امنیت در تجارت الکترونیکی

امنیت در تجارت الکترونیکی

پرداخت الکترونیکی

پرداخت الکترونیکی ارزان‌تر از پرداخت نقدی! یکی از اصلی‌ترین بخش‌های یک سایت تجارت الکترونیک، انجام عملیات پرداخت روی اینترنت است. روش‌های مورد استفاده و پرداخت در تجارت الکترونیک که بین دو شرکت شکل می‌گیرد (B2B) با روش‌های پرداخت بین اشخاص و شرکت‌ها (B2C) متفاوت است. بیشتر شرکت‌ها از مکانیزم‌هایی مانند EFTs یا EDI برای این منظور استفاده می‌کنند.

 

امنیت در تجارت الکترونیکی

پرداخت الکترونیکی

پرداخت الکترونیکی ارزان‌تر از پرداخت نقدی! یکی از اصلی‌ترین بخش‌های یک سایت تجارت الکترونیک، انجام عملیات پرداخت روی اینترنت است. روش‌های مورد استفاده و پرداخت در تجارت الکترونیک که بین دو شرکت شکل می‌گیرد (B2B) با روش‌های پرداخت بین اشخاص و شرکت‌ها (B2C) متفاوت است. بیشتر شرکت‌ها از مکانیزم‌هایی مانند EFTs یا EDI برای این منظور استفاده می‌کنند. فروشندگان باید به مشتریان خود انتخاب‌های مطمئن و راحتی را برای نحوه پرداخت ارایه دهند، برای این منظور باید توجه کرد که کدام انتخاب بهترین نتیجه را برای مشتری و واحد تجاری در بردارد. صرف‌نظر از تفاوت این سیستم‌ها از جهات مختلف فنی و اقتصادی، پرداخت‌های الکترونیکی ارزان‌تر از پرداخت به صورت نقد یا پرداخت با ابزارهای دیگر از قبیل چک هستند. هزینه صرفه‌جویی شده، زمانی قابل توجه خواهد بود که تعداد استفاده‌کنندگان از پرداخت الکترونیک افزایش یابد. برای مثال، اگر شرکت مخابرات را در شهر بزرگی مانند تهران با حدود 5 میلیون مشترک در نظر بگیریم که هر کدام در ماه یک قبض تلفن دریافت می‌کنند در یک سال هزینه صرفه‌جویی برای 60 میلیون قبض ارسالی با در نظر گرفتن هزینه تهیه، صدور و تحویل هر قبض 2000 ریال برابر با 120 میلیارد ریال خواهد بود. اثرات سوء محیطی نیز در این مسئله قابل اهمیت است. 60 میلیون کاغذ قبض مستلزم  قطع 2200 درخت تنومند است که هزینه و انرژی مصرف شده برای مراجعه به بانک و هزینه‌های بانک را نیز باید به آن افزود. امروزه چهار روش اصلی برای پرداخت پول در هر دو تجارت سنتی و تجارت الکترونیک B2C عبارتند از:  پول نقد، چک، کارت‌های اعتباری (Credit card) و کارت‌های بدهی (debit card). این روش‌ها در شیوه‌های سنتی و دستی استفاده می‌شوند. شیوه‌های دیگری از پرداخت الکترونیک نیز وجود دارند که از آن جمله می‌توان به اقساط وام‌هایی که به طور خودکار از حساب‌های الکترونیک مشتریان برداشت می‌شود اشاره کرد. این شیوه در ایران بتازگی توسط بانک مسکن آغاز شده است. یکی دیگر از روش‌های پرداخت الکترونیک استفاده از نوعی پول الکترونیکی به نام اسکریپ (Scrip) یا رسید موقت است که شرکت‌ها آن را تولید می‌کنند. اسکریپ‌ را نمی‌توان برای نقد کردن پول به کار برد و فقط برای خرید محصولات شرکت ارایه‌دهنده استفاده می‌شود. اسکریپ در واقع به بن هدیه شباهت دارد که در فروشگاه‌های مخصوص شرکت ارایه‌دهنده بن قابل خرج کردن است. با این حال عمومی‌ترین شیوه پرداخت الکترونیک در خارج از ایران کارت‌های اعتباری و در داخل ایران کارت‌های بدهی است. تحقیقات اخیر نشان می‌دهد که 85  درصد خرید‌های اینترنتی در دنیا از طریق کارت‌های اعتباری انجام می‌شود.

خطرات احتمالی تجارت الکترونیک را به حداقل برسانید.

با شناسه اینترنتی که ایجاد نموده و سایتی که ساخته اید اکنون نوبت آن است که ویترین آنلاین خود را به به وسیلهای برای یک کسب و کار موفق اینترنتی مبدل کنید. برای این کار باید موفق به جلب اعتماد مشتریانتان شوید. 85% استفاده کنندگان وب که از آنها نظر سنجی شده اعلام داشته اند که بعلت مشکلات امنیتی، ارسال اطلاعات کارت اعتباریشان به اینترنت برایشان نا خوشایند است. بازرگانانی که بتوانند امنیت سایت خود را به اثبات برسانند و اعتماد آن دسته از مشتریان را جلب کنند می توانند بازار آنها و وفاداریشان را به دست بیاورند و همچنین برای خود معروفیتی دست و پا کنند تا سهمی از بازار را به دست بگیرند و فروش خود را گسترش دهند.  

مخاطرات (ریسکها) ی تجارت الکترونیک

در خرده فروشی سنتی، خریداران ریسک استفاده از کارتهای اعتباری خود را در فروشگاههای معمولی می پذیرند زیرا آنها میتوانند کالای مورد معامله را ببینند و لمس کنند و راجع به فروشگاه در نزد خود داوری کنند. اما در اینترنت بدون آن نشانه های فیزیکی، برای خریداران خیلی مشکل تر است تا امنیت سیستم تجاری شما را تشخیص دهند. همچنین در اینترنت خطرات امنیتی مهمی نیز خود نمایی می کنند.

کلاهبرداری. هزینه پایین ساختن یک وب سایت و سادگی کپی کردن صفحات موجود به روی سایت، به سادگی امکان ساخت سایتهای غیر قانونی را که به نظر توسط یک شرکت ثبت شده و معتبر هدایت میشوند، ایجاد میکند. در حقیقت هنرمندان جنایتکار بصورت نامشروع اطلاعات کارتهای اعتباری دیگران را بوسیله ایجاد وب سایتهای به نظر حرفه ای که از شرکتهای قانونی تقلید کرده اند بدست می آورند.

افشای غیر مجاز وقتی تراکنش معامله بصورت باز و بدون امنیت و کد گذاری مناسب به اینترنت ارسال میشود، هکر ها خواهند توانست این تراکنش را جهت بدست آوردن اطلاعات حساس مشتریان از جمله آگاهگان شخصی و/یا شماره های کارت اعتباری  استراق سمع کنند  

دستکاری غیر مجاز یک رقیب یا یک مشتری ناراضی ممکن است بتواند وب سایت شما را تغییر دهد، بنابراین باعث از کار افتادن سرویس دهی به مشتریان بالقوه سایتتان شود. 

تغییر اطلاعات محتویات یک تراکنش نه تنها ممکن است مورد استراق سمع واقع شود بلکه ممکن است در مسیر نقل و انتقال تغییر نماید چه بصورت کینه جویانه چه بطور اتفاقی. اسامی کاربران، شماره های کارتهای اعتباری، و میزان پرداخت ها که بدون امنیت لازم و کد گذاری مناسب ارسال شده باشند همه آمادگی پذیرفتن چنین تغییراتی را دارند.

راه حل اعتماد بر انگیز: Authenticated SSL Certificates

در عصر تجارت الکترونیک، گواهینامه های دیجیتال Authenticated Secure Sockets Layer (SSL) هویت قطعی و ایمنی لازم را برای ساختن اعتماد میان دو طرف معامله در یک تراکنش آنلاین در شبکه های دیجیتالی، فراهم می آورد. مشتریان بایستی مطمئن باشند که وب سایتی که با آن ارتباط بر قرار کرده اند واقعی (اصلی) است و اطلاعاتی که آنها از طریق کاوشگرهای وب شان ارسال می کنند خصوصی و محرمانه باقی می ماند.

وقتی یک معامله در دنیای دیجیتال یا دنیای فیزیکی معمول اتفاق می افتد طرفین درگیر باید قادر باشند به سوالات زیر پاسخ بگویند:

·         شما چه کسی هستید؟ (لازمه تشخیص هویت)

·         به کدام جامعه تعلق دارید؟ آیا عضو مورد اعتمادی هستید؟ (مورد اعتماد شرکت)

·         چگونه می توانید هویت خود را اثبات نمائید؟ (تایید هویت)

سه عنصر کلیدی برای جلب اعتماد خریداران و اطمینان از یک تراکنش آنلاین عبارتند از:

کد گذاری: تجاری که در مورد تجارت الکترونیکی جدی هستند باید یک تجارت الکترونیک امن را بطور کامل بر پایه فن آوری کد گذاری بنا نمایند. کد گذاری (Encryption) فرآیند تبدیل اطلاعات برای تغییر شکل آن به صورت غیر قابل فهم برای همه بجز برای گیرنده اطلاعات می باشد که زمینه سلامت و پوشش مورد نیاز تجارت الکترونیک را برای اطلاعات رد و بدل شده فراهم می آورد.

تایید صحت (Authentication): اگرچه بعضی از صادر کنندگان گواهینامه های دیجیتالی ( Certificate Authorities) (CAها یا 'امضا کنندگان (signers)' گواهینامه های دیجیتالی)، اعتقاد دارند که کد گذاری تنها کافی است،  ضروری است که وب سایت شما علاوه بر آن تایید اعتبار نیز شده باشد. این موضوع باعث افزایش اعتماد بازدید کنندگان سایت نسبت به شما و سایتتان می شود. تایید اعتبار به این معنا است که یک مرجع معتبر می تواند تایید نماید که شما همانی هستید که ادعا می کنید. برای اثبات اینکه تجارت شما تایید شده است، سایت شما نیاز به این دارد که توسط بهترین فن آوری موجود کد گذاری و تایید اعتبار ایمن شده باشد.

گواهینامه های الکترونیکی: گواهینامه الکترونیکی یک پرونده (file) الکترونیکی می باشد که بصورت یکتا اشخاص و وب سایتها را بر روی اینترنت تعیین هویت می نماید و ارتباطات مطمئن و محرمانه را مقدور می سازد. آنها همانند دسته ای از گذرنامه های دیجیتال و یا گواهینامه ها عمل میکنند. تجربه ایجاد گواهینامه های SSL تعیین هویت نشده کاربران آنلاین را در معرض فروشگاههای غیرقانونی که در اینترنت فعالیت میکنند بی پناه باقی میگذارد.

گواهینامه های رسمی SSL بازدید کنندگان سایت شما را قادر میسازد تا:

·         با شما بصورت کاملا ایمن بدون احتمال استراق سمع (بطور محرمانه) و یا تغییر اطلاعات ارسال شده در هنگام ارتباط بدون امکان ردیابی (صحت اطلاعات)  ارتباط برقرار نمایند.

·         بررسی نمایند که در حال داد و ستد با شما هستند و نه یک سایت متقلب [که احتمالا از اسم و لوگوی شما در سایت خود استفاده نموده است.] (سندیت).

گواهینامه های رسمی SSL چگونه کار میکنند

گواهینامه های رسمی SSL  (Authenticated SSL Certificates) این امکان را برای گیرنده ی پیام الکترونیکی فراهم میکند تا از ماهیت فرستنده و صحت اطلاعات دریافت شده اطمینان حاصل نماید. اساس صدور گواهینامه های SSL با اطمینان بالا برای شرکتها جهت وب سایتهایشان بر سه اصل بسیار مهم زیر برای شناسایی و تائید،  استوار است:

تائید اینکه شرکت معرفی شده در گواهینامه حق استفاده از شناسه دومین (Domain Name) آورده شده در گواهینامه را دارا میباشد.

 تائید اینکه شرکت معرفی شده در گواهینامه یک شخصیت حقوقی [شناخته شده] است.

تائید اینکه شخصی که از طرف شرکت درخواست گواهینامه SSL را نموده است برای این کار مجاز بوده است.

     وقتی بازدیدکنندگان وب به سایتها متصل میشوند، به دو نوع سرور برخورد می کنند. اگر به سرورهایی برخورد کنند که ایمن هستند، پیغامی دریافت می نمایند که این مسائله را به آنها نشان میدهد (یک علامت قفل بسته شده و عبارت 'https' در URL). بطور مشابه اگر با سروری برخورد کنند که ایمن نباشد به آنها اخطار داده خواهد شد. یک سرور ایمن واقعی سروری است که یک گواهینامه SSL رسمی داشته باشد. این گواهینامه رسمی به کاربران می گوید که یک شخص سوم بی طرف و قابل اعتماد تائید نموده است که این سرور متعلق به شرکتی است که ادعای آنرا نموده است. یک گواهینامه رسمی معتبر به این معنا است که کاربران میتوانند اطمینان داشته باشند که اطلاعات را بصورت محرمانه به جائی که می خواهند ارسال کنند ارسال میکنند.

یک وب مستر (Webmaster  سازنده سایتهای اینترنتی) درخواست گواهینامه را آماده می کند که شامل دو کد رمز می باشد: یکی خصوصی و دیگری عمومی. وب مستر کد رمز عمومی را برای یک مرجع صدور گواهینامه (Certificate Authority (CA))، مثل VeriSign ارسال  می نماید. CA می باید مطمئن شود که گواهینامه را برای همان شرکت [با نام و مشخصات داده شده] صادر مینماید. بنابر این CA باید مطمئن شود که:

·         شرکتی که برایش گواهینامه را صادر میکند ثبت کننده شناسه دومین (Domain Name) ی است که برایش درخواست گواهینامه نموده ااست. [این کار اطمینان میدهد که شرکت و یا شخص دیگری بعدا نخواهند توانست آن شناسه را برای خود اختیار کند و یا از آن سوء استفاده نماید]

·         آن شرکت شرکتی ثبت شده در یک یا چند کشور میباشد.

·         نام ثبتی شرکت همان نامی است که CA در گواهینامه می آورد.

·         شخصی که درخواست گواهینامه را داده است در استخدام آن شرکت میباشد.

زمانی که بررسی ها انجام شد و بازرسی های پس زمینه صورت گرفت، CA کد رمز عمومی را امضاء مینماید و آنرا به وب مستر بازگشت میدهد و وب مستر هم آنرا بر روی سرور بارگزاری میکند. زمانی که هر دو کد رمز خصوصی و عمومی با هم تطبیق کردند همانند یک زوج تطبیق شونده [دو تکه یک پازل]، SSL شروع به کار مینماید. SSL مطمئن می شود که اطلاعاتی که توسط یک سرور ارسال میشود با اطلاعاتی که توسط بازدید کننده دریافت میشود مطابقت مینماید و هیچ تغییری در آن صورت نگرفته است.  

امضای دیجیتال زیرساخت امنیتی تجارت الکترونیک است