Rodzaje zabezpieczeń płatności w Internecie
W związku z rozwojem handlu w Internecie, należało opracować metody dokonywania płatności za zakupione towary i usługi. Początkowo stosowano (stosuje się do tej pory) metody polegające na połączeniu transakcji zawieranej przez sieć z zapłatą dokonywaną, poza Internetem. Uiszczenie należności w tej metodzie polega na dokonaniu przelewu bądź wpłaceniu gotówki na stosowne konto. Odmianą tej metody jest zapłata za pobraniem pocztowym - gdzie opłata jest wnoszona w momencie odbioru przesyłki z zamówionym towarem. Metoda ta jest dość popularna w Polsce. Niedogodnością tej metody jest konieczność sfinalizowania transakcji środkami pozasieciowymi, co w znacznym stopniu niweluje szybkość i wygodę wynikającą z posługiwania się Internetem. Kolejną metodą płatności jest jej realizacja za pomocą kart płatniczych. Ta forma płatności okazuje się być dużo lepiej dopasowana do natury Internetu. Systemy kart kredytowych, takie jak VISA czy MasterCard, mają - podobnie jak Internet - zasięg globalny. Posiadacz takiej karty wydanej przez dowolny bank na świecie może zapłacić nią w dowolnej (należącej do systemu) firmie, w dowolnym kraju, w dowolnej walucie.
Dla kart płatniczych istnieją także wypracowane metody dokonywania transakcji bez fizycznego okazywania karty sprzedawcy, w przypadku gdy kupujący i sprzedający nie kontaktują się ze sobą bezpośrednio. Połączenie tych dwu cech sprawia, że karty kredytowe stanowią niemal gotowe rozwiązanie do realizacji płatności przez Internet. Realizacja płatności tą drogą polega na wpisaniu w odpowiednim miejscu formularza, danych karty kredytowej (jej numer, termin ważności oraz imię i nazwisko właściciela w takim brzmieniu, jak podane jest na karcie). Zaakceptowanie formularza, a tym samym przesłanie tych danych do sprzedawcy, jest (zgodnie z zasadami funkcjonowania kart kredytowych) równoznaczne z dokonaniem zapłaty: odpowiednia należność obciąży konto posiadacza karty. Należy zwrócić uwagę na to, iż do dokonania zapłaty wystarcza znajomość danych wypisanych na karcie, bez względu na to czy się jest jej rzeczywistym właścicielem czy nie. Sprzedający nie ma żadnej możliwości sprawdzenia tożsamości kupującego (czy jest on posiadaczem karty). Otwiera się tu więc możliwość oszustw i nadużyć.
W przypadku sprzedaży towarów materialnych, często stosuje się zabezpieczenie polegające na wprowadzeniu ograniczenia, iż towar może być wysłany wyłącznie na adres posiadacza karty (adres ten weryfikowany jest przez bank - wystawcę karty podczas autoryzacji transakcji). Inna jest sytuacja w przypadku zapłaty za informację. Informacja ta, zwykle od razu po dokonaniu autoryzacji karty płatniczej, jest transmitowana do komputera osoby, która wprowadziła dane tej karty. Wspomniana powyżej niemożność zweryfikowania klienta przez sprzedawcę działa również w odwrotną stronę: także i klient nie może być pewny, że serwer, który pyta go o numer jego karty kredytowej, jest prawdziwym sieciowym sklepem, a nie fałszywym serwerem, umieszczonym tylko po to, aby zbierać numery kart i wykorzystywać je potem do innych transakcji. Istnieje także prawdopodobieństwo przechwycenia przez niepowołane osoby numeru karty kredytowej przesyłanego przez Internet, co z kolei narzuca konieczność stosowania szyfrowania.
Jednym ze sposobów zaradzenia przedstawionym powyżej problemom jest wprowadzony po raz pierwszy w przeglądarkach WWW firmy Netscape (a obecnie stosowany już przez wiele innych) protokół bezpieczeństwa o nazwie SSL - Secure Sockets Layer. SSL pozwala na zaszyfrowanie danych przesyłanych pomiędzy użytkownikiem, a serwerem WWW, w sposób uniemożliwiający ich odczytanie przez osoby niepowołane. W zasadzie wszystkie większe sklepy internetowe używają aktualnie SSL do szyfrowania przesyłanych numerów kart kredytowych.
System SSL rozwiązuje także drugi z wymienionych problemów związanych ze stosowaniem kart kredytowych w Internecie, tzn. weryfikację sprzedawcy. Sprzedawca chcący stosować w swoim serwerze protokół SSL wykupuje od firmy RSA Inc., będącej właścicielem patentu (we wrześniu 2000 r. wygasła ważność patentu firmy RSA Security Inc. na algorytm szyfrujący RSA i nastąpiło przekazanie tego algorytmu na własność publiczną) na użytą metodę szyfrowania, lub od innej upoważnionej przez nią instytucji certyfikującej, specjalny cyfrowy certyfikat, który po zainstalowaniu w oprogramowaniu serwera stanowi dla łączących się z nim przeglądarek potwierdzenie, że firma jest w istocie tym, za kogo się podaje (certyfikat jest wystawiany po dokładnym sprawdzeniu tego faktu).
Pomimo zastosowania SSL nadal istnieje możliwość posłużenia się zdobytym numerem cudzej karty płatniczej. W związku z tym powstało kilka alternatywnych rozwiązań. Jednym z nich jest projekt standardu SET - Secure Electronic Transactions lansowany przez dwie największe organizacje kart płatniczych na świecie - VISA i MasterCard, we współpracy z producentami oprogramowania, takimi jak Microsoft, Netscape czy IBM. Podobnie jak SSL, system SET również opierać się będzie na certyfikatach, w przeciwieństwie jednak do SSL, certyfikaty stosowane w SET przeznaczone będą tylko i wyłącznie do celów transakcji kartami kredytowymi. Certyfikaty wystawiane będą w sposób automatyczny przez specjalne serwery, zarządzane przez firmy zajmujące się rozliczaniem kart kredytowych. Swój certyfikat będzie musiał posiadać każdy potencjalny klient i każdy sprzedawca. Podczas każdej transakcji oprogramowanie sprzedawcy i klienta będzie sprawdzać nawzajem swoje certyfikaty, eliminując tym samym z obu stron przypadki oszustwa.
Innym rozwiązaniem jest system CyberCash. CyberCash, choć różniący się technicznymi szczegółami realizacji, opiera się na podobnej idei co SET, czyli wzajemnym sprawdzaniu tożsamości klienta i sprzedawcy oraz szyfrowaniu przekazywanej informacji. W systemie tym po obu stronach używane są specjalizowane programy, współpracujące z przeglądarką lub serwerem WWW. Po stronie kupującego - Wallet (portfel), po stronie sprzedawcy - Cash Register. Dane o karcie kredytowej klienta, przesłane w formie zaszyfrowanej do sprzedawcy, nie mogą być przez niego rozszyfrowane. Sprzedawca dodając do nich własne informacje identyfikacyjne i przesyłając je do obsługującego cały system serwera CyberCash - rozkodowującego informację i dokonującego autoryzacji transakcji - uzyskuje autoryzację (lub nie) danej karty płatniczej. Zabezpiecza to przed nieuczciwością sprzedawców i eliminuje ryzyko przy transakcjach on-line. Program Wallet wymaga przed pierwszym użyciem wprowadzenia przez użytkownika danych kart kredytowych (może ich być dowolna liczba), których użytkownik będzie chciał używać w systemie. Dane te są weryfikowane za pośrednictwem serwera CyberCash przez centrum autoryzacji kart, i dopiero potem generowany jest certyfikat, który będzie poświadczał tożsamość użytkownika.
Wszelkie systemy płatności oparte na kartach kredytowych sprawdzają się dobrze w przypadku sprzedaży dóbr materialnych, gorzej natomiast jest z wykorzystaniem ich do płacenia za udostępnianą w Internecie informację. Większość istniejących obecnie płatnych serwisów informacyjnych w Internecie opiera się na zasadzie abonamentowej, która polega na opłaceniu subskrypcji danego serwisu na pewien okres, po czym uzyskuje się swój identyfikator i hasło umożliwiające skorzystanie z systemu. Jest to rozwiązanie dobre dla osób stale korzystających z danej usługi. Zaistniała więc potrzeba opracowania systemu dla osób czasowo korzystających z tego typu usług. Dla takich właśnie zastosowań holenderska firma DigiCash (w połowie 1999 r. technologia ta została wykupiona przez firmę eCash) opracowała system o nazwie eCash. System ten jest całkowicie odmienny od systemów stosujących karty kredytowe. Środkiem płatniczym jest tu "elektroniczny pieniądz", który podobnie jak prawdziwy posiada określony nominał, niepowtarzalny numer seryjny oraz zabezpieczenie przed sfałszowaniem w postaci tzw. podpisu cyfrowego emitującego go banku.
Jednak w przeciwieństwie do fizycznego pieniądza, elektroniczny jest jednorazowego użytku, czyli jednostka o danym numerze seryjnym może być użyta tylko raz, po czym zostaje unieważniona przez bank. Podyktowane to jest faktem, iż cyfrową gotówkę, przechowywaną na dysku komputera użytkownika, można byłoby łatwo skopiować i tym samym kilkakrotnie płacić tymi samymi pieniędzmi. Centralnym punktem całego systemu eCash jest bank emitujący elektroniczną walutę, w którym każdy użytkownik musi posiadać konto. Za pomocą specjalnego oprogramowania najpierw należy podjąć z tego konta pewną sumę pieniędzy i zapisać ją w odpowiedniej postaci na dysku komputera. Od tej chwili można dokonywać zakupów. Klikając na jakiejś stronie WWW odnośnik do informacji, która jest odpłatna, na ekranie pojawi się monit z żądaniem zapłaty. Zaakceptowanie go powoduje pobranie odpowiedniej ilości cyfrowych pieniędzy z dysku i przekazanie ich do komputera sprzedawcy, a stamtąd - na jego konto w banku. Po dokonaniu tej operacji serwer WWW przesyła nam zakupioną informację.