţiile importante. SET permite printre altele securizarea informaţiilor, integritatea datelor, identificarea atât a cumpărătorului cât şi a vânzătorului, ascunderea informaţiilor referitoare la card, la care nu mai are acces vânzătorul, ci doar instituţiile financiare. SET este un protocol prin care se efectuează întreaga operaţiune de verificare-autentificare, nemaidepinzând de SSL, diferitele encriptări necesare fiind făcute din cadrul aplicaţiilor software instalate atât pe calculatorul  cumpărătorului cât şi pe cel al vânzătorului, şi bineînţeles pe cele ale băncilor.

 

 Pentru plăţi mai mici, au fost dezvoltate şi portofele electronice, care sunt încă în faza de testare.

Radu Iuhas - Facultatea de Finanţe şi Bănci, Universitatea Creştină Dimitrie Cantemir