WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     | 1 | 2 ||

«Московская финансово-промышленная академия Электронные расчёты в коммерческой деятельности Под ред. профессора В.В. Дика Москва 2004 Гамов И.А., Дик В.В., Касаткина С., Михайлов А.С., ...»

-- [ Страница 3 ] --

Ниже приведен базовый вариант платежной системы с цифровыми деньгами (рис. NN). Покупатель подготавливает чек с указанной на нем суммой, которую он хочет снять со своего счета в банке. Обозначим в протоколе этот чек буквой m. Покупателю надо получить подпись на чеке, но так, чтобы банк не увидел самого чека и не смог пометить его. Для этого покупатель подготавливает большое число чеков на нужную сумму и запечатывает их в конверты, а затем отправляет все их в банк. Банк вскрывает все конверты, кроме одного, и убеждается в корректности чеков. Тогда он подписывает последний конверт, не распечатывая его, и списывает со счета покупателя требуемую сумму. Если покупатель заранее положит во все конверты копировальную бумагу, то подпись банка автоматически окажется на чеке. Таким образом, банк подписал чек, не видя его и не имея возможности пометить. Криптографическое преобразование с использованием схемы RSA, обеспечивающее процедуру формирования конверта и подписи выглядит следующим образом. Пусть n – модуль шифрования, а e – открытый ключ банка. Покупатель генерирует столько случайных чисел r, сколько конвертов он будет отсылать в банк (чем больше конвертов, тем лучше). Далее каждое r шифруется с помощью открытого ключа банка и умножается на значение чека: c = m r (mod n). Для того чтобы вскрыть каждый из конвертов, банк должен обратиться к покупателю с просьбой сообщить ему значение множителя r, так как вскрытие конверта означает получение значения m = c r (mod n). Поэтому покупатель может быть уверен, что банк не сможет вскрыть ни одного конверта без его ведома. Один из конвертов банк не вскрывает, а подписывает c = m (r ) (mod n) = m r (mod n) и отсылает назад покупателю. Покупатель проверяет подпись банка на конверте равенством (c d ) e = c, d d ed d e e и если оно соблюдается, то вскрывает конверт и извлекает из d d него подписанный чек m = c r (mod n). Подписанный чек покупатель передает продавцу. Продавец проверяет подпись банка (m d ) e = m(mod n) и затем пересылает чек в банк.

Чек: m Конверт:

Вскрытие n-1 конверта:

Банк c = m r e (mod n) m = c r e (mod n) Подпись вслепую n-го конверта:

Алиса подписанного чека:

Извлечение c d = m d (r e ) d (mod n) = m d r (mod n) m d = c d r (mod n) Подписанный чек: m d Проверка подписи банка:

Алиса Боб ( m d ) e = m(mod n) Банк проверяет точно таким же образом свою собственную подпись на полученном чеке, и если она правильная, то перечисляет сумму, указанную в чеке, на счет продавца. Из приведенного выше протокола хорошо видно, на каких именно механизмах строятся действующие платежные системы. Однако данный протокол практически никак не решает вопросов, связанных с возможностью мошенничества со стороны покупателя или продавца, например путем повторного использования полученного подписанного чека и невозможности идентифицировать мошенника и т.д. Все эти проблемы решаются некоторыми модификациями базового варианта протокола [Шна2002].

Глава 7. Анализ безопасности платежных Интернет-систем (ПИС) Factura.RU. Безопасность передачи данных Данные, передаваемые от клиента к серверу, защищаются с использованием протокола SSL. Длина ключа шифрования составляет 128 бит. Передаваемые сообщения и электронные документы подписываются с помощью алгоритма электронной цифровой подписи (ЭЦП) с длинной ключа подписи 1024 бита. Каждый пользователь системы самостоятельно генерирует собственную пару секретного и открытого ключей для алгоритма ЭЦП. Таким образом, секретный ключ не известен операторам и сотрудникам системы. Для управления и проверки сертификатов открытых ключей пользователей, используется собственная реализацию концепции ИОК с выделенным Центром Сертификации (www.authority.ru). На сервере Центра Сертификации также имеется возможность сменить пароль для доступа к ключевой информации. Рекомендации при обращении с ключевой информацией Секретные ключи сохраняются на съемных носителях, например на дискетах. Доступ к файлу с секретным ключом защищен паролем, который известен только пользователю системы. Рекомендуется сделать две копии дискеты с файлами ключей. Одну дискету использовать для работы с системой и загрузки с нее ключевой информации, а другую хранить в физически защищенном от несанкционированного доступа месте. В случае порчи или утери одной дискеты, копии ключей можно будет восстановить с другой. Рекомендуется использовать для работы с системой компьютер, к которому ограничен доступ посторонних лиц. В этот компьютер вставляется дискета с ключевой информацией. В процессе работы ключи копируются с дискеты в реестр2 операционной системы (OC). Необходимо использовать специальную кнопку для выхода из системы. В противном случае секретные ключи могут остаться в реестре и затем быть скопированы оттуда злоумышленниками. Следует также обратить самое пристальное внимание на защиту от компьютерных вирусов и вредоносных программ, типа “троянских коней”. Не рекомендуется заходить на незнакомые WEB сайты, исполнять и смотреть файлы, присланные от незнакомых абонентов. Не рекомендуется также устанавливать не нужное для работы ПО, тем более загруженное из Интернет без использования криптографических технологий однозначной аутентификации и контроля целостности. Желательно ис Реестр – специальная системная база данных в операционных системах семейства Windows. Может использоваться прикладным ПО для сохранения необходимой для работы информации и настроек.

пользование надежных и стойких к сбоям ОС, поддерживающих многопользовательский режим работы и разграничение доступа к ресурсам, например Windows 2000 или Windows XP. Обеспечение физической безопасности серверов Помещения, в которых расположены сервера системы Factura.RU, разнесены на расстояние друг от друга. Это расстояние составляет несколько километров и исключает возможность одновременного уничтожения или вывода из строя всех серверов системы. Вход в серверные помещения возможен только по специальным допускам. Используются раздельные линии связи с Интернет-провайдером. Сервера работают под управлением ОС Trusted Solaris, которая является одним из последних и надежных вариантов ОС семейства UNIX. Использование защищенной архитектуры Персональная и конфиденциальная информация о клиентах и данные системы хранятся на компьютере, не имеющем прямого подключения к Интернет. Этот компьютер имеет специальную защищенную связь с Интернет-сервером, с которым работают клиенты. Данные с из хранилища передаются на Интернет-сервер, только при наличие подписанного с помощью ЭЦП запроса от клиента. Подобная архитектура соответствует рекомендациям компании RSA Security, мировому лидеру в разработке систем информационной безопасности. Кроме того, в системе используются программно-аппаратные средства защиты и контроля сетевого трафика.

Хранилище данных не имеет прямого соединения с Интернет. Используется защищенный канал связи с Интернет сервером. Данные из хранилища публикуются в Интернент, только по авторизованному запросу клиента.

Защита от внутренних угроз Для внесения изменения в ПО и данные системы Factura.RU, необходимо наличие нескольких ответственных лиц. В минимальном варианте – это три и более администратора системы. Таким образом обеспечивается защита от мошенничества и злоупотребления своими полномочиями со стороны сотрудников компании. Также предотвращается возможность попытки давления со стороны криминальных структур и принуждения сотрудников компании к совершению противоправных действий. ДБО BS-Client. Безопасность системы Интернет-Банк Перед началом эксплуатации системы необходимо получить в банке или зарегистрировать уже имеющиеся криптографические ключи для ЭЦП и шифрования. Ключи полученные в банке, возможно в последующем самостоятельно перегенерировать на своем рабочем месте. Криптографические ключи хранятся на дискете и могут быть использованы для работы с любого компьютера, на котором инсталлируется клиентская часть ПО BS-Defender для защиты сетевого трафика. ПО BSDefender можно получить в банке либо скачать с сайта банка.

Межсетевой экран Клиент (Internet Explorer) BS-Defender Прокси- сервер Интернет BS-Defender Криптографические ключи ДБО BS-Client (серверная часть) WEB вервер В системе Интернет-Банк подписывается и шифруется весь сетевой трафик, который передается между сервером и клиентами. Взаимная аутентификация происходит с помощью подсистемы BS-Defender. Данная подсистема служит целям защиты данных, передаваемых по HTTP протоколу. В функции BS-Defender в том числе входит:

Маршрутизация и фильтрация сетевого трафика;

Вызов внешних СКЗИ для шифрования и расшифрования данных;

Ведение журнала событий. Упрощенная схема защищенного аппаратно-программного комплекса, используемого в системе “Интернет-Клиент”, представлена на рисунке. Архитектура системы соответствует рекомендациям компании RSA Security по построению защищенных Интернет-приложений. Протокол SSL и другие, стандартные средства защиты поддерживаемые Интернет-браузерами, не используются. Это позволяет избежать компрометации системы из-за невнимательности пользователей к сообщениям и настройкам используемых Интернет-браузеров. Особое внимание уделено надежности системы в случае сбоев и обрывов связи в процессе работы. Система корректно продолжит работу, если связь была прервана во время подготовки клиентом очередного запроса, в момент отправки запроса и даже в случае обрыва связи в момент получения ответа от сервера. Все соединения между сервером и клиентами, а также все запросы клиентов имеют уникальные идентификационные номера, и их выполнение контролируется системой. Электронные документы и финансовые транзакции, циркулирующие в системе “Интернет-Клиент” и подписанные с помощью используемых средств ЭЦП, имеют юридическую значимость. В системе ДБО BS-Client также обеспечивается четкая последовательность действий для разрешения возможных спорных ситуаций в соответствии с действующим законодательством. Использование ЭЦП в решении “Офис – мобильный менеджер” Использование решения “Офис - мобильный менеджер” позволяет менеджерам верхнего уровня контролировать электронный финансовый документооборот в различных филиалах и офисах своей компании из любой точки мира. В офисах и филиалах компании устанавливаются системы “Банк-клиент”. Менеджер получает систему “Интернетклиент”. Сотрудники офисов и филиалов компании подготавливают необходимые документы и заверяют их своей ЭЦП. После этого документы по сети отправляются в банк. Менеджер может получать необходимые ему документы по Интернет в любое удобное для него время и в любом месте. Достоверность того, что получаемые электронные документы не были изменены в процессе их передачи и хранения, обеспечивается благодаря использованию ЭЦП сотрудниками компании.

Офис Интернет Менеджер Филиал Банк Таким образом гарантируется получение менеджером корректных документов. Если необходимо завизировать или утвердить электронный документ, то менеджер ставит на нем свою ЭЦП. После этого документ отправляется в хранилище банка и может быть впоследствии востребован оттуда сотрудниками филиалов и офисов компании. Использование СКЗИ для защиты данных Система комплектуется внешними средствами криптографической защиты информации (СКЗИ). В том числе используются криптопровайдер “КриптоПро-CSP” (ООО "Крипто-Про"), библиотека криптозащиты “Message PRO” (ЗАО "Сигнал-Ком"), СКЗИ "Верба-OW" (МО ПНИЭИ). Возможно использование сертифицированных продуктов других производителей. Применяются возможности используемых средств криптографической защиты информации для обеспечения ЭЦП и шифрования данных. Средствами СКЗИ и входящими в их состав криптографическими алгоритмами, конфиденциальная информация защищается от несанкционированного доступа и обеспечивается аутентичность передаваемых данных. Настройка системы ДБО BS-Client включает этап описания схем информационного обмена, списки исполняемых операций, таблицы для хранения данных и правила изменения и обработки документов. На этапе настройки также указываются конкретные подсистемы криптографической защиты информации, которые будут использованы в системе. Тестирование ПО системы Особенностью подхода компании Банк'с Софт Системс к разработке системы ДБО BS-Client является удаление особого внимания этапу тестирования. Полномасштабное тестирование системы осуществля лось с привлечением компании Amphora Quality Technologies3 (www.aqtlab.com). Независимая экспертиза и контроль разработок сторонней компанией позволило повысить качество и надежность системы ДБО BS-Client. В течении нескольких месяцев проводились следующие виды тестирования: Функциональное тестирование. Проверка соответствия покрытия системой поставленных перед ней функциональных требований. Тестирование производительности. Проверка работоспособности системы и определение характеристик в условиях повышенной и стандартной нагрузки. Тестирование надежности. Проверка работоспособности системы в условиях экстремального количества обрабатываемых запросов и транзакций. Определение поведения системы при длительной непрерывной эксплуатации, а также на предмет отказоустойчивости. Лицензии Компания Банк'с Софт Системс (http://bss.bssys.com), разработчик системы ДБО BS-Client, имеет целый пакет лицензий на деятельность связанную с использованием и распространением криптографических технологий, а также на предоставление услуг в области защиты информации: № ЛФ/07-3345 от 20.11.2002 на право осуществлять деятельность по техническому обслуживанию шифровальных средств;

№ ЛФ/07-3346 от 20.11.2002 на право осуществлять деятельность по распространению шифровальных средств;

№ ЛФ/07-3343 от 20.11.2002 г. на право осуществлять деятельность по проектированию защищенных с использованием шифровальных средств информационных систем;

№ ЛФ/07-3344 от 20.11.2002 г. на право осуществлять деятельность по производству защищенных с использованием шифровальных средств информационных систем;

№ ЛФ/07-3347 от 20.11.2002 г. на право осуществлять предоставление услуг в области шифрования информации. E-port. Безопасность передачи данных Для безопасности передачи данных используется протокол SSL версии 3.0. Система e-port использует SSL-сертификат Thawte. Возможно использование ключей шифрования различной длины, вплоть до AQT - динамично развивающаяся, высокотехнологичная американская компания. Специализируюется на предоставлении услуг по тестированию программного обеспечния, контролю качества и управлению рисками.

бит. Конкретный размер ключа зависит от версии используемого Интернет браузера и составляет 40, 56 или 128 бит. Компания рекомендует обновить ПО поддержки криптографии Интернет-браузеров с целью использования ключей с максимально разрешенной длиной. В архитектуре системы используются межсетевые экраны для обработки и контроля передаваемого сетевого трафика. Обеспечение аутентичности и целостности сообщений В системе e-port для обеспечения аутентичности и целостности передаваемых сообщений используется, так называемый, электронный аналог собственноручной подписи (ЭАСП). Формирование значения ЭАСП происходит с использование алгоритмов MD5 и RSA с размером ключа 1024 бит. Для клиентов использование ЭАСП для защиты сообщений является необходимым. Для продавцов использование ЭАСП – опционально. Применение ЭАСП определяется и регулируется внутренним договором о признании данного метода участниками системы. Использование ПО PGP Система e-port использует функциональность ПО PGP4 для шифрования сообщений, передаваемых по электронной почте e-mail. Для этого клиентам необходимо установить у себя ПО PGP и импортировать открытый ключ системы e-port. Открытый ключ зашифровывается и передается клиенту в процессе SSL соединения. Это предотвращает возможность искажения и подмены открытого ключа в процессе передачи. Использование cookies Система e-port использует cookies для идентификации пользователей и поддержки их профайлов. Возможна работа с отключенными cookies за счет предоставления менее удобного сервиса и некоторых ограничений в функциональности системы.

Pretty Good Privacy (PGP) – популярное в Интернет программное обеспечение для криптографической защиты информации с поддержкой криптографии с открытыми ключами. Первоначальная версия ПО была создана в 1991 году американским программистом Ф. Зиммерманном. Следует отметить, что данное ПО не сертифицировано и не проходило официальной проверки на надежность и стойкость реализации криптографических алгоритмов.

КредитПилот. Безопасность передачи данных Для безопасной передачи данных используется соединение по протоколу SSL версии 3.0. Компания КредитПилот.ком имеет SSLсертификат Thawte. Для шифрования данных используются ключи длиной до 128 бит. Использование аналога собственоручной подписи (АСП) Перед началом эксплуатации системы пользователям необходимо сгенерировать значение личного персонального идентификационного номера (ПИН-кода). Для генерации ПИН-кода следует случайным образом поводить курсором мыши в специальной области экрана.

Полученная случайная последовательность служит источником для генерации ПИН-кода. В системе КредитПилот ПИН-код выполняет роль аналога собственноручной подписи (АСП). ПИН-код указывается в специальной форме в момент оплаты товара в Интернет магазине. После генерации необходимо запомнить значение ПИН-кода или сохранить его в защищенном от несанкционированного доступа месте. ПИН-код представляет собой последовательность из 12 символов, например: 8FHtQ/NUk5qy Клиенты системы могут впоследствии поменять свой ПИН-код, однако для этого необходимо знать и указать предыдущее значение. В процессе регистрации, клиентам предлагается одобрить договор на обслуживание в системе КредитПилот. Следует отметить, что в договорах такого рода, как правило специально оговаривается, что компания не несет ответственности в случае хищения или передачи ПИН-кода другим лицам, произошедшим по не зависящим от компании причинам. Соглашение о признании юридической силы в использовании АСП также определяется на договорной основе.

Рекомендации по хранению пароля Для начала работы и входа в систему, пользователи используют личный пароль. Пароль может быть сохранен на локальном компьютере. Следовательно, необходимо обеспечить безопасность работы этого компьютера в Интернет и защиту от несанкционированного доступа. Пользователи имеют возможность менять свой пароль, при условии указания предыдущего значения. Рапида. Безопасность передачи данных Для безопасности передачи данных используется протокол SSL. В системе применяется сертифицированное СКЗИ “КриптоПро CSP” для криптографической защиты информации и электронной цифровой подписи. Кроме того, применяется концепция ИОК, использующая удостоверяющий центр КриптоПро УЦ для управления сертификатами открытых ключей. Технология однозначной аутентифкации На карте Рапида под защитной полосой находятся девять паролей доступа к системе. Паролем является некоторая последовательность цифр. При каждом использовании карты необходимо вскрывать и вводить новый пароль. После ввода пароля система выдает отклик, представляющий собой также числовое значение. Значение ожидаемого отклика напечатано на карте, непосредственно после каждого значения пароля. Получение правильно отклика от системы означает, что данные передаются именно в систему Рапида. Данный подход к обеспечению аутентификации был запатентован и апробирован.

пароль Пользователь отклик Система "Рапида" Последний пароль на карте можно использовать для многократного доступа к системе. Рекомендуется однако приобретать новую карту и присоединять ее к текущей. В этом случае будут действовать пароли новой карты. Ассист. Безопасность передачи данных Между клиентом и сервером системы устанавливается соединение в соответствии с протоколом SSL версии 3.0. Данные шифруются с использованием ключа шифрования размером в 128 бит и передаются по открытым сетям в защищенном виде. Система имеет SSL-сертификат компании VeriSign. Существует возможность использования протокола SET для защиты платежей с помощью платежных карт. Аутентичность и контроль целостности электронных документов и сообщений обеспечивается применением алгоритма ЭЦП на основе RSA. Используется реализация алгоритмов, входящих в состав ПО PGP. Меры защиты от мошенничества Поставщики товаров и услуг, использующие систему Ассист могут настраивать любые комбинации указанных ниже проверок и ограничений. Однако следует помнить, что иногда чрезмерная защита может оказаться неоправданной помехой в деятельности добропорядочных клиентов. В системе Ассист предусмотрены следующие возможности для дополнительной защиты от мошенничества: Использование “черных списков”. Предусмотрена возможность созданиея следующих списков:

- Номеров карт, запрещенных к обслуживанию;

- Отдельных адресов E-mail или целых доменов, запрещенных к авторизации;

- IP адресов или масок на IP адреса плательщиков, запрещенных для работы. Возможность настройки разрешенных IP адресов для поставщиков товаров или услуг. Данная мера позволяет избежать подключения к системе Ассист от чужого имени. Также можно указать URL, разрешенный к подключению. Возможность защиты по частоте авторизации. В случае отказа в авторизации, перед следующей попыткой устанавливается небольшая пауза. Добропорядочный клиент может подождать некоторое время и попробовать авторизоваться снова. Однако автоматизированный подбор параметров авторизации в этом случае будет существенно осложнен. Защита от возможности повторной авторизации. Защита от повторной авторизации исключает возможность повторной оплаты товара. Это в свою очередь избавляет участников системы от неприятной процедуры возвращения денег и отката транзакций. Возможность установки обязательного ввода CVC25. Данная мера доступна в том случае, если поставщик товаров или услуг работает через ПЦ СТБ6.

Значение Card Verification Code 2 (CVC2) для карт EUROPAY/MasterCard и Card Verification Value 2 (CVV2) для карт VISA – это трехзначное число, которое вычисляется банком-эмитентом по криптографическому алгоритму DES с использованием собственного секретного ключа банка и данных конкретной карты (номер и срок действия). Значение CVC2/СVV2 как правило указывается на оборотной стороне карты, на полосе для подписи карты ее владельцем. 6 ПЦ СТБ – процессенговый центр платежной системы СТБ (http://web.stbcard.ru).

Возможность отказа от обслуживания клиентов, которые скрывают свой настоящий IP адрес с использованием анонимных проксисерверов. Анонимные прокси-сервера как правило предоставляют пользователю WEB интерфейс для указания адреса другого WEB сайта, к которому пользователь желает получить доступ. После этого пользователь переадресуется на указанный им WEB сайт, однако при этом настоящий IP адрес компьютера пользователя становится недоступен для определения на сайте. Подобные услуги для обеспечения анонимного доступа в Интернет часто являются платными. Управление ограничениями и контроль операций Возможность указания предельной суммы транзакции, в случае превышения которой потребуется повторная авторизации плательщика. Данная мера доступна только в случае использования ПЦ СТБ. Возможность указания максимальной разрешенной суммы платежа. Осуществление платежей с большими суммами будет невозможно. Возможность указания максимального количество разрешенных транзакций в течении одного дня. В случае исчерпания лимита на разрешенные транзакции, система перестанет осуществлять платежи до начала следующих суток, т.е. до полуночи. Возможность указания максимального разрешенного размера денежного оборота в системе в течении одного дня. Возможность указания максимального разрешенного количества успешных транзакций по карте в течении одного дня. Если по некоторой карте было выполнено указанной количество платежей, то дальнейшая работа с этой картой будет невозможна в системе до начала следующих суток. Возможность указания максимального разрешенного размера денежного оборота по карте в течении одного дня. Использование технологии Web сервисов При разработке системы Ассист, использовалась возможности пакета Microsoft SOAP Toolkit 2.0 для реализации концепции WEB сервисов в платежной системе.7 Функциональность разработанных WEB сервисов обеспечивает:

WEB сервис представляет собой открытый программный интерфейс, доступ к которому обеспечивается через Интернет по HTTP протоколу. Запросы клиента обрабатываются на сервере и результат возвращается в XML формате. WEB сервис, установленный на одном сервере, может использоваться множеством различных клиентов. Клиентская операционная система и программная платформа не имеют значения, так как для обмена данными используются платформенно независимые стандартные протоколы и форматы описания. Компания Microsoft обеспечила превосходную поодержку для разработки WEB сервисов в среде MS Visual Studio.

• Получение курсов валют;

• Передача параметров платежа, данных покупателя и данных кредитной карты через автоматизированный интерфейс;

• Получение результатов авторизации;

• Отмена авторизации;

• Возврат средств покупателя;

• Поставторизация кредитной карты. CyberCheck. Аутентичность и контроль целостности данных В системе используется аналог собственноручной подписи (АСП) для заверения электронных документов и передаваемых сообщений. АСП реализуется с применение криптографического алгоритма, аналогичного RSA с длиной ключа 512 бит. Электронные документы, заверенные с помощью АСП, имеет юридическую силу. Использование АСП Счета за услуги или товар подписывается АСП магазина и отправляется покупателю. Покупатель заверяет счет своим АСП. Заверенный двумя АСП, счет называется чеком и передается в систему CyberCheck для авторизации. Система проверяет правильность АСП покупателя и продавца и в случае успешной поверки происходит дальнейшая обработка транзакции. Заверенные с помощью АСП копии чека, остаются у участников системы, что обеспечивает невозможность отказов от совершения сделки. Использование сертифицированных СКЗИ В системе CyberPlat возможно использование сертифицированных средств криптографической защиты информации для работы с государственными организациями. CyberPOS. Безопасность передачи данных Для защиты данных, передаваемых по открытым сетям, используется протокол SSL. Система имеет SSL-сертификат компании VeriSign. После оформления заказа, покупатель переадресуется на сервер системы CyberPOS и указывает данные своей кредитной карты. Эти данные передаются через Интернет в зашифрованном виде. Используется симметричный алгоритм шифрования с длиной ключа до 128 бит. Информация о покупателях хранится только в системе CyberPOS и недоступна продавцам и поставщикам услуг. Генерация криптографических ключей Перед началом работы от службы сопровождения системы CyberPOS необходимо получить комплект криптографических ключей для тестового подключения к системе или карточку ключа с программой генерации ключей для реального подключения. Программа для генерации ключей и открытые ключи системы доступна на WEB сервере системы. Открытыми ключами системы являются:

- открытый ключ Банка;

- открытый ключ Авторизованного сервера (АС). Открытый ключ Банка поставляется в файле bank.iks. Открытый ключ АС поставляется в файле cybercard.iks. Экран программы для генерации ключей показан на рисунке: Необходимо указать путь к каталогу, где будут сохранены сгенерированные секретный и открытый ключи Интернет магазина, путь к полученной карточке ключа и кодовую фразу. Карточка ключа представляет собой файл keycard.dat. Кодовая фраза может быть любой. Подобно указанию паролей, во время ввода кодовой фразы она не отображается на экране. По этой причине необходимо указать кодовую фразу повторно, для избежания ошибок. Длина кодовой фразы должна быть не менее десяти символов. В процессе генерации ключей необходимо произвольно водить указателем мыши в специальном окне. Полученная в результате случайная последовательность будет использована в процессе генерации ключей. После генерации, секретный ключ банка будет сохранен в файле secret.key по указанному ранее пути, открытый ключ в файле public.iks. Кроме того, будет создан специальный файл public.key в котором впоследствии будут хранится все открытые ключи системы и Интернет магазина. Для этого следует импортировать открытые ключи Банка и АС. Укажите пути к ним в окне программы genkey.exe и нажмите кнопку Импортировать. Файл public.iks с открытым ключом Интернет магазина необходимо передать систему CyberPOS для его регистрации. Хранение криптографических ключей Открытые и секретные ключи, используемые Интернет магазинами для выполнения криптографических преобразований, хранятся соответственно в файлах secret.key и pubkeys.key. Если магазин работает в тестовом режиме, то эти файлы записаны в каталог Keys/Test, если в реальном, то в каталог - Keys/Real. Настоятельно рекомендуется сделать данные каталоги недоступными через Интернет-сервер. В противном случае возможен взлом сервера, несанкционированный доступ и компрометация секретного ключа Интернет магазина. Программный модуль для reversal-транзакций Система CyberPOS предоставляет специальное ПО для самостоятельного осуществления Интернет магазинами операций по отмене платежей, не отправленных на финансовую авторизацию. Использование данного модуля требует применения специальных мер безопасности. Во-первых необходимо организовать авторизованный доступ к ПО для избежания осуществления несанкционированный операций. Для этого можно воспользоваться средствами Интернет сервера и установить права на выполнение программного модуля. Можно также физически хранить ПО на одном из компьютеров во внутренней сети Интренет магазина, недоступной из Интернет. Кроме того, необходимо установить поддержку протокола SSL на сервере Интернет магазина. Для этого в частности следует инсталлировать модуль Crypt-SSLeay в случае использования операционной системы Windows или библиотеку OpenSSL и модуль Net-SSLeay для Unix. Другие меры безопасности После установки ПО для работы с системой CyberPOS будет создан каталог Session. Рекомендуется защищать этот каталог от несанкционированного доступа, аналогично каталогу Keys, в котором хранятся файлы с криптографическими ключами. Программное обеспечние Для обеспечния работы Интернет магазинов с системой CyberPOS используется специальное ПО, написанное с использованием языка Perl и функционирующее в операционных системах семейства Windows и Unix. Установка ПО может быть осуществлена специалистами Интернет-магазина. Для успешной работы ПО следует установить интерпретатор языка Perl версий 5.005 и выше для Unix и ActivePerl версий 522 и выше для Windows. Указанное программное обеспечение интерпретаторов Perl и некоторых других дополнительных модулей можно бесплатно из Интернет8.

Интерпретаторы Perl доступны http://www.activestate.com/Products/ActivePerl на сайте www.perl.com и CyberPlatPay. Повышение уровня безопасности платежей Система CyberPlatPay использует для оплаты товара зарегистрированные в системе платежные карты. Использование этой технологии позволяет повысить безопасность осуществления электронных платежей. Покупатель регистрируется в системе и предоставляет данные о своей платежной карте. При регистрации карты в системе CyberPlatPay необходимо указать следующую информацию: Номер карты;

Код CVC2 или CVV2;

Имя владельца карты;

Срок действия карты. После этого система CyberPlat осуществляет тестовый платеж на минимальную сумму, в размере $1 со счета покупателя в банкеэмитенте. Покупатель узнает в своем банке-эмитенте код авторизации тестового платежа и передает его системе CyberPlatPay. Система проверяет код авторизации и убеждается в законности и возможности использования зарегистрированной клиентом карты. Сумма тестового платежа возвращается на счет покупателя вне зависимости от результатов проверок. В дальнейшем, при осуществлении Интернет платежей, покупатель может указать, что он платит с помощью зарегистрированной карты.

В этом случае следует ввести код подтверждения вместе с другими параметрами платежной карты.

PayCash. Безопасность платежей Система PayCash обеспечивает анонимность и неотслеживаемость покупателей за счет использования криптографической технологии “слепой” подписи. Банк выдает цифровую наличность покупателю, но не может проследить, кто и когда расплачивается цифровыми деньгами. Для шифрования и защиты данных используется алгоритм на основе RSA с длиной ключа 1024 бит. В системе ведется журнал событий по совершаемым платежам и транзакциям, заверяемый с помощью ЭЦП. Подобный подход обеспечивает сопровождение работы в системе документами, имеющими юридическую силу. Устойчивость к обрывам связи Особенное внимание при проектировании и разработке системы уделялось вопросам устойчивости к обрывам связи. Если обрыв связи произошел во время осущевления платежа, перевода цифровых денег или в других операциях, то нет риска потери денег ни одним из участников системы. Безопасность ПО электронного кошелька Покупатели используют специальное ПО электронного кошелька, которое устанавливается на компьютер пользователя. При работе этого ПО исключается выгрузка критичных и секретных данных в файл подкачки ОС (своп-файл) на жесткий диск компьютера. Предусмотрена защита от использования копий цифровых денег. Теоретически каждый пользователь может сделать произвольное число копий каталогов с ПО своего электронного кошелька. Однако использовать можно только одну из этих копий. После этого платежи с других копий будут отвергаться. Такая защита является следствием используемых криптографических протоколов. Для доступа и начала работы с ПО электронного кошелька используется парольная защита. Необходимо запомнить пароль доступа к электронному кошельку. Пароль вводится в процессе инсталляции ПО электронного кошелька.

В случае потери пароля, использование кошелька станет невозможно. Пароль автоматически нигде не сохраняется и не записывается. Контроль за ним целиков лежит в области ответственности пользователя. В процессе инсталляции ПО электронного кошелька происходит генерация криптографических ключей. Для вычисления ключей используется случайное число, образованное на основе сгенерированной пользователем случайной последовательности Для этого пользователь осуществляет нажатие 60 произвольных клавиш в специальном окне в процессе инсталляции ПО.

Использование ПО PGP Для обеспечения гарантий целостности и аутентичности загружаемого с сервера ПО электронного кошелька используется ПО PGP. Открытый ключ ЭЦП системы опубликован на самом Интернет сервере системы. Необходимо установить на компьютере ПО PGP и скачать открытый ключ для проверки подлинности дистрибутивов ПО электронного кошелька. ПО PGP также используется для проверки целостности извещений о прошедших платежах. Использование аналога собственноручной подписи Существует несколько способов приема платежей продавцами с помощью системы PayCash: прием платежей через кошелек-кассу;

прямой платеж на счет;

работа через Центр Приема Платежей (ЦПП);

размещение магазина на сайте системы. Во всех этих случаях при обработке платежей используется аналог собственноручной подписи (АСП). Стороны перед началом сотрудничества договариваются об использовании АСП для заверения электронных документов. Патенты и лицензии Имеется лицензия Гостехкоммисиси при президенте РФ №967 от 05.12.2001 на право деятельности в области защиты информации. Имеется ряд патентов на изобретения, выданные Роспатентом, на основе которых построена технология оплаты товаров в системе. Патент на изобретение №2157001 от 25.11.1998 "Способ проведения платежей (варианты)";

Патент на изобретение №2144695 от 20.01.2000 "Способ востребования приобретателем исполнения обязательства, связанного с карточкой, и признания этого обязательства эмитентом";

Патент на изобретение №2153191от 29.09.1998 "Способ изготовления в слепую цифровой RSA-подписи и устройство для его реализации (варианты)". Преимущества использования запатентованных технологий Особенностью используемых технологий ЭЦП на основе RSA, является гарантия анонимности владельца подписи и невозможно прочтения подписанных сообщений сторонними лицами, включая сотрудников банка. Еще одним преимуществом использования запатентованных методов является возможность защиты владельца предоплаченной карточки от возможных сбоев работе системы или попытки подделки карточки. Разработан механизм однозначного и доказательного разрешения спорных ситуаций в пользу законного и добропорядочного владельца карты. Крупным преимуществом является отсутствие необходимости ведения каталогов с непосредственно использованными цифровыми наличными. В других системах подобные каталоги могут понадобится для того, чтобы избежать возможности многократного использования цифровых наличных, т.е. мошенничества со стороны недобропорядочных клиентов. Однако ведение таких списков, их обновление и использование требует больших затрат, особенно если платежная система пользуется популярностью. Вместо этого ведется каталог, так называемых виртуальных счетов, который увеличивается значительно медленнее. Запатентованная технология использует цифровые монеты, которые содержат в себе информацию о времени и назначении платежа. Повторное использование цифровой наличности в этом случае не допускается. Независимая экспертиза криптографических методов В 1999 году была проведена независимая экспертиза используемых в системе PayCash криптографических алгоритмов и их патентная чистота. Для проведения экспертизы был привлечен Брюс Шнайер (Bruce Schneier), известный криптограф и специалист в области защиты информации, ныне являющийся техническим директором компании Counterpane Internet Security, Inc (www.counterpane.com). В результате проведенной экспертизы не было обнаружено никаких явных недостатков в используемых алгоритмах и математических выкладках. Относительно практической реализации системы были высказаны некоторые рекомендации. Также было дано заключение о возможности патентования представленных решений в США и других странах мира9. Криптографические технологии для осуществления платежей Данный раздел в большей степени основан на материалах статьи [Kha99]10, опубликованной на сайте системы PayCash.

Подробный отчет о резульататх экспертизы можно найти на WEB сервере системы PayCash по адресу: http://www.paycash.ru/about/press/files/official/default.htm 10 [Kha99] И. М. Хамитов Система платежей в Интернете PayCash. http://www.paycash.ru/about/technology/ltt.rtf Платежная книжка Предполагается, что каждый клиент имеет пару секретного и открытого криптографических ключей (D,E). Платежи осуществляются с помощью платежной книжки (ПК). ПК представляет собой следующий набор данных: Число, определяющее платежеспособность ПК. Это неотрицательное, целое число, называемое также диспозицией ПК. Обозначается как N;

Открытый ключ пользователя. Обозначается как E;

Значение цифровой наличности. Обозначается как g-N(f(E)). Таким образом, ПК(N, E) – это множество {N, Е, g-N(f(E))}, причем g-N(f(E))=g-1(g-1(…g-1(f(E))). Правило корректности ПК заключается в том, что для некоторого множества {N, E, A}должно выполнятся условие f(E) = gN(A). Это условие может проверить любой участник платежной системы, включая самого владельца ПК. Важными свойствами ПК являются следующие: Любой клиент может изготовить пустую ПК, с диспозицией равной нулю, без участия банка. Любой клиент может изготовить не пустую ПК, с диспозицией меньшей текущей, без участия банка Ни один клиент не может изготовить ПК с диспозицией, большей текущей, без участия банка. Каждый клиент может увеличить диспозицию своей ПК с привлечением банка. Рассмотрим подробнее протокол увеличения диспозиции ПК. Протокол увеличения диспозиции ПК 1. Пусть клиент имеет ПК{N1, E} и хочет увеличить ее диспозицию на сумму N2. Для этого клиент вычисляет и передает банку “ослепленные” данные B=gN3(r)g-N1(f(E)), где r – случайное целое положительное число, а N3N2. 2. Банк подписывает полученное значение на своем секретном ключе и возвращает клиенту C=g-N2(B). 3. Клиент извлекает требуемую часть ПК(N1+N2, E), действительно: ПК(N1+N2, E) = {N1+N2, E, C/(gN3-N2(r))} = { N1+N2, E, g-N1N2(f(E))}= { N1+N2, E, g-(N1+N2)(f(E))}.

Платежные данные В качестве платежного документа выступают следующие данные {R,S(R, D),ПК(N,E)}, где R – это уникальное описание платежа. Это значение вводится для установления однозначной связи между финансовой и товарной транзакциями. Описание платежа может содержать разнообразную информацию, например номера счетов, номера контрактов, описывающих условия сделки и т.п. Если по каким-то причинам часть сведений является конфиденциальными, то можно использовать значение хэш-функции от соответствующих данных. S(R, D) – значение ЭЦП от описания платежа R, вычисленное с использование секретного ключа D клиента;

S – используемый алгоритм ЭЦП. Любой пользователь, в том числе и банк, может верифицировать значение ЭЦП c использованием парного открытого ключа E клиента. Виртуальный счет Банк ведет у себя реестр данных, связанных с каждым открытым ключом E, клиентов системы. На виртуальном счету хранится значение максимальной диспозиции ПК, предъявленной в платежах, называемое экспозицией виртуального счета. Также на виртуальном счете хранится сумма расходов клиента по всем сделанным платежам. Следует отметить, что список виртуальных счетов увеличивается значительно медленнее, чем увеличивался бы список просто использованных цифровых наличных, так как один виртуальный счет в большинстве случаев используется для многих платежей. Платежный протокол 1. Покупатель предоставляет продавцу в качестве платы за товар свои платежные данные. 2. Продавец пересылает платежные данные в банк. 3. Банк проверяет корректность ПК и сумму, представленную к платежу. Если данные в ПК некорректны или сумма равную нулю, то банк отказывает в авторизации платежа. 4. Банк находит виртуальный счет (или создает новый) соответствующих открытому ключу покупателя. Если диспозиция представленной ПК больше, чем текущая экспозиция виртуального счета, то последняя увеличивается до уровня полученной диспозиции. 5. Банк верифицирует подпись на описание платежа. В случае отрицательного результата верификации, банк отказывает в авторизации платежа. 6. Банк суммируют все расходы по данному виртуальному счету с величиной текущего платежа, и сравнивает их с диспозицией представ ленной ПК. Если полученное значение не превосходит значение диспозиции, то банк увеличивает сумму расходов на виртуальном счету, авторизует платеж, зачисляет необходимую сумму на счет продавца, рассылает покупателю и продавцу подписанные квитанции, включающие описание платежа. Если полученное значение расходов превышает значение диспозиции представленной ПК, то банк отказывает в авторизации платежа. 7. Продавец получает результаты авторизации платежа. Если результат положительный, то передает товар покупателю. Если результат отрицательный, то отказывается от сделки. Из рассмотренного протокола видно, что банк имеет теоретическую возможность проследить все платежи, выполненные с предъявлением одной и той же ПК. Это косвенная возможность отслеживания платежей не должна рассматриваться как угроза анонимности покупателей, так как во-первых банк все равно не знает, кому принадлежит ПК, а во-вторых пользователи могут периодически менять свои ПК. WebMoney. Разрешение спорных ситуаций Для разрешения спорных вопросов связанных с проведением платежей и других действий пользователей, в системе создается специальный арбитраж. Для представления претензий на их рассмотрение в арбитраже, пользователю необходимо получить так называемый, WMатестат. WM-атестат – это свидетельство, выдаваемое в электронной форме участнику системы после представления им своих персональных данных. Следует заметить, что получение WM-атестата означает добровольное лишение пользователей их анонимности в системе. Выдача WM-атестатов в системе осуществляется в специальном Центре Аттестации (ЦА), в который пользователь представляет копии необходимых документов. По желанию пользователей предоставляемая информация может быть доступна другим участникам системы. Арбитраж состоит из представителей трех сторон: заявителя, потенциального нарушителя и представителя системы WebMoney Transfer,. Для подачи заявления необходимо его оформить и заплатить взнос, установленный в размере 7 условных единиц WM. Решения в арбитраже принимаются большинством голосов. К компетенции арбитража относятся решения о блокировании обслуживания идентификатора нарушителя, доступа к спорным средствам, а также выработка условий соглашений. Следует заметить, что арбитраж сам по себе не занимается вопросами возврата средств, их добровольно может вернуть только сам нарушитель. Однако арбитраж может заблокировать работу электронных кошельков нарушителя. Арбитраж также может рассматривать произвольные претензии участников системы и незарегистрированных пользователей, по которым выносятся рекомендательные решения. Такие претензии не требуют оплаты взноса. Изменение правил работы в системе В системе WebMoney любой пользователь может инициировать выставление на голосование предложение по правилам работы системы. Для вынесения вопроса на голосование нужно, чтобы за это высказалось не менее 10% от общего числа зарегистрированных пользователей. Зарегистрированными считаются пользователи, имеющие WM-атестаты. Безопасность WM Keeper Light Использование WM Keeper Light не требует установки на клиентский компьютер никаких дополнительных приложений. Работа с системой осуществляется через WEB интерфейс с помощью обычного Интернет браузера. Браузер должен поддерживать клиентские сертификаты SSL и возможность шифрования данных с ключом 128 бит. В случае, если браузер не поддерживает ключи такого размера, можно скачать бесплатные обновления с сайтов компаний производителей браузеров. Данные от клиента к серверу передаются по HTTPS протоколу. Аббревиатура HTTPS означает соединение с сервером по протоколу HTTP c защитой данных в соответствии с протоколов SSL. В случае использования HTTPS запросов, по открытым сетям данные передаются в зашифрованном виде. Поддержка SSL встроена в Интернет браузеры и является прозрачной для пользователей и разработчиков. Для начала работы необходимо только зарегистрироваться и установить на компьютер персональный сертификат WebMoney Transfer. Персональный сертификат – это документ, содержащий идентификатор, e-mail клиента WebMoney, его секретный ключ и возможно другую необходимую информацию11. Персональный сертификат выдается центром сертификации (ЦС) системы WebMoney. Персональный сертификат устанавливается на компьютер пользователя в специальное системное хранилище с помощью Интернет браузера. Действие персонального сертификата ограничено по времени. Как правило персональный сертификат выдается на один год. Перед окончанием срока действия сертификата он должен быть продлен. Процесс регистрации пользователя WM Keeper Light включает ввод личного пароля для доступа к системе и выбор способов получения секретного ключа.

Персональный сертификат формируется в соответствии с рекомендациями стандарта PKCS #12 (Personal Information Exchange Syntax Standard).

Секретный ключ может быть получен в PFX12-файле или в PVKфайле. В случае выбора PFX-файла сертификат будет автоматически загружен с сервера и установлен в клиентское хранилище. После этого необходимо извлечь персональный сертификат их хранилища данных в виде PFX-файла. Для этого следует воспользоваться меню “Tools/Internet Options” браузера Internet Explorer, выбрать закладку “Content” и нажать кнопку “Certificates …” В появившемся списке следует выбрать запись соответствующую нужному сертификату WM Keeper Light и запустить мастер экспорта. На сайте WebMoney имеется детальная инструкция по управления мастером экспорта. В случае выбора PVK-файла для получения секретного ключа необходимо будет указать имя файла на диске, в котором этот ключ будет Формат Personal Information Exchange (PFX) используется для хранения и переноса персональной секретной информации. Компания Microsoft в частности реализовала поддержку этого формата для приложения MS Internet Explorer.

сохранен. Имеет смысл использовать внешний магнитный носитель для сохранения файла, чтобы он физически не оставался на жестком диске компьютера. Секретный ключ, сохраняемый в PVK-файле, защищается специальным паролем, который нужно указать в процессе генерации ключа. Использование пароля для получения секретного ключа защищает его от несанкционированного использования.

Помимо этого с сервера будет загружен файл с расширением.CER, в котором содержится сертификат на открытый ключ, соответствующий стандарту PKCS#7. Для начала работы с системой WM Keeper Light нужно установить персональный сертификат вручную. Для этого следует воспользоваться утилитой PVKImport доступной для бесплатного распространения на сайте WebMoney. В процессе установки персонального сертификата потребуется ввести пароль, сохраненный в PVKфайле и защищающий секретный ключ, от несанкционированного использования.

Чтобы каждый раз перед началом работы не выполнять ручную установку персонального сертификата, можно конвертировать два файла PVK и CER в один PFX файл. В область ответственности пользователя входят вопросы хранения секретных ключей и сертификатов. Целесообразно хранить файлы с секретными ключами (PVK, PFX) на съемных внешних носителях. В случае использования PVK-файлов надо помнить пароль, защищающий использование секретного ключа. В случае утери пароля использовать секретный ключ и устанавливать персональный сертификат будет невозможно.

Также нежелательно оставлять персональный сертификат в хранилище сертификатов на компьютере, поскольку из этого хранилища можно произвести несанкционированное извлечение сертификата. После экспорта персонального сертификата в PFX-файл, рекомендуется удалить его из хранилища. Безопасность WM Keeper Classic Приложение WM Keeper Classic устанавливается на компьютер пользователя и выполняет роль электронного кошелька для работы в системе WebMoney. Приложение связывается через Интернет по протоколу TCP/IP через порт 2802. Этот порт должен быть разрешен для использования на компьютере пользователя или на прокси-сервере, через который осуществляется связь с Интернет. В процессе регистрации пользователь указывает свой секретный пароль для доступа к приложению WM Keeper Classic, а также получает сгенерированный уникальный WM-идентификатор. Значения пароля и WM-идентификатора необходимо запомнить, их требуется указывать при каждом запуске приложения. Кроме того, в процессе регистрации будет сгенерирован секретный ключ пользователя, который сохраняется в файле с расширение.kwm. Имеет смысл хранить этот файл на внешнем носителе. Впоследствии имеется возможность поменять пароль иместо хранения секретного ключа. Приложение WM Keeper Classic работает только под управлением операционных систем, семейства Windows. Используется шифрование данных с применением алгоритма RSA и ключа размером 1024 бит. Дополнительные меры безопасности В системе обеспечивается ряд дополнительных возможностей для защиты от мошенничества и повышения уровня безопасности: Настройка разрешенных IP адресов. Пользователи могут настроить список разрешенных для работы IP адресов. В случае обращения к системе с неразрешенного IP адреса, на адрес электронной почты e-mail владельца соответствующего WM-идентификатора будет направлено письмо. Защиты от спама. ПО электронного кошелька обеспечивает защиту от спама. Пользователи могу запретить приход писем от неавторизованных корреспондентов. Обмен конфиденциальными сообщениями. Пользователи системы WebMoney имеют возможность обмениваться сообщениями, защищенными от несанкционированного прочтения.

Безопасность выполнения HTTPS запросов В системе WebMoney Transfer предусмотрена возможность выполнения следующих операций с помощью передачи на специальный WEB-сервер (https://w3s.webmoney.ru) запросов по HTTPS протоколу: • Выписывание счета от одного участника (магазина, ресурса) другому участнику (покупателю) системы. • Проверка состояния выписанного ранее счета (оплачен или нет). • Перевод средств с одного кошелька на другой. • Перевод средств с одного кошелька на другой с протекцией сделки. • Проверка выполнения операции по переводу средств между кошельками. • Отправка сообщения произвольному WM-идентификатору по внутренней почте WMT. • Идентификация и аутентификация клиента - владельца WM Keeper Classic на стороннем сайте. • Получение информации о принадлежности кошелька WMидентификатору. • Получение доступной информации о текущем владельце WMидентификатора (текущая заполненная информация "О себе", наличие аттестации, открытая аттестационная информация). Запросы формируется в виде навигационной строки Интернет браузера и передаются по протоколу HTTPS в WEB сервер. Передача данных между клиентом и сервером защищается по протоколу SSL с длинной ключа шифрования данных до 128 бит. Ниже приводится формат строки одного из запросов: https://w3s.webmoney.ru/asp/Invoice.asp?SL=LoginOfStores&SP=Pur seOfStores&CL=LoginOfCust&IN=OrderID&D=Desc&AD=InvAddress&A =Amount&E=Experation&P=Period&RN=RequestN&SS=SignStr. Подробное описание всех форматов и используемых параметров можно найти на WEB сервере системы WebMoney. Однако для всех форматов общим является использование параметра SS. Через этот параметр передается значение ЭЦП сформированного запроса. Значение ЭЦП вычисляется с помощью специального ПО WMSigner. Это приложение можно свободно скачать с WEB сервера системы WebMoney. Поставляется в виде исполняемого файла для операционных систем Windows, Linux и FreeBSD. В виде компонента ActiveX только для платформы Windows. Также доступен исходный код приложения. WMSigner позволяет формировать ЭЦП для сообщений или счетов с использованием секретного ключа, пароля и идентификатора пользователя. Получаемая ЭЦП является строкой из 132 или 133 символов. Именно эта строка передается в параметре SS в HTTPS запросе.

Безопасность выполнения XML запросов В системе WebMoney существует еще один способ выполнения ряда перечисленных ниже запросов к Интернет серверу системы. Специфика данного способа заключается в том, что запрос оформляется с помощью языка XML: • Выписывание счета от одного участника (магазина, ресурса) другому участнику (покупателю) системы. • Перевод средств с одного кошелька на другой. • Получение истории операций по кошельку. Проверка выполнения операции по переводу средств между кошельками или оплате счета. • Получение истории выписанных счетов по кошельку. Проверка оплаты счета. • Завершение операции с протекцией сделки. Ввод кода протекции. • Отправка сообщения произвольному WM-идентификатору по внутренней почте WMT. • Идентификация и аутентификация клиента - владельца WM Keeper Classic на стороннем сайте. • Получение информации о принадлежности кошелька WMидентификатору. Поиск участника системы по его идентификатору или кошельку. • Получение информации о балансе на кошельках. • Получение списка счетов на оплату. Выполнение запросов в XML формате также осуществляется путем обращения к серверу системы по HTTPS протоколу. Предусмотрена аутентификация двух типов: аутентификация с ключами WM Keeper Classic и аутентификация со стандартными сертификатами WM Keeper Light. В случае использования аутентификации WM Keeper Classic, текст запроса подписывается аналогично HTTPS-запросам, описанным в предыдущем пункте. Значение ЭЦП передается в специальном параметре в XML документе. Для WM Keeper Light используются стандартные сертификаты, для установления соединения с сервером. В этом случае значение ЭЦП не вычисляется и не передается. Параметры ответа системы не зависят от используемого типа аутентификации. На сайте системы WebMoney приведены форматы всех XML запросов. Описанные способы выполнения HTTPS и XML запросов являются альтернативными вариантами по отношению к технологии Webсервисов, предложенной компанией Microsoft.

Глава 8. Юридические проблемы Интернет-расчетов 8.1. Проблемы юридического обеспечения электронной коммерции. Обзор, история развития законодательной базы электронных расчетов По прогнозу компании BizRate.com, только в этом году совокупный объем электронных продаж в мире достигнет уровня $40 млрд. По данным Forrester Research, объем мирового рынка электронной коммерции в 2004 г. составит около $6.8 трлн. В этом году клиентами электронных магазинов станут около 75% всех постоянных пользователей Интернет. По прогнозу Yankee Group, в 2003 г. объем В2В транзакций возрастет до $541 млрд по сравнению с $138 млрд в 1999 г. Объем электронных продаж потребительских товаров через 5 лет может достигнуть уровня $600-$800 млрд. По прогнозу различных исследовательских компаний, ежегодные темпы роста электронной коммерции на 2004-2005 гг. должны составить от 60% до 150%. При этом, доля электронных продаж в мировой экономике может увеличиться до 5-10%. Прогнозируется, что около половины этих продаж придется на США, а вторым по величине станет рынок Азиатско-Тихоокеанского региона (АТР). Чуть меньше объем электронных продаж будет в Европе (в первую очередь, в Германии, Англии и Франции). Объем электронных продаж в остальных странах мира (в ЮАР, Африке, на Ближнем Востоке, России) будет значительно меньше. Такое развитие электронной коммерции требует правового регулирования. В связи с этим возникают следующие правовые проблемы: • Юридическое обоснование совершения электронных сделок;

• Юридическое обоснование проведения электронных платежей;

• Юридическое обоснование электронного документооборота;

• Юридические аспекты применения средств криптозащиты информации. При этом согласно исследованиям KPMG Consulting около 80% компаний считают, что юридические аспекты обеспечения безопасности транзакций и хранения информации в Интернет являются главной проблемой на пути распространения электронной коммерции. Однако правовые отношения в электронной коммерции имеют свои специфические черты. Основой электронной коммерции является виртуальное пространство сети Интернет;

собственно Интернет и является средой, в которой осуществляется электронная коммерческая деятельность. Поэтому создание механизма правового регулирования отношений в сети Интернет является одним из важнейших направлений на пути к правовому обеспечению электронной коммерции.

Можно выделить следующие особенности правовых отношений в Интернет: Экстерриториальность - субъекты правоотношений могут физически находиться на территории разных государств, где действуют разные законодательства. Поэтому неясно, законы какого государства нужно применять к участникам правоотношений. Анонимность – участники правоотношений могут выступать под любыми именами в связи с чем встает проблема их идентификации. Исходя из этих особенностей, Интернет можно выделить в отдельное правовое пространство, отличающееся от традиционного. Существовавшие до последнего времени законодательные нормы не учитывали этих особенностей электронной коммерции. Поэтому для эффективного регулирования правоотношений в Интернет следует модернизировать законодательство с учетом специфики отношений в виртуальном пространстве. Сейчас активная законотворческая деятельность происходит во всех странах, где быстрыми темпами развивается электронная коммерция. 8.2. Зарубежные правовые нормы электронных расчетов В 1996 году Организация Объединенных Наций отметила, что все большее число сделок в международной торговле заключается с помощью электронного обмена данными и других средств передачи данных. альтернативных бумажным. Это было связано с активным развитием электронной коммерции. В связи с этим Комиссией по праву международной торговли ООН (UNCITRAL) был разработан Типовой закон Об электронной торговле 1996 года (Model Law of E-commerce (MLEC), http://www.unictral.org). Будучи убежденной, что принятие типового закона, регулирующего электронную коммерцию, может внести вклад в развитие гармоничных международных отношений, ООН рекомендует всем государствам при модернизации существующего и создании нового законодательства, регулирующего электронную коммерцию использовать этот закон в качестве примера для подражания. Разработка этого закона велась с учетом пожеланий и замечаний правительств государств, входящих в ООН. Поэтому его можно применять в качестве образца в государствах с различными правовыми, социальными и экономическими системами. Этот закон придал юридическую силу электронному документу, определенному в тексте закона как сообщение данных [13]. Сообщение данных - информация, сформированная, отправленная, полученная или хранимая с помощью электронных, оптических или аналогичных средств, включая электронный обмен данными (EDI), электронную почту, телеграмму, телекс или телефакс и др. (Типовой закон Об электронной торговле, ст.2).

Принятие этого закона создало правовую основу для электронной торговли, легализировало заключение электронных сделок и осуществление электронного документооборота. Также этот закон допускает использование электронной подписи, хотя конкретно о них в нем и не говорится. Однако, как следует из статьи 7 Письменная форма [13], посвященной подписям документов, документ считается подписанным если: использован какой-либо способ для идентификации лица, подписавшего документ и указания на то, что это лицо согласно информацией, содержащейся в сообщении данных;

этот способ является надежным и соответствующим цели, для которой сообщение данных было подготовлено. Использование электронной подписи не противоречит такому определению. Так как, во-первых, электронная подпись четко идентифицирует лицо, подписавшее документ, а во-вторых, используемые при создании электронных подписей криптографические средства достаточно надежны для использования их в коммерческой деятельности. 5 июля 2001 года, на тридцать четвертой сессии Комиссии по праву международной торговли ООН (UNCITRAL), проходившей в Вене, был принят Типовой закон Об электронных подписях (Model Law of E-Signature (MLES), http://www.unictral.org). Целью принятия данного закона было придание юридической силы электронным подписям. Кроме того, в этом законе был принят следующий понятийный аппарат [14]: электронная подпись означает данные в электронной форме, которые содержатся в сообщении данных, приложены к нему или логически ассоциируются с ним и которые могут быть использованы для идентификации подписавшего в связи с сообщением данных и указания на то, что подписавший согласен с информацией, содержащейся в сообщении данных;

сертификат означает сообщение данных или иную запись, подтверждающую наличие связи между подписавшим и данными для создания подписи;

сообщение данных означает информацию, подготовленную, отправленную, полученную или хранимую с помощью электронных, оптических или аналогичных средств, включая электронный обмен данными, электронную почту, телеграмму, телекс или телефакс но не ограничиваясь ими;

подписавший означает лицо, которое обладает данными для создания подписи и действует от своего собственного имени или от имени лица, которое оно представляет;

поставщик сертификационных услуг означает лицо, которое выдает сертификаты и может предоставлять другие услуги, связанные с электронными подписями;

полагающаяся сторона означает лицо, которое может действовать на основании сертификата или электронной подписи. В этом законе устанавливается равный режим для технологий создания электронных подписей, то есть электронная подпись может создаваться любым способом, не противоречащим требованиям данного закона. Устанавливаются и требования надежности электронной подписи, регламентируется поведение участников сторон, создающих, сертифицирующих и использующих электронную подпись. Кроме того признаются иностранные сертификаты и электронные подписи, если они не противоречат данному закону. Параллельно работе ООН, разработка законодательства электронной коммерции также происходит и в Европейском сообществе. 13 декабря 1999г Европейским Парламентом и Советом Европы была принята Директива по электронным подписям (Directive 1999/93/EC of the European Parliament and of the council of 13 December 1999 on a Community framework for electronic signatures, adopted and dated 13 December 1999. См. http://rechten.kub.nl/simone/Eu-sig.htm). Целями Директивы являются рекомендации по приданию юридической силы электронным подписям, созданию организационного аппарата по работе с электронными подписями и установление рамок для работы этого аппарата в странах Европейского союза. Определение электронной подписи в Директиве аналогично определению, содержащемусю в Типовом законе об электронных подписях (UNCITRAL). Директива также предусматривает возможность использования электронной подписи повышенной надежности [15]. Электронная подпись повышенной надежности (advanced electronic signature) должна отвечать следующим требованиям: уникально связана с подписавшим лицом;

достаточна для его идентификации;

создается с использованием средств, которые находятся под единоличным контролем подписавшего лица;

связана с данными, к которым она относится, таким способом, что любое последующее изменение данных становится очевидным. Кроме того, в Директиве устанавливаются принципы использования электронных подписей и их сертификатов, подтверждающих подлинность электронных подписей, а также регулирования сертификационных услуг и деятельности провайдеров сертификационных услуг [15]. Провайдер сертификационных услуг (certification service provider) означает организацию, юридическое или физическое лицо, которые выдают сертификаты и оказывают иные услуги, касающиеся электронных подписей. Директива не содержит указаний на области применения и не устанавливает ограничений на использование электронных подписей, оставляя это на усмотрение национального законодательства.

Директива запрещает ставить оказание сертификационных услуг в зависимость от получения предварительного разрешения со стороны государственных органов. При этом за деятельностью провайдеров сертификационных услуг должен осуществляться государственный надзор. Также в целях максимального предупреждения рисков убытков для лиц, воспользовавшихся их услугами, директива содержит жесткие требования к осуществлению деятельности, предъявляемые к провайдерам сертификационных услуг. Директива возлагает на провайдеров сертификационных услуг ответственность за убытки, понесенные лицами, которые воспользовались их услугами, если будет доказана некомпетентность провайдера. Однако провайдеры могут при выдаче сертификатов указывать в них ограничения на их использование. Таким образом провайдеры не будут нести ответственность за ущерб, нанесенный в случае использования сертификата без учета указанных в нем ограничений. Кроме того, Директива допускает признание сертификатов, выданных провайдерами сертификационных услуг стран, не являющихся членами ЕС, если они соответствуют приведенным в ней условиям. 8 июня 2000 года Европейским Парламентом и Советом Европы была принята Директива о некоторых правовых аспектах услуг информационного общества, в том числе электронной коммерции, на внутреннем рынке (Директива об электронной коммерции) (The Electronic Commerce Directive: COM (98) 586 final. [00/31/EC] http://www.dti.gov.uk/CII/elec/elec_com_1.html). Эта Директива была принята для развития внутреннего рынка с помощью введения на внутреннем рынке принципов свободного движения услуг информационного общества [17]. Директива устанавливает границы правового регулирования электронной коммерции, которые должны учитывать страны участники ЕС при создании либо модернизации собственного законодательства. Под услугами информационного общества (information society services) понимаются дистанционные платные услуги, доставка которых осуществляется с использованием электронных средств обработки и хранения данных и по индивидуальному запросу получателя услуг. Директива содержит следующие требования к государствамучастникам ЕС: • Определение ясных требований к Интернет-рекламе;

• Установление принципов заключения электронных сделок;

• Ограничение ответственности Интернет-посредников;

• Требование при создании и модернизации собственного законодательства принимать во внимание уже существующие правила поведения и кодексы Интернет-сообщества. Директива сближает некоторые национальные правовые нормы государств-членов ЕС, касающиеся услуг информационного общества на внутреннем рынке, вопросов создания и регулирования деятельности физических или юридических лиц, предоставляющих услуги информа ционного общества - так называемых сервис-провайдеров (service provider)[16], рекламной деятельности, заключения электронных сделок, ограничений ответственности посредников, кодексов поведения, внесудебного разрешения споров, судебных исков и сотрудничества между государствами-участниками внутреннего рынка. Директива не устанавливает дополнительных правил в сфере международного частного права и не затрагивает юрисдикцию судов. Кроме того настоящая Директива не применяется в следующих областях: в сфере налогообложения;

к вопросам, касающимся услуг информационного общества, охватываемым Директивами 95/46/ЕС и 97/66/ЕС;

к вопросам, касающимся соглашений или практики, регулируемым антимонопольным законодательством;

к следующим видам деятельности в сфере услуг информационного общества, таким как:

- деятельности нотариусов или аналогичных профессий в той степени, в которой они непосредственно или специальным образом связаны с выполнением публичных полномочий;

- представление клиента и защита его интересов в суде;

- игорная деятельность, которая предполагает внесение ставок с денежной стоимостью в азартных играх, включая лотереи и пари. (Директива ЕС об электронной коммерции от 8 июня 2000 г., ст.1,п.5, перевод - Шамраев А.В.) С одной стороны Директива учитывает стремление Интернетсообщества к самостоятельному регулированию собственной деятельности. Согласно ей занятие и осуществление деятельности провайдера услуг информационного общества не может ставиться в зависимость от наличия предварительного разрешения или выполнения иного требования, имеющего аналогичное действие. (Директива ЕС об электронной коммерции от 8 июня 2000 г., ст.4, п.1, перевод -Шамраев А.В.) Кроме того, Директива запрещает ограничивать свободу предоставления услуг информационного общества с территорий других государствучастников. С другой стороны Директива устанавливает некоторые рамки, в которых будет осуществляться государственное регулирование. С этой целью Директива вводит понятие координируемая область регулирования. Координируемая область регулирования (coordinated field) - требования, установленные в правовых системах государств-участников, применимые к провайдерам услуг информационного общества или к услугам информационного общества, вне зависимости от того, имеют ли они общий характер или специально предназначены для этого. (Директива ЕС об электронной коммерции от 8 июня 2000 г., ст.4, п.1, перевод Шамраев А.В.).

Координируемая область регулирования определяет требования, которым должны соответствовать сервис-провайдеры при осуществлениии своей деятельности. К ним относятся: требования к квалификации сервис-провайдера, разрешение или уведомление о начале деятельности, правила поведения сервис-провайдера, требования, относящиеся к качеству или содержанию услуг, включая требования, применимые к рекламе и заключению договоров а также требования, касающиеся ответственности сервис-провайдера. Координируемая область регулирования не охватывает требования, применяемые к товарам как таковым, их доставке а также услугам, предоставляемым без использования электронных средств. Рассмотренные выше правовые нормы были созданы с целью служить рекомендациями по созданию, либо изменению уже существующих национальных законодательств в Европе, касающихся электронной коммерции. Однако национальные законодательства, касающиеся регулирования электронной коммерции, зачастую весьма отличаются от законов, рекомендованных ООН и ЕС. Например Акт об электронных цифровых подписях, принятый правительством Германии (он является частью Акта об информации и коммуникации, принятого в 1997 году (Informations- und Kommunikationsdienste - Gesetz - IuKDG 13.06.1997 1.08.1997 http://www.iid.de/rahmen/iukdgebt.html), не касается вопросов применения документов, подписанных ЭЦП, а также вопросов юридического признания цифровой подписи. Данный Акт устанавливает только требования к надежности и безопасности технологии создания электронных цифровых подписей. Акт не приравнивает документы подписанные электронной подписью к собственноручно подписанным бумажным документам. Довольно быстро этот нормативный правовой акт перестал быть актуальным, поэтому в августе 1998 года правительством Германии с целью модернизации национального законодательства была заявлена Официальная позиция Германского Правительства по международному признанию электронных и цифровых подписей (German Government Position Paper on the International Recognition of Digital Signatures. Перевод на английский Кристофер Кюнер http://www.kuner.com/data/sig/gov_digsig_recognition.html). Этот документ представляет позицию правительства Германии относительно международного признания электронных цифровых и электронных подписей. Согласно этому документу, сначала Правительство Германии хочет установить надежную систему сертификации электронных подписей, а уже после этого придать юридическую силу электронной подписи. Также предполагается установить жесткую государственную систему сертификации электронных подписей. Кроме того, предполагается, что он может быть использован как основа международных соглашений или рекомендаций, наподобие Типовых законов ООН.

Ненсмотря на своевременность выпуска данного закона, он содержит некоторые недочеты. Например в этом законе рекомендуется применение электронных цифровых подписей, механизм защиты в которых основан на использовании ассимметричной крипографии (метода открытого ключа), не учитывая тот факт, что германские компании находятся среди лидеров рынка биометрии и других технологий защиты информации. Этот проект требует введения единого стандарта безопасности для всех электронных подписей, невзирая на тот факт, что для электронных подписей, используемых в различных целях, требования к безопасности также должны быть различными. В случае введения единого стандарта безопасности, электронные подписи из других государств, даже если они будут являться членами ЕС, не отвечающие высоким требованиям безопасности Германии не будут иметь юридической силы, что противоречит рекомендациям Совета Европы по унификации правовых норм в отношении электронных подписей. В 2000 году в Великобритании был принят Акт об электронных коммуникациях (Electronic Communication Act 2000. http://www.legislation.hmso.gov.uk/acts/acts2000/20000007.htm). Этот Акт является модернизацией Акта о телекоммуникациях 1984 года с целью правового регулирования электронных коммуникаций и средств хранения информации. В отношении электронных подписей его позиция близка позиции Типового закона об электронных подписях (MLES, UNCITRAL). Определение электронной подписи полностью соответствует определению, данному в (MLES, UNCITRAL). При этом Акт не предусматривает обязательной сертификации подписей. А сам механизм сертификации сильно упрощен: электронная подпись признается сертифицированной, если любое лицо (независимо, до или после передачи информации), подтвердит, что подпись, механизм ее создания, передачи или подтверждения является достаточным средством для проверки аутентичности и целостности информации. В США была надежда, что существующая законодательная система, позволит решить проблемы электронной коммерции практикой и необходимость создания специального закона отпадет. Этого не произошло, потому что развитие электронной коммерции привело к выделению ее в особое правовое поле, где оказались несостоятельными существующие законы. Поэтому в США появилась необходимость проведения законодательной работы в этом направлении на федеральном уровне. Сначала в США был принят Единый закон об электронных сделках (UETA) (Uniform Electronic Transactions Act, 1999 - UETA http://www.law.upenn.edu/bll/ulc/ulc_final.htm). Данный Закон носит рекомендательный характер. Так же, как и Типовые законы ЕС, он должен послужить образцом для модернизации и унификации уже существующего в отдельных штатах законодательства, касающегося электронной коммерции. Главной целью этого Закона является признание юридической силы электронных документов и электронных подписей. При этом не устанавливается конкретный способ подписания электронного документа - это может быть как электронная цифровая подпись, так и идентификация подписавшего с помощью технологий биометрии. Также не устанавливается обязательная сертификация электронных подписей этот вопрос решают сами участники электронного договора. Принятый сто шестым Конгрессом США 24 января 2000 года Закон об электронных подписях в международных и внутригосударственных торговых отношениях (Electronic Signatures in Global and National Commerce Act, 2000 E-sign Act http://www.law.upenn.edu/bll/ulc/ulc_final.htm, перевод с английского Петровский С.В., http://www.russianlaw.net/law/doc/a127.htm), вполне соответствует рекомендациям Единого закона об электронных сделках (UETA). Целью этого закона является облегчение использования электронной документации и электронных подписей во внутригосударственных и международных торговых отношениях. Как и Единый закон об электронных сделках (UETA), он приравнивает электронные документы и подписи к бумажным. Правда в нем оговариваются исключения - применение электронной подписи не распространяется в вопросах наследования, семейного права;

касательно распоряжений суда, предупреждений или официальных судебных документов, а также в документах, прилагающихся при передаче предметов, опасных для жизни и здоровья людей. (Закон об электронных подписях в международных и внутригосударственных торговых отношениях, ст.103). Отмечается, что электронный документ может быть заверен электронной подписью нотариуса, если того требует законодательная норма (ст.101). Кроме того, этот закон устанавливает следующий порядок проверки его выполнения: после истечения 12 месяцев после издания этого закона министр торговли и Федеральная торговая комиссия должны предоставить отчет Конгрессу, в котором должна содержаться оценка применения данного Закона, а также возможные изменения и дополнения (ст.105). Из-за различных правовых традиций, подходы различных государств к регулированию электронной коммерции сильно различаются. Тем не менее можно выделить в два основных подхода к регулированию электронной коммерции: жесткий государственный контроль (правовые нормы имеют директивный характер);

наблюдательная позиция государства (правовые нормы имеют рекомендательный характер). Однако существует и третий подход - сорегулирование. В этом случае сферы государственного контроля должны быть разграничены так, чтобы не мешать свободному развитию электронной коммерции. Примероми такого соглашения является Директива об электронной коммерции ЕС.

Принятие международного соглашения по регулированию электронной коммерции, основанного на принципах сорегулирования, многие специалисты считают наиболее реальным механизмом решения проблемы правового регулирования электронной коммерции. Кроме Комиссии по праву международной торговли ООН (UNCITRAL) и Европейского Сообщества и работу в этом направлении ведут ОЭСР, ВТО и ряд других международных организаций. (Леанович Е., Проблемы правового регулирования Интернет-отношений с иностранным элементом). 8.3. Российские правовые нормы электронных расчетов В настоящий момент российский сектор электронной коммерции отстает от развития электронной коммерции в развитых странах Запада. Однако согласно докладу Американской Торговой Палаты, стремительный рост мировой электронной торговли и ее влияние на российское общество и экономику вызывает потребность в скорейшем урегулировании данной сферы, и на это следует обратить внимание российским органам законодательной и исполнительной власти. [12] Поэтому в нашей стране также ведется активная законотворческая деятельность, направленная на регулирование электронной коммерции. Первым законодательным актом, регулирующим электронную коммерцию стал Гражданский кодекс РФ № 51-ФЗ. Статьей № 434 “Форма договора” была юридически обоснована возможность совершения сделок в электронном виде: Договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору. (Гражданский кодекс российской федерации, часть 1 ст. 434, п.2). Cтатьей № 160 “Письменная форма сделки” разрешено использовать при совершении сделок электронную цифровую подпись: Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно - цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон. (Гражданский кодекс российской федерации, часть 1 ст.160, п.2). С целью регулирования отношений, возникающих при формировании и использовании информационных ресурсов был принят Федеральный закон об информации, информатизации и защите информации от 20 февраля 1995 г. № 24-Ф3. Именно в этом правовом акте, в статье 5 “Документирование информации”, электронная цифровая подпись (ЭЦП) приобретает юридическую силу:

“Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью. Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно - технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования. Право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии”. С целью правового уравнивания электронной цифровой подписи в электронных документах и собственноручной подписи в документе на бумажном носителе 10 января 2002 года был принят Федеральный закон об электронной цифровой подписи №1-ФЗ. Данный закон устанавливает, что электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий: сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

подтверждена подлинность электронной цифровой подписи в электронном документе;

электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи. (Закон об электронной цифровой подписи, гл. II, ст. 4, п.1). В этом законе появляются определения следующих понятий: электронный документ, электронная цифровая подпись (ЭЦП) и других, касющихся порядка сертификации ЭЦП. Подтверждение подлинности электронных цифровых подписей, изготовление и выдача сертификатов ключей подписей, обеспечение уникальности ключей, а также возобновление и приостановка их действия, производятся удостоверяющим центром - юридическим лицом, обладающим необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей. Требования, предъявляемые к материальным и финансовым возможностям удостоверяющих центров, определяются Правительством Российской Федерации по представлению уполномоченного федерального органа исполнительной власти. Статус удостоверяющего центра, обеспечивающего функционирование корпоративной информационной системы, определяется ее владельцем или соглашением участников этой системы. (Закон об электронной цифровой подписи, гл. III, ст.8, п.1) При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. (Закон об электронной цифровой подписи, гл. II, ст.5, п.2) Сертификация средств электронной цифровой подписи осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг (Закон об электронной цифровой подписи, гл. II, ст.5, п.4). Деятельность удостоверяющего центра подлежит лицензированию в соответствии с законодательством Российской Федерации о лицензировании отдельных видов деятельности (Закон об электронной цифровой подписи, гл. III, ст.8, п.2). Порядок выдачи лицензий удостоверяющим центрам определяется Федеральным законом о лицензировании отдельных видов деятельности от 25 сентября 1998 г. № 158-ФЗ. Целью принятия данного закона является регулирование отношений, возникающих между органами исполнительной власти, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности. В контексте правового обеспечения электронной коммерции этот закон касается лицензирования следующих видов деятельности: распространение шифровальных (криптографических) средств;

техническоое обслуживание шифровальных (криптографических) средств;

предоставление услуг в области шифрования информации;

разработка и производство шифровальных средств (Закон о лицензировании отдельных видов деятельности, ст.17, п.1). Согласно этому закону, лицензирующими органами, осуществляющими лицензирование в соответствии с настоящим законом, являются федеральные органы исполнительной власти и органы исполнительной власти субъектов Российской Федерации. Немотря на прогресс в области правового регулирования электронной коммерции, существующее российское законодательство еще не отражает всех сторон этой деятельности. Поэтому в России, как и во всем мире продолжается законотворческая деятельность в этой области.

Глава 9. Некоторые актуальные юридические проблемы Интернетрасчетов 9.1. Правовое поле оффшорного Интернет-банкинга для российского гражданина и организации Возможность осуществления оффшорного банкинга, то есть открытия российским гражданином или организацией счета за границей в иностранном банке регулируется следующими правовыми актами: 1. Закон РФ "О валютном регулировании и валютном контроле" от 9 октября 1992 г. № 3615-1;

2. Письмо ЦБ РФ “О некоторых вопросах применения валютного законодательства РФ” от 24 февраля 1995 г. № 12-86;

3. Инструкция ЦБ РФ “О счетах физических лиц - резидентов в банках за пределами Российской Федерации” от 29 августа 2001г. № 100-И. 9.1.1. Закон РФ “О валютном регулировании и валютном контроле” Этот закон является основным нормативным актом, регулирующим валютные операции российских граждан и организаций за границей. Он не запрещает россиянам открывать счета за границей, однако устанавливает при этом довольно жесткие условия: Во-первых, иностранная валюта, получаемая российскими предприятиями, подлежит обязательному зачислению на их счета в уполномоченных банках, если иное не установлено Центральным банком Российской Федерации. Во-вторых, очень четко определено, что валюта, в которой можно открывать счета должна быть “не являющейся свободно конвертируемой”. Определение такой валюте дано следующее - “под иностранной валютой, не являющейся свободно конвертируемой валютой, понимается иностранная валюта, которая не обменивается без ограничений на валюту другого иностранного государства при осуществлении текущих валютных операций.” В-третьих, очерчен круг деятельности, для которой можно открывать счета в иностранных банках - это расчеты связанные исключительно с договорами международного строительного подряда. При этом резиденты обязаны уведомить налоговые органы об открытии указанных счетов и ежемесячно отчитываться перед ними о движении денежных средств на этих счетах. Все правила операций с иностранной валютой впредь будет устанавливать Центральный Банк Российской Федерации.

9.1.2. Письмо ЦБ РФ “О некоторых вопросах применения валютного законодательства РФ” Через некоторое время закон “О валютном регулировании” устарел, и Центробанканк выпустил информационное письмо № 12-86. В этом письме ЦБ разрешил открывать физическим лицам счета в иностранных банках только на время пребывания за границей. В иных случаях требуется получить лицензию Банка России. При этом, возвращаясь в Россию, нужно перевести остатки с иностранных счетов в российские банки, либо ввезти с собой валютные ценности через таможню. Юридическим лицам открывать счета за границей можно только получив разрешение ЦБ РФ. Правда в этих формулировках есть следующие неясности: Во-первых четко не обозначены так называемые “иные случаи” открытия счетов физическими лицами за пределами России, очевидно не связанные с пребыванием физических лиц за рубежом. Во-вторых ЦБ РФ так и не пояснил, имеет ли значение, в какой валюте можно открывать эти счета: в свободно конвертируемой или нет. В то время как в законе “О валютном регулировании” это было четко обозначено. 9.1.3. Инструкция ЦБ РФ “О счетах физических лиц - резидентов в банках за пределами Российской Федерации” 29 августа 2001 года Центральным Банком Российской Федерации была выпущена инструкция, более подробно описывающая условия открытия счета за границей. Согласно ей, российские граждане могут окрывать счета в 34 иностранных банках и их филиалах, расположенных на территории иностранных государств, являющихся членами Организации экономического сотрудничества и развития (ОЭСР) а также Специальной финансовой Комиссии по проблемам отмывания капиталов (ФАТФ). При этом отмечается, что такие счета открываются для целей, не связанных с осуществлением предпринимательской деятельности. То есть на них можно начислять любые деньги, кроме вырученных от предпринимательской деятельности за рубежом. Денежные средства на этих счетах можно использовать только для осуществления валютных операций, связанных с движением капитала, как того требует валютное законодательства Российской Федерации. Подробное описание операций, связанных с движением капитала дано в законе “О валютном регулировании и валютном контроле”. Также можно переводить денежные средства с одних счетов на другие - но только в соответствии с валютным законодательством страны.

Анонимный банкинг с точки зрения отечественного законодательства Между тем, все правовые нормы, рассмотренные выше, касаются только традиционного банковского обслуживания. Дело в том, что при открытии счета большинство зарубежных банков требуют физического присутствия клиента, открывающего счет. А деятельность банков, связанная с обслуживанием клиентов с помощью сети Интернет явно не регулируется никакими правовыми нормами. Сложившейся ситуацией воспользовались банки некоторых стран, в частности Латвии [11], которые разрешили открывать у себя анонимные счета российских граждан с помощью Интернет. Латвия, правда не входит в список стран, в которых по инструкции ЦБ РФ могут открывать счета российские граждане. То есть открытие российским гражданином или организацией счета в таком банке будет нарушением российских законов. В некоторых зарубежных банках российские граждане могут открывать через Интернет анонимные счета [5]. Такие банки находятся на территории государств, являющихся “оффшорными зонами” и также не входят в список разрешенных законодательством РФ. Однако доказать причастность российского гражданина к счету в такоом банке будет проблематично. При открытии анонимного счета в таком банке не требуется никаких документов, удостоверяющих личность клиента. О себе хозяин счета не сообщает никаких сведений - только имя (или псевдоним) и пароль. Договор с банком также отсутствует. Правда при утере пароля исчезает сам счет и все деньги, содержавшиеся на нем, так как доказать вашу причастность к конкретному счету довольно сложно. Юридическая процедура предъявления прав на свой счет в случае утери пароля весьма размыта. Поэтому такие счета и не используют для накопления средств, а в качестве промежуточного пункта денежных переводов и средство анонимизации денег. Банки, предоставляющие услуги анонимного банкинга, как правило не выплачивают процентов по вкладам, а наоборот, требуют некоторых процентов от транзакций. Между тем такой способ осуществления банкинга отечественным валютным законодательством может расцениваться как вывоза капиталов из России. Законом “О валютном регулировании и валютном контроле” запрещено накапливать на иностранных счетах деньги, заработанные за границей - так они уходят из поля зрения российской налоговой полиции и из российской экономики. С другой стороны анонимный Интернет-банкинг явным образом не регулируется никакими законодательными нормами. Возникает ситуация неопределенности. Таким образом российское валютное законодательство требует существенной доработки в отношении условий открытия российскими гражданами счетов за границей.

9.2. Условия применения ЭЦП и систем криптозащиты информации в России 9.2.1. История разработки ЭЦП в России В настоящее время основой правовой базы использования ЭЦП в России являются следующие нормативно-правовые акты: Гражданский Кодекс РФ;

Федеральный закон РФ “Об информации, информатизации и защите информации”;

Положение ЦБ РФ17-П “О порядке приема поручений, подписанных АСП”;

Положение ЦБ РФ 20-П “О правилах обмена электронными документами”;

Федеральный закон РФ “Об электронной цифровой подписи”. Как уже отмечалось выше, первым нормативно-правовым актом, легализировавшим использование электронной подписи в России, явился Гражданский кодекс РФ. Статьей № 434 “Форма договора” была юридически обоснована возможность совершения сделок в электронном виде: Договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору. (см. ГК РФ, часть 1 ст. 434, п.2). Cтатьей № 160 “Письменная форма сделки” разрешено использовать при совершении сделок электронную цифровую подпись: Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно - цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон. (см. ГК РФ, часть 1 ст.160, п.2). Следующим правовым актом, легализирующим применение электронной цифровой подписи явился Федеральный закон об информации, информатизации и защите информации от 20 февраля 1995 г. № 24-Ф3. В статье 1, описывающей сферу применения этого закона сказано: “Настоящий Федеральный закон регулирует отношения, возникающие при: формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации;

создании и использовании информационных технологий и средств их обеспечения;

защите информации, прав субъектов, участвующих в информационных процессах и информатизации.” Документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. В статье 5 указывается, что юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью. Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно - технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования. Согласно этому закону, право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии, порядок выдачи которой определяется законодательством Российской Федерации. В данном законе не дается никакого определения электронной цифровой подписи. Временное положение о порядке приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи, при проведении безналичных расчетов кредитными организациями 10 февраля 1998 г. №17-П. В соответствии со ст. 160 Гражданского кодекса Российской Федерации при совершении сделок в письменной форме допускается использование аналогов собственноручной подписи (АСП). Аналог собственноручной подписи (АСП) - персональный идентификатор кредитной организации либо клиента кредитной организации, являющийся контрольным параметром правильности составления всех обязательных реквизитов платежного документа и неизменности их содержания. Настоящее Положение устанавливает порядок приема к исполнению поручений владельцев счетов, в том числе составленных на электронных носителях, подписанных АСП, при проведении безналичных расчетов на территории Российской Федерации между кредитными организациями и кредитными организациями и их клиентами, а также порядок хранения и уничтожения платежных документов, подписанных АСП. При организации документооборота более чем между двумя участниками процедура признания АСП должна предусматривать создание Администрации документооборота в установленном настоящим Положением порядке. Администрация документооборота (далее - Администрация) -юридическое лицо либо подразделение юридического лица, выполняющее функции по регистрации владельцев АСП, регистрации средств создания и проверки подлинности АСП, хранения эталонов программно-технических средств, предназначенных для составления платежных документов, создания и проверки АСП, а также эталонов документации на эти средства. Кроме того, к функциям Администрации от носится урегулирование разногласий между участниками документооборота. Функции Администрации устанавливаются настоящим Положением и договором между участниками документооборота либо договором, заключаемым Администрацией с участниками документооборота. Для создания и проверки АСП могут использоваться программно технические и иные средства в порядке, устанавливаемом договором между участниками документооборота или с Администрацией. Процедуру проверки подлинности АСП участники документооборота устанавливают руководствуясь договором, заключенными между собой, либо между собой и Администрацией. Положение о правилах обмена электронными документами между банком России, кредитными организациями (филиалами) и другими клиентами банками России при осуществлении расчетов через расчетную сеть банка России от12 марта 1998 г. № 20-П. Это положение устанавливает правила обмена электронными документами и пакетами электронных документов только через расчетную сеть банка России. Здесь впервые появляется определение электронного документа, в контексте электронных платежей. Электронный платежный документ (ЭПД) - документ, являющийся основанием для совершения операций по счетам кредитных организаций (филиалов) и других клиентов Банка России, открытым в учреждениях Банка России, подписанный (защищенный) ЭЦП и имеющий равную юридическую силу с расчетными документами на бумажных носителях, подписанными собственноручными подписями уполномоченных лиц и заверенными оттиском печати. В этом документе появляется следующее определение электронной цифровой подписи: Электронная цифровая подпись (ЭЦП) - вид аналога собственноручной подписи (АСП), являющийся средством защиты информации, обеспечивающим возможность контроля целостности и подтверждения подлинности электронных документов. ЭЦП позволяет подтвердить ее принадлежность зарегистрированному владельцу. ЭЦП является неотъемлемой частью электронного документа (пакета электронных документов). С целью обеспечения правовых условий использования электронной цифровой подписи в электронных документах 10 января 2002 года был принят закон “Об электронной цифровой подписи” № 1-ФЗ. При соблюдении этих условий электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе. Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной циф ровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. Отмечается, что участник информационной системы может быть одновременно владельцем любого количества сертификатов ключей подписей. С целью сертификации ЭЦП организовывается Удостоверяющий центр (УЦ). Для подтверждения подлинности ЭЦП и идентификации ее владельца удостоверяющим центром участнику информационной системы выдается сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, включающий в себя открытый ключ электронной цифровой подписи. Удостоверяющим центром должно быть юридическое лицо, выполняющее функции, предусмотренные настоящим Федеральным законом.(ст.8) Функции Удостоверяющего центра во многом аналогичны функциям Администрации из Положения ЦБ РФ 17-П - это изготовление сертификатов ключей подписей, создание ключей электронных цифровых подписей, приостановка, возобновление и аннулирование действия сертификатов ключей подписей, ведение реестра сертификатов ключей подписей, обеспечение его актуальности и возможности свободного доступа к нему участников информационных систем;

проверка уникальности открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра;

выдача сертификатов ключей подписей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии а также осуществление подтверждения подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей.(ст. 9) Для обеспечения законности деятельности удостоверяющего центра вводится уполномоченный федеральный орган исполнительной власти. до начала использования собственной электронной цифровой подписи обязан представить в уполномоченный федеральный орган сертификат ключа этой подписи. Уполномоченный орган включает этот сертификат в единый государственный реестр, и только после этого Удостоверяющий центр может заниматься своей деятельностью. Уполномоченный федеральный орган также занимается ведением государственного реестра сертификатов ключей подписей удостоверяющих центров и подтверждением подлинности ЭЦП уполномоченных лиц удостоверяющих центров в выданных ими сертификатах ключей подписей. (ст.10) Электронная цифровая подпись считается юридически полноценной при соблюдении следующих условий: сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

подтверждена подлинность электронной цифровой подписи в электронном документе;

электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи. (ст.4, п.1). 9.2.2. Особенности применения ЭЦП в России Сертификация ключей ЭЦП и лицензирование УЦ Согласно закону “Об ЭЦП”, при создании ключей электронных цифровых подписей для использования в информационных системах общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Не допускается использование несертифицированных средств электронной цифровой подписи и созданных ими ключей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления. Во всех остальных корпоративных системах использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей разрешено в порядке, установленном в этой системе. (ст. 5). Сертификация средств электронной цифровой подписи осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг (ст.5, п. 4). Деятельность удостоверяющего центра также подлежит лицензированию в соответствии с законодательством Российской Федерации о лицензировании отдельных видов деятельности (ст. 8, п. 2). Средства ЭЦП относятся к шифровальным средствам, поэтому сертификация средств ЭЦП и деятельность удостоверяющих центров регулируются указом Президента РФ № 334 “О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации”. Указ сосредотачивает в руках ФАПСИ контроль за разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации и предоставлением услуг в области шифрования информации. Указ запрещает использование государственными организациями и предприятиями в информационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата ФАПСИ, а также размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие сертификата ФАПСИ. (п.2). Предложить ЦБ РФ и ФАПСИ принять необходимые меры в отношении коммерческих банков Российской Федерации, уклоняющихся от обязательного использования, защищенных технических средств хранения, обработки и передачи информации, имеющих сертификат при их информационном взаимодействии с подразделениями ЦБ РФ. (п.3). Запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных ФАПСИ в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации". (п.4). Также указом запрещается ввоз на территорию России шифровальных средств иностранного производства без лицензии Министерства внешних экономических связей, выданной по согласованию с ФАПСИ. (п.5). Лиц, не выполняющих требования данного указа будут выявлять Контрразведка, МВД, ФАПСИ, Налоговая служба и Налоговая полиция.(п.6).

Глава 10. Перспективы развития законодательной базы в сфере электронной коммерции и Интернет-расчетов 10.1. Мировые тенденции в развитии законодательной базы электронной коммерции Все сделки электронной коммерции происходят в виртуальном пространстве глобальной сети Интернет. Одной из особенностей правоотношений в Интернет, как было ранее отмечено, является их экстерриториальность. То есть участники таких правоотношений могут находиться на территории разных государств, вследствие чего непонятно, законами какого государства нужно руководствоваться при регулировании их отношений и разрешения конфликтов. Интернет - совершенно новая правовая среда, стирающая национальные границы, поэтому к ней не могут быть применимы устоявшиеся представления о действии правовых норм в традиционном пространстве [8]. Правовое регулирование в Интернет только начало складываться и пути его развития окончательно еще не определены [8]. Однако уже сейчас можно выделить несколько взглядов на правовое регулирование электронной коммерции. Во первых - это государственное законодательное регулирование - государство должно выработать четкие законодательные нормы и следить за их выполнением. Такого рода законодательная деятельность происходит в Германии и России, где государственный контроль некоторых областей экономики является традицией. Эта тенденция прослеживается в таких актах, как Официальная позиция Германского Правительства по международному признанию электронных и цифровых подписей и российский закон “Об электронной цифровой подписи”, которые устанавливают довольно жесткую государственную систему сертификации средств электронных подписей и лицензирования деятельности по их созданию. Тем не менее сегодня основной тенденцией развития правовой базы Интернет-платежей является выработка сбалансированного подхода к государственному законодательному регулированию сферы электронной коммерции. Одним из подходов к регулированию электронной коммерции может быть введение Интернет-отношений в существующую правовую систему. Его суть в том, что не обязательно разрабатывать новые принципы правового регулирования Интернет-отношений, необходимое совершенствование действующего законодательства должно быть минимальным. Предлагается просто подкорректировать существующие правовые нормы с целью адаптации их к области электронной коммерции. В качестве другого подхода к законодательному регулированию сферы электронной коммерции предлагается использовать систему прецедентов, как это происходит в Великобритании и США. Однако в большинстве правовых системах Европы прецеденты не рассматривают ся в качестве источников права. Но они могут помочь в истолковании тех или иных действующих норм применительно к Интернетотношениям. В том числе существующих норм и обычаев Интернетсообщества. Многие законодатели предпочитают выжидательную политику государства в области регулирования электронной коммерции. Среди них существует мнение, что Интернет-сообщество должно само выработать механизм правового регулирования на основе общепринятых норм поведения, которые будут закреплены в законодательном порядке [8]. Такой подход к регулированию сферы электронной коммерции можно назвать саморегулированием [8]. Этот подход основан на идее, что главным и неотъемлемым условием дальнейшего развития электронной коммерции является свобода Интернет, поэтому саморегулированию отдается предпочтение перед государственным регулированием. Сама природа Интернет, как глобальной информационной инфраструктуры, содействует широкому обмену мнениями по вопросам правового регулирования виртуальных коммереческих отношений [8], на основе которых и вырабатываются всеобщие правила правового регулирования Интернет. Однако сейчас уже можно говорить о возникновении третьего подхода к регулированию электронных отношений - сорегулирование. Идея сорегулирования подразумевает сочетание законодательного регулирования с саморегулированием Интернет. Представители Интернетсообщества формируют своими действиями определенные правила поведения и обычаи в виртуальном пространстве, которые закрепляются затем в законодательном порядке. При этом законодателями должен учитываться “международный” характер Интернет, который должен найти адекватное отражение в международном праве” [8]. Например проблема юрисдикции уже не может быть решена только в рамках национального законодательства. В Интернет-отношениях фактор физического нахождения или перемещения сторон не имеет никакого значения, следовательно, суду для надлежащего обеспечения правопорядка на своей территории необходимо расширять правила определения юрисдикции. В связи с тем, что в США электронная коммерция развивается более высокими темпами, способ определения международной подсудности уже подвергся радикальному пересмотру. Европейским сообществом также предпринимаются шаги по разработке новых правил определения юрисдикции в электронной коммерции (например регламент “О юрисдикции, признании и приведении в исполнение судебных решений по гражданским и коммерческим вопросам”), однако этот вопрос в европейском законодательстве все еще остается открытым. Так как одностороннее, без участия других государств и учета их опыта, решение вопроса юрисдикции в электронной коммерции проблематично, вероятно в дальнейшем пересмотр правил определения юрисдикции будет проводиться совместно Европой и США.

Экстерриториальность пространства сети Интернет, в котором осуществляется электронная коммерческая деятельность, приводит к тому, что национальные законодательства не могут полноценно регулировать его. Поэтому наиболее эффективное правовое регулирование электронной коммерции должно осуществляться путем принятия международных соглашений при участии всех государств, где развит этот сектор экономики. Работа в этом направлении занимает большое место в деятельности ООН, ВОИС, ОЭСР, ВТО и ряда других международных организаций [8]. Одним из примеров международного соглашения является Директива об электронной коммерции принятая Европейским Союзом. А также Типовые законы, разработанные Комиссией по праву международной торговли ООН (UNCITRAL). Последние тенденции в международном праве свидетельствуют о том, что идея международного соглашения, основанного на принципах сорегулирования и учитывающего особенности национальных законодательств, является наиболее перспективным путем развития правового регулирования электронной коммерции. Как свидетельствуют уже принятые международные правовые нормы, соглашение будет иметь рекомендательный характер и сведется к самой общей унификации национальных законодательств. В частности об этом свидетельствует проект международной Конвенции “Об электронных сделках”, разрабатываемый в настоящее время странами-участниками ООН в развитие Типового закона “Об электронной торговле” [3]. Целью этого проекта является “выработка единых и обязательных правил, определяющих порядок заключения электронных сделок и их исполнения. Принятие данной Конвенции позволит перевести отношения в сфере международной электронной торговли на качественно иной - более высокий уровень развития и предоставит участникам международных отношений юридические гарантии судебной защиты их прав [3]”. “Проект Конвенции, предложенный США устанавливает основные принципы, которым должны следовать государства при регулировании отношений связанных с электронной торговлей. Это, прежде всего: Необходимость устранения в национальных законодательных системах стран участниц правовых норм, противоречащих данной Конвенции и препятствующих заключению сделок в электронном виде;

Установление принципа автономии воли сторон, т.е. стороны вольны самостоятельно определять способ подтверждения подлинности сделки;

Провозглашается принцип "технологической нейтрализации" правовых норм определяющих порядок определения подлинности электронных документов, т.е. методы электронного подтверждения подлинности документа не должны строго привязываться к существующим технологическим решениям. Признается необходимость допустить ис пользование новых подходов подтверждения подлинности в рамках существующих и будущих технологий;

Устанавливается режим наибольшего благоприятствования в странах участниках Конвенции в отношении всех сторон электронного договора с целью устранения препятствий для совершения электронных сделок, недопущения каких-либо форм дискриминации и предоставления участникам равных прав на судебную защиту [3]”. Данный проект устанавливает юридическое обоснование электронного электронных документов, их доказательственную силу, а также определяет порядок составления и условия действительности электронных договоров. 10.2. Перспективы развития законодательной базы Интернетрасчетов в России Ориентируясь на опыт стран Запада, где развита электронная коммерция, в России также должны быть разработаны общие правила как на государственном уровне, так и на уровне взаимоотношений участников бизнес-процессов. До последнего времени, несмотря на быстрое развитие Интернет и электронной коммерции, не было ни одного закона, регулирующего эту сферу [3]. Тем не менее, было опубликовано значительное количество проектов федеральных законов, регулирующих отношения в сфере электронной коммерции и использования Интернет. На настоящий момент уже принят важнейший закон, регулирующий электронную коммерцию - закон “Об электронной цифровой подписи”, приравнявший юридически электронные документы к бумажным. Однако для решения задач регулирования сделок, заключенных в электронных системах, в России должен быть принят закон "Об электронной торговле". Такой закон должен законодательно закрепить требования к содержанию и правилам заключения электронных сделок. С этой целью Государственной думой обсуждается проект Федерального закона “Об электронной торговле”, кстати уже принятый в первом чтении. Целью этого законопроекта является обеспечение правовых условий для электронной торговли: закрепление прав и обязанностей лиц, осуществляющих электронную торговлю, определение правил совершения сделок с использованием электронных документов, подписанных аналогами собственноручной подписи, а также признание электронных документов в качестве судебных доказательств. (ст. 1) В отличие от американского Закона об электронных подписях в международных и внутригосударственных торговых отношениях, сделки, которые в соответствии с законодательством Российской Федерации должны быть нотариально удостоверены или подлежат государственной регистрации, не могут быть совершены путем обмена электронными документами.

В этом законе определены следующие требования к информации, предоставляемой клиентам лицами, осуществляющими электронную торговлю: Лица, осуществляющие электронную торговлю, обязаны предоставлять в электронном виде информацию о своем правовом положении, а также обеспечивать доступ к такой информации. Исходящие от лица, осуществляющего электронную торговлю, оферты или приглашения делать оферты, а равно рекламные или иные сведения о предлагаемых им товарах (работах, услугах), должны представляться в форме, которая позволяет их адресату, не обладающему специальными знаниями, однозначно определить полученную информацию как относящуюся к электронной торговле и составить достоверное представление о правовом положении лица, осуществляющем электронную торговлю, о его товарах (работах, услугах), ценах на них и условиях их приобретения. (ст. 4, п. 5) Этот законопроект является шагом в перед на пути к правовому регулированию электронной коммерции в России, однако и он нуждается в дополнениях. В нем не затронуты такие важные вопросы, как защита прав потребителей, решение проблемы юрисдикции, налогообложение электронных сделок, защита информационных прав граждан. В основном закон устанавливает требования относящиеся к сфере информационного обмена [9]. Кроме законопроекта “Об электронной торговле” было выдвинуто значительное количество других законопроектов, претендующих на регулирование этой области. Например проект закона “О сделках, совершаемых при помощи электронных средств (Об электронных сделках)”, внесенный депутатом осударственной Думы Прощиным С.А. 16 ноября 2000 года, наряду с условиями совершения сделок в предпринимательской деятельности и требований к лицам, осуществляющим эту деятельность, содержит также положения касающиеся применения электронных подписей в электронной коммерции, включая механизм их создания, удостоверения подлинности и сертификации ключей. Многие из предложенных проектов представляют интерес с точки зрения перспектив развития российской законодательной базы электронной коммерции. Например, разработанный с целью регулирования отношений, связанных с формированием и использованием электронных документов, а также определения основных требований, предъявляемых к электронным документам в электронном документообороте, проект закона “Об электронном документе”. Этот проект был внесен 31 августа 2001 года депутатом Шубиным А.В. и выделяется тем, что в нем впервые предложена схема разрешения проблемы юрисдикции:

В статье 15 “Общие принципы международного обмена электронными документами”, сказано следующее: “Порядок осуществления международного обмена электронными документами физическими и юридическими лицами Российской Федерации определяется на основании договоров, заключаемых ими с зарубежными партнерами с учетом нормативных правовых актов Российской Федерации, и международных договоров, участником которых является Российская Федерация”. Также вызывает интерес проект закона “О документационном обеспечении управления”, разработанный с целью осуществления внутреннего документооборота в безбумажной форме на основе правового акта руководителя организации и при наличии соответствующих программных средств (ст. 11), использования электронных и бумажных документов на предприятиях и организациях равнозначно в соответствии с действующим законодательством (ст. 12). Кроме того, предлагается, что при условии письменной договоренности корреспондентов документ может доставляться только в электронной форме. Главная проблема российских законодателей заключается в том, что у выдвинутых законопроектов зачастую отсутствует системная связь друг с другом, одни является более общими, другие частными, что проявляется на уровне основных определений и принципов. Кроме того, не все законопроекты поддерживают преемственность терминологии базы законодательства в сфере информатизации и очень скупо касаются проблемы юрисдикции отношений, которая является одной из важнейших в сфере правового регулирования электронной коммерции [9]. Таким образом оптимальным решением проблемы правового регулирования электронной коммерции в мире стала бы эффективная законодательная деятельность государств в рамках национальных законодательств, основаннная на принципе сорегулирования и при этом учитывающая рекомендованные единые принципы регулирования, установленные в виде международных соглашений. При этом российское законодательство должно ориентироваться на мировые тенденции в электронном праве. Кроме того, российские законодатели должны учитывать опыт законодательной практики и законотворческой деятельности за рубежом для создания собственного законодательства электронной коммерции, вписывающегося в принципы, устанавливаемые международными правовыми нормами.

Pages:     | 1 | 2 ||



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.