PANEVROPSKI PANEVROPSKI UNIVERZITET APEIRON FAKULTET POSLOVNE EKONOMIJE
Banja Luka
MAGISTARSKI RAD
Mentor
Kandidat
Prof. dr Branko Latinović
Sonja Jevrić
Banja Luka, maj 2008. godine
SADRŽAJ
1
...................................................... .........................................................3 UVOD ...................................................
2
ELEKTRONSKO POSLOVANJE ..................................................................7 2.1 POJAM ELEKTRONSKOG POSLOVANJA ........................................... 7 ... 13 2.2 INTERNET KAO PLATFORMA ELEKTRONSKOG POSLOVANJA ... ..................................................................................... ....................................... 15 2.2.1 Internet servisi .............................................. ................................................................................................. ............................................... 21 2.2.2 Intranet .................................................. .............................................................................................. ............................................... 23 2.2.3 Ekstranet............................................... 2.3 MODELI ELEKTRONSKOG POSLOVANJA ........................................ 25 2.3.1 EDI – Electronic Data Interchange ............................................... ..................................................... ...... 25 2.3.2 Osnovno B2B i e-commerce poslovanje ............................................ 27 ...................................................................... ....................... 33 2.3.3 Electronic Marketplaces ............................................... 2.4 ZAŠTITA U ELEKTRONSKOM POSLOVANJU ................................... 35 2.4.1 Sigurnost na Internetu ................................................... ......................................................................... ...................... 37 ......................................................................... ...................... 38 2.4.2 Sistem javnih ključeva ................................................... 2.4.3 Funkcionalni opis protokola .................................................. ................................................................ .............. 49 ................................................................................. .............................. 65 2.4.4 Aplikacije za SSL................................................... ...................................................................... ....................... 70 2.4.5 SSL protokoli u primjeni ...............................................
3
ELEKTRONSKO BANKARSTVO ...............................................................72 3.1 POJAM I RAZVOJ ELEKTRONSKOG BANKARSTVA ....................... 72 ................................................................... ....................... 79 3.2 INTERNET BANKARSTVO ............................................ 3.3 ELEKTRONSKO PLAĆANJE .................................................. ................................................................ .............. 85 ....................................................................................... ....................................... 88 3.3.1 Platne kartice ................................................ ....................................................... .... 103 3.3.2 Sigurnost elektronskog plaćanja ................................................... 3.4 MOBILNO BANKARSTVO ............................ .................................................................. ...................................... 106 .............................................................. ............ 106 3.4.1 Pojam mobilnog bankarstva.................................................. 3.4.2 Principi mobilnog bankarstva ............................................... ............................................................ ............. 110 ........................................................ .... 115 3.4.3 Strategija mobilnog bankarstva .................................................... 3.4.4 Tehnička infrastruktura mobilnog bankarstva .................................. 118 ............................................................................... ............................ 121 3.4.5 Mobilno plaćanje ................................................... ........................................................ .... 123 3.4.6 Sigurnost mobilnog bankarstva ....................................................
4
........................................126 .............126 ZAKLJUČAK ................................................................................
SKRAĆENI POJMOVI ............................................. .................................................................................. ..................................... 128 ...................................................... .................................................129 LITERATURA ..................................................
2
1 UVOD Danas informatika predstavlja glavnu polugu razvoja privrede i društva uopšte. Globalne komunikacije, elektronsko poslovanje i Internet razvijenom svijetu donose sve više koristi. Najrazvijenije zemlje ve ć decenijama izgrađuju informaciono društvo koje se temelji na znanju, inovacijama, informacijama i preduzetništvu. Informatika, posebno njeno glavno oruđe - Internet, postali su glavna industrija budućnosti i temeljna infrastruktura društva koja će postati glavni oblik i medij svih vrsta politi čkog, ekonomskog, društvenog i privatnog djelovanja. Progresivni naučni i tehnološki napredak uslovljava brze promjene kako u karakteristikama savremenog proizvoda ili usluge, tako i njihovim raznolikostima, te u snižavanju troškova koji nastaju tokom njihovog stvaranja i distribucije. Promjene nastaju u svim sferama života i rada, u navikama, ukusima, željama, stilovima, materijalima, dizajnu i pakovanju, na činima distribucije i postprodajnoj usluzi. Varijateti postaju pristupačni u svim dijelovima svijeta, ono što nastaje na jednom kraju svijeta, brzo se prenosi na drugi. Na međunarodnom planu se ruše tržišne barijere i više nego ikad su firme suočene sa konkurencijom. Danas je potrošač obrazovaniji, informisaniji više nego ikad, i želi sa što manjim naporom i manjim troškom da zadovolji svoje potrebe, a na tržištu se vodi pravi "rat" u borbi za njegovim pridobijanjem. Primjena informaciono komunikacionih dostignuća u vođenju biznisa, kao i svim drugim segmentima života i rada, čini jedan od ključnih elemenata za ostvarenje organizacionog opstanka na duži rok. U današnjem svijetu povećane globalizacije tržišta i ekonomske regionalizacije poslovanje ne može biti uspješno bez upotrebe moderne informacione tehnologije. Umrežavanje preduzeća i javne administracije i razvoj Interneta doveli su do velikih promjena u na činu i efikasnosti rada poslovnih sistema. Omogućena je jednostavna i brza komunikacija, gotovo trenutno prenošenje velikih količina podataka na velike udaljenosti, jednostavno objavljivanje i ažuriranje multimedijalnih dokumenata i njihova kontinuirana globalna dostupnos dostupnost, digitalna isporuka dobara i usluga, direktno pla ćanje putem Interneta 1 , stvaranje virtuelnih organizacija itd. Sve to predstavlja elemente novog oblika poslovanja, tzv. elektronsko poslovanje (electronic business). Elektronsko poslovanje je opšti koncept koji obuhvata sve oblike poslovnih transakcija ili razmijene informacija koje se izvode korištenjem informacione i
1
Kada se koristi rije č Internet s velikim po četnim slovom govorimo o globalnoj računarskoj mreži, a kada se koristi riječ internet s malim po četnim slovom govorimo o internet tehnologiji. 3
komunikacione tehnologije kao i elektronsko trgovanje dobrima i uslugama. Elektronsko poslovanje može se posmatrati sa više stanovišta. Sa aspekta komunikacija elektronsko poslovanje je elektronska isporuka informacija, proizvoda i u usluga i elektronsko plaćanje korištenjem računarskih i drugih komunikacionih mreža. Sa poslovnog aspekta to je primjena tehnologije u svrhu automatizacije poslovnih transakcija i poslovanja. Sa stanovišta usluga to je alat koji omogu ćava smanjenje troškova poslovanja uz istovremeno povećanje kvaliteta i brzine pružanja usluga.
Slika 1 Rast Internet populacije1
Digitalna ekonomija je danas posebna nauka koja se odnosi na ekonomiju koja se zasniva na digitalnim tehnologijama, zajedmo sa digitalnim komunikacionim mrežama, računarima, softverom i drugim informacionim tehnologijama (IT). Ponekad se zove Internet ekonomija, nova ekonomija ili Web ekonomija. U njoj digitalno umrežavanje i komunikacione infrastrukture pružaju globalnu platformu na kojoj ljudi i organizacije uzajamno djeluju, komuniciraju, sara đuju i traže informacije. Sa njom je stvorena mogućnost da informacije budu uskladištene, obrađene i prenesene putem računarskih mreža na mnoge distance širom svijeta. Digitalna ekonomija stvara ekonomsku revoluciju, koja je, označena neviđenim ekonomskim učinkom i najdužim periodom neprekidne ekonomske ekspanzije u istoriji. Računarski zasnovani informacioni sistemi svih vrsta podižu konkurentnost i stvaraju stratešku prednost organizacijama. Elektronsko poslovanje, e-business, je skup poslovnih aktivnosti koje se odvijaju posredstvom informaciono-komunikacionih tehnologija, a posebno Interneta, i koje podrazumjevaju: optimizaciju poslovnih procesa (proizvodnja, marketing, veleprodaja, distribucija, prodaja, naplata, isporuka, dopuna zaliha); unapređenje odnosa sa ciljnim grupama (klijentima, zaposlenima, dobavljačima, distributerima) i unapređenje ostalih poslovnih servisa podrške (banke, advokatske agencije, računovodstvene agencije, zakonodavstvo i vladine agencije). •
•
•
4
Sa druge strane, elektronska trgovina, e-commerce, predstavlja komponentu elektronskog poslovanja, koja opisuje procese kupovine, prodaje i razmjene dobara, usluga i informacija, putem ra čunarskih mreža koje uključuju i Internet. Generalno, termini digitalna ekonomija-elektronsko poslovanje su sinonimi, a fokusirani su na kupovinu i prodaju informacija, proizvoda i usluga putem računarske mreže i podršci za bilo koju vrstu poslovnih transakcija putem digitalne infrastrukture. Poznavanje upotrebe elektronskog poslovanja trebalo bi da podrazumjeva upravo poznavanje poslovnih procesa elektronskog poslovanja. U cilju lakšeg i boljeg razumjevanja elektronskog poslovanja, treba predstaviti konceptualni model "eBusiness Wheel" (točak elektronskog poslovanja), koji opisuje najbitnije procese e-poslovanja.
Slika 2 Točak elektronskog poslovanja
On se sastoji od sedam djelova koji okružuju klijenta kao polaznu osnovu svih savremenih poslovnih procesa (vidi sliku). Osnovni cilj svih savremenih poslovnih koncepcija jeste zadovoljenje potreba klijenata i formiranje takvog poslovnog okruženja u firmi da svi poslovni procesi budu u funkciji klijentovih potreba, a da se kao rezultat kvalitetnih odnosa s klijentima pojavi profit. Sastoji iz dva glavna dijela: strategije elektronskog poslovanja i primjene elektronskog poslovanja (operativni procesi). Strategijama elektronskog poslovanja definišu se svi poslovni procesi koji imaju za krajnji cilj zadovoljstvo klijenta i profit firme. Me đutim, da bi se ostvario cilj elektronskog poslovanja, potrebno je kreirati i voditi operativne procese koji u biti čine elektronsko poslovanje.
5
Tako je i razvoj elektronskog bankarstva vezan za sve širu primjenu kompjuterske i telekomunikacione tehnologije u procesu obrade i prenosa podataka i informacije. Ove tehnologije sobom nose krupne i evolutivne tehnološke promjene u funkcionisanju banaka i drugih finansijskih institucija. Pokrenuti procesi dovode do uvođenja novih postupaka i tehnologija, koje sobom nose nove izazove i mogućnosti.
6
2 ELEKTRONSKO POSLOVANJE 2.1 POJAM ELEKTRONSKOG POSLOVANJA Elektronsko poslovanje je savremeni oblik organizacije poslovanja koji podrazumijeva intenzivnu primjenu informatičke i posebno internetske tehnologije. 2 Elektronsko poslovanje je vođenje poslova na Internetu, što ne podrazumijeva samo kupovinu i prodaju, nego i brigu o klijentima i poslovnim partnerima, kao i organizaciju poslovanja u svojoj firmi online i organizaciju poslova prema klijentima. Iz navedene definicije se vidi da osnovu za elektronsko poslovanje čine informaciono komunikacione tehnologije koje se stapaju u Internet koji čini globalnu multimedijalnu infrastrukturu. Današni razvoj Interneta omogu ćio je nove dimenzije organizacionih i poslovnih procesa koji nastaju stvaranjem mogućnosti koje pružaju: Nov, interaktivan način za pristup tržištu i poslovnim partnerima, kako na lokalnom tako i na globalnom nivou. Mogućnost obavljanja određenih poslovnih procesa van preduzeća. Dostupnost mnoštvu informacija, sa moćnim elementima pretraživanja i automatskom analizom. Novi modaliteti poslovnog udruživanja, finansijskih transakcija i obavljanja poslovnih procesa. •
• •
•
Od 1995. godine, u privrednim i preduzetničkim krugovima se sve češće spominje termin elektronsko poslovanje. Elektronsko poslovanje (e-business) je savremeni oblik organizacije poslovanja, koji podrazumijeva intenzivnu primjenu informatičke i, posebno, internetske tehnologije. Elektronskom poslovanju danas teže svi preduzetnici orijentisani agresivnom osvajanju što boljih tržišnih pozicija i intenzivnom ulaganju u razvojne poslovne aktivnosti. Nove mogućnosti koje pružaju ove nove tehnologije istovremeno sa sobom nose i ve ću kompleksnost poslovanja, uzrokujući gubljenje lokalno ste čenih prednosti, jer je globalna konkurencija sada operativno aktivna u svim dijelovima svijeta. Elektronsko poslovanje povećava brzinu i jednostavnost obavljanja poslovnih transakcija, što rezultuje pojačanom konkurencijom na tržištu. To i jesu razlozi za upoznavanje i primjenu elektronskog poslovanja kao neminovnosti unutar organizacije, iako njena primjena ne mora uvijek da stvori prednost, ali njeno neiskorištavanje čini sigurno minus za opstanak na tržištu. Organizacije (firme) se moraju stalno prilagođavati novim tehnologijama, integrisati nove i brže 2
Željko Panian, Elektroničko trgovanje, Zagreb, 2000. 7
sisteme kako bi na što efektivniji na čin zadovoljavali potrebe potrošača, kao i što efikasnije stvarali proizvode ili pružali usluge. Elektronsko poslovanje čini danas najsavremeniji oblik poslovanja, kojem teže svi poslovni subjekti orijentisani agresivnom osvajan ju što boljih tržišnih pozicija i intenzivnom ulaganju u razvojne poslovne aktivnosti 3 Poslovanje je oduvijek zavisilo od tehnologije, međutim to je danas izraženije više nego ikad. Moglo bi se re ći da tehnologija danas upravlja cjelokupnim ljudskim životom i radom, a ne samo proizvodnim pogonima i uslužnim djelatnostima. Tehnologija je izmijenila na čin na koji danas obavljamo poslove, samu prirodu poslova i razloge zbog kojih ih obavljamo. Danas klijenti žele pristup proizvodima i uslugama u svako doba - 24 sata na dan. Firme koje omoguće najfunkcionalniji, najpouzdaniji i korisniku najprilagođeniji proizvod ili uslugu imaju najveće izglede za uspjeh u dugom roku. Ulaganje u tehnologiju je neminovno kako bi se iznalazio način za stvaranje novih poslovnih mogućnosti, pariranju trendovima skraćivanja životnog ciklusa proizvoda, te bržem osvajanju novih tržišta. Poslovanje se kreće u nekad nezamislivim smjerovima i obavlja na načine koji se nisu mogli ni pretpostaviti u bližoj prošlosti. Najbolji primjer koji ovo potvr đuje je upravo Internet koji danas određuje poslovnu strategiju u najvećim svjetskim kompanijama, ali i u onim malim koje su svjesne kako njegovih prednosti u primjeni, tako i neminovnosti za tu primjenu, a sve u cilju održivosti u biznisu.
Područ ja u kojima se najčešće primjenjuje elektronsko poslovanje: online prodaja vlastitih dobara i usluga, elektronsko trgovanje, online zabava i rekreacija, elektronsko bankarstvo i online finansijske transakcije i elektronsko izdavaštvo. • • • • •
Osnovni razlozi koji navode na usvajanje i praktičnu primjenu (implementaciju) koncepta e-poslovanja su sljedeći: nastojanje što boljeg iskorištavanja raspoloživih poslovnih resursa, a naročito informacionih, nastojanje da se ostvari što bolja tržišna pozicija, želja za ostvarenjem što boljih poslovnih rezultata, naročito onih najmjerljivijih - finansijskih u odnosu na prethodna razdoblja, veći komfor u radu radnika i menadžmenta, težnja za održavnjem koraka sa sa opštim tehnološkim razvojem, što se smatra ulaganjem za budućnost i ostvarivanje uzgrednih koristi, poput onih socijalne, političke, psihološke itd. prirode. •
• •
• •
•
3
Željko Panian, Elektroničko trgovanje, Zagreb, 2000. 8
Kao što se vidi osnovni razlozi za uvo đenje e-poslovanja pretežno su ekonomske prirode, a kao što je spomenuto osnovu za primjenu e-poslovanja čini multimedijalna globalna mreža Internet. Elektronsko poslovanje uglavnom podrazumijeva poslovanje preko računara, ali daljim širenjem mobilne telefonije sve više poslovnih transakcija odvija će se preko inteligentnih mobilnih telefona korištenjem bežičnog aplikacionog protokola (WAP – Wireless Application Protocol). Na zapadu u poslednjih nekoliko godina popularno je koristiti popularne termine koji počinju sa slovom "e" (buzzwords) i koji označavaju različite nove tehnike i tehnologije poslovanja na Internetu. Indikativno je da se pojmovi sa slovom "e" (electronic - elektronsko), uključujući i termin elektronsko poslovanje, u poslednje vrijeme isključivo vezuju za Internet terminologiju. E-Commerce (Electronic Commerce EC - elektronska trgovina) je kupovina ili prodaja dobara ili usluga putem Interneta, naro čito putem servisa World Wide Web. U praksi se ovaj termin često koristi umjesto novijeg termina e-business, što znači poslovanje putem Interneta. Termin e-Commerce može se definisati i kao proces upravljanja online finansijskim transakcijama od strane pojedinaca ili kompanija. Ovaj proces uključuje kako maloprodajne, tako i veleprodajne transakcije. Termin Online je sinonim za Internet (biti na liniji = biti na Internetu). Fokus e-Commerce-a je u sistemima i procedurama pomoću kojih dolazi do razmjene različitih finansijskih dokumenata i informacija. Ovi sistemi uklju čuju transakcije kreditnim karticama, e-cash (elektronska gotovina), e-billing (elektronsko plaćanje), e-cheques (elektronski čekovi), electronic invoices (elektronski računi), narudž bine i finansijske izjave. E-Commerce praktično omogućuje nastavak korištenja tehnologije elektronskih razmjena podataka (EDI). Electronic Data Interchange (EDI) je razmjena poslovnih podataka gdje se koristi razumljivi format ovih podataka. Ovaj sistem razmjene podataka je prethodio pojavi Interneta i obi čno se korstio u razmjeni podataka između korisnika koji su međusobno već bili u kontaktu (sistem 1 na 1). Kao što se može vidjeti iz prethodnih definicija, pojam elektronskog poslovanja je mnogo širi od definicija najčešće korištenog njegovog sinonima e-Commerce. Mnogo prikladniji termin za elektronsko poslovanje jeste e-Business. Electronic Business (EB - elektronsko poslovanje) jeste vođenje poslova na Internetu, što ne podrazumjeva samo kupovinu i prodaju, nego i brigu o klijentima i poslovnim partnerima, kao i organizacija poslovanja u sopstvenoj firmi online i organizacija prema klijentima. Brzina, globalizacija, unapređenje produktivnosti, dolaženje do novih klijenata i dioba znanja među organizacijama i institucijama u cilju ostvarivanja konkurentne
9
prednosti - jesu termini koji određuju elektronsko poslovanje, prema rečima Lu Gerstnera, generalnog direktora IBM. Ukratko, sinonim za savremeno poslovanje jeste elektronsko poslovanje! IBM je 1997. godine prvi počeo sa korištenjem termina "e-business", da bi napravio konceptualnu razliku sa do tada upotrebljavanim terminom "e-commerce" (elektronska trgovina), koji je izjednačavao elektronsko poslovanje sa elektronskom trgovinom. U drugoj polovini ove godine, međutim, i dalje ne postoji opšteprihva ćena definicija elektronskog poslovanja, pri čemu čak i velike enciklopedije poput Britanike definišu pojam e-commerce kao pojam e-business. Uprkos svemu gore navedenom elektronsko poslovanje, odnosno e-business, je skup poslovnih aktivnosti koje se odvijaju posredstvom informacionokomunikacionih tehnologija, a posebno Interneta. Elektronsko poslovanje je posao na duge staze. Nije dovoljno samo primjeniti novu tehnologiju. Potrebno je napraviti i mnoge organizacione promjene, napraviti novi model poslovanja. Elektronsko poslovnje na Internetu kreće od »Web sajta« - prezentacionog karaktera. U sledećoj fazi to je E-business, kupovina i prodaja, zatim se proširuje djeljenjem informacija i prerasta u inteligentni e-business »end to end« poslovni proces. Organizacije se među sobom razlikuju i svaka ima neko svoje okruženje koje je za nju bitno. Prije ulaska u bilo koji projekat organizacije trebaju ste ći uvid u one elemente koji bi mogli biti od uticaja za uspjeh samog projekta. Okruženje firme koja se bazira na elektronskom poslovanju čine: globalna infrastruktura, veze sa dobavljačima i veze sa kupcima, odnosno klijentima. • • •
Globalnu infrastrukturu čine: sigurnosna infrastruktura, sistemi digitalnog plaćanja i naplate, elektronsko bankarstvo, zakonska regulativa, podrška elektronskim tržištima, komunikaciona infrastruktura i nacionalna/globalna informaciona infrastruktura. Sigurnosnu infrastrukturu čine sistemi osiguranja integriteta podataka, zaštite tajnosti informacionih sadržaja i zaštite privatnosti učesnika u elektronskom poslovanju. • • • • • • •
10
Sistemi digitalnog plaćanja i naplate prodanih proizvoda i pruženih usluga elektronski su supstitut za tradicionalne oblike gotovinskog i bezgotovinskog plaćanja proizvoda i usluga. Elektronsko bankarstvo predstavlja primjenu elektronskog poslovanja pri obavljanju bankarskih poslova, a ostvaruje se na dva tehnološka nivoa: kao samoposlužno i kao internetsko bankarstvo. Zakonska regulativa je u elektronskom poslovanju je podjednako važna kao i u tradicionalnom, s time što su, zbog globalnog karaktera elektronskog poslovanja, problemi i procesi koje treba normirati znatno složeniji. Elektronska tržišta su virtualni prostor u kojem se susreću ponuda i potražnja u elektronskom poslovanju. Podrška takvim tržištima podrazumijeva primjenu odgovarajućih tehnika razmjene podataka koji prate ili proizilaze iz ostvarenih ili perspektivnih elektronskih transakcija. Komunikaciona infrastruktura elektronskog poslovanja obuhvata tehnološka rješenja koja omogućuju formalnu i neformalnu komunikaciju me đu subjektima angažovanim u u elektronskim poslovnim transakcijama. Nacionalnu, odnosno globalnu informacionu infrastrukturu čine mašinski (hardverski), programski (softverski) i informacioni resursi dostupni učesnicima u elektronskom poslovanju na nacionalnom, odnosno na globalnom nivou. Veze sa dobavljačima Elektronskim se povezivanjem omogućava unapređenje svih aspekata odnosa organizacije sa njenim dobavljačima, i to: pronalaženje izvora (dobavljača) sirovina i materijala, prikupljanje informacija s tržišta nabave, upravljenje procesom nabave i upravljanje ulaznim računima i plaćanjem. • • • •
Sistemskom analizom ponude potrebnih sirovina i materijala na webu organizacija će vjerovatno pronaći neke izvore, odnosno dobavljače za koje do tada nije znala. Njihovim poređenjem sa postojećim i evaluacijom može utvrditi koji su od njih najprimjereniji potrebama organizacije. Upravljanje procesom nabave pretpostavlja praćenje tog procesa u svim njegovim fazama. Već su razvijeni neki kvalitetni elektronski sistemi pra ćenja fizičkih tokova robe (Tracking Systems), koje firma može koristiti kako bi u svakom trenutku znala pouzdano gdje se naručene sirovine i materijali nalaze (u transportu, na carini, u skladištima, itd). Uz posjedovanje takvih informacija moguće je bolje i fleksibilnije upravljati procesom nabave u cjelini. 11
Također, važan segment procesa nabave i odnosa sa dobavljačima jesu zaprimanje, kontrola i likvidacija ulaznih ra čuna tj. računa ispostavljenih od strane dobavljača za isporučenu robu. Automatizacijom tih procesa stvaraju se mogućnosti trajnog uvida u stanje tih ra čuna, u obaveze plaćanja firme i njihovu pravovremenu realizaciju, što je osnova uspostavljanja i održavanja korektnih odnosa sa dobavljačima.
Veze sa kupcima, odnosno klijentima Ostvarivanje i održavanje dobrih veza sa kupcima odnosno klijentima je od ključne važnosti za održivost biznisa. Kroz realizaciju koncepta elektronskog poslovanja moguće je unapređenje tih veza i odnosa kroz kvalitetnu organizaciju i sprovođenje: online marketinga, elektronske naplate, informisanja i pružanja online usluga, ponude zabavno/rekreacionih aktivnosti, aktivnosti na elektronskim tržištima, upravljanje uslugama i prodajom i obavještavanja o tržištima i prikupljanja informacija o kupcima, odnosno klijentima. • • • • • • •
12
2.2 INTERNET KAO PLATFORMA ELEKTRONSKOG POSLOVANJA Internet je globalna multimedijalna mreža koja povezuje ra čunare širom svijeta. Sastoji se od infrastrukture mrežnih servera i komunikacijskih kanala između njih koji se koriste za transport informacija izme đu klijentskih PC-ija i WEB servera, kao i između samih servera. Internet je mreža svih mreža koje sve međusobno komuniciraju na dogovorenom jeziku koji se zove protokol. Taj protokol je poznat pod imenom TCP/IP (Transmission Control Protokol/Internet Protokol). Postoji doslovno na milione mreža koje su povezane na Internet, a on i dalje neprestano raste. Temeljni koncept djelovanja Interneta je klijent/server arhitektura. Taj koncept je zasnovan na tome da bilo koji korisnik može da zahtijeva od mrežnog servera neku uslugu, a taj mu je server pruža, ukoliko on ima pravo pristupa toj usluzi. Svaki računar unutar mreže, koji ima u svojim memorijama neke podatke koje može i “želi” pružiti drugim korisnicima na mreži, naziva se serverom. Dok na drugoj strani svaki korisnički uređaj (npr. korisnički PC ili radna stanica u lokalnoj mreži) koji može zatražiti i prihvatiti podatke od nekog servera naziva se klijentom. Najznačajnije obilježje klijentsko/serverske arhitekture je to što korisnici ne moraju voditi brigu o tome gdje se u mrežnom sistemu tražena informacija nalazi, u kojem je obliku memorisana i kojim će komunikacionim putevima (telekomunikacionim linijama) doći do njega. Ono što klijent treba da zna je to da postoje mnogi standardni i nestandardni mrežni (internet) servisi (usluge) pomoću kojih će inicirati traženje i dobijanje informaci ja, odnosno obavljanje nekog informacionog posla (prenosa i obrade podataka). 4
4
Željko Panian, Elektroničko trgovanje, Zagreb, 2000. 13
Internet
Backbones (kičma)
Globaani ISP
Lokalni ISP
Lokalni ISP
Pristup putem iznajmljene ili telefonske linije Pristup putem telefonske ili kablovske linije
LAN
Ku ćni PC (klijent) Poslovni PCs (klijenti)
Poslovni e-mail ili web server
Slika 3 Komponente Internet infrastrukture
Internet kakav danas poznajemo zasniva se na razmjeni paketa. To zna či da se poruke koje se šalju putem Interneta "razbijaju" na male pakete informacija. Svaki paketić sadrži dio poruke, podatke o sopstvenom mjestu u nizu paketa, te adresu odakle dolazi i kuda ide.
Poruka: Hello. Poruka podjeljena na dva paketa. Svaki poslati paketić pronalazi najefikasniji put kroz mrežu zaobilaze ći računare koji su onesposobljeni. Kada stignu na odredište, paketi ći se ponovo spajaju u prvobitnu poruku.
14
2.2.1
Internet servisi
Danas postoje mnogi internet servisi pomoću kojih se mogu obavljati vrlo različiti tipovi informacionih poslova (prenosa i obrade podataka). Da bi se bolje razumjelo o kakvim se poslovima radi, u nekom konkretnom slu čaju, poslovi se prema srodnosti svrstavaju u grupe. Davaoci mrežnih usluga (komunikacione agencije ili sli čne institucije) standardizuju mogućnosti obavljanja pojedinih grupa poslova, što se onda naziva pružanjem mrežnih usluga (servisa).5 Vrijednost mreža u kojima se mogu koristiti takvi servisi pove ćava se u poređenju s vrijednošću onih mreža koje omogućavaju samo jednostavan prenos podataka od izvorišta do odredišta, pa se one nazivaju mrežama sa dodatnom vrijednošću (Value-Aded Network, VAN). Internet je možda najbolji primjer mreže s dodatnom vrijednoš ću, obzirom da je to mreža koja se sastoji od mnogobrojnih podmreža u kojima je uklju čen izuzetno velik broj različitih subjekata (pojedinaca, organizacija, odnosno institucija) različitih mogućnosti i potreba. Ovo su najvažniji standardni internet servisi: 6 World Wide Web, elektronska pošta, dostavne liste, daljinsko pruzimanje datoteka, rad u korisničkim diskusijskim grupama, čavrljanje (chat), Internet telefonija i videokonferencije. • • • • • • • •
Danas kada Internet povezuje skoro sve računare Web je postao standard preko koga se obavlja korištenje elektronskog poslovanja. Web servisi, zbog odli čne standardizacije i pokazane robusnosti, već danas predstavljaju platformu koja funkcionalno vezuje različite aplikacije što omogu ćava povezivanje poslovnih procesa od nivoa pojedinca, kompanije do vrlo kompleksnih poslovnih sistema. Korisnici mogu biti u otvorenom ili zatvorenom (pristup dopušten samo uz odobrenje) sistemu pristupa određenim informacijama ili servisima. Visok stepen standardizacije i bezbjednosti omogućava širok spektar servisa sa jednostavnom opremom na strani korisnika kao klijenta server aplikacije.
5
Željko Panian, Elektroničko trgovanje, Zagreb, 2000. Latinović B., Informacione tehnologije, Banja Luka, Panevropski univerzitet Apeiron, 2007.
6
15
Današnja tehnologija omogućava kompleksne veze između aplikacija koje podržavaju različite poslovne procese. Kvalitetna integracija poslovnih procesa danas znači odličan informacioni tok. Elektronsko poslovanje može da unaprijedi kako pojedinačne procese, tako s integracijom informacija i povećanje efikasnosti i efektivnosti, te smanjenje poslovnih rizika.
World Wide Web World Wide Web je skup dokumenata u elektronskom obliku koji su povezani jedni sa drugima slično kao što je jedan dio paukove mreže povezan sa ostalim dijelovima. Ti dokumenti su smješteni na računarima koji se zovu serveri a nalaze se na raznim mjestima širom svijeta. 7
Slika 4 Mreža povezanih (web) dokumenata
Elektronsko poslovanje se prvenstveno oslanja na World Wide Web servis, tako da web sajt (web site) predstavlja klju čnu tačku svake firme koja želi ostvariti takav oblik poslovanja. Putem web sajta firma komunicira sa svojim okruženjem koje podržava koncept elektronskog poslovanja. World Wide Web je internet servis koji pruža standardni metod za razmjenu i prezentaciju informacija na Internetu. Pristupa mu se preko web browser-a koji prikazuje web stranice koje sadrže grafiku i tekst u HTML/XML formatu.
Web strane su elektronski dokumenti koji su pisani u kompjuterskom jeziku koji se zove HTML (Hypertext Markup Language). HTML standard je široko prihvaćen zato što: pruža hiperveze (hiperlinks) koje dozvoljavaju korisnicima da se slobodno kreću iz jednog dokumenta (web strane) na drugi (surfovanje). Hiperveze su korisnicima prikazane kao slike ili podvu čeni drugačije obojen tekst. •
7
Latinović B., Informacione tehnologije, Banja Luka, Panevropski univerzitet Apeiron, 2007. 16
HTML podržava širok spektar formata što omogu ćava da se dokument lako čita na raznim pristupnim ure đajima, omogućava ubacivanje grafike, animacija i zvuka na web stranicama, omogućava neograničenu dužinu dokumenata i HTML forme omogućavaju potrošačima pretraživanje, dobijanje dodatnih informacija o proizvodu ili usluzi, postavljanje pitanja i davanje komentara.
• • •
Kombinacija web pretraživača i HTML-a je doprinijela ekspanziji poslovanja putem Interneta, jer obezbjeđuje niz povoljnosti kao što su: lako korištenje - kretanje kroz dokumenta je omogućeno samim klikom miša na hipervezu ili sliku - ubrzo postao usvojen način kretanja po Internetu, obezbjeđuje grafičko okruženje koje podržava multimedije i predstavlja mjesto - vizuelni medij za oglašavanje i reklamiranje i standardizacija internet sredstava i porast potražnje pomaže u razmjeni informacija između velikog broja firmi i korisnika. •
•
•
Web pretraživači (web browsers) su softveri koji se koriste za pristup informacijama na WWW-u koje se nalaze u vidu web dokumenata na web serverima. Oni prikazuju tekst i slike kojima se pristupa preko web strana i obezbjeđuju alate za upravljanje podacima na web stranicama. Web serveri se koriste za čuvanje, upravljanje i pružanje informacija na WWW-u. Statička web stranica je stranica na web serveru koja se ne mijenja. Dinamička web stranica je stranica koja se kreira u realnom vremenu, često na osnovu upita nad bazom podataka na zahtjev korisnika. Kako je već rečeno, filozofija na kojoj se zasniva Internet je klijentsko/serverska arhitektura. Da bi klijent i server me đusobno komunicirali moraju se “razumjeti”, što znači da moraju podržavati isti komunikacioni protokol, dakle identi čan skup pravila ponašanja u mreži. Komunikacioni protokol koji se koristi u Internetu naziva se TCP/IP, što predstavlja akronim punog naziva Transmission Control Protokol / Internet Protokol. TCP (Transmission Control Protokol) definiše način na koji se informacija segmentira u pakete podataka. Njime se, između ostaloga, utvr đuju redni brojevi paketa u nizu te vrijednosti kontrolnih bitova. IP (Internet Protokol) je protokol kojega se pridržavaju usmjernici (Routeri) u Internetu. Usmjerenik je klju čni uređaj u većini računarskih mreža, a služi međusobnom povezivanju podmreža. Oni “poznaju” samo mrežni protokol čiji su sastavni dio. U svaki paket podataka ugra đuju se IP adrese izvorišta i odredišta. •
•
17
•
•
IP adresa je jedinstveni identifikacioni broj ra čunara na mreži prema kojem ga prepoznaju ostali računari u mreži. IP adresa se sastoji od četiri trocifrena broja koji su razdvojeni tačkama (npr. 192.231.111.025). DNS (Domain Name Server) je računar na kojem su pohranjeni podaci i IP adrese svih računara na mreži, kojima su osim brojnih oznaka pridružena i tekstualna imena računara radi lakšeg pamćenja od strane korisnika.
Četiri osnovna pravila koja opisuju suštinu TCP/IP protokola: 1. Odvojene mreže moći će da komuniciraju sa drugim mrežama.
2. Komunikacija treba da bude na bazi najboljih pokušaja, tj. ukoliko paket podataka ne stigne do svakog krajnjeg odredišta, bi će ponovo poslat, sve do uspješnog prijema. 3. Za povezivanje mreže koriste se crne kutije; danas poznate kao routers i gateways. Ovi uređaji ne smiju zadržavati informacije kako bi bili jednostavni. 4. Ne postoji globalna kontrola prenosa, njom se upravlja od strane pošaljioca i primaoca informacije. TCP/IP odlikuje jednostavnost, brzina i nezavisnost od upravljanja, a ovi protokoli su dio šireg skupa standarda poznatog kao OSI model (Open Systems Interconection).
Elektronska pošta Elektronska pošta (Elektronic Mail, e-mail) telemati čki je servis koji kombinuje ekspeditivnost telefonske i trajnost pisane komunikacije, odnosno korespodencije. Ovaj servis je, uz WWW, naj češći oblik informacionog posla na Internetu. Davaoc usluge elektronske pošte omogućuje klijentima rezervacije elektronskog “poštanskog pretinca” kao dijela memorije njegova (davaočeva) računara servera. Svaki pretinac ima jedinstvenu adresu sljedećeg formata:
[email protected]č je
Dostavna lista Dostavna lista (Mailing List) nije ništa drugo do posebna adresa u internetskoj elektronskoj pošti. Server dostavnih lista (Mailing List Server) zadužen je za provjeru sadržaja toga elektronskog “poštanskog pretinca”. Kada neki korisnik pošalje poruku na tu adresu, server dostavnih lista će je proslijediti do svih korisnika koji su prije taržili da budu uvršteni u dostavnu listu. Ovaj vid komunikacije je djelotvoran u situaciji kada treba distribuirati informacije velikom broju korisnika. Široka je lista informacija koje se mogu distribuirati na ovaj na čin
18
kao što su informacije o novim proizvodima, kretanjima berzovnih indexa i valutnih kurseva, stanje u saobraćaju, sportskih, vremenskih i drugih informacija.
Daljinsko preuzimanje datoteka Mnogi serveri na Internetu održavaju, često, vrlo opsežne digitalne (binarne) datoteke podataka ili programa. Radi se o “konvencionalnim” datotekama, a ne onima u obliku hipermedijskih dokumenata. Takve datoteke mogu biti od interesa za pojedine korisnike, koji će ih željeti preuzeti (to download) od udaljenog servera i prenijeti u memoriju svog ra čunara radi dalje obrade. U nekim slučajevima te usluge su besplatne, a u nekim ne. Protokol koji omogu ćava ovaj prenos naziva se File Transfer Protocol, FTP. Serveri koji mogu isporu čivati (prenositi) datoteke na daljinu nazivaju se FTP mjestima (FTP Site). FTP mjesta koja održavaju javne datoteke (Public File) omogu ćuju, u principu, svakom korisniku Interneta preuzimanje tih datoteka i nazivaju se FTP serverima anonimnih korisnika. Za preuzimanje datoteka sa FTP servera se koristi odgovarajući program za daljinsko peuzimanje datoteka (Remote Files Downloading Program). Danas najčešće korišteni program te vrste je WS_FTP, a funkcioniše u okruženju Windowsa i UNIX-a.
Rad sa korisničkim diskusijskim grupama Rad u korisničkim diskusijskim grupama (UseNet Discussion Groups) je internet servis koji donekle podsjeća na servis dostavnih lista. Korisnička diskusiona grupa “okuplja” se ili se “prepoznaje” na osnovu zajedničkih interesa. Korisnik šalje ili predočava grupi svoje poruke koje mogu varirati od viceva do ozbiljnih naučnih rasprava. On također može odgovarti na poruke koje je iz grupe primio, pa može komunicirati sa milionima naj češće nepoznatih ljudi širom svijeta. Rasprava u grupi nije ničim ograničena, nema nikakvog posrednika ili moderatora koji bi usmjeravao tok diskusije ili je spre čavao. Internetski UseNet servis hijerarhijski organizuje interesne korisničke grupe u kategorije i podkategorije. UseNet servis nudi širi popis osnovnih tema prema kojima se korisnici svrstavaju u osnovne diskusione grupe. Danas na Internetu postoji nekoliko desetina ili stotina hiljada diskusionih grupa, a broj im se pove ćava iz dana u dan. Svako se može uvrstiti, odnosno pretplatiti (obzirom da se učestvovanje u nekim grupama pla ća) u proizvoljan broj diskusionih grupa, a može specifikovati i svoje vlastite “favorite” odnosno teme koje su mu najzanimljivije. Učestvovanje u određenim diskusionim grupama može biti veoma zabavno, ali također i vrlo korisno, jer je bez dileme to najdjelotvorniji na čin razmjene informacija sa velikom masom “sagovornika” koji je danas uopšte ostvariv.
19
Čavrljanje (Chat) Čavrljanje
je internet servis koji je puno neformalniji, pa može se re ći i haotičniji od komunikacije putem dostavnih lista i diskusionih grupa. To je interaktivni rekreativni servis koji omogućava komunikaciju među korisnicima koja se odvija u realnom vremenu. Učesnici u čavrljanju učestvuju pod slobodno izabranim nadimcima (Nickname) čime se osigurava anonimnost komunikatora, ako oni to žele. Čavrljanje je prvenstveno rekreativni servis i kao takvog ga treba i prihvatiti, ali njime se mogu ostvariti i neki ozbiljni efekti, poput zaklju čivanja braka, ali i oni koji su korisni, stručni i poslovni kontakti.
Internet telefonija Internet telefonija je sli čan servis Internet čavrljanju. Međutim, postoji jedna bitna razlika, jer se veza između dva partnera uspostavlja direktno pozivanjem Internet adrese (telefonskog priključka) osobe s kojom želi komunicirati. Posredovanje IRC servera ovdje nije neophodno, ako se ta čno zna s kime se želi razgovarati i koja mu je adresa. Razgovor nakon uspostavljanja veze je identi čan običnom telefonskom razgovoru. Računari oba učesnika u razgovoru moraju biti opremljena uređajima za zvučni ulaz/izlaz. Prednosti Internet telefonije posebno dolaze kada se radi o razgovorima na velikim daljinama. Cijene ovakvog vida razgovora su znatno niže u odnosu na cijene istog takvog razgovora putem normalne telefonske komunikacije, zato što su internetske tarife znatno niže od onih u klasičnoj telefoniji. Zahvaljuju ći ovim servisima koje pruža Internet omogućen je stalni protok digitalizovanih informacija iz okruženja prema firmi i iz firme prema okruženju. Te informacije mogu biti u tekstualnom, zvu čnom, grafičkom i video obliku i može im se pristupiti sa bilo koje ta čke na planeti, kao i slati informacije u istim oblicima u mrežu. Uz pomo ć mobilnih komunikacija i odgovarajućih prenosivih uređaja to se danas može odvijati još dok smo u pokretu, dakle na mobilan na čin.
Videokonferencije Videokonferencije čine mogućim sastanak ili predavanje na kojem mogu istovremeno učestvovati učesnici međusobno udaljeni hiljade kilometara. Oni se mogu i vidjeti i čuti te tako me đusobno komunicirati u stvarnom vremenu, što se postiže upotrebom kamera, monitora ili projektora, mikrofona i zvu čnika. Ovakav vid komunikacije je vrlo koristan sa aspekta uštede kako na vremenu, tako i u novcu, te u smanjivanju rizika kojem su izloženi oni koji putuju na sastanke.
20
2.2.2
Intranet
Iz tri klju čna obilježja Interneta - klijentsko-serverske arhitekture, opšteprihvaćenih komunikacionih protokola i standardizvanih usluga, odnosno servisa došlo se do mrežnih poslovnih rješenja koja su zasnovana na toj globalnoj mreži - Internetu. Ta poslovna rješenja su intranet i ekstranet. Intranet je privatna računarska mreža jednog poslovnog sistema koja koristi internetske standardne protokole kako bi se zaposlenima omogu ćila jednostavna komunikacija i saradnja, te pristup informacijama firme. S obzirom da se temelji na Web tehnologiji Intranet često nazivaju i korporativnim Webom.
Slika 5 Model intranet/Internet infrastrukture
Razlika između Interneta i intraneta: Intranet je privatna mreža u vlasništvu neke organizacije, dok Internet nije u vlasništvu ni jedne firme ili osobe. Na Internet ima pravo pristupa svako ko ima tehničke mogućnosti za to, dok na intranet imaju pristup samo osobe koje su za to ovlaštene i Intranet se formira stvaranjem “internog weba” u okviru organizacije. •
•
•
21
Proces formiranja “internog weba” obično uključuje: instalaciju servera, uvezivanje postojećih ili novih radnih stanica na server kao njegovih klijenata, dodjeljivanje web adrese serveru, instalaciju potrebnih programa na serveru, prevođenje dokumenata i ostalih informacija u stati čne web stranice uz upotebu HTML-a (Hipertext Markup Language), pohranjivanje kreiranih web stranica u odgovarajuće direktorije i poddirektorije na serveru, utvr đivanje sigurnosne politike kojom će se web stranice štititi od nedopuštenog korištenja i mijenjanja sadržaja, obavještavanje zaposlenih o novim mogućnostima, te njihovo uvježbavanje za korištenje intraneta i aktiviranje intraneta. • •
• • •
•
•
•
•
Intranet iako čini dio globalne mreže - Interneta, u njemu su sadržane informacije koje načelno smiju biti dostupne samo ovlaštenim korisnicima. Naj češće intranet čini sredstvo putem kojeg zaposleni i pristupaju Internetu, no pristup sa Interneta u intranet je strogo kontrolisan. Najčešća zaštita intraneta od neovlaštenog pristupa čine tzv. vatreni zidovi (Firewall). Vatreni zid (Firewall) je računar ili računarski program koji na poseban način reguliše, propušta saobraćaj između intraneta prema Internetu i ograničava pristup sa Interneta ka intranetu.
22
2.2.3
Ekstranet
Ekstranet nastaje kada se više "intranetskih firmi" privremeno ili trajno povežu u cilju saradnje na nekom poslu ili razmjene informacija. Ekstranet je mreža koja je izgrađena na principima Interneta, ali sa zaštitom od neovlaštenog pristupa. Ekstranet predstavlja: mrežu koja na principima internetske tehnologije pruža mogućnost saradnje različitim firmama, poslovnim partnerima, klijentima i dobavljačima u cilju ostvarivanja zajedni čkih ciljeva softver kojim se unapređuju intraorganizacioni odnosi. •
•
Ekstranet, dakle, otvara intranet firme, koja to želi, prema vanjskom svijetu. On osigurava odgovarajuće kanale zaštićenog komuniciranja među firmama koje sarađuju. Ključna obilježja ekstraneta: Za razliku od Interneta, ekstranet nije svakome dostupan. Za razliku od intraneta, ekstranet nije ograničen na upotrebu samo unutar jedne organizacije. Ekstranet je prvenstveno pitanje organizacije, a ne tehnologije. • •
•
Nove mogućnosti koje pruža koncepcija ekstraneta, a koje služe kao tehnološka podrška novoj informacionoj ekonomiji ogledaju se u sljede ćem: Važnim klijentima firme obuhvaćenim ekstranetom omogućava se uvid u inovacije proizvoda i stanje narudžbi, bilansne informacije, te online komunikaciju i podršku. Firme koje sarađuju, kao što su posredničke, zastupničke, distribucione i sestrinske omogućuje se pristup podacima o kupcima, konkurenciji, cijenama, zalihama i dr. Partnerima na zajedničkim projektima omogućuje se uvid u stanje i napredak projekta, u finansijske podatke i rezultate preduzetih istraživanja. Omogućuje se vertikalno povezivanje me đu firmama, od proizvođača osnovnih sirovina do onih koji se bave prodajom finalnih proizvoda, čime se stvaraju bliskije veze unutar lanca vrijednosti. •
•
•
•
Ekstranet ima smisla razvijati samo onda kada njegovi učesnici imaju uspostavljene vlastite intranete. Dakle, aktivnosti izgradnje intraneta, bilo da se radi o modifikaciji postojećih privatnih mreža ili izgradnji novih, moraju prethoditi aktivnostima stvaranja ekstraneta. Obzirom da svaki intranet ima svoju zaštitu, vatrozid, on će istovremeno služiti kao zaštita ekstraneta od Interneta, kao i povezanih intraneta me đusobno. To je poželjna situacija zato što svaki u česnik u ekstranetu ima neke informacije čiju
23
tajnost mora štititi od ostalih u česnika, poslovnih partnera, radi zaštite vlastitih poslovnih interesa. Kako nivo zaštite nije isti prema Internetu i prema ekstranetu programe koji regulišu propusnost zaštitnog vatrozida intraneta treba izgraditi tako da podržavaju različite zaštitne procedure koje će se aktivirati u zavisnosti od toga iz kojeg izvora dolazi zahtjev za pristup intranetu.
24
2.3 MODELI ELEKTRONSKOG POSLOVANJA Razvoj elektronskog poslovanja možemo podijeliti u tri faze: 1. EDI (Electronic Data Interchange)-elektronska razmjena podataka. 2. Osnovno B2B i e-commerce poslovanje (Osnovno elektronsko poslovanje preduzeće sa preduzećem i e-trgovine). 3. Electronic Marketplaces (eMarkets) - elektronski marketi.8
2.3.1
EDI – Electronic Data Interchange
EDI (Electronic Data Interchange) ili Elektronska razmjena podataka se naj češće definiše kao razmjena struktuiranih poslovnih podataka između računara zasebnih firmi, izvršena bez manuelne intervencije, elektronskim putem, posredstvom standardizovanih poruka koje zamjenjuju tradicionalne papirne dokumente. Kreirani dokument se umjesto na štampu, proslje đuje softveru koji vrši njegovo prevođenje u unaprijed dogovoreni standardni format podataka, nakon čega se elektronskim putem, obično koristeći mrežu davaoca EDI usluga, šalje na adresu poslovnog partnera (u njegovo elektronsko poštanski boks). Kada se primalac sljedeći put konektuje na mrežu, on preuzima dokument koji se sada prevodi u format pogodan za upotrebu u njegovom Informacionom sistemu i šalje ga direktno aplikaciji koja dalje obrađuje podatke. Istovremeno se pošiljaocu šalje potvrda o prijemu dokumenta. Treba napomenuti da se pored ovog modela zasnovanog na prosljeđivanju poruka može koristiti i razmjena podataka u realnom vremenu. Iz ovoga se može zaključiti da su neophodni elementi za primjenu EDI sistema: standard koji će biti korišten za transport poruke od pošiljaoca do primaoca, s obzirom da različita preduzeća imaju različite računarske sisteme i programe tako da je direktna razmena nemogu ća, softver koji će vršiti konverziju poruka i komunikacioni medij kojim će se poruka transportovati (javna ili privatna mreža). •
• •
Na samom početku primjene EDI najveći dio komunikacije se odvijao u direktnom kontaktu računarskih sistema poslovnih partnera, što je zahtijevalo da oba sistema koriste iste komunikacione protokole i brzinu prenosa podataka, imaju kompatibilan hardver i istovremeno raspoložive telefonske linije u trenutku potrebe za komunikacijom. 8
Latinović B., Elektronsko poslovanje, Banja Luka, Panevropski univerzitet Apeiron, 2007. 25
Prevazilaženje ovih ograničenja je kasnije postignuto upotrebom VAN (Valueadded network) mreža specijalizovanih firmi za pružanje podrške u implementaciji EDI sistema. To su privatne zatvorene mreže koje kao takve predstavljaju efikasan, pouzdan i siguran medij za prenos povjerljivih poslovnih informacija. Koristeći EDI u svakodnevnom poslovanju preduzeće ostvaruje: bržu dostavu dokumenata bez gubljenja ili oštećenja, značajne uštede u vremenu potrebnom za obradu dokumentacije – eliminisanje potrebe za ponovnim prekucavanjem dokumenata, povećanje produktivnosti i efikasnosti, značajno smanjenje troškova obrade papirne dokumentacije, smanjenje obima grešaka u obradi podataka, poboljšano upravljanje transportom, distribucijom, zalihama ... i značajno smanjenje troškova nabavke i sl. • •
• • • • •
Pored svih ovih prednosti EDI u ovom obliku nikada nije doživio masovnu primjenu. Prije svega zbog skupe, komplikovane i dugotrajne implementacije, nedostatka fleksibilnosti u odnosu na brzinu promjena u okruženju, kao i visokih troškova održavanja, koje su sebi mogle da priušte samo velike kompanije.
26
2.3.2
Osnovno B2B i e-commerce poslovanje
Postoje dva osnovna tipa B2B trgovanja: vertikalni i horizontalni. 9
Vertikalni tip je usmjeren na trgovanje unutar jedne industrije ili industrijskog sektora. Posrijedi je nešto češća primjena modela B2B, pomoću kojeg kompanije koje se nalaze u istom industrijskom sektoru, mogu on-line kupiti najrazli čitije moguće proizvode potrebne za njihove proizvodne procese. Horizontalno se B2B trgovanje razlikuje od vertikalnog po tome što nije postavljena oko pojedinih industrijskih sektora, nego oko konkretnih proizvoda i usluga, koji onda mogu zainteresovati mogu će kupce u mnogim industrijskim granama. Takva su B2B mjesta za trgovinu specijalizovana za ponudu proizvoda poput rezervnih dijelova, avionskih karata ili ponudu raznih usluga. Do prvih elektronskih B2B trgovanja došlo je, zapravo, inicijativom kompanija koje su bile zainteresovane za trgovinu proizvodima i uslugama. Takve bi kompanije otvorile svoje Intranet mreže vanjskim korisnicima i dobavlja čima. Obrazac B2B, naime, nudi velike prednosti, kako u finansijskom pogledu, tako i u vremenskom. Na takvim se Web stranama nalazi mnogo prodava ča i kupaca. To s jedne strane povećava mogućnost izbora kupcima, a istodobno se smanjuju i administrativni poslovi. S druge strane profitiraju i sami proizvo đači kojima se povećavaju izgledi da svoje robu i usluge prodaju i posve novim korisnicima. Najvažnije u svemu jest to što se tako – i jednim i drugim – smanjuje cijena poslovnih transakcija. U odnosu prema tradicionalnim poslovnim modelima, B2B poslovanje troškove može smanjiti i deset puta. Prelazak na elektronsko B2B poslovanje u teoriji zvuči izvrsno. U praksi će, međutim, primjena toga modela izazvati prili čno velike teškoće – tehničke i organizacione. Neki cijeli postupak prenosa poslovanja na internet nazivaju jednim od najsloženijih integracionih procesa. Zavisno o složenosti primijenjenih tehnoloških rješenja, taj proces može potrajati od nekoliko sedmica, u jednostavnijim slučajevima, do godinu i više dana, ovisno o tome koliko se duboko organizacioni model određenog preduzeća želi prilagoditi i uklopiti u internetsko poslovanje. Velike probleme prouzrokuju različita softverska rješenja, koja se primjenjuju u različitim preduzećima, a moraju se me đusobno uskladiti. Ništa manji problem nisu drukčiji organizacioni modeli pojedinih firmi. To je mogu ći izvor velikih teškoća, jer usklađivanje različitih skupova poslovnih pravila unutar mnogo firmi nije nimalo lak posao. 9
Turban E., Joe Lee, David King, H.Michael Chung Electronic Commerce A Managerial Perspective, Prentice Hall 2000. New York,USA
27
Integracija poslovnih procesa s Internetom mogla bi postati i svojevrsnim procesom bez kraja, jer će stalna unapređenja računarske tehnologije i pripadajućega softvera prisiljavati firme na to da u odre đenim intervalima nadograđuju svoja rješenja. Jednom vezane uz internet, firme će morati držati korak s određenim tehnološko-softverskim standardima kako bi ostale konkurentne. Pojavom Interneta i njegovom sve masovnijom primjenom, dolazi do pojave novih oblika B2B poslovanja. U po četku su preduzeća prisustvo na Internetu fomirala postavljanjem Web prezentacija u formi kataloga svojih proizvoda sa navedenim kontakt informacijama, gde su kupci mogli da se detaljno informišu o ponudi i nakon toga izvrše naručivanje klasičnim putem. Istovremeno je razvoj sigurnosnih mehanizama (javnih ključeva) poput PKI, SSL i sl. došao do faze u kojoj omogućuje šire prihvatanje Interneta kao sigurnog komunikacionog medija, tako da su ubrzo Web prezentacije dobile i mogu ćnost on-line naručivanja i plaćanja proizvoda i usluga. Glavni razlozi primjene Interneta u B2B su: globalna dostupnost Interneta, lako povezivanje i niska cijena usluga, korištenje standardnog, svima raspoloživog softvera za pristup, postojanje adekvatnih sigurnosnih mehanizama i laka integracija sa postojećim back-office sistemima. • • • • •
Velike kompanije su u Internetu vidjele šansu da drasti čno smanje troškove komunikacije sa svojim poslovnim partnerima, uz istovremeno pružanje mogućnosti saradnje i manjim firmama koje do sada nisu mogle sebi da priušte skupa EDI rješenja. Prednosti B2B rješenja baziranih na Internetu su evidentne u svim fazama poslovanja. Dolazi do skraćenja proizvodnog ciklusa zbog efikasnije komunikacije svih učesnika u procesu proizvodnje. U procesu nabavke, postiže se veća produktivnost zaposlenih, smanjuje se mogu ćnost greške i skraćuje vrijeme samog procesa, što dovodi do smanjenja troškova za 10-15%. Boljom koordinacijom sa dobavljačima postiže se efikasnije upravljanje zalihama (težnja ka just-in-time organizaciji) i njihovo smanjenje na svim nivoima za 20-25%, uz istovremeno značajno smanjenje troškova njihovog čuvanja i skladištenja. Automatizovana podrška kupcima smanjuje broj poziva upućenih službi podrške što dovodi do bržeg odziva operatera i pružanja bolje usluge. Marketing i prodaja korištenjem Interneta dobijaju jeftin i efikasan marketinški i prodajni kanal, koji pruža mogućnost proširenja ovih aktivnosti uz minimalno povećanje troškova. Internet B2B rješenja predstavljaju otvoren sistem, koji omogu ćava bilo kojoj kompaniji uključenje u ovaj vid poslovanja.
28
Klasične B2B e-Commerce prezentacije su u početku postavljale velike kompanije – snabdjevači, koje su putem Interneta omogućile naručivanje i prodaju svojih proizvoda velikom broju svojih distributera i kupaca. Me đutim, kupac je i u ovom modelu saradnje ostao uskraćen za mogućnost pristupa agregiranoj ponudi proizvoda iz oblasti njegovog interesovanja. Upravo to je i pravac dalje evolucije B2B koncepta poslovanja. U zapadnim tržišnim ekonomijama odavno je udoma ćena trgovina Internetom, a svjetske firme počinju primjenjivati nove oblike upotrebe Interneta u svakodnevnom poslovanju. Nasuprot krajnje jednostavnog obrasca prema kojem se određeni proizvod na Web-u prodaje zainteresovanom kupcu, a gdje Web preuzima ulogu svojevrsne virtualne trgovine, novi je poslovni stil znatno radikalniji jer mu je cilj prebaciti cjelokupno poslovanje na Internet. U trendu je prebacivanje poslovanja velikih kompanija na Internet, koje putem Web-a počinju i međusobno poslovati. Ta inicijativa, poznata pod skraćenicom B2B (Business-to-Bussines), po učincima znatno zamjenjuje do skoro korišteni klasični B2C (Business-to-Consumer) model poslovanja na Internetu. Osnovne razlike između B2B i B2C je sljede ća: B2B sistem je složeniji: kompanije obično žele da pregovaraju o cjenama, rokovima isporuke, strukturi proizvoda, garanciji, tehničkoj i materijalnoj podršci, dok se B2C trgovina zasniva na izboru proizvoda iz kataloga sa predefinisanim cjenama od strane kupca. B2B sistemi zahtijevaju integrisanje informacionih sistema firmi koje me đusobno posluju dok B2C sistemi ne zahtjevaju takvo integrisanje (arhitektura sistema “običnih kupaca” može se najčešće ignorisati). Forma poslovanja B2C podrazumjeva direktno poslovanje između preduzeća i potrošača. Najkarakterističnije je za kontakt izme đu maloprodaje i kupaca. Primjer ovakvog poslovanja je sajt maloprodaje proizvoda ili usluga. Preduze će može da ostvari znatnu uštedu ako umjesto fizi čke prodavnice otvori virtuelnu, jer ne mora da plaća zaposlene, troškove iznajmljenog prostora i dr. Naravno, to se može uraditi u kombinaciji sa dostavom robe ku ći, ili preuzimanjem robe u prostorijama velikoprodaje i slično. Ovakvo poslovanje nije samo klasični način prodaje, već se odnosi na veoma široki dio privrede kao što su: online bankarstvo, turizam i saobraćaj, online aukcije, zdravstvene informacije i nekretnine i sl. • • • • •
29
1.
KOMPANIJSKI WEB SAJT POKAZUJE USLUGE I PROIZVODE PROIZVODE
PROIZVODNI PLAN REGULIŠ REGULIŠE T RANSAKCIJU SNABDJEVAČ SNABDJEVAČKI MATERIJALA PLANOVI U FABRICI ZA PROIZVODNJU I TRANSPORT DO FABRIKE FABRIKE ŠPEDITERSKI PLANOVI ZA DOSTAVU OD FABRIKE FABRIKE DO KUPCA
INFORMACIONA KUPAC PRAVI PLAN KUPOVINE
KUPAC KUPAC VRŠ VRŠI PLAĆ PLAĆ ANJE DOBAVLJAČ DOBAVLJAČU
MREŽA E V A PO PIS Z A H TJ E D Č E K A NJ A R U R E U E S A LJ V S T A PROIZVODNI RADNIK E Z A H TJ E V ( R E A LI Z UJ E S ) PRIMA SET INSTRUKCIJA K U PC A
UTOVAR ZA DOSTAVU DOSTAVU ROBA KUPCIMA
ZA IZBOR ROBE
Slika 6 Informaciona mreža
Iako imamo sve pogodnosti koje nam je donijela Internet revolucija za razmjenu informacija i znanja preko mreže, ipak osnova svega je fizi čka lokacija sa koje ćemo se povezati na Internet, za obavljanje drugih poslovnih funkcija: prodaja, nabava, razmjene informacija i dr. U novom sistemu rada i poslovanja kancelarija ili kuća postaje primarno mjesto sa kojeg dobijamo i razmjenjujemo informacije sa ostatkom kompanije ili klijentima, poslovnim partnerima. Poslovni svijet je prevazišao ovu fazu i ušao u fazu u kojoj je Internet postao mobilan. Zaposleni više ne moraju biti vezani za fiksno radno mjesto sa kojeg će se konektirati na Internet i primati i slati informacije. Umjesto toga mobilni ure đaji (telefoni) ih mogu povezati sa podacima ili njihovim kolegama gdje god se nalazili. Ukratko mobilni Internet primorava kompanije da promjene staro shvatanje o stacioniranom radnom mjestu. U veoma bliskoj budu ćnosti, radno mjesto će se nalaziti tu gdje se trenutno nalazi bilo koji zaposleni. Za razliku od konvencionalnog pristupa Internetu sa desktopa, beži čna tehnologije korisnicima pruža priliku da uvijek imaju informaciju bukvalno u ruci, bez obzira gdje se nalaze. Nove tehnologije, a posebno WAP (Wireless Aplication Protocol) ima zadatak da poveže mobilni svijet i Internet bežičnim putem, sa dlana (iz ruke) umjesto sa desktopa (radnog stola - kancelarije), omogućavajući stalnu (anitime – aniwhere) komunikaciju.10 10
Grupa autora, Menadžment informacioni sistemi, Sarajevo, Izdava čka djelatnost Ekonomskog fakulteta, 2003. 30
Bežični pristup Internetu predstavlja budući pravac razvoja Interneta. Ovaj novi pristup (trend) neki uspoređuju i sa pojavom Interneta po četkom devedesetih godina. Telekomunikaciona industrija, koja predstavlja jednu od najprofitabilnijih industrijskih grana, ulaže ogroman novac u razvoj bežične infrastrukture i bežičnih aplikacija. Osnovni razlog tome je enormni rast prodaje mobilnih uređaja. Procjene su da je 2001. godine broj mobilnih korisnika bio oko 530 miliona a u 2005. godini preko jedne milijarde. Analiti čari predviđaju dinamički rast «mobilnog tržišta», tako da prema procjenama mobilni uređaji predstavljaju najčešćeg korisnika na Internetu u posljednje vrijeme. Sve ovo ukazuje na enormne zahtjeve za bežičnim Internet servisima i aplikacijama koje će zadovoljiti sve brojniju populaciju korisnika. B2E tržište (poslovanje) je novi trend u elektronskom svijetu. Ubrzava radne postupke zaposlenima, olakšava im rad i čini ga ugodnijim. Poslovni (korporativni) Intraneti, vrlo brzo postaju zamjena klasi čnim oblicima komunikacije u preduzeću. Koristi od dobro organizovanog Intraneta, pojavljuju se veoma brzo, prije svega u vidu rasta produktivnosti i sniženju troškova poslovanja. Neka preduzeća su nadoknadila troškove izgradnje Intraneta za manje od tri mjeseca, a stopa povrata na uložena sredstva može da ide čak i do 1000%. Korporativni Intranet se razmnožava tako brzo kao i sama pojava Interneta, a predstavljanje adresa korporacija (URL) na TV reklamama, u novinama, na bilbordima, postaje sve značajnija pojava. Dosta korporacija (preduzeća) implementiraju Employee Services – usluge za zaposlene kao što su automatizovani, samouslužni sistemi za menadžere i zaposlene, zasnovani na Web-u. Ovaj pristup omogućava pojedincima da riješe administrativne probleme bez pomoći profesionalnog osoblja za kadrove. Ovakav način rada omogućava zaposlenima just-in-time obuku i “učenje na daljinu”. Javljaju se velike koristi od primjene Intraneta u kadrovskoj funkciji, što se najviše ogleda u sljedećem: manje se koriste druga komunikaciona sredstava (telefon, fax), dolazi do uštede u papiru (izbacuju se klasična pisma, formulari, štampani materijali), smanjuje se potreba za specijalizovanim softverom, skraćuje se vrijeme obavljanja radnih zadataka, pojavljuje se veća ponuda informacija u vidu zanimljivih sadržaja, podaci su ažurni i pravovremeni i unapređuje se povratne veze između zaposlenih. • •
• • • • •
31
Uspješan razvoj B2E rješenja može se provesti kroz sljedeće faze: 1. Izrada Web strategije, Koje informacije, podaci i transakcije će biti dostupne za zaposlene na Intranetu? Koji su prioriteti razvoja aplikacija? Koje karakteristike, funkcije i sposobnosti su najvažnije za organizaciju? Kako će različite grupe (zaposleni/menadžeri) raditi on-line? •
• •
•
2. Procjena tehničko-tehnološke infrastrukture, Kakva je trenutna infrastruktura? Koja poboljšanja i nova rješenja su potrebna? • •
3. Identifikacija poslovnih procesa koje treba promjeniti, Koji poslovni procesi moraju biti promjenjeni (gdje provesti BPR a gdje TQM) u vezi sa: sigurnošću, potpisima, procedurama, odobrenjima i sl.? •
4. Prilagođavanje kulture novim načinima poslovanja, Kako zaposleni mogu biti uključeni u nove načine obavljanja poslova? Kako smanjiti otpor prema korištenju novih tehnologija?11 • •
11
Kalakota, R., Robinson, M., E-poslovanje 2.0-put ka uspjehu, Zagreb, Mate, 2002. 32
2.3.3
Electronic Marketplaces
Posljednjih godina došlo je do pojave Electronic Marketplaces (e-Markets) veletrgovinskih centara, novog oblika organizovanja B2B poslovanja na Internetu. Oni predstavljaju Web prezentacije / lokacije na kojima veliki broj prodavaca i kupaca na jednom mjestu prezentuje svoju ponudu i tražnju u određenoj oblasti. E-marketplaces predstavljaju novi vid online posrednika koji na jednom mestu efikasno predstavljaju agregiranu ponudu i tražnju, pružajući kupcima niže troškove nabavke uz mogućnost kontakata sa novim dobavljačima, a isto tako i dobavljačima niže troškove prodaje uz mogućnost kontakata sa novim kupcima.12 Postoji više različitih modela eMarkets-a u zavisnosti od toga ko ih je organizovao. Tako razlikujemo E-marketplaces organizovane od strane: jednog ili više velikih kupaca (Buyers-Driven eMarketplaces), industrijskih giganata koji u ovom načinu poslovanja vide mogućnost povećanja efikasnosti lanca snabdijevanja uz istovremeno značajno smanjenje troškova, jednog ili više velikih snabdjevača (Suppliers-Driven eMarketplaces) i neutralne treće strane (npr. privredne komore), neutralnost organizatora u odnosu na industriju kojoj je namenjen eMarket, naročito je neophodna na tržištima na kojima postoji veliki broj i kupaca i prodavaca. Povjerenje je u ovom slučaju ključan faktor za pridobijanje velikog broja učesnika neophodnih za normalno funkcionisanje eMarketa. • •
• •
Po načinu organizovanja mogu se podijeliti na: vertikalne - orjentisane na rješavanje potreba u okviru određenih industrijskih grana i horizontalne E-marketplaces - specijalizovane za određenu kategoriju proizvoda ili kupaca. •
•
Potrebno je nekoliko bitnih elemenata uklju čiti u realizaciji komercijalne web prezentacije: dobavljači – ovaj problem je veoma sli čan kao i prilikom poslovanja tradiconalnim kanalima, ukoliko ovaj problem nije na odgovaraju ći način rješen nastaju problemi prilikom isporuke robe, cijena proizvoda – u ovakvom vidu poslovanja potrošači imaju mogućnost uvida u cijene konkurencije na veoma elegantan i jednostavan na čin, čime značajno dolazi do izražaja transparentnost e-tržišta, •
•
12
Kalakota, R., Robinson, M., E-poslovanje 2.0-put ka uspjehu, Zagreb, Mate, 2002 33
•
povezanost sa potrošačima – elektronsko poslovanja nudi različite načine uspostavljanja odnosa sa potrošačima- e-mail, FAQ, forumi ....
Pri realizaciji e-prodavnice treba razmotriti neke pogodnosti kao što su: udruživanje programa, specijalne popuste, definisanje programa ponovne kupovine i periodični popusti. • • • •
Potrošači komuniciraju i ostvaruju kupovinu kod preduzeća na nekoliko načina: putem telefona, primjenom maila, lično, fizički se nalazeći u prodavnici i putem Interneta. • • • •
Preduzeća moraju razumijeti specifičnosti svakog od načina prodaje, kako bi adekvatno definisali svoje ciljeve i načine njihove realizacije, naročito kada je u pitanju elektronsko poslovanje. Elektronsko poslovanje podrazumijeva pristup Internetu odgovarajućeg nivoa kvaliteta, prije svega u dostupnosti Web prezentacije koja najčešće predstavlja bazu svake elektronske prodavnice. Realizovana Web prezentacija mora biti dostupna što većem broju Internet korisnika, tj. i onima sa manjom brzinom pristupa Internetu i lošijim performansama računara. Pored brzine učitavanja strana Web prezentacije, veoma je bitno da bude podjednako kvalitetno vidljiva u različitim čitačima (browsera). Web prezentacija je u suštini stati čna multimedijalna prezentacija sadržaja od interesa za preduzeće, koja se čuva kao HTML dokument na nekom od web servera u okviru Interneta. Pristup i pretraživanje prezentacije se vrši posredstvom web čitača korisnika Interneta, sa bilo koje ta čke na mreži. Na prvi pogled web prezentacija se može uporediti sa bogato pripremljenim katalogom, ali ona osim što objedinjuje razli čite tipove medija, omogu ćava izbor dijelova Web prezentacije po želji korisnika.
34
2.4 ZAŠTITA U ELEKTRONSKOM POSLOVANJU Zaštita podataka i prenos podataka je star problem. Najjednostavniji oblik bi mogao biti došaptavanje - informaciju dobija samo jedna osoba i drugi ne znaju sadržaj poruke. Prednost je jednostavnost, a mana je kratka udaljenost na koju se takvim načinom poruka može prenijeti. Pojavom pisma otvorile su se nove mogućnosti, prije svega slanje poruka po glasniku na, za ono vrijeme, proizvoljne udaljenosti. Najveća je primjena bila u vojne svrhe, a to je donijelo i ve ću opasnost za glasnika i za poruku. Glasnika je mogla spasiti ili velika brzina ili borbena vještina, ali kada je jednom savladan onda poruka dospijeva u ruke neprijatelju. Jednostavni trik Rimljana je bio da se poruka napiše na traci koja je omotana oko štapa tačno određenog promjera, pa su takvu poruku mogli razumjeti samo vlasnici takvog štapa. Neprijatelj je dobio samo traku s nerazumljivim redosledom znakova, a poruku nije znao čak ni glasnik. Kad se jednom sazna da je poruka zaštićena na taj način, isprobavanjem se relativno lako može do ći do štapa odgovarajuće veličine. Drugi način je, na primjer, svako slovo zamjeniti nekim drugim. Primalac i pošiljalac poruke moraju imati istu tablicu zamjena kako bi poruku mogli napisati, odnosno pročitati. Ko nema tablicu može isprobavati, ali za trideset slova ima čak 30! (faktorijel) mogućih tablica. Mana ovakvog načina zaštite je da se nekako mora poslati i tablica, pa ako neprijatelj ima sre ću da je presreo glasnika s tablicom može ubuduće pročitati sve poruke! Štaviše, može sam napisati šifrovanu poruku, pa poslati lažnog glasnika. Ako primalac poruke poznaje rukopis ili barem potpis pošiljaoca znaće da je poruka lažna. Isto tako može zatražiti od glasnika da se identififikuje, na primer, posebnim prstenom ili medaljonom, a najbolje ličnom potvrdom. Pojavom masovnih komunikacija, posebno Interneta, potreba za zaštićenim prenosom je naglo porasla. Sada je potreban, ne samo generalima i vladarima, nego i poslovnim ljudima, i obi čnim građanima. Bilo da je reč o vojnoj ili industrijskoj tajni, broju kreditne kartice ili ljubavnom pismu, zaštita podataka je postala svakodnevna potreba. Kako uglavnom ne znamo kojim putem putuju naši podaci i kroz čije ruke prolaze, zaštićeni prenos podataka je neophodan za svaki posao gde se traži tajnost ili privatnost. Secure Sockets Layer (SSL) je protokol za sigurno slanje poruka (komuniciranje) putem Interneta, koji omogućuje slanje povjerljivih podataka (npr. broj kreditne kartice) putem Interneta u šifrovanom i sigurnom obliku. SSL protokol ostvaruje poseban komunikacioni sloj, koji je smješten na pouzdan transportni sloj (npr. TCP/IP), dok se na SSL smješta aplikacijski sloj. Od aplikacijskog sloja prima poruku koju treba poslati, rastavi je u manje dijelove prikladne za šifrovanje, dodaje kontrolni broj, šifruje, eventualno kompresuje, a zatim te dijelove pošalje. Primalac primi dijelove, dekompresuje, dešifruje, provjeri kontrolne brojeve, sastavi dijelove poruke, pa ih preda aplikacijskom sloju. Na taj način se putem SSL-a ostvaruje zaštićeni kanal prenosa kroz mrežu. Ukoliko su klijent i server 35
neaktivni duže vreme ili razgovor sa istim atributima zaštite potraje predugo, atributi se menjaju. 13 SSL protokol je dizajniran i napravljen od Netscape Communications korporacije, da bi bio korišćen sa Nescape Navigatorom. Prva verzija, 1.0, je razvijena 1994. godine, međutim, to je bila samo probna verzija korištenja unutar ove korporacije. Verzija 2.0 je bila prva koja je izdata u javnost i koja je isporu čivana sa Netscape Navigatorom, verzijama 1 i 2. Posle verzije SSL 2.0, Microsoft je izdao svoju verziju ovog protokola, koja je imala naziv PCT. Najnovija verzija SSL 3.0, je uključila sva poboljšanja Microsoftovog PCT-a, i time uklonila slabosti verzije SSL 2.0. U to vrijeme je, Internet Engineering Task Force (IETF) Transport Layer Security (TLS) grupa, koja je formirana 1996. godine, napravila otvoreni standard za šifrovanje zasnovan na SSL-u 3.0. Ovaj protokol je nazvan TLS verzija 1.0, I objavljen je 1999. godine na RFC 2246. O čekuje se da će TLS protokol biti standardizovan od strane IETF-a, i može se re ći da se on razlikuje od SSL-a u nekoliko detalja. On je adaptiran od strane korisnika i projektanata mobilnih radio uređaja, koji su prilagodili ovaj protokol beži čnim komunikacijama, i nazvali ga WTLS (Wireless TLS - bežični TLS).
13
Danijel Husak, (1999) SSL protokol, Fakultet organizacije i informatike – Varaždin 36
2.4.1
Sigurnost na Internetu
Sva komunikacija putem Interneta koristi TCP/IP (Transmission Control Protocol/Internet Protocol ). TCP/IP dozvoljava slanje podataka preko brojnih računara i pojedinih mreža dok ne stignu do odredišta. Velika fleksibilnost TCP/IP-a je dovela do njegovog prihvatanja kao osnovnog protokola Interneta, ali i mnogih drugih manjih mreža. S druge strane, to što TCP/IP dozvoljava da podaci prolaze kroz razne računare, posrednike u komunikaciji, njima ujedno omogućuje da se uključe u komunikaciju. To mogu činiti na sljedeće načine: Prisluškivanje (eavesdropping ). Podaci ostaju netaknuti, ali je povre đena privatnost pošiljaoca odnosno primaoca. Npr. neko može saznati tu đi broj kreditne kartice. Neovlašćeno mjenjanje (tampering ). Podaci se promjene djelimično ili u potpunosti, a zatim se šalju predvi đenom primaocu. Npr. neko može promjeniti nečiju narudžbinu robe ili promjeniti sadržaj elektronske pošte. Imitiranje (impersonation). Podaci se preusmjeravaju nekoj osobi koja imitira predviđenog primaoca. Imitiranje se može javiti u dva oblika: Prevara (spoofing ). Osoba se može pretvarati da je neko drugi. Npr. osoba se može identifikovati kao da ima e-mail adresu
[email protected] ili računar može da identifikuje sebe kao da je www.vladars.net , iako to nije. Lažno predstavljanje (misrepresentation). Osoba ili organizacija se mogu predstaviti kao neko ili nešto što u stvarnosti nisu. Npr. www.namjestaj.ba se može predstaviti i izgledati kao da je prodavnica nameštaja, a u stvari jedino što radi je uzimanje brojeva kreditnih kartica, a nikada ne dostavlja robu. •
•
Internet je svojom komercijalizacijom stvorio potrebu za ve ćom sigurnošću prenosa podataka. Postojeći protokoli za prenos podataka, kao što je telnet, ftp, http i brojni drugi koji ostvaruju traženi prenos podataka, ali ne i njihovu zaštitu. Zaštita podataka je osnova za komercijalnu upotrebu mreža, ali mjenjanje postojećih protokola nije izvodljivo, zbog velikog broja korisnika koji ih koriste. Ipak, moguć je prenos nezaštićenih podataka kroz zaštićene komunikacione kanale, što se postiže sa SSL protokolom. Zaštita se ostvaruje šifrovanjem, a za identifikaciju se koristi sistem javnih klju čeva (Public Key Criptography). Danas, ko god da je nešto kupio preko Interneta, vrlo je vjerovatno učinio to koristeći SSL protokol, koji predstavlja stanard za obavljanje sigurnih transakcija na mreži.
37
2.4.2
Sistem javnih ključeva
Kroz računare koji se nalaze na Internetu, kontinuirano prolaze brojni podaci, i u normalnim situacijama vlasnici tih ra čunara ne proveravaju njihov sadržaj. Ali mnogo je podataka koji zahtjevaju zaštitu od opasnosti koje vrebaju sa globalne mreže. Sa zadatkom zaštite podataka u takvim uslovima, uspostavljena je tehnika zvana sistem javnih ključeva (Public Key Criptography ), koja ostvaruje sljedeće zadatke zaštite: Šifrovanje i dešifrovanje (encryption and decryption) dozvoljavaju dvema učesnicima u komunikaciji da sakriju sadržaj koji šalju jedan drugome. Pošiljaoc šifruje podatke, prije nego ih pošalje, dok ih primalac dešifruje, nakon što ih primi. Dok podaci putuju kroz mrežu nerazumljivi su potencijalnom slušaocu (npr. hakeru ili nekoj službi).
Otkrivanje neovlaštenog pristupa (tamper detection) omogućuje primaocu da provjeri, da li su podaci prilikom svog puta kroz mrežu bili izmijenjeni. Svaki pokušaj promjene sadržaja ili zamjene novim će biti otkriven. Provjera identiteta (authentication) dozvoljava primaocu podataka da provjeri istinitost njihovog izvora, odnosno da potvrdi identitet pošiljaoca. Sprječavanje nepriznavanja (nonrepudiation) onemogućuje podataka da kasnije tvrdi kako te podatke nije poslao.
pošiljaocu
Šifrovanje i dešifrovanje Šifrovanje predstavlja je proces transformacije podataka u oblik nerazumljiv svima osim predviđenim primaocima. Dešifrovanje je obrnut proces, transformacija šifrovanih podataka u razumljiv oblik. Algoritam za šifrovanje određen je prikladnim matematičkom modelom. Često se koriste dvije povezane metode, jedna za šifrovanje, a druga za dešifrovanje. U najnovijm metodama za šifrovanje koristi se niz alfanumeričkih znakova, koji se nazivaju ključ, koji koriste algoritam kako bi se podaci šifrovali. Dešifrovanje sa odgovarajućim ključem je jednostavno, dok je bez njega vrlo složeno, odnosno, najčešće nemoguće za sve praktične primjene. Odvajanjem algoritma od ključa, omogućuje da svi budu upoznati sa algoritmom, ali bez klju ča podaci su i dalje nerazumljivi.
Šifrovanje simetričnim ključem Kod šifrovanja simetričnim ključem, isti se klju č koristi za šifrovanje i dešifrovanje, kao što je i prikazano na Slici 7.
38
Slika 7 Šifrovanje simetričnim ključem
Upotreba simetričnog ključa može biti vrlo efikasna sa stanovišta trošenja procesorskog vremena, tako da korisnik ne mora da trpi nikakva posebna kašnjenja uzrokovana transformacijom. Simetrični ključ, takođe, daje određeni stepen utvr đivanja pošiljaoca, jer se podaci šifrovani simetri čnim ključem ne mogu dešifrovati ni sa jednim drugim. Tako, dokle god je simetri čni ključ poznat samo učesnicima u komunikaciji koji ga koriste, oni mogu biti sigurni s kime komuniciraju. Šifrovanje simetričnim ključem ima smisla sve dok je poznat samo učesnicima u komunikaciji. Ako neko drugi sazna klju č, to će uticati i na sigurnost podataka i na identifikaciju pošiljaoca. Osoba koja neovlašteno posjeduje simetrični ključ, ne samo da može pro čitati šifrovanu poruku, nego može i sama poslati šifrovanu poruku. Šifrovanje simetričnim ključem ima važnu ulogu u SSL protokolu.
Šifrovanje javnim i privatnim klju čem Šifrovanje javnim i privatnim klju čem (često se zove i asimetri čno šifriranje), uključuje dva uparena ključa: javni klju č i privatni klju č. Oba ključa su vezana za entitet (računar ili korisnika) koji trebaju dokazati svoj identitet, elektronski potpisati ili šifrovati podatke. Prakti čnost korištenja uparenih ključeva je u tome što podaci šifrovani privatnim klju čem mogu biti dešifrovani jedino javnim ključem i obratno. Naj češće korištena implementacija šifrovanja javnim klju čem je bazirana na algoritmima kompanije RSA Data Security. Javni klju č je objavljen, svima dostupan, a odgovarajući privatni ključ se čuva u tajnosti. Slika 8 prikazuje princip rada šifrovanja javnim ključem.
Slika 8 Šifrovanje javnim i privatnim ključem 39
Svrha javnog ključa je, da bude svima dostupan. Kad se šalju podaci nekoj osobi, šifruju se javnim klju čem te osobe koja, kada ih primi, dešifruje svojim privatnim ključem, koji samo ta osoba poseduje. Vredi i obrnuto, tj. podaci šifrovani privatnim ključem mogu se dešifrovati samo javnim klju čem. To najčešće nije korisno jer je po svojoj definiciji javni klju č svima dostupan, a time i podaci šifrovani privatnim ključem. Koliko je to neprakti čno za tajnu distribuciju podataka, toliko je korisno za digitalni potpis - važan zahtev u komunikacijama podacima. Pomoću javnog ključa se može provjeriti, da li je poruka šifrovana odgovarajućim privatnim ključem, i na osnovu toga uvjeriti se da pripada potpisanom vlasniku. Upoređujući ga sa šifrovanjem simetri čnim ključem, šifrovanje javnim ključem zahtjeva više izračunavanja, tako da nije uvjek prikladan za veće količine podataka. Zato se pribjegava minimizaciji komunikacije asimetričnim šifrovanjem. SSL koristi asimetri čno šifrovanje za razmjenivanje simetričnog ključa. Čim je ključ za simetrično šifrovanje razmjenjen, među sagovornicima se prelazi na simetrično, mnogo efikasnije šifrovanje. Zahvaljujući prednostima asimetričnog šifrovanja, razmjena simetričnog ključa odvija se tajno.
Dužina ključa i snaga zaštite Snaga zaštite zavisi od složenosti otkrivanja klju ča. Najjednostavnije je ključ direktno nabaviti od vlasnika, krađom ili nekim načinom prisile uvjeriti ga da nam ga sâm dâ. Takvim tehnikama dolazimo u opasnost da budemo identifikovani i ugrožavamo sebe. Drugi način je izračunati ključ na osnovu šifrovanih podataka, koji slobodno prolaze kroz mrežu. Složenost tog zadatka zavisi od dužine klju ča i algoritma za šifrovanje. Snaga zaštite je često opisana dužinom ključa koji se koristi, pa uopšte vrijedi slijedeće: duži ključ - bolja zaštita. Dužina klju ča se mjeri u bitovima. Tako kod upotrebe SSL protokola se može naići na korištenje 40bitnog ključa, ali i 128-bitnog, koji daje znatno bolju zaštitu šifrovanja sa istim algoritmom. Algoritmi koji se koriste su zasnovani na matemati čkim metodama čija je karakteristika da otežavaju, gotovo onemogućuju, dešifrovanje bez poznavanja ključa. Različiti algoritmi za šifrovanje mogu zahtjevati razli čite dužine ključeva. Neki algoritmi za šifrovanje javnim klju čem dozvoljavaju korištenje samo podskupa svih mogućih vrijednosti koje klju č može imati, zbog specifičnosti matematičkih modela na kojima se algoritmi baziraju. Drugi algoritmi, kao što je to slu čaj kod simetričnih ključeva, mogu koristiti sve vrijednosti ključa. Tako 128-bitni ključ za simetrično šifrovanje daje 'jaču' zaštitu od 128-bitnog ključa korištenog kod nekih šifrovanja javnim klju čem. Koliko smo zaštićeni zavisi od opreme kojom smo napadnuti. Razvojem hardvera danas uobičajena zaštite uskoro može biti 'preslaba' za napade na komunikaciju podacima. Informacije su istorijski bile važno vojno oružje, pa je vlada SAD-a ograni čila izvoz softvera za šifrovanje. To uključuje veću programsku podršku, kao i uređaje za šifrovanje koja koristi ključeve duže od 40 bitova.
40
Digitalni potpis Šifrovanje i dešifrovanje rješava problem prisluškivanja, ali ne i problem mjenjanja sadržaja koji se šalje kroz mrežu. Podaci se ne mogu zaštititi od mjenjanja, ali je mogu će provjeriti da li su mjenjani. Digitalni potpis koristi prednosti šifrovanja javnim i privatnim ključem. Ako bi podatke samo šifrovali privatnim ključem, primalac ne bi mogao utvrditi da li su mjenjani na putu kroz mrežu. Ako se radi o porukama koje ljudi razumeju, u rjetkim situacijama još bi se iz konteksta moglo ustanoviti da li je došlo to izmjene podataka, ali ra čunari to nisu u stanju detekovati. Čak i ako napadač ne poznaje privatni ključ, te nasumice promjeni podatke, moguće je da ih primalac bez greške dešifruje. Otkrivanje neovlaštenog mjenjanja sadržaja, zasnovana je na kontrolnom broju (one-way hash). Kontrolni broj je fiksni broj bajtova, i izra čunava se iz podataka koji se šalju mrežom, a ima slede će karakteristike: 1. Vrijednost kontrolnog broja je jedinstvena za podatke iz kojih je izračunata. 2. Svaka promjena u podacima rezultira promjenom kontrolnog broja. 3. Iz kontrolnog broja ne mogu se izračunati (odnosno mogu, ali jako teško) podaci iz kojih je broj dobijen (odatle i naziv one-way ). Umjesto da se digitalno potpišu podaci, potpisuje se kontrolni broj koje se izračunava iz tih podataka. Privatnim klju čem se šifruje kontrolni broj i algoritam za njegovo izračunavanje koji sa originalnim podacima čini digitalnu potpis. Slika 9 prikazuje upotrebu digitalnog potpisa za provjeravanje neovlaštenog mjenjanja podaka na putu do primaoca.
Slika 9 Korišćenje digitalnog potpisa za provjeru ispravnosti podataka
Za provjeru je potrebno imati privatni klju č i algoritam za izračunavanje kontrolnog broja. Kad se izračuna kontrolni broj, dodaje mu se algoritam kojim je izračunat, i onda se to šifruje privatnim klju čem. Primaocu se šalju dvije poruke: originalni tekst i digitalni potpis. Na putu kroz mrežu napada č može promjeniti i 41
originalnu poruku i digitalni potpis, ali zbog primenjene zaštite, gotovo je nemoguće u obe poruke napraviti konzistentne promjene. Kad primalac primi obe poruke, pomoću javnog ključa dešifruje digitalni potpis, dobija kontrolni broj i algoritam pomoću kojeg je izračunat. Algoritam primjeni na originalnu poruku koju je primio i ponovo izra čunava kontrolni broj. Tada se uporede dva kontrolna broja, onaj koji je primljen i onaj koji je izra čunat. Ako su isti, podaci na putu od pošiljaoca do primaoca nisu bili mjenjani. Ukoliko nisu jednaki, dvije su mogućnosti: podaci su neovlašteno mjenjani ili su šifrovani privatnim ključem koji ne odgovara javnom ključu kojim su dešifrovani. Ako su ta dva kontrolna broja jednaka, primalac može biti jedino siguran da, javni ključ kojim su podaci šifrovani odgovara privatnom ključu korištenom kod digitalnog potpisa. Ostaje pitanje da li je privatni klju č zaista u vlasništvu osobe koja tvrdi da je njen vlasnik. Problem identifikacije rješava se potvrdama.
Identifikacija Rješenje problema distribucije javnog ključa rješava i problem identifikacije. Ako se može pouzdano znati kome pripada javni ključ, onda se može sa jednakom pouzdanošću provjeriti istinitost pošiljaoca podataka, šifrovanih odgovarajućim privatnim ključem. U svakom slu čaju, mora se nekome vjerovati kada nam kaže da je to zaista ne čiji javni klju č. Svakako, na korisniku je da odabere kome će vjerovati. U realnom sjvetu mnogo puta se dolazi u situaciju da se neka osoba mora identifikovati. Recimo, na prelazu granice moramo pokazati pasoš da bi se identifikovali. Osoblju na granici to je dovoljan dokaz o našem identitetu. Pasoš je korišten kao potvrda o našem identitetu. Osoblje na granici vjeruje ustanovi koja ga je izdala. Isti pristup se koristi na mreži. Korisnik odabere kome će vjerovati, i potvrde koje ta institucija izdaje će biti dovoljan dokaz o ne čijem identitetu. Time rješavamo problem distribucije javnog ključa. Na mreži postoje brojne institucije koje potvr đuju identitet osoba i istinitost njihovog javnog klju ča.
Potvrde Potvrda (certificate) je elektronski dokument koji identifikuje pojedinca, ra čunar, preduzeće ili neki drugi entitet koji poseduje privatni klju č. Potvrda uz ime entiteta sadrži i njegov javni ključ. Kao što se lična karta, vozačka dozvola ili neki drugi dokument koriste za identifikaciju, tako i potvrde u ra čunarski komunikacijama pružaju dokaz o identitetu odgovarajućeg entiteta. Potvrde se koriste sa ciljem zaštite od imitiranja, predstavljanja kao neko ko taj entitet zapravo nije. Dobijanje potvrde zasnovano je na istom konceptu kao i potvrde u realnom svjetu - moraju se zadovoljiti određeni uslovi. Za dobijanje li čne karte se moramo prijaviti policiji da utvrde naš identitet, uzmu otisak prsta, adresu stanovanja i odrede vrijeme važenja lične karte.
42
Ako se želi dobiti vozačka dozvola, mora se prvo položiti voza čki ispit kako bi se dokazala sposobnost vožnje vozila odgovarajuće kategorije. Kod učlanjivanja u biblioteku, dovoljno je samo platiti članarinu i dati svoju adresu. Rad sa digitalnim potvrdama kakve koristi SSL protokol organizovan je na vrlo sli čan način. Kao što svaka osoba u svom novčaniku ima različite isprave (potvrde) za različite namene (lična, zdravstvena, vozačka...), tako i za identifikaciju preko mreže, u skladu s namjenom, koriste se odgovarajuće potvrde. Izdavaoci potvrde su institucije, koji provjeravaju identitet drugih entiteta i izdaju potvrde o tome. To mogu biti ili nezavisni subjekti u komunikaciji dva entiteta, dakle tre ća osoba, ili sam subjekat u komunikaciji koji ujedno i izdaje potvrde (npr. banka provjerava identitet svojih klijenata vlastitim potvrdama). Metoda kojom će se provjeravati identitet zavisi od politike poslovanja određenog izdavaoca potvrde, baš kao što je i različit način u realnom svijetu - zavisi od njene upotrebe. U svakom slučaju, prije izdavanja potvrde, njen izdavalac mora provesti svoju proceduru provjere identiteta onoga kome je izdaje. Ta se procedura objavljuje kako bi svako ko takvu potvrdu primi mogao ustanoviti, da li je to dovoljno sigurna metoda za njegove potrebe. Značaj digitalnog potpisa uporediv je sa zna čajem svojeručnog potpisa koji se koristi za potpisivanje papirnih dokumenata. U nekim situacijama digitalni potpis može biti pravno ispravan kao i svojeručni potpis. Uz javni klju č i ime identiteta, potvrda sadrži datum do kojeg je potvrda važe ća, ime izdavaoca potvrde, serijski broj i još neke podatke. I sama potvrda koja putuje po mreži može biti objekat napada. Zato je i sama digitalno potpisana. Kako izdavalac potvrde uživa naše povjerenje, svim potvrdama koje izdaje se može vjerovati.
Metode provjere identiteta U komunikaciji podacima provjera identiteta uključuje pouzdanu međusobnu identifikaciju dva subjekta u komunikaciji. To je mogu će učiniti na više načina, gde je upotreba potvrda jedna od njih. U mrežnom okruženju komuniciraju najčešće klijent (npr. neki komunikacioni softver na personalnom računaru) i server (npr. softver i hardver koji sadrže web stranice). Identifikacija klijenta se odnosi na potvr đivanje identiteta klijenta od strane servera, odnosno provjeravanje osobe za koju se pretpostavlja da koristi softver klijenta. Identifikacija servera odnosi se na potvr đivanje identiteta servera od strane klijenta, odnosno identifikaciju organizacije za koju se pretpostavlja da je odgovorna za server (na odgovarajućoj mrežnoj adresi). Identifikacija klijenta jedan je od osnovnih elemenata komunikacijamana mreži. Postoje dva tipa identifikacije klijenta:
sigurnosti
u
43
). Vrlo je česta identifikacija klijenta od Identifikacija pomoću lozinke ( password password ). strane servera pomoću imena i lozinke. Time korisnik dobija pristup serveru. Server održava listu imena i lozinki, te ako je neko ime na listi i korisnik upiše ispravnu lozinku, odobrava se pristup serveru. Identifikacija pomoću potvrde. Ova identifikacija je deo SSL protokola. Klijent digitalno potpiše slu čajno odabrane podatke, te pošalje potvrdu i potpisane podatke kroz mrežu. Server koristi spomenute tehnike da potvrdi identitet klijenta.
Slika 10 Identifikacija pomoću lozinke
Na Slici 10 su prikazani koraci identifikacije pomo ću lozinke. Ovaj prikaz pretpostavlja da korisnik vjeruje serveru (da je onaj za koga se predstavlja), da server ima pristup resursu koji korisnik želi i da server zahtjeva ime i lozinku prije davanja pristupa tom resursu. Proces identifikacije korisnika ide ovim redoslijedom: server šalje zahtjev klijentu (komunikacionom softveru na korisničkom računaru) za imenom i lozinkom, koje korisnik upisuje. Klijent šalje ime i lozinku kroz mrežu. Kad ih server primi, provjeri u svojoj listi da li postoji unešeno ime i lozinka, te ako postoji to smatra dokazom korisnikovog identiteta. Korisnik dobija traženi resurs ukoliko mu je dozvoljen pristup. Ovakvom organizacijom identifikacije korisnik mora imati posebnu lozinku za svaki novi server kojem pristupa i adminstrator servera (najčešće više njih) mora čuvati ime i lozinku za svakog korisnika. Kod identifikacije pomoću potvrda moguće je preskočiti prva tri koraka sa slike pomo ću mehanizma koji omogućuje korisniku da ima samo jednu lozinku (koju ne šalje preko mreže) za više servera, i omogućuje administratoru da centralizuje evidenciju korisnika.
44
Slika 11 Identifikacija pomoću potvrda
Slika 11 prikazuje upotrebu identifikacije klijenta pomo ću potvrda koristeći SSL protokol. Kako bi se korisnik identifikovao serveru, klijent digitalno potpisuje slučajno odabrane podatke koje šalje serveru zajedno s potvrdom kroz mrežu. Ukoliko je potvrda ispravna to je serveru dokaz o identitetu klijenta, pa time i korisnika. Kao i kod identifikacije pomoću lozinke, u ovom prikazu pretpostavlja se da korisnik vjeruje serveru, da server ima pristup traženom resursu i da je server zatražio identifikaciju klijenta prilikom odobravanja pristupa zatraženom resursu. Takođe, se pretpostavlja da klijent ima važe ću potvrdu. Na slici 11 prikazani su sljedeći koraci: 1. Klijentski softver čuva privatni klju č u šifrovanom obliku i da mu se pristupi potrebna je lozinka. Klijent (softver) traži od korisnika lozinku kako bi odobrio pristup javnom ključu (ili više njih) prvi put kad ih treba upotrijebiti, npr. prvi put kada se uspostavlja veza s nekim serverom preko SSL protokola. Nakon upisivanja lozinke korisnik ne mora više upisivati lozinku za cijelo vrijeme komuniciranja na mreži (session), bez obzira sa koliko servera koji zahtjevaju identifikaciju se komunicira. 2. Klijent pomoću lozinke dešifruje privatni ključ, zatim tim klju čem digitalno potpiše za tu priliku slu čajno generisane podatke. Koriste se slučajni podaci jer njihov sadržaj nije bitan, ve ć je samo bitno ko ih šalje. Ti podaci i potvrda čine "dokaz" o ispravnosti privatnog klju ča. Digitalni potpis moguć je samo tim privatnim klju čem za pozitivnu identifikaciju s odgovarajućim javnim klju čem. Podaci u "dokazu" koji se šifruju jedinstveni su za tu SSL vezu, što pruža dodatnu zaštitu. 3. Klijent šalje korisnikovu potvrdu i "dokaz" kroz mrežu. Tada se ne šalju nikakvi nepoželjni podaci. 4. Server na osnovu potvrde i "dokaza" identifikuje korisnika. Korisnik dobija traženi resurs ukoliko mu je dozvoljen pristup. Za razliku od identifikacije lozinkom, identifikacija potvrdom obavezno zahjteva SSL protokol. 45
Identifikacija pomoću potvrda smatra se prikladnijom od identifikacije na osnovu lozinke jer se bazira na: nečemu što korisnik poseduje (privatni klju č); nečemu što korisnik zna (lozinku kojom čuva svoj privatni klju č); • •
Vrlo je slično identifikaciji osoba na bankomatu, gde korisnik mora imati karticu i znati tajni broj. Me đutim, potrebno je naglasiti kako su te dve pretpostavke istinite samo ako su korisnikov računar i lozinka zaštićeni od neautorizovanog pristupa. Lozinka je potrebna za pristup privatnom ključu koji čuva klijentski softver. Ni jedna od spomenutih identifikacija ne sprječava napad na fizički nivo sistema, bilo računara, bilo lozinke ukoliko je negdje zapisana. Identifikacija javnim ključem može jedino provjeriti odgovara li privatni klju č javnom ključu navedenom u potvrdi. Korisnikova je odgovornost osigurati fizičku sigurnost računara i sačuvati tajnost lozinke za pristup privatnom klju ču. Uporede li se poslednje dvije slike (slike 10 i 11), umesto da se od korisnika zahteva lozinka, ovdje se pristupa privatnom ključu samo jednim unošenjem lozinke koja se ne šalje preko mreže. Klijent se brine da svima koji traže pruži potvrdu.
Upravljanje potvrdama Vrste potvrda Postoji više vrsta potvrda. Potvrde je moguće koristiti i u drugim situacijama, ne samo u okviru SSL protokola, ali njihova upotreba izlazi izvan okvira ovog rada.
Klijentske SSL potvrde. Koriste se za identifikaciju klijenta putem SSL protokola. Uobičajeno je poistovjećivanje identiteta klijenta sa osobom. Osim za identifikaciju osoba kod pristupa serveru, klijentska potvrda se može koristiti i u druge svrhe, npr. za digitalno potpisivanje digitalnih formulara. Primjeri: 1. Banka daje korisniku klijentsku SSL potvrdu koja omogu ćuje serveru banke identifikaciju korisnika I dozvoljava korištenje bankovnog računa. 2. Preduzeće može dati svakom novom zaposlenom klijentsku SSL potvrdu, kojom je moguće dobiti pristup serveru preduzeća.
Serverske SSL potvrde. Koriste se za identifikaciju servera od strane klijenta putem SSL protokola. Identifikacija servera je obavezna u SSL protokolu za ostvarivanje zaštićenog prenosa podataka dok identifikacija klijenta nije. Primjer: Internet poslovanje, npr. on-line prodavnice, najčešće koriste identifikaciju servera preko serverskih SSL potvrda kako bi uspostavili zašti ćenu SSL vezu i uverili korisnika da je to odgovaraju će preduzeće sa kojim korisnik želi poslovati. Šifrovana SSL veza osigurava da osjetljivi podaci koji se šalju kroz mrežu, kao što su brojevi kreditih kartica, budu zašti ćeni.
46
Potvrde izdavaoca potvrda. Koriste se za identifikaciju izdavaoca potvrda. Klijentski i serverski softver koristi potvrde izdavaoca potvrda da ustanovi kojim drugim potvrdama se može vjerovati. To pojednostavljuje rad i klijentu i serveru, jer dovoljno je administrirati rad sa samo jednim izdavaocem potvrda, a može se pristupati serverma čije su potvrde u sklopu sistema tog jednog izdavaoca potvrde. Primjer: potvrde izdavaoca potvrda koje čuva klijent određuju kome će klijent vjerovati. Administrator informacionog sistema unutar preduzeća može organizovati sigurnosnu politku u komunikacija na osnovu potvrda kod svakog korisnika u preduzeću. Primjeri drugih vrsta potvrda su S/MIME potvrde koje služe za digitalno potpisivanje i šifrovanje elektronske pošte, zatim potvrde za potpisivanje objekata koje mogu poslužiti kao potvrda da je softver poslan preko Interneta stvarno proizvod odgovarajućeg preduzeća. Sadržaj potvrde Sadržaj potvrde koja se koristi u SSL protokolu organizovan je prema X.509 v3 specifikaciji za potvrde izrađene od strane ITU. Korisnici se ne moraju previše opterećivati sadržajem potvrde, jer baratanje njima najčešće ide automatski. Osnovni zadatak potvrde je da potvrdi vezu između javnog ključa i određenog entiteta (npr. osobe ili preduzeća) određenog sopstvenim imenom. Tako je jedan od važnijih podataka naziv nosioca potvrde ( distinguished name). Naziv nosioca potvrde je struktuirani niz atributa koji jedinstveno opisuje entitet koji potvrda identifikuje. Npr. ovako može izgledati jedan tipi čan naziv nosioca potvrde, radnika u preduzeću Abell Soft: identifikator nosioca (user ID): Milan adresa elektronske pošte:
[email protected] ime nosioca: Milan Milanovic organizacija: Kompanija država: BH Ovo je samo jedan primjer. Struktura imena nosioca potvrde može biti prili čno kompleksna, a fleksibilnost strukture X.509 potvrdi omogu ćuje prilagođavanje raznim potrebama.
Tipična potvrda: Svaka X.509 potvrda se sastoji od dva dijela: s podacima i s potpisom. Dio sa podacima sadrži: Serijski broj potvrde koji je jedinstven za svaku potvrdu izdanu od tog izdavaoca potvrde. Podaci o korisnikovom javnom ključu, korišteći algoritam i sam klju č. Ime izdavaoca potvrde (struktuiran kao i ime nosioca potvrde). Period važenja potvrde (npr. između 1:00, 15.11.1998. i 1:00, 15.11.1999.). Ime entiteta, nosioca potvrde. •
• • •
•
47
•
Dodatni, neobavezni, podaci mogu pružiti korisne podatke bilo klijentu bilo serveru.
Deo sa potpisom potvrde sadrži: Algoritam za šifrovanje, koji koristi izdavaoc potvrde za svoj digitalni potpis. Digitalni potpis, napravljen na osnovu kontrolnog broja dobijenog iz svih podataka u potvrdi, šifrovan privatnim ključem izdavaoca potvrde. •
•
Izdavanje potvrda Proces izdavanja potvrda zavisi od njenog izdavaoca, i svrhe za koju se potvrda izdaje. Za digitalne potvrde različitih namjena potrebne su različite procedure. Za neke će biti dovoljno dati svoju adresu elektronske pošte, za neke druge ime i lozinku za odgovarajući server. Druga krajnost su potvrde kojima se identifikuju osobe s velikim ovlaštenjima, kod kojih se zahtjevaju službeni dokumenti i intervju. U zavisnosti od sigurnosne politike organizacije, proces izdavanja potvrde može varirati od potpune transparentnosti korisniku do njegovog značajnog učestvovanja. Uopšte, proces izdavanja potvrda trebao bi biti vrlo fleksibilan, kako bi ih organizacije mogle prilagoditi svojim promjenjivim zahtjevima. Izdavanje potvrda je jedan od niza zadataka upravljanja potvrdama. Prije nego što se izda potvrda moraju se generisati javni kju č i odgovarajući privatni ključ. Ključevi mogu biti generisani od strane klijentskog softvera ili centralizovano od strane izdavaoca potvrda. Oba ova načina imaju svoje prednosti i mane. Tako klijentsko generisanje ključeva osigurava viši nivo zaštite od nepriznavanja slanja podataka, ali time zahtjeva veću uključenost korisnika u proces izdavanja potvrde.
Obnavljanje i ukidanje potvrda Kao i kod vozačkih dozvola, digitalnoj potvrdi je odre đen period u kojem je važeća. Pokušaj da se potvrda iskoristi prije ili poslije tog perioda ne će biti uspješan. Potrebno je osigurati mehanizme za obnavljanje potvrda u slu čaju prestanka važnosti dotadašnje potvrde. Obnova potvrde može biti sa istim parom ključeva ili sa novim. Voza čka dozvola može biti oduzeta iako još nije istekao rok važnosti, npr. u slučaju ozbiljnog prekršaja u saobraćaju. Slično je i sa ukidanjem potvrda, nekad ih je potrebno ukinuti pre nego istekne period važnosti, npr. ako radnik napusti preduzeće. Više je na čina ukidanja potvrda. Jedan je način brisanje sa liste potvrda kojima vjerujemo. To ima samo lokalni efekt. Ponekad se izdaju liste ukinutih potvrda koje se redovno objavljuju, te svi koji provjeravaju potvrde paralelno upoređuju svaku potvrdu sa listom onih kojima vjeruju i sa
48
listom ukinutih potvrda. Direktan na čin je da se svaka potvrda kod svake upotrebe provjerava kod izdavaoca potvrda.
2.4.3
Funkcionalni opis protokola
Opšti prikaz SSL protokola SSL omogućava razmjenu informacija između klijenta i servera, na transparentan način. Ovaj protokol je lociran između aplikacijskog i transportnog sloja ISO/OSI referencnog modela. Koristeći ovaj pristup, moguće je identifikovati SSL protokol kao dio sloja za prezentaciju. Na Slici 12 se može vidjeti mjesto SSL-a u okviru TCP/IP protokola.
Slika 12 Funkcionalni model SSL protokola
Međutim, SSL ne funkcioniše na vrhu User Datagram protokola (UDP), zato što ne nudi pouzdan prenos podataka, što može dovesti do gubitka IP paketa. Zbog toga, SSL ne može pružiti zaštitu za sljede će protokole: Simple Network Management Protocol (SNMP), Network File System (NFS), Domain Name Service (DNS), kao I za protokol "voice over IP". SSL se sastoji od dva podnivoa: SSL Record i SSL Handshake, i koristi još 4 podprotokola: 1) SSL Record, 2) SSL Handshake, 3) ChangeCipherSpec, i 4) Alert. SSL Record sloj je odgovoran za prenos blokova informacija, između dva računara. SSL Handshake protokol upravlja razmjenom ključeva, obavještenja i promjene lozinki. Ovi nivoi se nalaze na vrhu sloja za prenos podataka, koji je obi čno TCP sloj. Na Slici 13 se vidi veza između pod-protokola, kao i njihova lokacija, i ostali slojevi SSL-a. 49
Slika 13 Šema protokola za SSL podprotokole
Handshake protokol je odgovoran za identifikaciju subjekata u komunikaciji, posredovanje algoritama za šifrovanje i kontrolu, razmjenu PreMasterSecret , koja se koristi za generisanje identifikacionih i šifrovanih klju čeva kroz MasterSecret . Funkcija ChangeCipherSpec (CCS) protokola, je da obavjesti Record (zapis) protokol o promjenama u sigurnosnim parametrima. Protokol za obavještenja (Alert), otkriva greške koje su se desile tokom provjeravanja poruke, kao i svih neslaganja koje se mogu desiti tokom "handshake-a". Konačno, Record protokol prihvata sve razmjenjene sigurnosne parametre između dva subjekta, koja su se spojila zahtjevaju ći sigurnost, i štiti podatke koji dolaze iz aplikacijskog sloja, kao i poruke iz nekog od ostala tri pod-protokola. Bitno je reći da SSL razlikuje vezu (connection) i razgovor (session). Veza je usluga koja se koristi za transport, dok je razgovor niz veza sa istim šifarskim parametrima koji se razmjenjuju tokom "handshake-a". Razgovor (session) može sadržati više veza (connections). Identifikacija se utvr đuje za svaki od razgovora, i sledeći parametri ostaju konstantni tokom razgovora: 1) redni broj razgovora (ID), 2) potvrda, 3) algoritam za kompresiju, 4) algoritmi za šifrovanje i potpis, i 5) MasterSecret koji se razmjenjuje između klijenta i servera. Za svaku novu vezu u razgovoru,"handshake" postavlja sljedeće parametre: dva slučajna broja, jedan za klijenta, a drugi za server, parametre "hashing" algoritma na klijentskoj strani i serverskoj strani, blok šifrovanih ključeva za klijenta i servera, inicijalni vektor za blok šifrovanja na obe strane. Niz brojeva je specifičan za svaku vezu, i on se incijalizuje poslije poruke ChangeCipherSpec. Kad god se klijent spoji na server, novi razgovor je pokrenut. Ako se isti klijent spoji na drugi server, novi razgovor će biti pokrenut bez prekida prethodnog. Ako se klijent kasnije vrati na prvi server, i poželi da 50
sačuva izabrane sigurnosne parametre koji su već napravljeni, klijent će zatražiti od servera da nastavi stari razgovor umesto pokretanja novog. SSL dokumentacija sugeriše da se dužina razgovora limitira na 24 sata, ali stvarna dužina razgovora je obično određena na serveru. Record protokol koristi parametre tokom procesa povezivanja ("handshake") da bi ih proslijedio transportnom sloju. U suštini, ovaj protokol je odgovoran za dijeljenje podataka na blokove i njihovo slanje na strani pošiljaoca, kao i za djeljenje na strani prijema. Druge funkcija uklju čuju kompresiju, kao i šifrovanje i dešifrovanje poruka.
Promenljive stanja Promenljive SSL razgovora SSL razgovor je jedinstveno određen sa sljedećih šest promjenljivih: 1. Session Identifier Niz bajtova koji je izabran od strane servera da identifikuje aktivni status razgovora ili status razgovora koji se može nastaviti. 2. Peer Certificate X509.v3 potvrda. Ovaj element ne mora imati vrijednost. 3. Compression Method Algoritam koji se koristi da kompresuje podatke pre šifrovanja. 4. Cipher Spec Određuje algoritam za šifrovanje većine podataka (DES, ...), i MAC (Message Authentication Code ) algoritam (kao što su MD5 ili SHA). 5. MasterSecret 48-bitni tajni kod se razmjenjuje izme đu klijenta i servera 6. Resumable Indikator koji pokazuje da li se razgovor može koristiti za započinjanje nove veze. Niz algoritama za "hash" i šifrovanje se obi čno nazivaju komplet za šifrovanje (cipher spec). Postoje pet elemenata koji određuju ovaj komplet za šifrovanje: 1. Vrsta metoda za šifrovanje, bilo niza podataka ili bloka podataka 2. Algoritam za šifrovanje. Moguće je da se podaci u razmjeni ne šifruju. 3. "Hash" algoritam. Moguće je da se ništa ne "hashuje". 4. Veličina šifrovanja. 5. Binarna vrijednost koja određuje da li postoji dozvola za izvoz algoritma za šifrovanje, u skladu sa Američkim Zakonom o izvozu šifara. Postoje i četiri osnovna sigurnosna procesa koja imaju bitnu ulogu u okviru SSL protokola. Proces razmjene ključeva može koristiti RSA, Fortezza, ili Diffie Helman metod. Procesi simetričnog šifrovanja nizova podataka koriste RC4, sa ključevima od 40 do 120 bita. Procesi simetri čnog šifrovanja blokova podataka koriste DES, DES40, 3DES, RC2, IDEA, ili Fortezza. "Hash" procesi koriste MD5 ili SHA.
51
Promenljive SSL veze Ove promjenljive su parametri koji određuju stanje veze u toku SSL razgovora, i one se ponovo postavljaju kad god se veza uspostavi. Stanje veze ima u sebi sledeće elemente: Server i Client_random. Ove dve promjenljive su stvorene od strane servera i klijenta, respektivno, kod uspostavljanja razgovora za svaku novu vezu. Tajni ključ se izvodi koristeći ove slučajne brojeve, što znači da se oni razmjenjuju na početku razgovora. Međutim, kada je nova veza uspostavljena, ovi brojevi se razmjenjuju šifrovani zbog toga što je razgovor ve ć započet. Ovi brojevi služe kao pomoć pri ponovljenim napadima koristeći prethodne poruke. Server write MAC secret Tajna promenljiva korištena od strane MAC operacija nad podacima, koja je upisana od strane servera. Client write MAC secret Tajna promenljiva korištena od strane MAC operacija nad podacima, koja je upisana od strane klijenta. Ovi ključevi se koriste od strane "hash" funkcije za izra čunavanje Messag Authentication Code (MAC) kontrolnog broja. MAC je veliki 16 bajtova ako je SHA korišten, ili 20 ako je MD5 korišten. Server write key Ključ za podatke šifrovane od strane servera i dešifrovane od strane klijenta. Client write key Ključ za podatke šifrovane od strane klijenta i dešifrovane od strane servera. •
•
•
•
•
Ovi ključevi se koriste za simetrično šifrovanje informacija. Dok god obe strane veze koriste isti algoritam, svaki od njih može koristiti svoj simetri čni ključ. Dužina ovog ključa zavisi od algoritma koji je izabran. Initialization vectors Kada je šifra bloka korištena u CBC režimu, vektor za inicijalizaciju (IV) je sačuvan za svaki ključ. (jedan za klijenta, a drugi za servera). Ovo polje se inicijalizuje od strane SSL Handshake protokola. Pošto je krajnja šifra za svaki zapis sačuvana za korištenje sa postojećim zapisom. Postoje dva niza, jedan za server, a drugi za klijenta, i njihova dužina zavisi od algoritma koji se koristi. Sequence numbers Svaka strana u komunikaciji ima svoje odvojene nizove brojeva za slanje i primanje poruka za svaku vezu. Kada jedna strana pošalje ili primi ChangeCipherSpec poruku, određeni broj u nizu se postavlja na nulu. Ovi nizovi brojeva pružaju određenu sigurnost od napada, jer sprečavaju ponovno korištenje već prosleđenih poruka. •
•
•
•
52
Generisanje ključa
Slika 14 Generisanje MasterSecret (glavne šifre) na početku razgovora
Kao što je već navedeno, postoje dva glavna djela u okviru SSL-a, veza i razgovor. Proces generisanja ključeva je vezan za momenat stvaranja određenog ključa. Takođe, tu postoji proces za stvaranje MasterSecret (glavne šifre) na početku razgovora, i različit proces koji generiše inicijalizacione vektore, ključeve za šifrovanje i klju čeve za "hash" algoritam, koji se koristi za generisanje MAC-a (kontrolnog broja). Slike 14 i 15 prikazuju proces generisanja niza šifara.
Slika 15 Generisanje šifara na početku veze
53
SSL Handshake protokol Ovaj protokol predstavlja najsloženiji dio cjelog SSL protokola. On po činje obaveznu provjeru identiteta na serveru, dok je provjera identifikacija klijenta opcionalna. Posle provjere identiteta, po činje razmjena podataka koja je vezana za postupak šifrovanja. Parametri, koji se razmjenjuju u ovom protokolu se koriste tokom cijelog razgovora. Ovaj protokol postavlja uslove za sigurnu razmjenu podataka. Sve ovo pravi od njega potencijalnu metu za napada če. Poruke koje se razmjenjuju u okviru ovog protokola imaju sljede ću strukturu:
Slika 16 Struktura SSL Handshake protokola
Polje "tip" je veli čine 1 bajt, i označava jednu od deset vrsta poruka. Polje "dužina" sadrži dužinu poruke u bajtovima. Konačno, polje "sadržaj" ne može biti manje od 1 bajta, i sadrži parametre koji su vezani za poruku. Slika 17 prikazuje razmjenu poruka tokom uspostavljanja razgovora.
Slika 17 Razmjena poruka tokom uspostavljanja novog razgovora
54
Tabela 1 prikazuje vrste poruke, njihovo značenje, i parametre koji se razmjenuju. Poruka
Smer
Razmena parametara
Značenje
HelloRequest
S→K
ClientHello
K→S
ServerHello
S→K
Ova poruka je serverov odgovor na ClientHello.
Potvrda
K→S S→K
ServerKeyExchange
S→K
CertificateRequest
S→K
ServerHelloDone
S→K
ClientKeyExchange
K→S
CertificateVerify
K→S
Ova poruka sadrži serverovu potvrdu ili klijentovu potvrdu, ako je server zahtjevao. Server šalje ovu poruku ako nema potvrda ili ima samo potpis potvrde. Server šalje ovu poruku kojom zahtjeva klijentovu potvrdu. Ova poruka informiše klijenta da je prenos ServerHello i podporuka završena. Poruka sadrži šifrovani PreMasterSecre t sa serverovim javnim ključem. Poruka sadrži eksplicitnu provjeru klijentove potvrde.
Finished
K→S S→K
Poruka klijentu za početak "handshake-a". Ova poruka pokreće "handshake" sa serverom.
Ova poruka označava kraj "handshake-a", i početak prenosa podataka, zaštićen putem novodobijenih parametara.
Tip
NULL
Opcionalan
Version, Client_ Random, Session ID, CipherSuite, method kompresije Version, Server_Random, Session ID, CipherSuite, metod kompresije Niz od X.509 v3 potvrda
Obavezan
Parametri, Potpis
Opcionalan
Tip, Authorities
Opcionalan
NULL
Obavezan
PreMasterSecret , Potpis
Obavezan
Potpis
Opcionalan
"Hash" vrednost
"Hash" vrednost
Obavezan
Opcionalan
Tabela 1 Poruke Handshake protokola
55
Ako se sagledaju procesi iz prethodne tabele i slike, može se vidjeti da se razmjena poruka može grupisati u četiri faze. Prva faza se koristi za pokretanje logičke veze i uspostavljanje sigurnosnih kapaciteta koji su povezani sa određenim razgovorom. Obično, ova razmjena je pokrenuta od strane klijenta koji šalje ClientHello poruku. Druga faza se sastoji od serverove provjere identiteta, tako što on šalje svoju potvrdu. Razmjena klju ča i zahtjev za klijentovom potvrdom može biti deo ove faze. Server označava kraj ServerHello poruke, tako što šalje ServerHelloDone poruku. U trećoj fazi, klijent šalje svoju potvrdu (ako je zahtjevana), potom razmjenjuje PreMasterSecret sa serverom, i može poslati provjjeru potvrde. Poslednja faza završava proces podešavajući sigurnu vezu. Klijent šalje ChangeCipherSpec poruku i kopira sigurnosne parametre (Cipher Spec) u trenutne sigurnosne parametre, i govori klijentu da zapo čne šifrovani režim rada. Poslije toga, klijent šalje Finished poruku pod novom sigurnosnom šemom. Finished poruka provjerava da li su procesi razmjene klju čeva i identifikacije bili uspješni. Bitno je napomenuti da ChangeCipherSpec poruka nije deo Handshake protokola. Kada je razgovor uspostavljen, može se desiti da je potrebno uspostaviti novu vezu, koja se sastoji od novih parametara Client_Random i Server_Random, sa ClientHello i ServerHello porukama, dok u isto vrijeme, čuva algoritme za šifrovanje i "hash" koji su ve ć izabrani. Nova provjera identiteta se izbjegava i, suprotno nego kod uspostavljanja razgovora, ClientHello i ServerHello poruke su šifrovane. Klijent i server potvr đuju njihovu razmjenu šaljući ChangeCipherSpec poruku sa obe strane i završavajući skraćeni "handshake" sa Finished porukom. Slika 18 prikazuje proces uspostavljanja nove veze.
Slika 18 Razmjena poruka tokom uspostavljanja veze
56
Bitno je napomenti da bi Session ID za ClientHello u toku uspostavljanja veze trebao biti isti kao u osnovnom razgovoru. U slu čaju da Session ID koji je poslat od strane klijenta nije prisutan na serveru, bilo zbog toga što je neta čan, ili zbog razgovora koji je završen, klijentov zahtjev je odbijen i server po činje potpuno novi "handshake", da bi uspostavio novu vezu.
SSL ChangeCipherSpec protokol Ovaj protokol je najjednostavniji od svih SSL protokola. Sastoji se od jedne poruke koja nosi isto ime kao i protokol. On šalje poruku Record protokolu da šifrovanje može da počne sa sigurnosnim parametrima koji su usvojeni (razmjenjeni). Svrha ove poruke je da izazove da se Cipher Spec stanje prekopira u trenutno Cipher Spec stanje, koje podešava cipher suite (niz parametara, kao što su: odabir algoritma, veli čina ključa, i dr.) koji će biti korišten u razgovoru ili vezi od strane Record sloja.
SSL Record protokol Record protokol se koristi poslije slanja ChangeCipherSpec poruke. Tokom uspostavljanja razgovora, ovaj protokol je ograničen na rad sa "handshake" podacima i njihovo slanje bez promjene TCP sloja. Tokom faze šifrovanja, ovaj protokol prima podatke od viših slojeva (Handshake, Alert, ChangeCipherSpec, i aplikacijskog sloja), i šalje ih poslije izvršavanja sljede ćih funkcija: Dijeljenje podataka na blokove maksimalne veličine 214 bajtova. Kompresija podataka. Stvaranje MAC-a (kontrolnog broja) i osiguravanje integriteta poruke. Šifrovanje podataka (tajno). Dodavanje zaglavlja. • • • • •
57
Slika 19 Operacije tokom SSL Record protkola
Slika 19 prikazuje operacije SSL Record protkola. Na strani prijema se vrše iste operacije, ali u obrnutom redosljedu, tj. dešifrovanje, provjera identiteta, dekompresija i izvršavanje. Ako se izra čunati kod razlikuje od onoga koji je primljen, Record protokol poziva Alert protkol da pošalje poruku greške onome ko je poslao poruku. Record protokol dodaje zaglavlje veličine 5 bajtova na svaku poruku primljenu od viših slojeva. Zaglavlje ima sljede ći sastav: vrsta sadržaja (1 bajt), osnovna verzija (1 bajt), druga verzija (1 bajt), i kompresovana dužina (2 bajta). Vrsta sadržaja pokazuje vrstu poruke u zavisnosti od porijekla poruke (Handshake, ChangeCipherSpec, Alert, i Application Data). "Osnovna verzija" prikazuje osnovnu verziju SSL-a koji se koristi (za SSL v3, vrednost je 3). "Druga verzija" prikazuje sporednu verziju SSL-a koji se koristi (za SSL v3, vrijednost je 0). Konačno, "kompresovana dužina" je veličina u bajtovima dijela teksta, i njen maksimum može biti 214 + 204822. Bitno je naglasiti da može do ći do razlike između raznih aplikacija koje koriste SSL. Sadržaj podataka koje takve aplikacije šalju su transparentne za SSL, zato što je SSL zadužen za uspostavljanje sigurne veze između klijenta i servera.
SSL Alert protokol Ovaj protokol, u osnovi šalje poruke obavještenja kada se desi greška i prikazuje promjenu stanja, kao što je kraj veze. U osnovi, postoje dvije vrste poruka, u zavisnosti od ozbiljnosti napada. Poruka upozorenja je samo upozorenje i neće tražiti nikakvu akciju. Fatalna greška šalje određenoj strani poruku da odmah 58
zatvori vezu, bez čekanja na potvrdu od prijemne strane. Primalac samo zatvara vezu čim primi ovu poruku. Poruka se sastoji od dva bajta, jedna za nivo (upozorenje ili fatalna), i druga za vrstu poruke. Tabela 2 prikazuje listu poruka u Alert protokolu. Poruka bad_certificate bad_record_mac certificate_expired certificate_revoked certificate_unknow close_notify decompression_failure
handshake_failure illegal_parameter
no_certificate unexpected_message unsupported_certificate
Uzrok Greška u proveri identiteta. Prijem pogrešnog MAC-a Istekla potvrda Ukinuta potvrda Pogrešna potvrda iz razloga koji nije nabrojan iznad Dobrovoljan prekid razgovora Funkcija za dekompresiju je primila pogrešne podatke (prevelike dužine) Nemogućnost razmene osnovnih parametara Parametar u "handshake-u" je izvan opsega ili se ne slaže sa drugim parametrima Negativan odgovor na zahtev za potvrdom Neočekivan prijem poruke Primljena potvrda nije podržana
Tip Fatalan Fatalan Fatalan Fatalan Fatalan Fatalan Fatalan
Fatalan Fatalan
Upozorenje/Fatalan Fatalan Upozorenje/Fatalan
Tabela 2 Poruke Alert protokola
Ovaj protokol može biti pokrenut u zavisnosti od situacije: od strane aplikacijskog sloja, da indicira kraj veze, od strane Handshake protkola ako se desio problem, od strane Record protokola kada integritet poruke nije u redu. Sa druge strane, zato što fatalna poruka izaziva kraj razgovora, SSL je ranjiv na denial-ofservice (otkaz servisa) napade, ako napadač uspije da zamjeni originalne poruke sa novom porukom, koja će učiniti da razgovor bude prekinut.
59
Slabosti i ranjivosti SSL protokola Rast i popularnost SSL aplikacija upu ćuje na opasnost od otkrivanja i iskorištavanja sigurnosnih "rupa" u protokolu, koji bi mogli ugroziti sigurnost podataka koji se štite. Popularnost Interneta, i njegovih korisnika je u rastu svaki dan, i broj korisnika koji koriste elektronske transakcije raste isto tako. SSL je vrlo jeftin za implementaciju, i razvijen je kao brza solucija za potrebe sigurnosti u web aplikacijama, koje rade sa povjerljivim podacima. To objašnjava više implementacija ovog protokola na Internetu. Me đutim, kao i svaki drugim sistem, SSL nije u potpunosti siguran. SSL je dizajniran da osigura slede će: povjerljivost, integritet i provjeru identiteta. Dio koji se odnosi na povjerljivost je takav, da zlonamjerna osoba može presresti osjetljive informacije, u trenutku dok se šalju, ali se ti podaci ne mogu dešifrovati. Dio sa provjerom identiteta je dizajniran da osujeti mogući "čovjek u sredini" napad, gde su povjerljivi podaci preusmjereni od strane zlonamjerne osobe. Servis za provjeru identiteta je dobro implementiran kroz potvrde, mada je moguće da postane žrtva napada.
Korisnička ubjeđenja i pretpostavke Jedan deo problema sigurnosti u vezi SSL-a, je preveliko povjerenje koje korisnici imaju u ovaj protokol. Kako je korištenje Interneta poraslo, i elektronska trgovina postala učestala u svakodnevnom životu ljudi, tako je razvijen i lažni osećaj sigurnosti. U ranoj fazi elektronskog poslovanja, ljudi su bili više skepti čni u vezi sigurnosti na Internetu. Prosječni korisnik Interneta ne bih dao svoj broj kreditne kartice, ili neku drugu osjetljivu informaciju preko Interneta. Ali sa pove ćanjem poslovanja pre Interneta, na kraju devedesetih, ljudi su postali samouvjereni i sigurni, u svoje transakcije, od kupovine do pla ćanja računa. Korisnik samo pogleda sličicu katanca u Internet Exploreru i već se ojseća sigurnim. Ovo znači da je dosta povjerenja razvijeno od strane korisnika: da SSL protokol nema mana; da je protokol ispravno ugrađen u Internet Explorer; i da je identifikacija potvrda u potpunosti provjerena na sajtovima prije primjene istih. • • •
U drugim slučajevima, korisnici možda nemaju dovoljno znanje i osećaj za sigurnost povjerljivih podataka. Na primjer, ako se uzme za primjer da zlonamjerni web sajt koristi samopotpisane potvrde, tj. potvrde koje ovlaštena organizacija za identifikaciju potvrda nije odobrila. Kada browser pokuša da uspostavi SSL vezu, on će provjeriti da li je potvrda koja je prisutna na serveru ispravna. Browser će utvrditi da potvrda nije potvr đena ni od jedne od povjerljivih institucija za provjeru potvrda, pa će postaviti pitanje korisniku da li želi da prihvati potvrdu koja nije potvr đena, i nastaviti proces povezivanja, ako korisnik odgovori potvrdno. Međutim, u Internet Exploreru i Netscape-u, na čin na koji je 60
prikazano obavještenje ne objašnjava da postoji sigurnosni rizik za prihvatanje potvrda. Većina korisnika koja je suočena sa tom porukom, koju ne razumije baš najbolje, će odgovoriti potvrdno sa "OK".
Lista organizacija za izdavanje potvrda Jedna od glavnih mana implementacije SSL protokola je nedostatak adekvatne zaštite liste organizacija za ovejru i izdavanje potvrda, koju web browser smatra povjerljivom i sigurnom. Ova lista može biti izmjenjena od strane nekog opasnog virusa, kao što je crv, trojanac, ili neka druga vrsta napada. Zlonamerni kod može promjeniti listu, i dodati SSL potvrdu u niz provjerenih. Ova mana ugrožava komponentu za identifikaciju SSL-a, i pravi od komunikacije između klijenta i servera, potencijalnu žrtvu napada koja se naziva "čovjek u sredini".
Napad ubacivanjem potvrda Ova vrsta napada je usmjerena na ranjivost liste organizacija za izdavanje potvrda u Windowsu. Zlonamjerna SSL potvrda može biti uba čena u browserovu listu povjerljivih organizacija za provjeru potvrda. Zbog toga je bitno ugraditi (updateovati) sve aplikacije na najnovije verzije koje su mogu će, jer se tako uklanjaju sigurnosne "rupe" u programima. Postoji niz otkrivenih slabosti i propusta u Internet Exploreru i Windows Media Playeru, koje bi se mogle koristiti za ovu vrstu napada. Veličina ove prijetnje je proporcionalna broju nezaštićenih i neobjezbeđenih sistema, koji su još uvjek ranjivi na ovu vrstu napada. U korporacijskim mrežama i serverima gde su sigurnosni sistemi pravilno održavani, opasnost je znatno manja. Međutim, kućni korisnici ne održavaju svoje računare u najsigurnijem stanju, pa su tako mogu će velike izmjene u njihovim sistemima. Drugi faktor koji omogu ćava ovu vrstu napada je operativni sistem. U korporacijskim mrežama mogu će je koristiti datoteku I dozvole i registry bazu kroz listu pristupa za spriječavanje pristupa listi organizacija za provjeru potvrda. Ali manje sigurni sistemi, kao što je Windows 98, nemaju takvu podršku. Kućni sistemi polako prelaze na verzije Windows 2000 i XP, ali i dalje postoji veliki broj korisnika prethodnih verzija ovog operativnog sistema. Ova mana je otkrivena tokom 2000. godine. Ona postoji u osnovnoj instalaciji različitih verzija operativnih sistema, kao što su: Windows 98, Windows NT Workstation, Windows 2000 Professional, i Windows XP Professional. Ovaj napad predstavlja preduslov za napad koji se naziva "čovjek u sredini".
61
Napad "Čovjek u sredini" Ovaj napad se dešava kada korisnik pošalje zahtjev serveru, misleći da je spojen na odgovarajući web sajt, dok se u stvari, ovaj zahtjev šalje zlonamjernom web serveru koji prosleđuje svoj sadržaj na pravi web sajt. Korisnik nepažljivo otvara SSL vezu prema zlonamjernom web serveru, čiju potvrdu prihvata browser. Korisnik vidi sličicu katanca u browseru, i videvši to šalje povjerljive informacije kroz mrežu. Budući da je sa druge strane mreže zlonamjerna strana, ona može odmah dešifrovati informacije, koje će kasnije proslediti na pravi sajt kroz drugu SSL vezu. I korisnik, i pravi web sajt neće primjetiti zlonamjernu stranu, budući da obojica šalju i primaju zahtjeve kroz "ispravnu" SSL vezu.
Slika 20 Napad "čovjek u sredini"
Cipher suite - povratni napad Jedan od glavnih propusta SSL protkola, odnosno njegove verzije 2.0, je cipher suite (niz parametara, kao što je algoritam za šifrovanje, itd.) povratni napad. Ovaj propust je ispravljen u verziji 3.0, ali još uvek postoji izvjestan broj korisnika verzije 2.0. Ovaj napad se sastoji od toga da zlonamjerna osoba neprimjetno primorava korisnika da koristi slab algoritam za šifrovanje, iako postoje mnogo jači algoritmi. Ova vrsta napada se izvodi tako što se mjenja podržana lista cipher - suite parametara, koja se šalje tokom protokola povezivanja, i koja se šalje kao tekst kroz Hello poruku. Verzija 3.0 ovog protokola je rješila ovaj problem tako što obavlja identifikaciju svih poruka Handshake protokola kroz MasterSecret, tako da bi napadač mogao biti otkriven na kraju protokola i veza bi 62
mogla biti prekinuta, ako je potrebno. Sve poruke Handshake protkola se šalju nešifrovane, ali umjesto promjene parametara koji se koriste, protokol razmjene ključeva mjenja trenutno stranje veze. Pošto je povezivanje završeno, obe strane šalju poruku ChangeCipherSpec, koja obavještava drugu stranu da izmjeni svoje trenutno stanje veze na novo. Novo stanje veze se koristi od sljede će poruke. Posle ChangeCipherSpec poruke odmah se šalje Finished poruka, koja se sadrži MAC (kontrolni broj) na svim porukama Handshake protokola zaključanim od strane MasterSecreta. 48-bitni MasterSecret se nikad ne otkriva, umjesto toga se ključevi veze generišu od njega. Finished poruka je zašti ćena sa novo uspostavljenim parametrima veze (cipher suite). Ni jedna od strana u komunikaciji ne bi trebala prihvatiti podatke, sve dok se ne primi poruka Finished. Tok poruka ide na sljede ćim redosledom: 1. K→S: [ChangeCipherSpec] 2. K→S: [Finished:]{a}k 3. S→K: [ChangeCipherSpec] 4. S→K: [Finished:]{a}k 5. K→S: {m}k Gdje {*} k predstavlja zaključanu šifrovanu transformaciju koju koristi Record sloj, m označava tekstualnu poruku koja se šalje pošto je razmjena klju čeva završena, dok a predstavlja identifikacioni kod Finished poruke, koji je dobijen izračunavanjem simetričnog MAC-a na prethodnim "handshake" porukama.
Problem male dužine ključeva Sjedinjene Američke Države imaju dužu istoriju sprječavanja dužine ključeva za šifrovanje koji su namjenjeni izvozu. Pre decembra 1998. godine, proizvodi za šifrovanje koji su izvoženi iz Sjedinjenih država nisu smjeli imati više od 40-bitnog simetričnog ključa za šifrovanje, ili 512-bitnog asimetri čnog. Istraživanjem velikog broja servera, došlo se do zaključka da 27% slabih servera podržava samo 40bitni slabi niz parametara za šifrovanje. Browseri koji mogu da koriste samo 40bitni nivo tih parametara će uspostaviti SSL vezu samo ako su ti parametri mogući i na serveru. Većina servera koji koriste slabe 40-bitne parametre zaštite će, takođe koristiti (512-bitne) RSA ključeve. U istraživanju Erica Murraya (2000) se navodi da 83% SSL servera koristi isti nivo zaštite. Pošto ne treba mnogo da se "razbije" slabi RSA ključ, tada napadač može sav SSL saobraćaj prema serveru preuzeti.
Istraživanje sigurnosti SSL Servera Svrha ovog djela rada je da pruži određene statističke podatke sa različitih SSL servera. Ovo istraživanje je obavljeno na uzorku od 8081 razli čitih web servera koji izvršavaju SSL protkol. Istraživanje je prvo identifikovalo glavne faktore koji mogu oslabiti web server:
63
• • • • •
Korištenje kratkih ključeva; Korištenje SSL verzije 2.0; Korištenje slabog sigurnosnog niza paramatera veze (cipher suite); Potvrde koje serveri samo-potpisuju; Istekle potvrde.
Koristeći ove faktore, definisani su različiti nivoi sigurnosti. Kao "slab" server se definiše onaj koji koristi slab javni ključ (512 bita ili manji), koji podržava samo SSL 2.0 protokol, koristi samo-potpisane klju čeve ili ključeve čija je validnost istekla, ili podržavaju samo slabe parametre veze. "Srednji" nivo sigurnosti servera je onaj gjde server koristi javni klju č duži od 512 bita, i srednji nivo sigurnosnih parametara veze. "Jak" server koristi javni ključ dužine veće ili jedanke 1000 bita, i jak sigurnosni niz parametara veze (sa simetričnim ključem dužim od 64 bita). Slabi serveri koje je ova studija obuhvatila su slabi zbog slede ćih razloga: Koriste samo slabe 40 - bitne parametre veze (27,7% slabih servera); Koriste 512-bitne serverske ključeve (81%); Koriste samo loši SSL 2.0 protokol (1,2%); Imaju potvrde kojima je istekao rok validnosti (9,9%); Koriste samo-potpisane potvrde (2,8%). • • • • •
U cjelini se može zaklju čiti da postoji oko 31,53% "slabih" servera, 9,84% servera sa "srednjim" nivoom sigurnosti, i 58,63% servera koji imaju "jak" nivo sigurnosti.
64
2.4.4
Aplikacije za SSL
SSL bazirane virtuelne privatne mreže (VPM) Virtuelne privatne mreže (VPM) koriste javnu telekomunikacionu infrastrukturu, kao što je Internet, da pruže razne usluge udaljenim kancelarijama i individualnim korisnicima. Kako se veze prenose preko provajdera Internet usluga, one pružaju određenu sigurnost i šifrovanje podataka. Dok je ve ćina udaljenih pristupa danas implementirana koristeći IPSec, baziran na virtuelnim privatnim mrežama, veliki sistemi se sve više okreću SSL baziranim virtuelnim privatnim mrežama. Ovi servisi obično nude ograničen pristup kompanijskim resursima kroz standardne web browsere koristeći SSL. Jedan od glavnih razloga za ovaj trend je to što su SSL bazirane virtuelne privatne mreže lakše za instalaciju i upravljanje, i mogu da pruže pristup sa bilo kog mjesta, zato što ve ćina browsera podržava SSL.
Kako radi SSL - VPM ? SSL virtuelna privatna mreža koristi SSL i "proxije" (posredan pristup) da izvrši identifikaciju i siguran pristup za krajnjeg korisnika, za klijent/server, web i razmjenu datoteka. Kada korisnik koji želi siguran pristup za privatnu mrežu, ukuca željenu adresu, on se automatski povezuje sa "proxy" (posredničkim) serverom koji stoji iza korporacijske mreže. Od te tačke, "proxy" server identifikuje korisnika, i pruža vezu izme đu raznih aplikacijskih servera i udaljenih korisnika. Browser "misli" da komunicira direktno sa aplikacijom, a aplikacija misli da komunicira direktno sa browserom ili klijentskim programom.
Slika 21 SSL - VPM rješenje
65
Korištenje posredničke tehnologije pruža kompaniji dodatnu sigurnost, zato što sprječava korisnika od pristupa sigurnoj mreži direktno, i omogućava korištenje šireg spektra aplikacija koje SSL podržava. Sa SSL-om, svaka aplikacije je sigurna, za razliku od IPSec-a, koji se izvršava nezavisno od aplikacije. Pored toga, SSL se nalazi na višim slojevima protokola, i bliži je aplikacijskom sloju, što znači da pruža bolji kontrolni pristup koji omogu ćava pristup na daljinu i ekstranet, koji VPM zahteva. Kompanije mogu da odluče koji nivo sigurnosti žele, i koji ima najviše odgovara, a taj izbor uključuje: Identifikaciju korisničkog imena i šifre, ili X.509 digitalnu potvrdu; Šifrovanje 40-bitnim ili 128-bitnim RC4 ključem. • •
Prednosti korištenja SSL - baziranih VPM-a • • • •
Lakše konfigurisanje i administriranje; Pruža pristup sa bilo kog mjesta (uključujući javne kioske i PC-je); Niža cjena; Posredni pristup pruža povećanu sigurnost.
Nedostaci SSL - baziranih VPM-a • • •
Pristup je dozvoljen samo web aplikacijama; Osjetljivost na napad "čovjek u sredini"; SSL pruža nedovoljnu provjeru identiteta, u poređenju sa IPSec-om.
SSL - VPM ili IPSec – VPM Uopšteno govoreći, bilo bi bolje koristiti SSL VPM-e u situacijama gdje korisnici zahtjevaju pristup ekstranetu i pristup aplikacijama, kao što je e-mail i djeljenje datoteka sa različitih lokacija. Dok SSL bazirani VPM-i ne zahtjevaju nikakve specijalne aplikacije sa klijentskoj strani i kako su nezavisni od ure đaja, samim tim su i više popularniji kod mobilnih korisnika. Međutim, činjenica da korisnik može dobiti pristup sa bilo koje tačke, to može biti smatrano kao prijetnja sigurnosti.
66
Slika 22 SSL - VPM ili IPSec - VPM ?
IPSec virtuelne privatne mreže su dobre za situacije kada korisnik zahtjeva pristup svim resursima i aplikacijama, kao i stalnu vezu izme đu kancelarija. Mada je IPSec kompleksniji i traži više vremena za instalaciju, on je prilagodljiviji jer je ne zavisi ni od jedne aplikacije. Neki od faktora koje treba razmotriti kada se uspostavlja udaljeni pristup sistemima uključuje: pristupačnost korisniku, cjenovnu efikasnost, vrijeme, resurse i sigurnosne zahteve. Postalo je uobičajeno za velike sisteme, da koriste oba i IPSec i SSL u njihovim virutelnim mrežama da bi maksmizirali koristi od obe tehnologije.
On-line plaćanje kreditnim karticama Rast Interneta i World Wide Web-a je uticao na sve ve ću komercijalizaciju prodaje roba i usluga putem mreže. Danas, kreditne kartice predstavljaju osnovno sredstvo plaćanja za on-line kupovinu. Oko 90% on-line kupovina je učinjeno putem kreditne kartice. Na većini sajtova koji omogućavaju elektronsku trgovinu, za korisnike je najjednostavnije da kupe neki proizvod samo time što će ukucati broj kreditne kartice i dan isteka kartice. Ali postavlja se pitanje koliko je siguran prenos takvih informacija do sajta e-trgovca ? Postoje dva osnovna sigurnosna protokola za zaštitu on-line plaćanja: Secure Sockets Layer (SSL) i Secure Electronics Transaction (SET). SSL šalje šifrovane podatke direktno između korisnika i sajta na kojem se proizvod (usluga) kupuje. Najnovije verzije poznatih web browsera, uključujući Netscape Communicator 7.1, omogućavaju korisnicima šifrovani prenos podataka u 128-bitnom SSL razgovoru. Kada kupac poželi da kupi nešto na Internetu od prodavca koristeći SSL vezu, takav proces se može podijeliti u dva koraka. U prvom koraku, dvije strane uspostavljaju razgovor, a u drugom koraku se razmjenjuju informacije između klijenta i servera kroz SSL vezu. Tada klijent popunjava karticu za kupovinu i bira opciju za pla ćanje. Uopšte, ovaj klijent mora unijeti neke bitne lične informacije, kao što su broj kreditne kartice, dan isteka kartice, ime, i adresu. Sve te informacije na serveru se šifruju ponovo u SSL serveru, pa se 67
onda šalje zahtijev za naplatu kroz Internet. Na kraju se od banke traži provjera identiteta. SSL server dobija ili dozvolu ili odbijanje za transakciju kroz server za plaćanje, i šalje rezultate kupcu i prodavcu. Sigurnost ovakvog načina plaćanja se može vidjeti na slici 17.
Slika 23 Sigurnost plaćanja kreditnom karticom preko Interneta
1. Kupac; 2. Server za e-poslovanje; 3. SSL server koji sadrži stranicu sa uplatom; 4. Administrativni alati koje koristi prodavac; 5. Server za naplatu (plaćanja); 6. Podsistem za prevare; 7. Bančin server. Ovakve transakcije moraju da se procesiraju na siguran način, tako da informacije o plaćanje ne mogu biti izmjenjene tokom prenosa. Me đutim, korisnik želi da bude siguran da su informacije o njegovoj kreditnoj kartici sigurne. Prodavac želi da bude siguran da će plaćanje biti obavljeno bez ometanja. Koristeći SSL vezu, pružena je odgovarajuća sigurnost za zaštitu od ovakvih rizika, pre svega što SSL pruža šifrovanje podataka, identifikaciju servera, integritet poruke, i opcionalnu identifikaciju klijenta preko TCP/IP protokola.
68
S-HTTP i SSL Sigurni hiper - tekst transfer protokol (S-HTTP) je sigurnosni podsistem HTTP-a, I razvijen je od Enterprise Integration Technologies kompanije. Oba, S-HTTP i SSL pružaju mogućnost sigurne komunikacije sa web serverima, i oba se mogu koristiti da bi se obezbedila povjerljivost, identifikacija, i integritet (nepromjenljivost) podataka. Međutim, ovi pristupi se razlikuju u sljede ćim elementima: SSL šifruje cijelu Internet vezu na nižem sloju, između aplikacijskih protokola, kao što su HTTP i TCP/IP slojevi. Ali S-HTTP radi na istom sloju kao HTTP. On osigurava razgovor obuhvatajući podatke unutar sigurnosnog paketa. SSL koristi specijalni "handshake" da bi uspostavio parametre za sigurnu vezu. S-HTTP definiše sigurnost razmjenom zaglavlja za pakete poslate tokom web razgovora. Ova razmjena zaglavlja paketa se može definisati kao vrsta sigurnih tehnologija koje se koriste u vezi. S-HTTP podržava širok spektar opcija za obezbjeđivanje sigurnih parametara. Opcije koje podržava prave od S-HTTP-a fleksibilan sistem, ali i sistem koji je vrlo težak za konfigurisanje na web sajtu. SSL tako đe pruža veliki broj opcija koji garantuju sigurnosne parametre, i ove opcije su pre - konfigurisane u browseru i serverima, što čini da SSL bude lakši za korištenje. •
•
•
Ove mogućnosti današnjih web browsera pružaju mogućnost SSL-u da bude dominantna tehnologija za sigurne web veze. Kao rezultat toga, on-line pla ćanja kreditnim karticama se većinom izvode uz pomoć SSL veza.
69
2.4.5
SSL protokoli u primjeni
SSL protokol je stvoren kao odgovor rastućim zahtjevima za zaštićeni prenos podataka na Internetu. Zbog pravovremenog nastanka, te zbog tržišne uloge preduzeća Netscape Communications, stvaraoca ovog protokola, SSL je postao vrlo rasprostranjen. SSL osim što je odobren kao standard od strane www consortiuma (www.w3.org) postao je de facto standardom. 14 Uz SSL razvijala su se i druga rješenja koja ostvaruju zašti ćeni prenos podataka kroz mrežu. Uspješnost SSL-a dodatno je naglašena nedostatkom drugih dovoljno dobrih rešenja koji bi ga zamjenili. Ovde su dati kra ći pregledi nekih od rješenja.
S-MIME Secure-MIME protokol je razvila RSA i dodatak je ve ć postojećem MIME protokolu. Koristi sistem javnih klju čeva kao osnovu za provjeru ispravnosti i šifrovanje. Algoritmi za šifrovanje i rad sa potvrdama identi čni su onima
korištenim u SSL-u, tako da se iste potvrde mogu koristi i u ovom protokolu. Korisnicima MIME-a, SMIME omogu ćava zaštitu identičnu u ovom radu opisanoj zaštiti koju pruža SSL.
S-HTTP Secure HTTP je dodatak HTTP-u, on djeluje u aplikacijskom sloju ISO/OSI modela. Za razliku od SSL-a koji ima zadatak da ostvari zaštićeni kanal između klijenta i servera, S-HTTP ima za cilj zašti ćeno prenijeti pojedinačnu poruku. Takođe, omogućava provjeru ispravnosti pošiljaoca poruke, te šifrovanje poruke
kao i SSL. Razlog nerasprostranjenosti ovog protokola je neuspješan marketing koji ga je pratio, iako zadovoljava ve ćinu zahtjeva traženih na tržištu.
SSH Secure Shell se koristi za spajanje na udaljeni ra čunar. Stvara zaštićeni kanal između dva računara, a identifikacija se vrši pomoću lozinke, koju prje slanja kroz mrežu šifruje. Ne omogućava identifikaciju pomoću potvrda.
PEM Private Enhanced Mail omogućava zaštićeni prenos e-mail poruka koristeći provjeru ispravnosti potvrdama, zaštitu sistemom javnih klju čeva i provjeru integriteta pomoću kontrolnog broja. PEM nije vezan za neki određeni operativni
sistem ili vrstu korisnika, pa ga podržava veliki broj softverskih proizvoda. Ograničenje koje postavlja PEM je mogu ćnost slanja samo tekstualnih poruka.
PCT Private Communication Technology je proizvod Microsofta koji je nastao kao
reakcija na SSL verziju 2. Ta verzija SSL-a je imala probleme u situacijama kada 14
Husak D., SSL protokol, Fakultet organizacije i informatike, Varaždin, 1999. 70
je došlo do nasilnog prekida veze, čime je napadač dobio priliku da se uključi u razgovor bez identifikacije. PCT je obuhvatio sve prednosti SSL-a, i rješio uočene probleme. Čim se pojavila SSL verzija 3, gde su rješeni postoje ći problemi i dodate druge mogu ćnosti, PCT je prevaziđen i rjetko se koristi.
SHEN SHEN je zamjena za postojeći HTTP. Razvijen je u CERN-u, gdje i sam HTTP, zbog čega je zapažen, ali nije zaživio pa je danas teško pronaći informacije o njemu. PGP Pretty Good Privacy je proizvod koji pruža mogućnost identifikovanja privatnim ključem, provjeru integriteta i šifrovanje. Ne podržava provjeru ispravnosti pomoću potvrda. Za njegovu upotrebu korisnik je primoran da dosta toga
samostalno napravi, pa zna biti nespretan.
71
3 ELEKTRONSKO BANKARSTVO 3.1 POJAM I RAZVOJ ELEKTRONSKOG BANKARSTVA Nasuprot opštem uvjerenju, elektronske transakcije nisu nikakva novost. Prvi elektronski transfer novca izvršen je još davne 1860. godine. Transfer je izvršila firma Western Union iz SAD-a, uz pomoć telegrafa. Kasnije je telegrafski transfer novca postao uobičajen. Jedan od najvećih platnih i obračunskih sistema današnjice, američki Fedvajer (Fedwire), započeo je sa radom 1918. godine, kao servis za telegrafski transfer novca pri Sistemu federalnih rezervi SAD-a. Elektronske transakcije mogu se podijeliti na analogne i digitalne. Transfer novca putem telegrafa je elektronska transakcija, ali elektronska transakcija analognog tipa. Digitalne elektronske transakcije vezane su, me đutim, za pojavu elektronskih digitalnih računara. Primjena savremenih elektronskih digitalnih računara u oblasti bankarstva omogućila je pojavu elektronskih transakcija digitalnog tipa. Razvoj elektronskog bankarstva u današnjem smislu riječi započeo je krajem šezdesetih i početkom sedamdesetih godina dvadesetog vijeka. Sredinom šezdesetih godina dvadesetog vijeka u Velikoj Britaniji i Sjedinjenim Državama broj transakcija u bankarstvu narastao je do neslu ćenih razmjera. Primjena tradicionalnih metoda obrade transakcija, jednostavno, više nije bila moguća, a problem je narastao do te mjere da je prijetio ugrožavanjem stabilnosti čitavog finansijskog sistema. Vlade Velike Britanije i Sjedinjenih Država su, krajem šezdesetih godina, preduzele mjere za automatizaciju sitnijih transakcija u bankarstvu, pogotovo onih koje su repetitivnog karaktera. Na bazi ideje, do koje su vodeće britanske banke došle nekoliko godina ranije, u Sjedinjenim Državama je 1968. godine formirana radna grupa za unapređenje razmjene „bez papira“ (SCOPE — Special Committee on Paperless Entries), koja je funkcionisala pri Banci federalnih rezervi u San Francisku. Želja je bila da se stvori jeftin, pouzdan elektronski platni sistem, kao alternativa čekovima. Plan je bio jednostavan: pretvaranje periodičnih sitnih plaćanja čekovima (kao što su zarade i premije osiguranja) u posebno oblikovanu platnu evidenciju koja će moći da se „čita“ uz pomoć računara. Rezultat ovih napora bila je prva automatska klirinška banka (ACH — Automated Clearing House), koja je po čela sa radom 1972. godine. Automatizacija transakcija u bankarstvu na malo dugo je odlagana zbog toga što je vrijednost prosječne transakcije relativno mala. Prije samo desetak godina cijene neophodne opreme i infrastrukture za formiranje platnih sistema na malo bile su toliko visoke da bi troškovi za obradu jedne transakcije u novoformiranim sistemima bili veći od vrijednosti same transakcije. Razvoj informacione i 72
komunikacione tehnike i tehnologije, me đutim, već danas omogućava automatizaciju transakcija u bankarstvu na malo uz prihvatljive troškove po jednoj transakciji. Za tehnologizaciju bankarstva na malo, dakle, od ključnog su značaja trendovi u informacionoj i komunikacionoj tehnologiji; upotreba javnih računarskih mreža (prije svega Interneta); kao i razvoj i primjena metoda kriptografije. Elektronsko bankarstvo (e-banking) je vid bankarskog poslovanja korištenjem računarskih mreža i telekomunikacionih medija. Sve rasprostranjenija implementacija e-bankarstva podrazumeva rad preko Interneta uz intezivno korištenje Web tehnologije. Krajnjem korisniku bankarskih usluga omogućava da sve transakcije obavlja preko svog ličnog računara ili mobilnog telefona, standardnim Internet čitačem (Web browser). Nova revolucija u oblasti tehnologizacije bankarstva na malo, međutim,
bazirana je na ideji da se za automatizaciju transakcija u bankarstvu na malo ne formira nova infrastruktura, već da se iskoristi postojeća infrastruktura javnih računarskih mreža, prije svega Interneta. Internet spada u javne, tj. otvorene mreže, kojima svako ima neograničen pristup. Upotreba Interneta za automatizaciju transakcija plaćanja na malo povoljna je zbog niskih troškova po jednoj transakciji. Veliki problem, međutim, predstavlja nedovoljna bezbjednost transakcija koje se obavljaju preko Interneta. Zbog toga korištenje kriptografije predstavlja veoma važnu sigurnosnu mjeru prilikom dizajniranja platnih sistema i protokola. Kriptografiju možemo posmatrati kao primjenu matemati čke teorije da bi se postigao izvjestan stepen sigurnosti ili tajnosti. Primjena kriptografskih teorija i funkcija pomaže nam da postignemo ciljeve kao što su povjerljivost, autentičnost i integritet podataka. Ideje o novcu evoluirale su sve do kona čnog shvatanja da je novac samo informacija. Pošto globalna informaciona infrastruktura sve brže raste, neminovno je da će se novac, u obliku informacije, njome kretati i razmjenjivati za robu i usluge. Do ovoga je već došlo, u ograničenom obimu, na privatnim mrežama, ali Internet ve ć ubrzava ova kretanja na novi i bezbjedan način. U centru ovog novog svijeta je konflikt izme đu konsolidacije i dezintermedijacije (tj. uklanjanja posrednika, kao što su banke, iz finansijskih transakcija). U taboru konsolidacije — koji predvode velike banke (Banc America, Citigroup) — tvrdi se da budućnost pripada ogromnim finansijskim institucijama koje će „pakovati“ investicije i pružati investitorima usluge: od osiguranja, preko kredita za kupovinu automobila, do avio–karata. U suprotnom taboru — taboru dezintermedijacije — koga predvode sovtferske firme poput Majkrosofta (Microsoft ) i Intjuita (Intuit ), vjeruju da će budućnost pripasti kompanijama koje ovladaju tehnologijom nove ere, firmama koje pružaju investitorima maksimalnu kontrolu nad njihovim finansijama putem sofisticiranih proizvoda koji balansiraju rizik i prinos. Ideja koja je u osnovi revolucije u tehnologizaciji bankarstva jeste da su tehnologija i finansije postali jedno te isto. Razlika izme đu softvera i novca nestaje.
73
Razmotrimo elektronski novac. Ideja je sasvim jednostavna: ujmesto da smiještamo vrijednost na papir, možemo da je „upakujemo“ u jedan niz cifara koji je mnogo prenosiviji i (što je još značajnije) mnogo „inteligentniji“ od papirnog novca. Šta podrazumevamo pod pojmom „inteligentni novac“? S obzirom na karakteristike elektronskog novca, on se može kontrolisati mnogo preciznije od papirnog novca. Kod elektronskog novca postoji mogućnost autorizacije i praćenja transakcija, tako da „tradicionalne“ banke mogu da postanu suvišne. Elektronski novac ne poznaje granice. Revolucija u oblasti elektronskog novca prilično olakšava izvjesne oblike evazije poreza. Ove inovacije čak dovode u pitanje i ulogu centralnih banaka kao arbitara nacionalne nov čane mase. Ako ovakve inovacije postanu opšteprihvaćene, javnost neće više morati da se oslanja na centralne banke kao isključive i direktne izvore medijuma razmjene. Ovo je pogotovo uočljivo u slučaju elektronskog novca. Pored toga, za razliku od papirnog novca koji prestaje da donosi kamatu u momentu kada ga podignete sa računa, elektronski novac može da donosi kamatu sve do trenutka kada ga potrošite. Ovaj fenomen u vezi s kamatom možda zvu či jednostavno, ali on predstavlja vezu sa jednom dubljom revolucijom u finansijama — ukidanjem državnog monopola nad novcem. Na primjer, ako je neka banka u Luksemburgu, spremna da plati veću kamatu na vaš elektronski novac, vi svakako nećete imati ništa protiv. Sve dok su „elektronske novčanice“ ove banke opšteprihvaćene ne postoji razlog da se držite državno–emitovanih novčanica. Elektronsko bankarstvo predstavlja pokušaj spajanja više različitih tehnologija, od kojih se svaka razvija u drugom smijeru i na druga čiji način. Prvi korak ka elektronskom bankarstvu bili su bankomati (Automated Teller Machines — ATMs). Mada gotovinska plaćanja predstavljaju direktnu suprotnost elektronskom načinu plaćanja, automatizacija isporuke gotovine izvršena je uvođenjem velikog broja bankomata. Pored podizanja gotovine, bankomati omogućavaju i polaganje depozita, transfer sredstava na druge račune, plaćanje sa drugih računa i sl. 15 U nizu novina koje su uslovile razvoj elektronskog bankarstva posebno mjesto zauzima softver za li čn e finansije. To je softver koji omogu ćava ljudima da, uz pomoć personalnog računara, vode brigu o svom novcu. Softver ove vrste nije nov — prve verzije programa za li čne finansije pojavile su se još 1983. Te godine je Skot Kuk , sada direktor kompanije Intuit, napisao program pod nazivom Quicken. Program je doživio veliki uspjeh, pa je brzo dobio konkurenciju u vidu drugih programa, od kojih se u zadnje vrijeme isti če program Money kompanije Microsoft. Performanse ovih proizvoda su danas prilično ujednačene. Kreditne kartice mogu se koristiti i za on-lajn transakcije. Me đutim, zbog činjenice da je Internet otvorena mreža i da neka treća strana može da otkrije i zloupotrijebi broj kreditne kartice, razvija se čitav niz konkurentskih protokola i metoda koje garantuju bezbjednost transakcija. U tu svrhu razvijeni su sistemi za bezbjedne on–lajn transakcije putem kreditnih kartica. Trenutno su dva sistema 15
Rod Ghani,The Future of WirelessBanking, IBM Global Servises 2001 74
za plaćanje potpuno funkcionalna (First Virtual i CyberCash), a u razvoju je SET protokol, zajednički poduhvat firmi MasterCard i Visa. Sljedeći značajan korak u razvoju elektronskog bankarstva načinjen je promocijom on–lajn bankarstva. On–lajn (kućno, PC) bankarstvo predstavlja kombinaciju karakteristika programa za lične finansije i elektronskog pla ćanja računa. Uprkos velikoj promociji on–lajn bankarstva od strane vodećih imena u bankarstvu (npr. Wells Fargo), koja traje već čitavu dekadu, potrošači su pokazivali malu zainteresovanost za stvarno korištenje svojih personalnih računara u bankarstvu. Danas se stvari, napokon, mijenjaju. Sve brži razvoj on– lajn bankarstva rezultat je rušenja barijera (bezbjednost, jednostavnost upotrebe, korisnost i cijena) koje su ometale njegovo šire prihvatanje. Nasljednik on–lajn bankarstva je Internet bankarstvo. Platni sistemi i transakcioni mehanizmi danas ne mogu da zaobiđu Internet, koji se polako prožima kroz sve ljudske aktivnosti. Većina banaka u SAD smatra Internet glavnim trendom, koji zahtijeva strategijski odgovor. Procjenjuje se da banke koje nude Internet bankarstvo već danas poseduju 40% depozitne baze u SAD. Postoje dva ključna razloga zbog kojih su banke zainteresovane za Internet bankarstvo: 1. Korisnici Interneta su uglavnom mla đi ljudi sa ve ćim stepenom obrazovanja i većim prihodima od prosječnog klijenta; 2. Internet je veoma efikasan i jeftin distribucioni kanal. Među novim instrumentima i transakcionim mehanizmima na Internetu tri su posebno interesantna: inteligentne kartice, digitalni novac i mikro-transakcije. Inteligentne (smart) kartice imaju veliki potencijal kao prenosni ure đaji, kao
nosioci tzv. „AA“ (Anytime Anywhere) elektronskog bankarstva (nova, šira koncepcija elektronskog bankarstva). Najveća prednost inteligentne kartice jeste njena multifunkcionalnost, a njena prava vrijednost je u kombinaciji njenih funkcija. Inteligentna kartica ima ugra đen mikročip koji joj omogućava obavljanje niza različitih funkcija. Ove kartice omogućavaju potrošačima da potpuno odvojeno i bezbjedno drže veći broj aplikacija na jedinoj kartici. Danas su na raspolaganju brojne aplikacije za inteligentne kartice, pa tako jedna inteligentna kartica može da služi kao kreditna kartica, debitna kartica, nov čanik za uskladištenje elektronskog novca, lična karta, vozačka dozvola, zdravstvena knjižica ...
75
Sistemi digitalnog novca bazirani su na digitalnim nov čanicama koje su, u vidu digitalnih signala, smještene na fiksni disk u ra čunaru ili na mikročip implementiran u plastičnu karticu. Proces plaćanja odvija se preko Interneta, a
može biti on–lajn (on–line) i of–lajn (off–line). Trenutno na Internetu postoji nekoliko sistema zasnovanih na digitalnom novcu. Najpoznatiji on–lajn sistemi su E–Cash firme DigiCash; i NetCash, sistem koji je razvijen na Univerzitetu južne Kalifornije. Najpoznatiji of–lajn sistemi su Mondex i VisaCash. Od svih sistema digitalnog novca Mondex je, po svojim karakterisikama, najpribližniji realnom novcu. Razlozi zbog kojih se banke pojavljuju odnosno rade na Internetu su sljedeći: Stvaranje imidža inovativne firme, koja je u stanju da svojim korisnicima ponudi najsavremenija tehnološka rešenja. Bolje i veće interaktivne mogućnosti. Za banku koja se u tržišnim uslovima bori za svakog svog komitenta, najvažnija je komunikacija sa njim. U klasi čnim uslovima banka je mogla da komunicira samo dok je trajalo radno vreme, ili preko nekog informativnog šaltera koji bi radio neprekidno. Ovakav način poslovanja stvarao je ograničenja u komunikaciji. Interaktivne mogućnosti komuniciranja preko Interneta su praktično neograničene i samo je pitanje do kog nivoa banka ima interesa da se angažuje. Mogućnost racionalizacije potencijala banke. Banka prenošenjem određenih servisa na Internet redukuje troškove poslovanja, jer ne mora – za povećanje broja komitenata, da otvara novi poslovni prostor, da ga oprema i zapošljava nove službenike. Ovo je posebno interesantno za one geografske regione gdje banka nema mrežu ekspozitura ili ima mali broj komitenata. Sa Internetom banka može da pokrije znatno veći geografski prostor ne otvarajući nove ekspoziture. Samouslužno bankarstvo je korisno, podjednako i za banku i za korisnika, jer korisnik ima servise 24 časa dnevno, 7 dana u nedjelji, a banka bez povećanja broja zaposlenih radi 24 časa dnevno. Banka, svojom pojavom na Internetu dokazuje svoje konkurentne mogućnosti i svoj razvoj, kao solidna, stabilna i tehnološki napredna firma. Iskustva naprednijih zemalja pokazuju da banka bez razvijenog sistema elektronskog bankarstva više neće biti u stanju da preživi. Razlog za to jeste konkurentna ponuda, odnosno potreba za kvalitetnijim finansijskim servisom. Sa stanovišta konzumenata bankarskih usluga, za očekivati je da niži troškovi banke rezultuju višim kamatama na depozite, nižim provizijama na usluge i 76
posebno mogućnost plaćanja on-line /besplatno!?/. Nimalo nije bezna čajno da ne moraju čekati u redovima, trošiti vrijeme i sve to samo u radno vreme bankarskih šaltera. Elektronsko bankarstvo je postalo nužno u ponudi svake moderne banke, a prilagođavanje potrebama korisnika osnovni vodič, koji danas može donositi konkurentne prednosti. Korisnika koji obavljaju bankovne usluge elektronskim putem je iz dana u dan više, a potreba za modernim komuniciranjem s korisnicima sve veća. Elektronsko bankarstvo namijenjeno je pravnim i fizičkim osobama, vlasnicima tekućeg ili poslovnog računa odnosno ovlaštenim osobama na tim računima, te vlasnicima deviznih računa. Jednostavnim klikom miša korisnici mogu pregledati stanje i promet na ra čunima, plaćati svoje obaveze preko uplatnica i virmana, prenositi sredstva medu računima, rezervirati gotovinu, plaćati u inostranstvu, pregledavati kursne liste i sli čno, bez napuštanja svog radnog mjesta ili ku će. Elektronsko bankarstvo odlikuje se svojom brzinom, jednostavnošću i pouzdanošću, čime se postiže maksimalna udobnost kod rada, ponekad toliko bitna za korisnika. Klasično bankarsko poslovanje i lični susreti sa komitentima sve se više zamjenjuju automatizovanom proizvodnjom i isporukom usluga. Troškovi velikih transakcija se smanjuju, a bankarske i finansijske usluge depersonalizuju. Usljed ubrzanog širenja elektronskih bankarskih sistema dolazi do velikih preokreta u suštini samog e-bankarstva, koje sve više postaje sinonim modernog bankarstva. Danas bankarsko poslovanje u potpunosti počiva na tehničkotehnološkim resursima, a ITC postaje vodi č za strategiju i reinženjering. Pod uticajem tehnološke revolucije dolazi do grubog razdvajanja elektronskog poslovanja banaka na: 1. elektronski vođene međubankarske poslove i 2. elektronski vođeno poslovanje sa komitentima i za njihov ra čun.
Zbog specifičnosti zahtjeva različitih kategorija korisnika dolazi do daljeg diferenciranja proizvoda druge pomenute kategorije e-bankarstva na sljedeća dva segmenta: 1. e-bankarstvo na malo (retail banking) i 2. korporativno e-bankarstvo (corporate banking).
Automatizacija transakcija u bankarstvu na malo (retail) dugo je odlagana zbog toga što je vrijednost prosje čne transakcije relativno mala. Prije samo desetak godina cijene neophodne opreme i infrastrukture za formiranje platnih sistema na 77
malo bile su toliko visoke da bi troškovi za obradu jedne transakcije u novoformiranim sistemima bili ve ći od vrijednosti same transakcije. Razvoj informacione i komunikacione tehnike i tehnologije, međutim, već danas omogućava automatizaciju transakcija u bankarstvu na malo uz prihvatljive troškove po jednoj transakciji. Za tehnologizaciju bankarstva na malo, dakle, od ključnog su značaja trendovi u informacionoj i komunikacionoj tehnologiji; upotreba javnih računarskih mreža (prije svega Interneta); kao i razvoj i primjena metoda kriptografije. Trendovi u informacionoj i komunikacionoj tehnologiji, kao što je smanjenje troškova računarske obrade podataka, razvoj digitalne bežične komunikacije, standardizacija i sl., utiču na smanjenje cena računarske i komunikacione opreme, čime se smanjuju troškovi po jednoj transakciji u bankarstvu na malo. Najviši nivo organizacije e-bankarskih usluga možemo posmatrati prema komunikacionom medijumu potrebnom za izvršavanje određene transakcije, čime obuhvatamo sljedeće usluge (Slika 24): • •
Internet bankarstvo (Internet, mobilni telefon), Elektronsko bankarstvo (telefon, ATM, Alert!).
Slika 24 Prvi nivo u modelovanju e-bankarskih transakcija 78
3.2 INTERNET BANKARSTVO Nova revolucija u oblasti tehnologizacije bankarstva na malo bazirana je na ideji da se za automatizaciju transakcija u bankarstvu na malo ne formira nova infrastruktura, već da se iskoristi postoje ća infrastruktura javnih računarskih mreža, prije svega Interneta. Internet spada u javne, tj. otvorene mreže, kojima svako ima neograničen pristup. Upotreba Interneta za automatizaciju transakcija plaćanja na malo povoljna je zbog niskih troškova po jednoj transakciji. Veliki problem, međutim, predstavlja nedovoljna bezbjednost transakcija koje se obavljaju preko Interneta. Zbog toga korištenje kriptografije predstavlja veoma važnu sigurnosnu mjeru prilikom dizajniranja platnih sistema i protokola. Internet bazirano bankarstvo – podrazumjeva pristup bankarskom servisu sa bilo kog kompjutera koji se konektuje na Internet, od ku će, sa posla ili sa putovanja. Posebno se razmatraju banke koje su 100% na Inernetu, odnosno koje nemaju »fizičku prezentaciju«, kancelarije, šaltere. Bankarstvo koje one nude je internet bazirano, odnosno pristupa im se sa bilo kog komjutera na Internetu, bez posebnog softvera. Izborom Interneta kao komunikacionog medijuma za sprovo đenje transakcija elektronskog bankarstva, klijent dobija ponudu vrste transakcije koju želi da izvrši. Neposredno prije toga, izvršena je identifikacija klijenta koji pristupa u ulozi korisnika (Internet Banking Personal), ili preduzeća-korisnika usluga ebankarstva (Internet Banking Business). Bankarske transakcije koje su dostupne korisniku Internet Banking Personal usluga (prikazane na Slici 25) mogu biti sljedeće: 16 Portfolio management – prikaz detalja i upravljanje portfolijom klijenta; Payment/transfers – različita plaćanja i transfer novca; Stock market – prikaz berzanskih poslova; Customer services – različiti korisnički servisi; Applications forms – prikaz različitih aplikacionih formi; Alerts! – slanje upozoravajućih poruka klijentima.
• • • • • •
16
Kalakota, R., Robinson, M., E-poslovanje 2.0-put ka uspjehu, Zagreb, Mate, 2002. 79
Slika 25 e-Banking servisi: Internet
Većina banaka u SAD smatra Internet glavnim trendom, koji zahtjeva strategijski odgovor. Postoje dva ključna razloga zbog kojih su banke zainteresovane za Internet bankarstvo: 1) korisnici Interneta su uglavnom mlađi ljudi sa ve ćim stepenom obrazovanja i većim prihodima od prosječnog klijenta; 2) Internet je veoma efikasan i jeftin distribucioni kanal. Što se tiče elektronskog bankarstva kod nas skoro sve banke svojim klijentima pravnim i fizičkim licima, pored kartica (debitnih i kreditnih), podizanja gotovine na bankomatima, POS uređ aja za prihvat kartica u svrhu kupovine različite potrošačke robe ili za podizanje gotovine na blagajni Banke, mogu ponuditi i internet i SMS bakarstvo . Da bi postali korisnici internet bankarstva, klijenti treba da posjeduju ra čunar sa odgovarajućom konfiguracijom (procesor minimalno PIII, PIV ili AMD; min. 600 Mhz), odgovarajućim sistemskim softwerom(operativni sistem Windows98, Windows 2000 ili WinXP) i aplikativnim sofware-om(Internet Explorer 6.0 sa podrškom za 128-bitno šifriranje, Macromedia flash player min.verzija 7, Netscape 6.1 sa podrškom za 128-bitno šifriranje, Adobe Acrobat Reader 5.0 ili noviji), odgovarajućom radnom memorijom(RAM-za operat.sistem WinXP minimalno 128 MB RAM-a) i naravno pristup internetu te da banci podnesu zahtjev-pristupnicu za korištenje elektronskog/internet bankarstva. Korisnici Internet bankarstva mogu vršiti : obradu platnih transakcija (u zemlji i prema inostranstvu), provjeru raspoloživog salda i detaljnog prometa po svim ra čunima 80
koje klijent ima u banci, konverziju valuta, štampanje izvoda po ra čunu, štampanje potvrda o izvršenom nalogu za pla ćanje itd. Broj korisnika internet bankarstva, i pravnih i fizičkih lica, se iz dana u dan povećava. Najčešći poslovi banaka na Internetu su: pristup i pregled stanja na računima korisnika, evidencija svih transakcija, plaćanja, transfer novca sa računa na račun, izmjena informacija, naručivanje čekova, kontakti...
• • • • • • •
Prednosti internet bankarstva Internet bankarstvo ima niz prednosti u odnosu na tzv. tradicionalno (filijalno) bankarstvo. Prednosti se uglavnom ogledaju u vremenskoj i prostornoj neograničenosti, brzini obavljanja transakcija, niskoj cijeni i širokom asortimanu bankarskih proizvoda i usluga. Osnovna prednost Internet banaka je njihovo neograničeno radno vrijeme (24 sata dnevno, 7 dana u nedelji, 365 dana godišnje). Većina ljudi bira banku zbog blizine. Zahvaljujući Internetu, danas ljudi mogu imati banku unutar svog doma, bez obzira gdje žive. Internet bankarstvo je moguće obavljati sa bilo kog mjesta na svijetu. Potrebno je da korisnik ima otvoren račun u nekoj banci koja pruža usluge Internet bankarstva, da na mjestu iz kog obavlja poslovanje postoji računar sa pristupom Internetu i da korisnik zna sve šifre koje su mu potrebne za ulazak u Internet banku i njegov ra čun. U klasičnom bankarstvu korisnik je vezan za mjesto i zemlju gdje postoji filijala banke u kojima ima otvorene račune. Za obavljanje kvalitetnog bankarskog poslovanja u tradicionalnom bankarstvu je potrebno daleko više ljudi, poslovnog prostora i opreme nego u Internet bankarstvu. Samim tim i troškovi obavljanja bankarskog poslovan ja u tradicionalnom bankarstvu su daleko veći od onih u Internet bankarstvu.17 Internet bankarstvo zahvaljujući Internetu i savremenoj tehnologiji, ima niz prednosti i mogućnosti, od kojih su najznačajnije: mogućnost vođenja računa i obavljanje bezgotovinskog platnog prometa putem Interneta, u realnom vremenu, brzo i kvalitetno provođenje platnog prometa, racionalno korištenje vremena i ubrzavanje dostave naloga za plaćanje, brzo izvještavanje o obavljenim transakcijama, •
•
•
•
17
Mobilo Financilal Servises, Mobilo City. net 2000 81
mogućnost on-line upita o stanju i prometima po ra čunu, potpuna kontrola nad finansijskim poslovanjem, kroz sistem dodjeljivanja različitih nivoa ovlaštenja i primjenu najsavremenijih tehnologija zaštite, mogućnost ispostavljanja naloga unaprijed ili na datum izvršenja i dnevni izvod i izvod na zahtjev itd.
•
•
•
•
Klijenti, koji će najvjerovatnije koristiti Internet bankarstvo, predstavljaju veoma zanimljiv segment tržišta, kako sa demografskog tako i s ekonomskog stanovišta. Korisnici Interneta su uglavnom mlađi ljudi sa većim stepenom obrazovanja i većim prihodima od prosječnog klijenta. Internet predstavlja vrlo efikasan i jeftin distribucioni kanal. Pored navedenih, ima još mnoštvo razloga zbog kojih se banke pojavljuju na Internetu, a najznačajniji su: stvaranje imidža banke - mogućnost ponude najsavremenijih tehnoloških rješenja svojim korisnicima, bolja komunikacija sa klijentima (nekada je klijent mogao da dobije informacije samo dok je trajalo radno vrijeme ili preko nekog informativnog šaltera koji bi radio neprekidno, što je stvaralo ograničenja u komunikaciji), prenošenjem određenih servisa na Internet, banka redukuje neke troškove poslovanja, pokrivanje znatno većeg geografskog prostora bez otvaranja novih filijala, korisnik ima servise 7 dana sedmično i 24 sata dnevno, a banka bez povećanja broja zaposlenih radi 24 časa dnevno, pojavom na Internetu banka dokazuje svoje konkurentne mogućnosti i svoj razvoj i iskustva razvijenih zemalja pokazuju da banke bez razvijenog sistema elektronskog bankarstva neće biti u stanju da prežive, a razlog za to je konkurentna ponuda i brza usluga. •
•
•
•
•
•
•
Stvaranje imidža inovativne banke, koja je u stanju da svojim korisnicima ponudi najsavremenija tehnološka rješenja. Bolje i veće interaktivne mogućnosti. Za banku koja se u tržišnim uslovima bori za svakog svog komitenta, najvažnija je komunikacija sa njim. U klasičnim uslovima banka je mogla da komunicira samo dok je trajalo radno vrijeme, ili preko nekog informativnog šaltera koji je radio neprekidno. Ovakav način poslovanja stvarao je ograničenja u komunikaciji. Interaktivne mogućnosti komuniciranja preko Interneta su prakt čno neograničene i samo je pitanje do kojeg nivoa banka ima interesa da se angažuje. Banka prenošenjem određenih servisa na Internet redukuje troškove poslovanja. Za povećnje broja komitenata banka mora da otvara novi poslovni prostor, da ga opremi i zaposli nove službenike. Stavljanje servisa na Internet ne zahtijeva 82
dodatni poslovni prostor ni nove zaposlene. Ovo je posebno interesantno za one geografske regione gdje banka nema mrežu ekspozitura ili ima mali broj komitenata. Sa Internetom banka može da pokrije znatno ve ći geografski prostor ne otvarajući nove ekspoziture. Veliki broj informacija koje banka može da stavi svojim korisnicima na raspolaganje u principu nisu dostupni širem krugu njenih korisnika. Za privilegovane korisnike može se staviti na raspolaganje povjerljiva baza podataka sa specifičnim podacima, a sve u zavisnosti šta komitent želi da mu bude dostupno. Osnovni zadatak banke kao institucije je da prikuplja slobodna finansijska sredstva od građana i da ih dalje plasira. Da bi to postigla i privukla što više štediša ona mora da stvara povoljnu sliku o sebi jer na taj način ona privlači komitente i uve ćava prihode.
Nedostaci Internet bankarstva Glavni ograničavajući faktori, koji uslovljavaju pristanak potrošača na ovu vrstu tehnologije, su sigurnost i privatnost. Neprihvatanje da se bankarske transakcije obavljaju preko Interneta postoji prije svega iz straha da ključne finansijske informacije budu otkrivene. Nedostaci Internet bankarstva najviše su izraženi u odsustvu sigurnosti pri obavljanju poslovanja, nepostojanju zakonske regulative, nedostatku privatnosti, otuđenosti i odbojnosti prema inovacijama i opasnosti od zloupotrebe Internet bankarstva u kriminalne svrhe. Sigurnost, odnosno nedostatak sigurnosti i sistemi zaštite na Internetu su krucijalni faktori rasta i razvoja Interneta. Ti faktori su veoma važni i za funkcionisanje i razvoj Internet bankarstva. Ipak, potencijalni gubici od prevara na Internetu mnogo su manji nego u slučaju klasičnih prevara i zloupotreba pri korištenju standardnih načina naplate npr. poput POS sistema. Veoma je bitno da i banke i servis provajderi implementiraju softver za ranu detekciju zloupotreba. Dakle, o zloupotrebama treba razmišljati samo kao o jednom operativnom riziku koji postoji. Treba uporediti rizik s jedne i korist koja se ima od tog posla s druge strane. Rezultati svuda u svijetu pokazuju da je korist mnogo veća. Mnogo veći rizik za banke je nemogućnost građana da plate svoje račune, naročito u oblasti kreditnih kartica, nego same zloupotrebe.
83
Slika 26 Primjer banke na Internetu
Slika 27 Primjer banke na Internetu
84
3.3 ELEKTRONSKO PLAĆANJE Razvoj novih tehnologija i Interneta unosi mnogo pozitivnih promjena u svakodnevni život ljudi. Jedna od njih je i elektronsko poslovanje (obavljanje finansijskih transakcija razmjenom informacija elektronskim putem). Takva vrsta poslovanja ima dosta prednosti u odnosu na klasično poslovanje jer je jednostavnije, zahtjeva manje troškova i potreban je vrlo mali vremenski period za obavljanje određenih akcija. Osnovne karakteristike koje jedan sistem za elektronsko plaćanje mora imati su svakako sigurnost i produktivnost. Izrastanje Interneta kao globalne informatičke mreže i medija kojim će se obavljati najveći dio transakcija samo dodatno stavlja naglasak na pitanje sigurnosti i pouzdanosti takvog sistema. Metode i postupci koji se koriste u svrhu ostvarivanja tih karakteristika su šifriranje podataka (zaštita podataka) i elektronsko potpisivanje podataka (autentičnost podataka). 18 Korištenje Interneta, javne telekomunikacione (informatičke) infrastrukture koja nije pod kontrolom finansijskih institucija (za razliku od zatvorenih finansijskih sistema kao što je SWIFT), za obavljanje transakcija u elektronskom poslovanju, zahtjeva određene sigurnosne osobine koja sistem elektronskog plaćanja mora imati: •
•
•
•
Privatnost - pri prenošenju poruke elektronskim putem, lako je moguće da je pročita neka treća, neovlaštena osoba, stoga sistem mora zaštititi poruku od neovlaštenog čitanja (što je naročito bitno kod prenošenja osjetljivih informacija kao što je slu čaj kod brojeva kreditnih kartica). Identifikacija korisnika - pri elektronskom plaćanju nema fizičkog i vizuelnog kontakta između strana u transakciji, stoga sistem mora posjedovati mehanizme koji garantuju stvarni identitet osoba u transakciji, kako bi se izbjegla mogu ćnost lažnog predstavljanja. Integritet poruka - osim neovlaštenog čitanja, poruka može biti presretnuta i izmijenjena, te interpretirana kao autentična na strani primaoca, stoga sistem mora onemogućiti promjenu poruke ili prepoznavati njenu neautentičnost. Nemogućnost opozivanja obavljene transakcije - jednom već obavljeno plaćanje kupac ne može opozvati tvrdeći da je neko drugi umjesto njega izvršio narudžbu, jer identitet kupca i autenti čnost naloga jasno trebaju definisati osobu koja je izdala narudžbinu i platila.
Zadnje tri osobine grupno se nazivaju autentičnost. Jedan od načina ostvarivanja elektronskog oblika plaćanja je elektronski novac, odnosno elektronska gotovina, koji je slična normalnom plaćanju gotovinom.
18
W.W.Jang M-commerce:E-commerce With Twist low.com 2001. 85
Elektronsko plaćanje se odvija korištenjem elektronskog tokena (paket informacija) kojeg izdaje treća strana. Niti kupac, niti trgovac ne izdaju token kojim se obavlja plaćanje, već oboje prihvaćaju token izdan od treće strane (banke, organizacije, države) kao valjano platežno sredstvo. Medij na kojemu su tokeni pohranjeni naziva se kartica. Kartica ne mora biti fizi čkog oblika kartice (npr. SmartCard), već njenu ulogu može preuzeti i radna memorija ili čvrsti disk računara. Osnovni protokol se sastoji od tri koraka: 1. podizanje novca iz banke, 2. plaćanje i 3. polaganje novca u banku.
S obzirom na oblik veze izme đu banke i trgovca, ovaj protokol se može ostvariti kao on-line ili off-line. On-line plaćanje podrazumijeva postojanje stalne komunikacijske veze između trgovca i banke, te se provjera valjanosti novčanice obavlja prije isporučivanja plaćene robe (na ovaj način se obavlja kupovina putem kreditnih kartica) dok off-line plaćanje podrazumijeva povremenu vezu između trgovca i banke, te se valjanost nov čanice obavlja naknadno, nakon isporučene robe (na ovaj način se obavlja kupovina putem čekova). Pri obavljanju transakcije, banka pohranjuje serijski broj elektronske novčanice u svoju bazu podataka kako bi se izbjeglo višestruko korištenje iste novčanice. On-line sistemi omogućavaju jednostavno i trenutno otkrivanje višestrukog korištenja iste novčanice za vrijeme transakcije dok se kod off-line sistema ta detekcija odvija nakon transakcije. Zato su napravljeni mehanizmi otkrivanja identiteta osobe koja je upotrijebila višestruko upotrebljenu elektronsku novčanicu. Osnovne osobine elektronske gotovine su neprenosivost i anonimnost (neprativost).
Neprenosivost Obična (papirnata) novčanica primljena u jednoj od prethodnih transakcija može opet biti upotrebljena u nekoj od sljede ćih (prenosivost), tj. jedna nov čanica traje više od jedne transakcije. Takva karakteristika elektroničke novčanice bila bi poželjna, pogotovo za off-line sisteme, jer se tada pri svakoj transakciji novčanica ne bi trebala pohranjivati u banku, smanjuju ći broj interakcija sa bankom, a time i troškove sistema. Međutim, svaki sljedeći korisnik novčanice trebao bi dodati svoju identifikacijsku informaciju na nju, čime bi veličina novčanice (skup informacija) rasla svakom transakcijom koja je njome obavljena. Time bi i broj mogućih transakcija takvom novčanicom bio ograničen maksimalnom veličinom novčanice. Pored toga, otkrivanje višestrukog upotrebljavanja novčanice bilo bi odgođeno, što bi omogu ćilo teže (ili prekasno) otkrivanje počinioca. Zbog takvih nedostataka, prenosivi sistemi nisu razvijani, te elektronska novčanica ima životni vijek samo jednu transakciju.
86
Anonimnost i neprativost Osoba koja prima elektronsku novčanicu (npr. trgovac) ne može saznati identitet osobe koja je upotrijebila elektronsku novčanicu, isto kao ni banka koja nije u stanju saznati identitet osobe kojoj je izdala nov čanicu, osim u slučaju višestrukog korištenja novčanice, tj. prevare.
87
3.3.1
Platne kartice
Kreditne/debitne kartice kao medijumi pla ćanja u tradicionalnom sistemu plaćanja na malo, u razvijenim zemljama postoje i funkcionišu dugi niz godina. U našoj zemlji njihova upotreba bila je prili čno skromna, tako da javnost nije upoznata sa osnovnim pojmovima i procesom pla ćanja putem kreditnih/debitnih kartica. Mada se kreditne/debitne kartice danas u svijetu uveliko koriste za elektronsku trgovinu preko Interneta, namjera ovog rada je da razjasni bitne momente u tradicionalnom načinu korištenja kreditnih/debitnih kartica. 19
Istorijski razvoj kreditnih/debitnih kartica Kreditna kartica se obično definiše kao mali komad kartona ili plastike koji sadrži neko sredstvo za identifikaciju (recimo potpis ili sliku), što omogu ćava osobi na koju kartica glasi da kupuje robu ili usluge na teret svog ra čuna, koji se periodično zadužuje. Kreditne kartice pojavile su se u Sjedinjenim Državama tokom 1920–ih godina, kada su pojedine firme, poput naftnih kompanija i lanaca hotela, počele da ih izdaju svojim potrošačima. Ovakve kreditne kartice bile su zatvorenog tipa, tj. mogle su da se koriste samo u prodajnim/uslužnim objektima kompanije koja ih je izdala. Njihova upotreba značajno je povećana nakon II svetskog rata. Prvu univerzalnu kreditnu karticu, koja je mogla da se koristi u raznovrsnim prodajnim/uslužnim objektima, izdavao je Diners’ Club, Inc., 1950. godine. U ovom sistemu, kompanija koja posluje kreditnim karticama (Diner’s Club) naplaćuje vlasnicima kartica godišnju proviziju, a njihove ra čune zadužuje mjesečno ili godišnje. Firme–kooperanti širom sveta plaćaju proviziju za usluge Diners’ Cluba u rasponu od 4% do 7% od ukupnog iznosa ra čuna. Drugu značajniju karticu ovoga tipa lansirala je American Express Company 1958. godine. Kasnije su se pojavili bankarski sistemi kreditnih kartica, u kojima banka odobrava računu trgovca odmah po prijemu računa o prodatoj robi, prikupljaju ći iznose koji će biti zaračunati vlasniku kartice na kraju ugovorenog perioda. Vlasnik kartice ovaj iznos pla ća banci u totalu ili u mjese čnim ratama sa obračunatom kamatom. Prvi bankarski sistem od nacionalnog zna čaja bio je BankAmericard, koji je pokrenula Bank of America iz Kalifornije 1959. godine. Ovaj sistem licenciran je u drugim državama po četkom 1966. godine, a od 1976– 77 godine nosi naziv VISA. Ostale značajne bankarske kartice su MasterCard (ranije Master Charge ) i Barclay’s. Mnoge banke koje su organizovale sisteme kreditnih kartica na lokalnoj ili regionalnoj osnovi odlu čile su da pristupe velikim 19
Latinović B., Elektronsko poslovanje, Banja Luka, Panevropski univerzitet Apeiron, 2007. 88
nacionalnim sistemima pošto se obim usluga (ishrana i smještaj, kao i kupovina u prodavnicama) širio. Ovi sistemi su se kasnije proširili na sve djelove sveta. U bankarskim sistemima kreditnih kartica, vlasnik kartice može da izabere plaćanje u ratama, u kom slučaju banka naplaćuje kamatu na neizmireni dug. Ovi kamatni prihodi omogućavaju bankama da se uzdrže od naplaćivanja godišnje provizije vlasnicima kartica i da zaračunavaju niže provizije za uslugu trgovcima koji su članovi sistema. Još jedna prednost ovih sistema je ta što trgovci primaju svoje uplate promptno, nakon deponovanja računa o prodaji kod banke. Znači, kreditne kartice u svom današnjem obliku pojavile su se u Sjedinjenim Državama šezdesetih godina. Međutim, tek nedavno je upotreba kreditnih kartica značajno proširena izvan sjeverne Amerike, budući da je do kraja sedamdesetih nivo njihove upotrebe u Evropi bio vrlo mali. Debitne kartice su novijeg datuma i predstavljaju metod plaćanja koji se najbrže razvija u Velikoj Britaniji i izvjesnom broju zemalja OECD–a. Kreditna kartica, u današnjem smislu te rije či, je kartica koja dokazuje da je njenom vlasniku odobrena kreditna linija. Ona omogu ćava vlasniku da kupuje i/ili podiže gotovinu do prethodno utvr đenog iznosa; odobreni kredit može se u cjelosti isplatiti na kraju odre đenog perioda ili se može isplaćivati u ratama, pri čemu se neizmireni dug smatra odobrenim kreditom. Kamata se zaračunava na iznos bilo kog odobrenog kredita, a vlasniku se ponekada naplaćuje i godišnja provizija. Za razliku od kreditne kartice, debitna kartica je kartica koja omogućava svom vlasniku da kupuje direktnim zaduživanjem svog računa. Kreditne i debitne kartice sve više dobijaju na značaju kao metod obračuna za plaćanja na malo pri kupovini odre đenih roba i usluga. Najve će kompanije koje posluju kreditnim karticama organizovale su zasebne elektronske klirinške i obračunske sisteme. MasterCard i Visa imaju svoje sopstvene mreže koje se koriste za verifikaciju transakcija širom svijeta. Elektronski terminali na mjestu prodaje (sistemi za elektronski transfer novca na mjestu prodaje/usluge — EFT/POS terminali) omogućavaju da se podaci sa kartice provjere za manje od 15 sekundi u okviru mreže koja povezuje trgovce širom svijeta sa centrom za obradu kreditnih kartica i emitentom kreditnih kartica. Na primjer, sistem koji koristi Visa, VisaNet, sastoji se od tri ra čunarska centra, od kojih su dva u Sjedinjenim Državama, a jedan u Velikoj Britaniji. Široke komunikacione mreže povezuju trgovce, koji koriste Visa sistem, sa ovim ra čunarskim centrima. Ove mreže se sve brže šire, uporedo sa trendom prihvatanja kreditnih kartica od strane potrošača. Eurocheque i Eurocard (konkurenti Visa sistema) zajedno su lansirali debitnu karticu koja bi konkurisala rastućem poslovanju Visa sistema u Evropi. Uprkos povećanom obimu, poslovanje sa kreditnim karticama postalo je vrlo konkurentno, a provizije obaraju nove, često nebankarske firme, koje ulaze u ovu oblast poslovanja.
89
Kreditne kartice, uglavnom, zahtijevaju četiri strane u svakoj transakciji: vlasnika kartice, trgovca koji prodaje robu ili usluge, onoga ko vrši obradu pla ćanja kreditnom karticom i emitenta kreditne kartice. U izvjesnim slu čajevima firma koja vrši obradu plaćanja kreditnom karticom i emitent kreditne kartice bi će iste mada one, uglavnom, posluju kao različiti pravni entiteti. Platni sistemi s kreditnim/debitnim karticama pokazali su se krajnje neotpornim na zloupotrebu. Kreditne/debitne kartice mogu se ukrasti od njihovih vlasnika i onda zloupotrebiti, a trgovci koji primaju pla ćanja kreditnim/debitnim karticama mogu prevariti potrošača i ne isporučiti mu robu (na primjer, kod naru čivanja preko telefona). Gubici zbog zloupotrebe plaćanja kreditnim/debitnim karticama od strane trgovaca su značajni. Zbog toga se vrši oštra selekcija trgovaca koji će dobiti ovlašćenje da primaju plaćanja putem kreditnih/debitnih kartica. Sli čno tome, izdavanje kreditnih/debitnih kartica sve se više kontroliše kako bi se smanjila zloupotreba i prevara od strane vlasnika kartica. Uprkos ovim problemima, kompanije koje posluju kreditnim/debitnim karticama, kao što su Visa i MasterCard, trenutno su najaktivnije u razvoju bezbjednih platnih sistema za plaćanje kreditnim/debitnim karticama preko Interneta. Bezbjedne metode za transfer podataka i obezbjeđenje efikasnog sistema autorizacije predstavljaće veliko unapređenje u odnosu na of–lajn sisteme, koji se trenutno koriste za prodaju robe široke potrošnje i usluga preko telefona ili faksa. Međutim, kreditne i debitne kartice stvorene su u vrijeme kada je naglasak u industriji finansijskih usluga bio na automatizaciji transakcija. Kreditne/debitne kartice predstavljaju previše glomazan i ograničeni sistem, tako da je malo vjerovatno da će se na njima zasnivati jedan zaista globalni i elektronski platni sistem budućnosti za plaćanja na malo, uprkos početnom uspjehu koji transakcije kreditnim/debitnim karticama preko Interneta trenutno bilježe.
Osnovni pojmovi u vezi sa platnim karticama Dok kupuju upotrebom kreditnih/debitnih kartica ljudi i ne razmišljaju o procedurama koje se odvijaju „u pozadini“ — šta se dešava kada trgovac provuče karticu kroz POS terminal; ko autorizuje plaćanje; šta je potrebno da trgovac uradi da bi mogao da obavlja transakcije putem kreditnih kartica? U cilju objašnjenja ovog procesa potrebno je da se prvo upoznamo sa osnovnim terminima u vezi s kreditnim karticama:
90
Poslovna banka Autorizacija Autorizaciona šifra Bankarska kartica
Naknadno zaduženje
Elektronsko „prevođenje“ podataka
Nezavisna prodajna organizacija
’Zamjena’
Provizija za ’zamjenu’
Trgovački diskont
Trgovački status
Račun
Banka koja ima poslovni odnos sa nekim trgovcem i koja prima sve transakcije kreditnim/debitnim karticama od tog trgovca. Za poslovne banke (acquiring banks) se, takođe, koristi i termin trgova čke banke (merchant banks). Čin odobrenja transakcije kreditnom/debitnom karticom nekom trgovcu od strane banke koja je izdala kreditnu/debitnu karticu. Šifra koju dodeljuje banka koja izdaje kreditne/debitne kartice prilikom njihove prodaje, a koja pokazuje da je data transakcija autorizovana. Kreditna/debitna kartica koju je izdala neka banka. Visa i MasterCard su bankarske kartice. American Express i Discover nisu. Transakcija kreditnom/debitnom karticom koja se vraća nazad trgovcu koji je izvršio prodaju. Ovo se dešava kada vlasnik kreditne/debitne kartice ne odobri plaćanje računa tvrdeći da uopšte nije dobio proizvod ili je, na bilo koji na čin, nezadovoljan njime. Vlasnici kartica trebalo bi da pokušaju da problem reše sa trgovcem pre nego što zatraže od emitenta kreditne/debitne kartice da odbije plaćanje računa. Unos i obrada računa elektronskim putem. U momentu kupovine kreditnom/debitnom karticom trgovac dobija autorizaciju prodaje, da bi nakon isteka radnog vremena on „preveo“ podatke sa računa u elektronski oblik i poslao podatke iz POS terminala na obradu. Trgovci koji nisu osposobljeni za elektronsku obradu računa, već tu obradu vrše ručno, na kraju radnog dana nose sve račune u svoju poslovnu banku. Nezavisne prodajne organizacije igraju značajnu ulogu u svim poslovnim oblastima. U industriji kreditnih/debitnih kartica nezavisne prodajne organizacije predstavljaju treću stranu između trgovca i poslovne (trgovačke) banske. Mnoga preduzeća nisu u mogućnosti da steknu status trgovca preko neke poslovne banke zbog toga što ih data banka smatra previše rizičnim, pa moraju da steknu status trgovca preko neke nezavisne prodajne organizacije. Transakcija koja se odvija između poslovne banke i banke koja emituje kreditne/debitne kartice. Provizija koju poslovna banka plaća banci koja emituje kreditne/debitne kartice radi obrade tranasakcija kreditnim/debitnim karticama koje se odnose na račun nekog vlasnika kartice. Ovu proviziju regulišu MasterCard i Visa, a ona se obično izražava u vidu procenta od ukupnog iznosa transakcije. Procenat od maloprodajne cijene koji trgovac plaća, u vidu provizije, poslovnoj banci za obradu transakcija kreditnim karticama. Ova provizija je obično veća od provizije za razmjenu, koju p oslovna banka plaća banci koja emituje kreditne/debitne kartice. Neko preduzeće smatra se „trgovačkim“ onda kada ima ovlaš ćenje od strane neke poslovne banke, nezavisne prodajne organizacije ili druge finansijske institucije da prima kreditne kartice. Instrument koji pokazuje obavezu vlasnika kartice da plati izvjesnu sumu novca emitentu kartice. To je papirni dokument koji vlasnik kartice potpisuje kada kupuje kreditnom karticom. Podaci sa ra čuna mogu se „prevesti“ u elektronski oblik i poslati na obradu preko finansijskih mreža, a mogu se i li čno dostaviti poslovnoj banci.
Tabela 3 Osnovni termini vezani za kreditne kartice
91
Proces plaćanja Rekli smo da trgovci imaju odnos sa nekom poslovnom bankom ili nezavisnom prodajnom organizacijom, preko kojih vrše obradu transakcija kreditnim/debitnim karticama. Trgovci moraju da plate poslovnoj banci ili nezavisnoj prodajnoj organizaciji diskontnu proviziju zasnovanu na ukupnom iznosu prodaje. Slično tome, poslovna banka ili nezavisna prodajna organizacija mora da plati emitentu kartice proviziju za zamjenu onda kada izvrše obradu računa trgovca. Naravno, ovo je samo gruba skica jednog mnogo kompleksnijeg procesa, koji se u stvarnosti odvija. U narednom dijelu dat je pregled procesa plaćanja putem kreditne/debitne kartice. On pokazuje šta se dešava tokom jedne uobičajene transakcije pomoću kreditne/debitne kartice. Ovo je samo uprošteni prikaz procesa plaćanja putem kreditne/debitne kartice, pa zbog toga postoje mnoga odstupanja od datog procesa. Recimo, ovaj postupak je drugačiji kod onih trgovaca koji ne obra đuju svoje račune elektronskim putem. Uobičajena transakcija pomoću kreditne kartice odvija se na slijede ći način: • • •
•
•
•
•
Trgovac izračunava vrijednost kupljene robe i traži od kupca da plati. Kupac daje trgovcu kreditnu/debitnu karticu. Trgovac provlači kreditnu/debitnu karticu kroz POS terminal. Vrijednost prodate robe se unosi ručno, ili se preuzima iz registar–kase. Trgovac podnosi podatke o kreditnoj/debitnoj kartici i vrijednosti kupljene robe svojoj poslovnoj banci, sa zahtjevom za autorizaciju. POS terminali su obično podešeni tako da zahtijevaju autorizaciju u momentu prodaje, a stvarni prenos podataka sa računa vrši se kasnije. Poslovna banka zatim obrađuje transakciju, prosljeđujući zahtjev za autorizaciju banci koja emituje kreditnu/debitnu karticu. Broj kreditne/debitne kartice identifikuje vrstu kartice, banku koja ju je emitovala i račun vlasnika kartice. Ako vlasnik kartice ima dovoljno novca na svom računu da pokrije kupovinu (ili mu je odobrena kreditna linija), banka koja emituje kreditnu/debitnu karticu autorizuje transakciju i generiše autorizacionu šifru. Ova šifra se šalje nazad poslovnoj banci. Banka koja emituje karticu rezerviše novac na računu vlasnika kartice u iznosu koji je ekvivalentan vrijednosti kupljene robe. Međutim, račun vlasnika kartice se još uvek ne zadužuje. Poslovna banka obrađuje transakciju, a zatim šalje šifru za odobrenje ili odbijanje POS terminalu trgovca. Svaki POS terminal ima svoj jedinstveni identifikacioni broj, tako da je institucija koja vrši obradu transakcija u mogućnosti da prosljedi podatke upravo tom terminalu.
92
•
•
•
•
Račun štampa POS terminal ili registar–kasa. Trgovac zahtijeva od kupca da potpiše račun, koji ga obavezuje da nadoknadi naznačeni iznos banci koja emituje kreditnu/debitnu karticu. Kasnije, u najvećem broju slučajeva uveče, kada se radnja zatvara, trgovac upoređuje autorizacije koje su memorisane u POS terminalu sa potpisanim računima. Kada izvrši provjeru podudarnosti svih autorizacija sa potpisanim računima, trgovac će prevesti, ili prenijeti podatke o svakoj autorizovanoj transakciji kreditnom/debitnom karticom poslovnoj banci na depozit. Isto tako, on može deponovati kod banke i realne, potpisane papirne račune. Poslovna banka, za svaki pojedini račun, vrši sa odgovarajućom bankom koja je emitovala karticu ono što se naziva zamjenom. Banka koja je emitovala karticu odobrava poslovnoj banci iznos konkretnog računa, umanjen za iznos provizije za zamjenu. Poslovna banka zatim deponuje iznos svih računa koje je podnio konkretni trgovac na njegov račun, umanjujući ga za diskontnu proviziju.
Ovaj pregled, naravno, nije kompletan jer ne pokriva ulogu finansijskih mreža. On se odnosi uglavnom na transakcije Visa i MasterCard karticama. Kod American Express i Discover kartica, na primjer, ne postoji emisiona banka. Ipak, pomenuti redosljed aktivnosti nam može poslužiti kao prilično vjeran primjer jednog procesa plaćanja kreditnom /debitnom karticom/.
Kartice lojalnosti - Savremeni trendovi u sistemima pla ćanja Kartice lojalnosti su se pojavile relativno davno već 20-30-tih godina prošlog vjeka i bile su veoma popularne u SAD-u. Osnovni zadatak im je bio (i ostao) da firmi obezbjede stalan promet. Masovno su ih koristile prodavnice kako bi privukle korisnike i povećale promet. Cilj je bio da se kroz popuste na količinu privuku kupce da redovno dolaze u jednu prodavnicu. Na taj na čin su firme obezbjeđivale stalne porudžbine, određenom dinamikom. Ovakav način rada, firmi omogućava povećanje obrta kapitala, a time i povećanje profita. U početku su prvenstveno trgovinske kuće radile u sistemima lojalnosti, a kasnije je to prošireno i na druge oblasti. Čisto
tehnološko ograničenje masovnog širenja kartica u to vrijeme bilo je to što je svaka nabavka morala da se registruje na kartici donosioca, što je značilo da je primjena moguća u manjim prodavnicama ili lokalnom lancu prodavnica. Papir je podložan prljanju, falsifikovanju, neprakti čno je da se svaki put doda novi iznos i sabere sa prethodnim, kao i da se izdaje novi papirni ra čun kada se stari popuni. To su bili ograničavajući činioci za masovnije korištenje. Ovakvo stanje trajalo je sve do pojave kartica sa magnetnim zapisom, ali su se i one pokazale ne mnogo efikasnijim, jer ih je bilo lako falsifikovati. 93
Tek pojavom čip kartica stvoreni su tehnološki uslovi da se masovno primjeni način poslovanja, putem primjene kartica lojalnosti. Sve do pojave Interneta njihova šira upotreba bila je skopčana sa tehničkim i tehnološkim problemima jer je za rukovanje sistemom lojalnosti bilo potrebno posebno organizovanje mreže. Internet je razrješio većinu tehnoloških problema i omogućio da se sistemi lojalnosti prošire na globalni svjetski nivo. Osim klasi čnih sistema lojalnosti (avio kompanije, snabdjevanje gorivom,,,) Internet je postao važan segment gdje se borba za svakog korisnika tek rasplamsavala. Sa stanovišta potencijalnih mogućnosti Internet poslovanje je najperspektivnija oblast za ovu karticu ili za poslovanje u sistemu lojalnosti. Postoji li bolji i perspektivniji posao od sticanja korisnika širom svijeta koji će redovno u određenim intervalima kupovati ili obavljati poslove na sajtu. Ako korisnik jednom dođe na sajt, obavi neki posao ili kupi robu, donio je jednokratan prihod od koga se mora uložiti veći dio profita, kako bi se novi korisnici obavijestili o postojanju sajta i naveli da i oni tu nešto kupe. Ako isti korisnik dođe dva puta na sajt i oba puta se sklopi posao sa njim, onda se troškovi reklame dijele na dva računa koji su napravljeni od strane tog korisnika.
Ako se zna da troškovi reklame kod nekih proizvoda idu i do 80% zarade onda su to značajna sredstva koja se štede ako jedan korisnik dolazi više puta. Naravno ovakvu lojalnost korisnika treba nagraditi ponudom da za svaki sljedeći posao dobije dio zarade koji je ostvaren kroz uštedu na reklami. Ovo je dobar motiv da se kupac redovno vraća na isti sajt i nabavlja kod istog snabdjeva ča. Obe strane koje učestvuju u poslu imaju zaradu, stvara se uzajamno povjerenje, a korisnik se trajno vezuje za određenog snabdjevača. Tehnički, registrovanje svih aktivnosti nekog korisnika na sajtu, je relativno jednostavno
94
(PIN,PASWORD) i on za svaki sljedeći račun dobija bonus u vidu smanjenja cijene ili u čestvovanja u nagradnoj igri, putovanje itd. Ipak vrhunac poslovnog uspjeha je kada kupac dolazi redovno i određenom dinamikom obavlja posao, kupuje ili nabavlja robu koju ili unaprijed po spisku poručuje ili je to ista roba koju stalno uzima. Analizirajmo sljedeći primjer klasične prodavnice. Određeni kupac dolazi u prodavnicu i svakog utorka kupuje 10 flaša vina. Poslije izvesnog perioda trgovac pravi dogovor sa kupcem, da pošto je redovna mušterija dobije veliki popust na svaku sljedeću porudžbinu, pod uslovom da i dalje redovno istom dimamikom nabavlja istu robu ili pravi stalan račun. Ovakvu ponudu teško da bi neko odbio i posao uglavnom biva sklopljen. Za trgovca je to izuzetno dobra pozicija. Nabavka robe koja se dalje distribuira se podešava prema kupcu. Svakog ponedeljka trgovac angažuje novčana sredstva da nabavi robu koju će u utorak da proda i da i istog dana dobije svoj novac nazad. To znači da je obrt kapitala 52 puta godišnje, a da su njegova nov čana sredstva angažovana samo 52 dana. Ovakvi uslovi omogućavaju trgovcu da svom redovnom kupcu da veliki popust, a da on sam ostvari daleko ve će prihode nego kada bi čekao nepoznatog kupca sa zarobljenim novčanim sredstvima i lagerom u magacinu.
• •
• • • •
•
•
Učesnici u procesu lojalnosti Korisnici Svakako najvažniji učesnik u poslovanju sa karticama je korisnik. Da bi se korisnik zainteresovao za plaćanje karticama lojalnosti , pre svega mora da bude dobro upoznat sa prednostima ovakvog načina rada. Sistem izdavanja kartica u svijetu je veoma pojednostavljen tako da korisnik može karticu da poru či putem Interneta, a isto tako da otvori ra čun i prebaci novac. Karticu dobija poštom. Postupak je jednostavan jer takva kartica je vezana za partiju teku ćeg računa i nije moguće da se sa njom napravi minus po računu. Izdavaoci kartica (emitenti, issuer) Uobičajeno su to banke koje izdaju platne kartice. Kartice mogu biti direktno emitovane od izdavaoca kartice ili mogu biti u co-branded (sponzorske kartice) sistemu. Co-brending sistem lojalnosti se može uspostaviti između jednog trgovca ili grupe trgovaca i posebne platne kartice. Za svaku nabavku koja je plaćena takvom karticom dobija se odre đeni broj poena, a na nekom limitu zbir poena donosi određene pogodnosti ili popuste. Zbir poena se odnosi na jednog 95
trgovca, na cijelu grupu ili se poeni zbrajaju na osnovu pravila koja su definisana u sistemu lojalnosti. Sponzorske kartice su danas najrasporstranjenija tehnologija za promovisanje ponude kompanija u svijetu. Emitent ovakve kartice je u suštini banka, ali kompletan dizajn je firma koja je izdaje (u sistemu lojalnosti), a ona i odlučuje koji segment tržišta će karticom pokriti.
Primaoci kartica (acquirer) To su banke koje sklapaju ugovore sa trgovcima. U njihov domen poslovanja spada servisiranje trgovačke mreže, instalacija i održavanje POS terminala, obuka trgovaca i održavanje sistema i prihvatanje transakcija lojalnosti na terminalu. Trgovci U sistemima lojalnosti trgovci mogu biti najrazli čitiji ponuđači roba i usluga. U koliko su sklopili ugovor sa primaocem kartica i ako imaju oznaku da primaju određenu karticu obavezni su da prihvataju plaćanja tom karticom. Odbijanje kartice je regulisano ugovorom i ako je kartica ponu đena kao sredstvo za plaćanje, ne može biti odbijena. Ako je pojedina čni trgovac organizovao sistem lojalnosti onda uobičajeno taj sistem je nezavistan od sistema pla ćanja. U tom slučaju operator lojalnosti samo registruje transakciju, bez obzira koji metod plaćanja je primjenjen. Ukoliko je u pitanju grupni sistem lojalnosti uobi čajeno je da se uspostavi co-brending sistem sa određenom platnom karticom koja se onda u tom sistemu koristi za pla ćanje. Operateri poena lojalnosti Zadatak operatera lojalnosti je administracija celokupnog sistema, bezbjednost poslovanja i mreže i stvaranje preduslova za kontinualan rad. Operator sistema lojalnosti može biti trgovac ili se ovaj posao može prepustiti specijalizovanim firmama. U nekim slučajevima provajderi sistema plaćanja mogu raditi poslove lojalnosti za račun svojih komitenata ili to može raditi finansijska organizacija koja je izdala karticu. Poslovi koje radi operator lojalnosti: • • • • • • •
Upravljanje i održavanje sistema. Upravljanje sistemom sigurnosti. Upravljanje bazom pravila lojalnosti. Obrada transakcija lojalnosti sa terminala ili Interneta. Izvještavanje. Prikupljanje podataka o tržištu. Upravljanje bazom podataka korisnika.
Transakcija plaćanja Sama transakcija plaćanja može se posmatrati sa strane sistema i sa strane korisnika. Na strani sistema transakcija se obavlja u tri faze i to: • •
Analiza stečenih prava iz sistema lojalnosti; Autorizacija i zaduženje kartice; 96
•
Ažuriranje poena lojalnosti.
Na strani korisnika tok transakcije je sljede ći: • • •
Ubacivanje kartice u čitač; Prebacivanje apleta za lojalnost sa hosta trgovca i ubacivanje u brauzer; Započinjanje procesa plaćanja.
Kartica u ovom slučaju služi samo kao identifikator i u koliko je smart kartica obezbjeđuje sigurnosne mehanizme plaćanja.
Mogućnosti korištenja sistema lojalnosti U realnom okruženju kartice lojalnosti mogu se koristiti u off line i on line režimu rada. U on line režimu rada od terminala se zahtijeva da poziva dva razli čita broja i to jedan za odobrenje nov čane transakcije bilo da je kreditna ili debitna a drugo je da ostvari vezu sa sistemom lojalnosti. Kod off line režima rada poziva se samo jedan broj za obavljanje novčane transakcije dok se sistem lojalnosti naknadno ažurira. Na Internetu je čitav sistem pojednostavljen tako da na mestu nastanka transakcije odmah se (ili mogu da se ) ažuriraju svi podaci kako za pla ćanje tako i za sve drugo što se odnosi na sistem lojalnosti. Ono što je posebno interesantno je da na Internetu čitav sistem lojalnosti uopše ne mora da je zasnovan na karticama. Sistem može biti organizovan na osnovu bilo kog sistema plaćanja s tim da se identifikacija postiže PIN i PASWORD-om.
Sistemi lojalnosti kod nas Osamdesetih godina prošlog vijeka pa sve do velike inflacije 1993. godine postojalo je nekoliko kartica koje su funkcionisale. Najpoznatija C-marketova kartica je i najduže funkcionisala. Trenutno postoji nekoliko kartica, ali one funkcionišu na klasičnim principima. Jedna funkcioniše tako što vlasnik kartice ima popust na sve usluge, dok je druga izdata u tri nivoa pla ćanja i svome vlasniku, u zavisnosti od cijene koju je platio, obezbje đuje određeni nivo usluga. Sve postojeće kartice su lokalnog nivoa i ne omogu ćavaju bilo kakvo plaćanje. Trenutno se mnogo govori o platnim karticama i njihovom uvođenju u redovno poslovanje, ali niko ne pominje bilo kakve sisteme lojalnosti. Posebno za čuđuje da veliki trgovački sistemi nemaju interesa da putem kartice lojalnosti obezbjede povećanje prometa. Na Internetu je mnogo ve ći problem nepostojanja bilo kavih mogućnosti da se nešto plati u doma ćem Internet okruženju. Sajtovi i provajderi kao da nisu zainteresovani da se prošire mogućnosti poslovanja na Internetu ili je to još uvek nedostatak prave konkurencije, pa se zaoštravanje tek očekuje. Jedan od najperspektivnijih poslova je kartično poslovanje, a u okviru toga je i poslovanje u 97
sistemima lojalnosti. Internet je izvanredan medijum za primjenu kartica (a one mogu biti i u pripejd sistemu), a u kombinaciji sa sistemima lojalnosti efekti mogu biti izvanredni. Sa stanovišta konkurencije u ovoj oblasti naša zemlja je prazan list papira i onaj ko prvi zauzme prostor obezbjedio je značajan deo tržišta.
Smart kartica Smart kartica je plastična kartica, koja po izgledu podsjeća na običnu kreditinu ili debitnu karticu stim da posjeduje jedan detalj koji je odvaja od njih, a to je integrisano kolo ili čip, na kome se nalazi procesor i memorija. Na čipu se na siguran način mogu čuvati određeni podaci. Najveća snaga Smart Card tehnologije jeste u raznovrsnosti mogućih primjena. Zahvaljujući inteligenciji kartice, moguće je razviti raznovrsne sigurnosne aplikacije u oblastima kao što su: zaštita pristupa ra čunaru ili mreži, identifikacija, mobilna telefonija, elektronski novac, vozačka dozvola, zdravstveni karton, zaštita podataka, digitalni potpis, kuponi, zaštita autorskih prava, elektronska trgovina itd. Trenutno su u opticaju desetine miliona smart kartica u raznim oblastima sa tendencijom daljeg razvoja.
Slika 28 Smart kartica
98
RF sistemi plaćanja Najnoviji trend kada su u pitanju bezgotovinski sistemi pla ćanja, predstavljaju beskontaktna plaćanja zasnovana na RF tehnologiji. To su platne transakcije koje ne zahtijevaju fizi čki kontakt između uređaja koje potrošač koristi za plaćanje i POS terminala na strani trgovca. Koristimo termin “ure đaj” a ne kartica zato što sem u formi RF kartice ovi uređaji za sada postoje u obliku privjeska za ključeve, ugrađuju se u ručne satove, mobilne telefone i sl.... Njihovom upotrebom prestaje potreba da svoju karticu predajete trgovcu da bi je provukao kroz čitač na POS terminalu što dodatno pove ćava sigurnost prilikom obavljanja transakcija. Ovu vrstu plaćanja podržavaju tri najveća sistema platnih kartica uvođenjem novih proizvoda: Visa-Visa Contactless, MasterCard-MasterCard PayPass, i American Express – ExpressPay. Svi ovi proizvodi su usklađeni sa međunarodnim ISO 14443 standardom što je veoma značajno ako se želi obezbijediti globalno prihva ćen sistem za plaćanje.
Kako teče cijeli postupak Korisniku banka izadaje RF uređaj u formi kartice, privjeska za ključeve i sl. koji u sebi sadrži čip ( u kome su upisani podaci koji su do sada bili na magnetnoj traci - ime korisnika, broj kartice i datum važnosti), određenu količinu memorije i RF antenu pomoću koje uređaj komunicira sa POS terminalom trgovca. • •
•
•
Trgovac na postojeći POS terminal instalira RF čitac/pisač. Dovoljno je da kupac približi dobijeni ure đaj/karticu na par santimetara od čitača i informacije potrebne za izvršenje transakcije prenijete su do terminala bez potrebe da trgovac kao do sada, uzima karticu i provla či je kroz terminal. Od tog trenutka terminal obra đuje transakciju kao i do sada i šalje podatke na autorizaciju procesoru. Po odobrenoj autorizaciji kupac dobija potvrdu o završetku transakcije. Cijeli proces je dodatno ubrzan i činjenicom da se u mnogim oblastima primjene sada ne zahtijeva da kupac potpisuje potvrdu o obavljenoj transakciji.
99
Beskontaktno plaćanje RF uređajima se zasniva na infrastrukturi koja ve ć godinama postoji za potrebe plaćanja karticama sa magnetnom trakom i sem dogradnje postojećih POS terminala, ne zahtijeva nikakva dodatna ulaganja od strane trgovca, procesora i finansijskih institucija koje su uključene u cijeli proces. To je bitna razlika u odnosu na smart EMV kartice i druge tehnologije za koje se takođe pokušava obezbijediti uspjeh na tržištu i podrška od strane potrošača i trgovačke mreže. Da bi se i u praksi potvrdila upotrebljivost ove tehnologije VISA, American Express i MasterCard startovali su na različitim lokacijama svoje pilot projekte. Visa je u Rusiji u sklopu Moscow Social Card programa implementirala dual interfejs kartice – koje pored klasičnog smart čipa na tijelu kartice, unutar nje sadrže i RF modul za beskontaktna pla ćanja. Ovaj koncept je realizovan i u Aziji u okviru Visa Wave projekta. American Express je ExpressPay testirao u Phoenix(Arizona) u pilot projektu sa 25000 korisnika uređaja u obliku privjeska za ključeve, New Yorku, Singapuru... MasterCard je takođe uspješno završio devetomjesečni pilot projekat na Floridi sa preko 16000 korisnika PayPass uređaja. Relizovani pilot projekti pokazali su da se zbog brzine i jednostavnosti koje pružaju beskontaktni sistemi : • • • •
povećava učestalost upotrebe uređaja/kartica, povećava prosječna potrošnja korisnika za 20-30%, za 30-40% smanjuje vrijeme potrebno za obavljanje transakcija, i za 10-15% povećava ukupna upotreba kartica, jer uključuje i situacije u kojima je do sada korištena isklju čivo gotovina. To se posebno odnosi na oblast mikroplaćanja (do 10 $) u kojoj sadašnji oblik platnih kartica nije uspio da zadovolji sve kriterijume i zamjeni keš.
S obzirom da smanjuju vrijeme potrebno za obavljanje transakcija, RF sistemi su posebno pogodni za naplatna mjesta na kojima je brzina usluge klju čni faktor uspjeha: restorani brze hrane, supermarketi, benzinske pumpe, naplata putarine, naplata parkinga i sl.
Sada poslije uspješno završenih pilot projekata, slijedi faza u kojoj bi trebalo da se ovi sistemi pla ćanja što masovnije implementiraju na tržištu. U SAD su 7Eleven, MC Donald’s i drugi veliki sistemi objavili da će na svojim lokacijama 100
prihvatati PayPass i ExpressPay. Možemo očekivati da će se ovaj trend prihvatanja RF sistema u 2006 godini pored SAD-a, nastaviti i u Evropi i Aziji. Upotrebom ove tehnologije svi su na dobitku: Kupci – ne brinu da li su ponijeli dovoljno gotovine, ne čekaju u redovima da plate, ne unose PIN prilikom plaćanja, i ne potpisuju ra čun, što znatno pojednostavljuje proceduru i povećava njihov konfor prilikom pla ćanja. Trgovci - upotrebom RF tehnologije ostvaruju brži proces naplate, povećan obim prodaje, i za reazliku od smart kartica, nisu im potrebne velike investicije da bi implementirali ovu tehnologiju. Na postoje će POS terminale se veoma jednostavno dodaju jeftini RF čitači koji im omogu ćuju prihvatanje novih kartica/uređaja. Finansijske institucije – ostvaruju veće prihode usljed povećanog broja transakcija.
Tehnologija U ovom trenutku postoje četiri glavna tehnološka rješenja koja se koriste za implementaciju beskontaktnih platnih sistema: • • •
rješenja zasnovana na ISO 14443 standardu, SONY FeliCa tehnologija, i rješenja zasnovana na RFID tokenima i NFC (Near Field Communication) sistemi.
ISO 14443 standard Najzastupljeniji su beskontaktni sistemi zasnovani na ISO 14443 standardu. Trenutno je preko 280 miliona kartica širom svijeta izdatih u skladu sa ovim standardom. One komuniciraju sa čitačima na 13.56 Mhz, imaju domet do 10 cm i napajaju se iz RF polja tako da im nije potreban dodatni izvor napajanja. Implementirani su u svim važnijim sistemima: American Express-ExpressPay, MasterCard PayPass, i Visa Contactless. Nivo bezbjednosti transakcija obavljenih RF karticama je znatno poboljšan u odnosu na standardne kartice sa magnetnom trakom i može se reći da u ovom trenutku one dostižu isti nivo sigurnosti kao i klasi čne smart kartice.
Sony FeliCa FeliCa je beskontaktna smart kartica koja je razvijena u kompaniji Sony i do sada je izdata u preko 100 miliona primjeraka širom svijeta. Najviše se primjenjuje u Hong Kongu, Singapuru i Japanu. Po svojim karakteristikama vrlo je slična ISO 14443 karticama, ali nije u potpunosti uskla đena sa ovim standardom. Postoje pokušaji da se obezbjedi međusobna komatibilnost Sony FeliCa i ISO 14443 kartica. 101
Rjesenja zasnovana na RFID tokenima Do sada su najčešće korištena u zatvorenim platnim sistemima pojedinih kompanija. Koriste se za naplatu putarine, parkinga, kupovinu goriva i sl. U ovim uređajima je upisan jedinstveni ID broj koji se putem RF-a emituje do prijemnika koji ga dalje prosleđuje u autorizacioni centar. Tamo se ovaj ID vezuje sa brojem računa u banci i vrši se plaćanje. Domet ovih uređaja je nešto veći i mogu se upotrebljavati na rastojanju do 10 metara od prijemnika. Ne postoji opšte prihvaćeni standard za ova rješenja. Smatra se da su manje bezbjedni za upotrebu od uređaja zasnovanih na ISO 14443 i zato nisu prihvaćena od strane finansijskih institucija. NFC (Near Field Communication) sistemi NFC omogućava povezivanje dva uređaja na rastojanju do par santimetara. Dovoljno je da ih približite i po čeće razmjena informacija bez komplikovanih procedura vezanih za identifikaciju. Standardizovani su u ISO 18092 i obezbjeđena je kompatibilnost sa Philips MIFARE (ISO 14443 A) i Sony FeliCa smart card protokolima. Motorola i MasterCard su pokrenuli pilot projekte za plaćanje karata u transportu upotrebom PayPass i NFC tehnologije. Ona omogućava korisnicima mobilnih telefona i PDA ure đaja da ih približe čitaču i iniciraju transakciju i plaćanje. Pozitivna iskustva korisnika, standardizovana tehnologija, upotrebljiva na postojećoj infrastrukturi, jednostavna i jeftina implementacija na strani trgovaca i podrška svih vodećih sistema platnih kartica, tebalo bi da budu dovoljni za opstanak i dalje širenje ove tehnologije na tržištu. Nadamo se da će i domaće banke članice VISA i MasterCard sistema uskoro i kod nas omogućiti upotrebu ovih tehnologija.
102
3.3.2
Sigurnost elektronskog plaćanja
Naglo širenje Interneta u poslijednjoj deceniji i njegovo sve ve će korištenje u poslovne svrhe nametnuli su potrebu za promjenama u funkcionisanju svjetske mreže. Sve veći broj povjerljivih podataka koji se prenose mrežom kao i porast trgovine preko Interneta stavili su u prvi plan problem sigurnosti komunikacije. Naročito je aktuelan problem sigurnosti u komunikaciji web servera i klijenata. Standardni protokoli za komunikaciju među računarima ne nude rješenje za ove probleme ni TCP/IP ni protokoli višeg nivoa http, smtp, pop3, imap, ... Zato je razvijeno više protokola koji obezbjeđuju sigurnu komunikaciju prije svega na Internetu. Neki od njih su na aplikativnom nivou poput secure HTTP-a (HTTPSa), ili Secure Socket Layer (SSL) protokol koji je defakto standard za sigurnu komunikaciju na Internetu radi na transportnom sloju neposredno iznad TCP. To znači da ga mogu koristiti svi protokoli aplikativnog nivoa koji za transport imaju TCP, a to su na primjer http, ftp, smtp, pop3, imap... 20 Problem tajnosti u računarskim komunikacijama rješava se kriptovanjem podataka na izvoru i dekriptovanjem na odredištu. Savremene metode kriptovanja zasnivaju se na javno dostupnim algoritmima, a tajnost podataka garantovana je tajnošću ključa. Za kriptovanje se mogu koristiti razli čiti algoritmi koji se dijele u dve velike grupe algoritme sa simetri čnim ključem i algoritme sa javnim ključem (odnosno asimetričnim ključevima, od kojih je jedan javni, a jedan tajni) . Svaka od ovih grupa ima svoje prednosti i mane. Secure Socket Layer (SSL) protokol 2.0 i 3.0 kao i na njemu zasnovan TLS (Transport Layer Securiti ) koristi prednosti i simetri čnog i asimetričnog kriptovanja. Naime asimetrično kriptovanje javnim i dekriptovanje tajnim ključem, koristi se samo za razmjenu simetričnih ključeva koji se generišu za svaku sesiju. Na taj način izbjegnut je problem razmjene simetričnih ključeva, na najmanju mjeru smanjena je opasnost od razbijanja simetričnog ključa, a zadržana je
efikasnost tog algoritma. Centralno pitanje svakog postupka za šifrovanje je mogu ćnost njegovog razbijanja odnosno njegova snaga. Snaga postupka zavisi od primjenjenog algoritma i od dužine klju ča. Najjači trenutno dostupan algoritam koji se koristi u okviru SSL-a je triple DES sa dužinom ključa od 168 bita. Njegova snaga je izuzetna i najjači savremeni računari ne mogu razbiti taj algoritam ni za nekoliko milijardi godina neprekidnog rada. Drugi, takođe vrlo snažan i zbog svoje brzine najviše rasprostranjen protocol, je RC4-MD5 koji ima dužinu klju ča od 128 bit-a. Oba ova postupka međutim zaštićena su američkim izvoznim zakonima. Ti propisi ne dozvoljavaju izvoz algoritama za kriptovanje čija je dužina ključa ve ća od 56* bita. Kako ovi algoritmi nisu dovoljni za zaštitu veoma povjerljivih podataka. To su kompanije izvan Sjedinjenih država i Kanade naterane da 20
Bjelić P., Elektronsko trgovanje, Institut za mre đunarodnu politiku i privredu, Beograd, 2002. 103
koriste manje poznate načine kriptovanja npr. SSLeay protokol ili StrongHold server. Najvažnije mjesto svake strukture sa javnim klju čem je ono na kome se čuvaju privatni ključevi. Bezbjednost čitavog sistema ugrožena je činjenicom da su najosetljiviji podaci pohranjeni na hard diskovima radnih stanica i servera gdje su izloženi mogućim zloupotrebama. Druga velika slabost je što proces kriptovanja i dekriptovanja obavlja operativni sistem ili aplikativni softver koji je podložan najrazličitijim bagovima i neotporan na iole snažnije napade. Rješenje ovih ključnih problema pronađeno je u upotrebi specijalizovanih hardverskih komponenti koje na sebi imaju dovoljno memorije za pohranjivanje svih kriptografski bitnih informacija i dovoljno procesorske snage da obavljaju osnovne kriptografske operacije nezavisno od operativnog sistema i aplikacija. Takvo rješenje je smart kartica.
Višestruka upotreba ili kopiranje novčanice Višestruka upotreba u nekoliko transakcija ili kopiranje iste elektronske novčanice sprječava se upisivanjem serijskog broja upotrebljene novčanice u bazu podataka banke. Svaki put kada primi neku nov čanicu, banka provjeri serijski broj u svojoj bazi podataka i zna da li je nov čanica već bila upotrebljena ili nije. Ukoliko banka otkrije pokušaj prevare, identifikuje osobu koja je pokušala prevaru preko identifikujuće informacije.
Krivotvorenje elektronskih novčanica Krivotvorenje elektronskih novčanica nije moguće zbog toga što banka stavlja digitalni potpis na novčanicu i taj potpis nitko ne može falsifikovati, jer se obavlja tajnim ključem banke koji zna samo ona. Pri dolasku nov čanice nazad u banku, ona provjerava svoj potpis i time se osigurava od novčanica koje je netko drugi generisao.
Krađa elektronske novčanice U posljednjoj tački druge faze protokola za plaćanje elektronskim novcem, trgovac se uvjerava da je elektronska novčanica zbilja vlasništvo kupca koji komunicira s trgovcem preko identifikujuće informacije i time je onemogućena krađa elektronske novčanice.
104
Problemi sigurnosti transakcija Sigurnost sistema za elektronsko plaćanje zavisi o sigurnosti koju pružaju kriptografski algoritmi. Pod pretpostavkom da pri implementaciji kriptografskih algoritama i protokola nije u činjena nikakva greška te da oni danas pružaju visok stepen sigurnosti, i dalje ostaje mogućnost napretka kriptoanalize, te neizbježni ljudski faktor (gubitak tajnog klju ča, provala u sistem, ucjena,) kojim se ta sigurnost može ugroziti.
105
3.4 MOBILNO BANKARSTVO 3.4.1
Pojam mobilnog bankarstva
Konvergencija mobilnih komunikacija i Interneta otvara nove kanale za različite finansijske servise. Finansijske institucije sada imaju mogu ćnost da ponude bankarske, brokerske, usluge osiguranja preko mobilnoih telefona, personalnih digitalnih asistenata (PDA) ili pejdžera. Pri tom one pove ćavaju lojalnost svojih klijenta kao i produktivnost svojih zaposlenih. Klijenti na ovakve usluge odgovaraju povećanim entuzijazmom. Prema istraživanjima koja je sprovela Nokia, aplikacije mobilnog bankarstva su na samom vrhu zahtjeva korisnika bežičnih uređaja. Istraživanja Meridijena to potrv đuju, do 2003 oko 40 miliona korisnika će upotrebljavati mobilnu tehnologiju za pristup nekim finansijskim servisima. Brza adaptacija na nove tehnologine možda za nekog predstavlja malo iznenađenje. Razlog tome je što putem mobilne tehnologije može da se uradi ono na šta su finansijske institucije čekale već duže vrijeme. One nam daju aplikacije za provjeru bankovnog računa, trgovinu akcijama ili prenos sredstava sa računa na račun, koje se bukvalno mogu izvršiti sa bilo kog mjesta i u bilo koje vrjeme.21 Proširenje bankarskih i brokerskih institucija na kanale mobilnih finnansijskih servisa izvršeno je agresivno. Većina Evropskih finansijskih institucija ponudilo je komplentno mobilno poslovanje svojim korisnicima. 1999 godine oko 90% banaka u Evropi već je u svojoj ponudi imalo neku od formi mobilnog bankarstva. Jedan od pionira u nuđenju finansijskih usluga na polju mobilne tehnologije je svakako MeritaNorthBanken. Ona je već 1992 godine nudila neku od formi mobilnog bankarstva. Vodeći na ovom polju u SAD su brokerske firme kao što su DLJ Direct, Fidelity, E-Trade, MSDW Online i Ameritrade. One nude mogu ćnost za trgovinu akcijama putem mobilne mreže. Međutim za očekivati je da će u narednih nekoliko godina neke od firmi, bilo veće ili manje, loše iskorititi mogućnost mobilnog poslovanja. Kada se donese konačna odluka o prelasku na mobilno poslovanje, veliki izazov predstavlja definisanje usješne strategije za rad u mobilnom okruženju. Ve ćina od servisa koje nude različite finasijske insitucije su veoma slični i prestavljaju samo osnovne aplikacije. Umjesto toga, tek nekoliko firmi eksploatiše širok raspon mogućnosti, počev od pristupa različitim informacijama do upravljanja transakcijama. Ove operacije su vremenksi osjetljive i ne zavise od lokacije na kojoj se izvršavaju. Mnoge kompanije na mobilni Internet gledaju tek kao na proširenje Weba. Uspješno poslovanje u mobilnom svjetu zahtjeva od kompanija upravo da razumiju razlike između mobilnog Interneta i Interneta i da prihvate izazove koje pred njih stavljaju mobilne tehnologije. Tek tada se može govoriti o uspjehu u svjetu mobilnog poslovanja. U nastavku će biti rječi o ključnim 21
W.W.Jang M-commerce:E-commerce With Twist low.com 2001. 106
zahtjevima koje finasijske institucije moraju da ispune da bi poslovali u mobilnom svijetu. Broj finasijskih servisa u velikoj mjeri zavisi od raspoložive mobilne platforme na kojoj će se izršavati. Servisi koji su se prvi pojavili bili su fokusirani na veliki broj klijenata i masovnu upotrebu. Danas imamo različite vrste finasijskih servisa i možemo ih podjeliti na: bankarske, brokerske, servise investiocionog bankarstva, ostale finasijske sevise i pla ć anje anje rač una una putem mobilnih uređ aja. aja.
Bankarski servisi Skoro sve veće banke su uvele ili planiraju da lansiraju servise mobilnog bankarstva. Dok je većina starijih aplikacija realizovana kao SMS, dvosmjerni komunikacioni protokol, većina današnjih aplikacija bazirana je na WAP standardu (Wireless Aplications Protocol). WAP omogućava mobilnim uređajima da komuniciraju preko Interneta jednostavnim unošenjem adrese kojoj žele da pristupe. Ovakav način pristupa Internetu ograničen je samim mobilnim uređajima i ogleda se u manjim brzinama, malim formama i koli činom memorije koju poseduju. Raniji servisi bili su tipično informaciono-bazirani, korisnici su mogli da putem svog mobilnog uređaja provjeravaju stanje na računu, provjeravaju stanje svoje kreditne kartice ili da dobiju neke osnovne finansijske informacije. U novijem vremenu, banke su po čele da objedninjuju mogućnosti tranaskacija u svojim servisima. Od ovih servisa naj češće se koriste za plaćanje računa, prenos sredstava ili aplikacije kreditiranja. Banke se nisu zaustavile na ovome, one i dalje proširuju svoje mobilne aplikacije novim transakcijama. Operacije koje će korisnici moći da izvedu putem svojih mobilnih uređaja postaje sve značajnije i kompleksnije. U Evropi ova migracija je uveliko u toku, mnoge savremene banke u Skandinaviji, Njemačkoj i Velikoj Britaniji nude neke od servisa mobilnog bankarstva. U SAD ovaj proces je nešto sporiji, Ameri čka banka i CityBank se dvije od svega nekoliko velikih banaka koje nude servise mobilnog bankarstava.
Brokeri Brokerske kuće su hitno, neke od svojih servisa, prebacile na mobinli Internet. Nezavisnost od vremena i lokacije pristupa mobilnih brokerskih servisa su veoma atraktivni za one korisnike koji često trguju. Kao dopunu, mobilni brokerski servisi nude svojim korisnicima da brzo reaguju na promjene u uslovima tržišta. Inicijalno brokerke kuće nisu u mogućnosti da ponude sigurne aplikacije, oni su se zato fokusirali na informaciono-bazirane aplikacije, kao što su pra ćenje vjesti, pregled vrijednosti akcija u realnom vremenu i provjeru ra čuna. Ova ponuda se sve više proširuje uključujući i jednostavnije transakcije, kao što su trgovina akcijama i upravljanje računima. U Evropi su uglavnom svi ovi servisi urađeni kao
107
WAP aplikacije, u Amerci prelezak na WAP aplikacije je nešto sporiji. U Americi se javljaju aplikacije prilago đene uređajima na kojima će se izvršavati. Neke od njih su Ameritrade za PSC, E*Trade za WT-AT. WT-AT.
Investiciono bankarstvo Investicione banke su uvidjele potencijal koji donosi m-commerc kako za povećanje produktivnosti njihovih zaposlenih tako i za dodavanje novih servisa za institucije i privatne klijente. Mnoge mogu ćnosti naravno tek treba da se otkriju. Sa strane prodaje i trgovine, investiocione banke nude svojim klijentima »Just in case« mobilne aplikacije koje će u svako doba biti povezane sa tržištem. Važne vjesti, promjene cjena, različete analize mogu biti isporu čene korisnicima odmah po njihovom nastajanju, bez obzira na kojoj se oni lokaciji nalazili. Sa strane akcionarskog investiranja i iz oblasti konsaltinga, aplikacije mobilnog poslovanja obezbeđuju komplentnu finasijsku pomoć. Iz oblasti konsaltniga one omogućavaju alate za podršku u odlu čivanju pomoću kojih donosioci odluka mogu da djele svoje mišljenje sa kljientima. Kompanije kao što su J.P. Morgan & Co su postigli napredak, u oblasti akcionarskog finansiranja, pružajući servis Syndirect Wireless. Ovaj servis omogućava kontakt preko bežičnog tržišta onima koji žele da emituju svoje obveznice, Tako đe omogućava investitorima da prate status i perfomanse akcija. Investiciono bankarstvo putem mobilnih uređaja je još uvjek u svojoj ranoj fazi, ali sve ve ća upotreba mobilnih uređaja od bankara i klijenata nesumnjivo čine ovaj servis veoma atraktivnim za dalji razvoj i upotrebu.
Drugi finansijski servisi Dok su banke i brokerske kuće bile prve koje su svoje servise ponudile u bežičnom svijetu, druge finansijske ustanove, kao što su osiguravajuće kompanije, zajmodavci i hipotekarske ustanove, savjetodavne institucije, kao i kreditne ustanove bi trbelao da u što skorije vrijeme razviju aplikacije mobilnog poslovanja. Ključan izazov za ove vrste kompanija je taj da one treba da ponude svoje servise mobinim klijentima u oblastima koje su tipi čno istraživačkog karaktera. Mogućnost predstavljaju push-bazirane aplikacije koje obavještavaju klijente o svojoj ponudi u bilo koje potrebno vrijeme. Na primer putnik na aeorodromu može da primi poruku koja ga obavještava o paketima osiguranja koje može da dobije. Expert za pozajmice može takođe preko mobinog uređaja da prikaže različite opcije pozajmica svojim klijentima. Agenti za prodaju nekretnina mogu nuditi svoje usluge za vrijeme dok klijetnu pose ćuju svoju potencijalnu kuću. Diversifikovane finansijske institucije kao što je Prudental pružaju ogomne mogućnosti na ovom tržištu. Ona obezbe đuje svojim klijentima mobilne aplikacije pomoću kojih oni non-stp dobijaju nove informacije i savjete. Druge institucije kao što je American Expres može upotrjebiti ovaj medijum da kopmletan set svojih usluga prebaci na mobilni svjet. Ova aplikacija bila bi integrisana sa finasijskim
108
savjetima, putnim uslugama i uslugama koje se tiču kreditnih kartica. Kreditne kompanije kao što je kapital mogu upotrjebiti ovaj medijum da povežu svoje klijente sa nekom tre ćom stranom odnosno drugim finansijskim institucijama bitnim za poslovanje. Mogućnosti za poslovanje su zaista moguće, ali za sada je svega nekoliko institucija počelo da ih zaista eksploatiše.
109
3.4.2
Principi mobilnog bankarstva
Tržište mobilnih finansija je još uvijek u razvoju. Mnogi servisi koji su trenutno u upotrebi predstavljaju jednostavno proširenje Web servisa. Kompanije su pokazale vrlo malo inovacija kod servisa kao što su plaćanje računa i trgovina. Iako se ovi servisi koriste u mobilnom okruženju, oni ne koriste u potpunosti mogućnosti mobinog poslovanja da transakcije budu raspoložive u bilo koje vrijeme i na bilo kom mjestu. Da bi u potpunosti iskoristile prednosti mobilnog poslovanja, finansijske institucije moraju dublje razumjeti klju čne strategije i tehnologije mobilnog tržišta. Sljedeće principe finansijske institucije moraju stalno imati na umu u ukoliko žele da posloju u mobilnom okruženju. 22
Vodeći principi za mobilne finansijske servise: 1. Lojalnost korisnika je važnija od povratka investicija
– Danas,
finansijske institucije gledaju na mobilne servise kao na direktan trošak svog poslovanja. Međutim oni su danas potreba, a ne luksuz. Na Internetu postoje mnogi servisi koje pružaju finansijske institucije, ali vrijeme koje korisnik može da provede na Webu je uvek ograničeno. Mobilni Internet omogućava korisnicima da pristupe finansijskim institucijama sa bilo kog mjesta i u bilo koje vrijeme. Iz tog razloga, kompanije koje se bave pružanjem finansijskih usluga treba da na mobilne servise gledaju kao na dar, a ne da brinu o tome kako će im se povratiti uložene investicije. Prihvatajući ovakav način rada finansijke institucije utiču na povećanje lojalnosti svojih korisnika tako što im se pruža mogućnost za praćenje životnog stila korisnika i slično. ost sa ostalima i u startu ponuditi razli č ite servise – 2. Izbjeć i sli čn
Spektar servisa koje danas nude banke i brokerske institucije nalaze se u rasponu od provjere bankovnih računa i plaćanja do zaštite u sferi trgovine. Ovaj spektar usluga nudi većina finansijskih institucija i one predstavljaju njihovu standardnu ponudu. Razvijajući neke drugačije i naprednije servise, koji se ne mogu na ći bilo gde na tržištu, privla če se korisnici i povećava njihova lojalnost. Na taj na čin može postati lider na tržistu.Obezbjediti inovativne servise je značajna šansa za finansijske institucije. Oni treba da budu razli čiti od opšte ponude mobilnih finansijskih servisa. Na primjer, jedan od naprednijih servisa bio bi pristup nekim glasovnim analizama ili savjetima finansijskih stru čnjaka. Na ovaj način kombinuju se savjeti "živih" stručnjaka sa podacima koji su snimljeni i postoje u tonskom zapisu. Ovakvi inovativni mobilni servisi tako đe jačaju poziciju finansijke institucije u poređenju sa njenom konkurencijom. Što hitnije sve institucije koje se bave mobilnim poslovanjem bi trebalo da razmotre mogućnosti uvođenja ovakvih servisa. Drugi način za difersifikaciju je ponuda servisa koji bi bili specifi čni za određene mobilne uređaje. Korisnici bi bili zadovoljni ovakvim vidom personalizacije i 22
Rod Ghani,The Future of WirelessBanking, IBM Global Servises 2001 110
povećali bi kontakte sa svojom finansijskom institucijom. Na primjer, mobilni telefoni su više prilagođeni za pristup glasovnim savjetima specijalista dok su PDA uređaji prikladniji za pristup aplikacijama koje pružaju različite grafičke analize ili su bogate tekstualnim izvještajima. Mnoge kompanije nisu shvatile ovaj jednostavan, ali veoma važan koncept, umesto toga oni su preveli svoje web aplikacije na što više uređaja je moguće. Korisnici će kada sagledaju različite ponude izabrati onu za koju ima se čini da iza sebe ima ve će mobino iskustvo. 3. Personalizacija je klju č za lojalnost korisnika- Maksimiziranje koristi od jedan-na-jedan prirode mobilnih uređaja je ključ za uspjeh institucija koje žele da uspostave jake veze sa korisnicima koji ne zavise od određene lokacije. Personalizacija može imati više oblika. Jedan metod je skladištenje korisničikih informacija kao što su vrijednosti akcija ili kamatne stope. Softverski alati zatim prikazuju razli čite informacije u zavisnosti od toga ko pristupa aplikaciji. Drugi metod je ponuda razli čitih servisa u zavisnosti od interesovanja klijenta. Recimo ako znamo da klijent često putuje možemo mu ponuditi servis o mogu ćnostima osiguranja automobila. Personalizacija predstavlja fenomenalanu mogućnost za povećanje lojalnosti korisnika. 4. Partnerstvo sa mobilnim operaterima- U današnje vrijeme pristup mobilnom Internetu ograničen je preko malog broja provajdera. Očekuje se da će ovakav model biti prevaziđen i da ce ustupiti mjesto paradigmi koja je slična Internetu gdje korisnik može da bira kako će pristupiti mreži. Dok se to ne dogodi finansijke institucije bi trebalo da ostvare neki vid saradnje sa mobilnim operaterima i ponude svoje usluge na tržištu. Naravno saradnja sa drugim institucijama koje nude svoje usluge na mobilnom tržistu je tako đe poželjna. Firme moraju identifikovati njima značajne partnere i tako izbje ći da zaostanu u tržišnoj utakmici. Primjeri uspješne saradnje su Yahoo i AOP ili Simens i Motorola na polju tehnologije. 5. M commerc mora biti integrisan sa drugim korisni č kim servisima- Dobra m-commerc strategija ne znači da ona treba da bude izolovana od drugih korisničkih kanala u organizaciji. Kompanije koje ne integrišu svoje
tradicionalne Web strategije i Brick and Mortal modele poslovanja samo zbunjuju i udaljuju svoje korisnike. M-commerc mora biti inkorporiran u strategiju organizacije tako da dopunjuje, i da bude dopunjavan od drugih servisa. M-commerc omogućava kompanijama da popune praznine u svom radu kada nije moguć pristup informacijama preko drugih kanala. Pristup vremenski osjetljivim podacima je sigurno brži kada se ostvaruje preko mobilnih uređaja nego preko saltera ili Pc računara. Ovaj servis treba da bude iskorišten tako što će se korisnici ohrabrivati da koriste mobilne kanale kao izvor informacijama koje su vremenski osjetljive i koje nisu vezane za određenu lokaciju. Finansijske institucije treba da omoguće korisnicima da prvo pristupaju mobilnim kanalima usluživanja, a ako je neophodno da ih preusmjere na druge kanale. Uspjeh m-commerca zavisi i od toga kako će on biti podržan od drugih servisa. Za neke usluge
111
lakše je koristiti PC bazirane Web sajtove. Standardni Web sajtovi se mogu koristiti i kao podrška onim servisima koje je lakše obaviti preko mobilnih uređaja. To se radi na taj na čin što će se na njima nalaziti razna upustva za korištenje mobilnih ure đaja i odgovori na naj češća pitanja korisnika koja se odnose na mobilne servise. Ovakva upustva svakako je lakše čitati sa PC ra čunara nego sa mobilnog uređaja i olakšavaju rad sa njima. Takođe mobilni servisi se mogu koristiti kao podrška tradinicionalnim ili Web servsima. Oni mogu reklamirati razli čite servise koje će korisnici kasnije koristiti ili pružiti neke značajnije informacije, a za dalja objašnjenja uputiti korisnika na Web sajt. 6. Da li su aplikacije prilago đ ene prethodnim korisnicima- Kada su finansijske institucije počele da se interesuju za mobilno tržište softerske kompanije su napravile aplikacije koje su obezbjeđivale različite finansijske servise. Aplikacije koje su bile namjenjene bankama i brokerskim institucijama uglavnom su nudile osnovne finansijske servise. Ovakve aplikacije nisu uvijek uspjevale da dostignu onaj nivo usluge na koji je korisnik navikao. Njihova glavna snaga ležala je u tome da one prikazuju kako korisnik reaguje na mobilno okruženje. Međutim ovo nije uvijek dovoljno. Aplikacija u mobilnom okruženju mora biti bar približno korisnički orjentisana u toj mjeri u kojoj je korisnik navikao koristeći različite ranije usluge kompanije. Na primjer ako je korisnik navikao da kontaktira svog savjetnika za trgovinu akcijama pre nego što se odluči da izvrši transakciju, treba mu omogućiti da takav servis obavi i preko svog mobilnog uređaja. Neke aplikacije mogu biti dobro napravljene a da njihov uspeh na tržištu izostane upravo zbog lošeg prenosa ranijeg imidža firme u mobilno okruženje. 7. Pravilna zaštita zahtjeva pravilno planiranje- Pošto se rad finasijskih institucija uglavnom odnosi na novčana i druga vrijednosna sredstva i servisi mobilnih finansija vremenom rade sa sve većim i većim vrijednosnim kapitalom. Upravo zbog toga mobilne aplikacije moraju pružiti odgovarajući stepen zaštite. Ciljevi sigurnosti mobilnih aplikacija slični su kao i kod Weba. Na primjer finansijske institucije moraju da rade iako postoji određeni rizik za njihovo poslovanje, pri razvoju aplikacije potrebno je definisati koji stepen zaštite je potreban. Kreiranje zaštite u mobilnim apliakacijama predstavlja veliki izazov. Napraviti sigurnu, Internet mobilnu aplikaciju, nije nemoguce, ali, zahtjeva pažljivo planiranje, odogavarajuća sredstva i brz razvoj proizvoda. Sigurnost je komplikovan zahtjev u mobilnom okruženju, ako kompanija želi da njen prozivod bude dostupan na više tržišta. Ukoliko bi željeli da dostignu maksimalan stepen sigurnosti kompanija bi morala da hostuje svoju aplikaciju unutar same kuće. Međutim ukoliko bi željela da njen prozivod bude rasprotranjen na tržištu različitih kontinenata morale bi da snose visoke troškove održavanja svojih severa i gateway po razli čitim kompanijama. U ovakvim slučajevima pristupa se outsorsingu odnosno sigurnost se radi u saradnji sa drugim kompanijama, recimo mobilnim operaterima. Razvoj sigurne aplikacije mora početi intezivnim planiranjem. Odluka o stepenu sigurnosti
112
ne bi trebala biti donešena dok kompanija ne napravi jasnu regionalnu strategiju, odredi koliko će investirati u razvoj mobilnog poslovanja i odredi kakvi sve mogu biti udari na sigurnost. Zapravo ne postoje finansijske aplikacije koje mogu ponuditi potpunu sigurnost bez u češća neke treće strane. Softvera koji bi stajao izmedju finansijske institucije i korisnika. Ćak i WAP koji je superioran po pitanju sigurnosti u odnosu na neke popularne servise kao što je recimo SMS ne pruža potpunu garanciju za bezbjednost WAP gateway servera. Različita rješenja treće strane omogućuju da se ovaj problem prevaziđe ali ona mogu da stvore nepotrebne troškove za firmu i kasnije probleme prilikom puštanja softvera u rad koji se ti ču prilagođavanja sa njihovom aplikacijom. Sa druge strane finansijske institucije koje misle da su u mogu ćnosti da dostignu potreba stepen sigurnosti, a da izbjegnu probleme koje donosi sistem outsorsinga moraju da sagledaju sve relevante činjenice u vezi zaštite softvera. 8. Oprez od srednjeg sloja- Finansijske institucije uglavnom rade aplikacije koje se koriste na različitim uređajima. Umesto da rade aplikaciju za svaki ponasob one uglavnom svoje aplikacije srednjeg sloja distribuiraju na različite uređaje. Trgovac koji isporučuje ovakve aplikacije trvrdi da su one pouzdane na različitim mobilnim uređajima, međutim to je tačno samo u nekim slučajevima. One uglavnom zadovoljavaju samo osnovne zahtjeve pojedinih specifičnih uređaja. Neka od ovih rješenja obezbjeđuju jednostavne "par čiće Weba" servise koji ne mogu da podrže razli čite atribute pojedinih uređaja, kao rezultat dobija se nepotpuna aplikacija koja smanjuje lojalnost korisnika. Mobilni finansijski servisi moraju se razvijati individulano za pojedine mobilne uređaje. 9. Strategija puštanja u rad aplikacije "Rollout" – Rollout je važan koncept koji kompanija mora da razmotri ukoliko želi da izvrši prodor na moblino okruženje. Upotreba njenih mobilnih servisa postaje sve ve ća i transakcije postaju obimnije. Uspješna rollout strategija zahtjeva da se ozbiljno razmotri koliko aktivnosti se može hednlovati na kompanijskim serverima, koliko na serverima partnera, a koliko na korisnikovoj mreži. Prije nego što pusti svoj sistem u rad, kompanija bi prvo trebala da ga isproba na nekoj lokaciji u kojoj će se on koristiti u manjoj mjeri. Tek posle rada na nekom probnom tržištu aplikacija bi trebalo da se "roluje" odnosno pusti u rad na ključno područ je. Takođe veoma je bitno izgraditi servise za podršku korisnicima. Neke kompanije već imaju izgrađenu robusnu podršku kupcima. Finansijske institucije moraju pomoći svojim korisnicima pri intereakciji sa novim medijumom. Servis za podršku korisnicima bi trebao da prati korisnikove transakcije, pruži odgovarajuću pomoć pri teškoćama u radu sa mobilnim okruženjem i da informiše korisnike o budućim servisima koji će im biti na raspolaganju. Mobilno okruženje je mnogo zahtjevnije od Web okruženja, jer korisnici posjeduju manji prag tolerancije za teškoće na koje nailaze u radu. Uzimajući sve ovo u obzir jasno je da finansijske institucije moraju izgraditi odgovarajuću podršku za rad sa korisnicima. Ovakva infrastruktura garantovala bi korisnicima bezbolan prelezak na rad sa mobilnim okruženjem.
113
10. M commerc nije samo za klijente – Većina finansijskih institucija
fokusira svoju mobilnu ponudu ekskluzivno na zadovoljenje potreba svojih klijenata. Ovaj aspekt je naravno veoma važan za mobilnu strategiju ali nije neophodno da budu i jedini. Zaposleni tada mogu imati koristi od korištenja mobilnih servisa što dovodi do povećanja njihove produktivnosti i efikasnosti. Na primjer, kada investiciona banka vrši istraživanja ona može imati dodatne koristi, ako najnovije informacije distribuira do svojih zaposlenih u trenutku njihovog nastajanja. Zaposleni tako đe može primiti listu klijenata i donijeti odluku da li će pojedničano obavještavati svoje klijente ili će poslati grupnu e-mail poruku svima. Od m-commerca podjednako mogu imati koristi i kljenti i zaposleni unutar kompanije.
114
3.4.3
Strategija mobilnog bankarstva
Taman kada su finansijske institucije uspjele da konsoliduju svoje e-commerc strategije pred njima se pojavio novi izazov, m-commerc. U ovom dijelu rada pokazaćemo šta banke tačno treba da rade da bi izvukle maksimalne vrijednosti iz mobilnog tržišta. Koje sve mogućnosti i rizici postoje i kakve su raspoložive strategije za izlazak finansijskih institucija na mobilno trzište. Korisnicima mobilnih usluga širi se set usluga koje mogu da izvršavaju preko svog mobilnog uređaja, od proste provjere stanja na bankovnom računu pa sve do izvršavanja nekih složenijih transakcija. Pokazalo se da korisnici veoma lako prihvataju nove usluge naročito one koje su vremenski ili lokacijski kriti čne. 23 Danas banke širom svijeta nude širok raspon bankarskih usluga putem svojih mobilnih kanala. •
•
•
•
•
U Singapuru, korisnici mogu da provjeravaju stanje na svom bankovnom računu, vrše transfer novca sa računa na račun i vrše plaćanja. Oni takođe mogu da vide poslednje uplate, provjeravaju kursnu listu ili vide vrijednosti dionica na tržištu. Banka takođe koristi mobilne tehnologije da prenese važne finansijske informacije do svojih korisnika. U S.A.D, Charls Swab nudi kompletnu trgovinu dionicama, počev od vrijednosti akcija do ponude i verifikacije trgovine preko mobilnih ure đaja. Takođe nudi glasovnu analizu eksperata za trgovinu dionicama. MeritaNorthBanken iz Skandinavije nudi sistem trgovine baziran na WAP tehnologiji koji omogućuje plaćanje kod preko 700 virtualnih trgovaca. Trgovci su registrovani u bančinom sistemu i plaćanje se obavlja direktno sa bankovnog računa korisnika, proces plaćanja se obavlja tako što korisnik unese svoju šifru, broj računa, iznos i broj transakcije. Neke banke koriste mogućnosti mobilnih telefona i uvode pla ćanje pomoću kreditnih ili debitnih kartica.
Promjene životnog stila korisnika, potreba za sve većom brzinom i boljim perfomansama dovode do pogoršanja odnosa između korisnika i standardnih bančinih kanala usluživanja. Nove tehnologije omogućuju da banka zadovolji sve sofisticiranije potrebe korisnika i da ostvari bolju saradnju sa njima. Koriste ći nove tehnologije banka treba da razumije specifi čne potrebe korisnika i da im isporuči komplentna finansijska rješenja koja im daju sve potrebne informacije i mogućnosti za komotan rad. Pristup korisniku preko njegovog mobilnog ure đaja omogućava banci da ispita njegove individualne potrebe i da iskoristi najmoćnije sredstvo mobilnih uređaja – personalizaciju. Na primijer ako je korisnik srednje klase neće mu slati reklamu za kupovinu najnovijeg BMW. Dok sa druge strane visoko platežnom bančinom klijentu može poslati reklamu za najnovijeg BMW, mogućnosti osuguranja, informacije o povoljnom kreditiranju kupovine i posebne 23
Quentin Mendoza, Staff Writer, This season for m-commerce, Anywhereyougo.com 2000 115
pogodnosti za plaćanje. Na ovaj način banka mijenja svoju tradicionalnu ulogu obavljanja bankarskih i finansijskih usluga i postaje provajder personalizovanih i lokalnih informacija, ona povećava svoj dijapazon usluga koje nudi korisnicima. Ukoliko uspješno primjeni mogućnosti m-commerca banka može da: Poveća lojalnost korisnika nudeći mu usluge koje zadovoljavaju njegove specifične potrebe. Ostvari dodatni prihod počev od prijavljivanja za mobilne usluge pa do procenta po obavljenoj transakciji.
•
•
Istraživanja Foresr Research pokazuju da na ovaj način banka može ostvariti znatne dodatne prihode i to od: Mjesečne pretplate, prihodi variraju od 1$-3$ u zavisnosti od usluge. Prihod po transakcijama, 9% od ukupne vrijednosti svih transakcija. Per to pay usluge, 4 centi za e-mail ili 3 centa za web stranu.
• • •
Samo banka ima pristup relevantnim podacima koji opisuju korisnikovo ponašanje, kao što su, kupovna moć, kreditna sposobnost, modeli transakcija. Ove informacije koje su često fragmentisane i nepotpune mogu se, ukoliko se lijepo obrade, iskoristiti da objasne korisnikovo ponašanje i da se razumiju njegove potrebe. Banke su takođe u tjesnoj vezi sa korporacijama i sa poslovnim partnerima. Njima treba ponuditi usluge m-bankarstva. Po istraživanjima Artura D Litla 75% klijenata finansijskih institucija je u mogu ćnosti da koristi rešenja m-bankarstva. Međutim ista istraživanja pokazuju da nije dovoljno ponuditi samo mogućnosti izvršenja jednostavnih transakcija. Znači da ponuda većine banaka koja se svodi samo na jednostavne finansijske transakcije ne predstavlja značajan uspjeh. Ponuda komplentnih finansijskih rješenja doprinosi stvaranju jedinstvenog imidža banke . Telcos, veliki Internet portal objavio je kakve usluge treba banka ili finansijska ustanova da ponudi da bi proširila svoje uobičajene ponude. Jako povezivanje sa mobinim provajderima ili nuđenje usluga provajdinga i korištenje već postojećih korisnika. Ponuda sofisticiranih data-mining tehnika koje pomažu korisniku da u moru informacija lakše pronađe onu od koje će imati koristi. Mogućnosti provjere stanja na bankovnom računu, uslova kreditiranja, raznih finansijskih informacija. Plaćanje putem elektronskih naloga i kreditnih ili debitnih kartica. Dobro izgrađenu infrastrukturu zaštite koja će osigurati bezbjednost online transakcija.
•
•
•
•
Očigledno je da nove tehnologije stvaraju nove virtuelne kanale za prodaju i isporuku finansijskih servisa. Mobilna tehnologije omogućuje da se istraži životni stil korisnika i da se stvori bolja povezanost finansijske institucije sa korisnikom. Mobilni virtuelni kanali čak više poboljšavaju tradicionalne bankarske usluge od 116
Internet kanala. Artur D Little identifikovao je tri mogu ća scenarija za izlazak na mobilno tržište. To su Super Operater scenario, Intimate Seller i Brand Bureau scenario. U Super Operater scenariju mobilni operater uvećava svoje kapacitete (mreže, infrastrukturu, broj korisnika) i proširuje svoje usluge na ulogu agenta za plaćanje. Finansijske institucije zavise od distribucije mobilnog operatera, ali sa druge strane ovaj takođe mora biti tijesno povezan sa njima. Ovakav scenario je dominantan na Japanskom tržištu gde NttDoCoMo ima najveći broj korisnika kojima obezbeđuje i-mode usluge. Banka maksimalnu vrjednost izvla či iz toga što se postavlja kao strateški partner ovom dominatnom operateru. U Intimate Seller scenariju podrazumjeva se da postoji veliko heterogeno tražište gdje kupci pokušavaju da pronađu željene proizvode. Kupci u ovom slu čaju žele da se obrate na adresu gdje mogu naći specijalistu za pomoć pri obavljanju transakcije. Banka u Intimate Seller scenariu može naći mogućnost za uspostavljanje mcommerc kanala. U Brand Bureau scenariu banka se postavlja kao instituicija koja će izvršiti agregaciju različitih ponuda i napraviti homogeno tržište za svoje korisnike. Banke najviše koristi mogu imati upravo u ovom scenariu pošto mobilni operater tada gubi prednosti koje je imao u Super Operater scenariu gde se postavljao kao dominantan. Kada identifikuje najpovoljniji scenario banka mora da izvu če maksimum koristi iz njega tako što će razviti potrebnu tehnologiju i ispitati potrebe tržišta. Banka mora da •
•
•
•
Identifikuje značajne partnere koje imaju slične ciljeve sa ciljevima banke i uspostavi saradnju sa njima. Ovo zavisi i od toge kakvi prozivodi i usluge će se nuditi klijetnima. Kreirati različite portfolie usluga za razli čite segmente tržišta. Ponuditi pravi set usluga na pravom tržištu može znatno uticati na pove ćenje ključnih kompentencija banke. Na svakom segmentu tržišta treba ispitati koji su pravi, a koji potencijalni korisnici i koje su njihove potrebe. Svim zaposlenima omogućiti lak pristup informacijama o korisnicima. Inforamacije o klijetnima banke uglavnom su razbacane na više mjesta i nalaze se u više različitih sistema. Data mining tehnikama omogu ćiti da svi zaposleni mogu lako da dobiju potrebne informacije o klijentima. Pažljivo planiranje investiranja u skladu sa opštom strategijom banke. Uspešno lansiranje mobilnog poslovanja banke mora biti u skladu sa opštom strategijom banke. Prelazak banke na novu tehnologiju mora biti jasno definisan i usaglašen sa dotadašnjom informacionom infrastrukturom banke.
117
3.4.4
Tehnička infrastruktura mobilnog bankarstva
Mobilni uređaji 1. 2. 3. 4. 5.
Klijentski uređaji, workpad,palm, ipaq... Pejdžeri Smart telefoni, WAP telefoni Ostali... Operativni sistem je softverski paket koji upravlja osnovnim operacijama računara, operativni sistemi razvijeni za mobilne ure đaje su: a. Windows CE : verzija microsoftovog windowsa. Instaliran je na mnogim PDA uređajima. b. Palm OS: Razvijen je od strane 3COM-a, veoma pristojna platforma. Predstavlja najpopularniji OS za mobilne ure đaje i široko je rasprostranjen na tržištu. Ima ugrađenu podršku za neke Java aplikacije. c. Linux: Veoma efikasan, ima podrsku za Java aplikacije, otvoren kod i može da se instalira na ve ćini PDA uređaja i na smart telefonima. d. EPOC: Operativni sistem razvijen uglavnom za telefone Ericson i Nokia, na tom tržištu predstavlja glavni operativni sistem.
Svaki od ovih mobilnih uređaja zahtjeva određeni način komunikacije, oni zahtjevaju sopstveni gateway za komunikaciju sa aplikativnim serverom. Svaki ima različitu veličinu ekrana prilagođenu različitim vrstama prikaza podataka. Različite tastature generišu i razli čite sisteme navigacije sa aplikacijom. Izazov za aplikativni server je da razvrstava ove uređaje i da svakom šalje podatke u formatu koji će biti u skladu sa njihovim dizajnom.
Povezivanje, Gateway U ovom poglavlju biće objašnjene osnovne komponente bežične mrežne arhitekture. Polazeći od krajnjeg korisnika, mobilni uređaj može biti bilo koji uređaj kojim on prustupa lokalnom cell centru. Cell centar odgovara za pokrivenost određenog geografskog regiona. Kada primi podatke on ih šalje baznoj stanici. Mobilna mreža snima i identifikuje sve potrebne informacije u lokalnom registru, ukoliko je korisnik na lokalnoj geografskoj pokrivenosti. Ako nije tada stanica prati poziv, tada se odre đuje roaming poziva. Kada se poziv inicira uređaj šalje svoj identitet preko electronik serial numbera (ESA) i mobilnog identifikacionog broja (MIN). Ove informacije su od vitalnog zna čaja, jer preko njih gateway vrši identifikaciju korisnika. Na ovaj na čin aplikacioni server priprema podatke koje će kasnije poslati odgovarajućem korisniku.
118
Paket je kolekcija podataka pripremljena za poseban način slanja. Postoji dva načina prenosa takozvani circuit tip prenosa i paketski na čin prenosa podataka. Circuit je tip prenosa u kojem se uspostavlja trajna i nepromjenjiva fizi čka veza između dva korisnika za vreme njihove konekcije. Trajanje veze identično je trajanju poziva. Paketski prenos ne zahtjeva otvorenu liniju izme đu pošiljalaca i primalaca podataka. Ovaj metod omogućava da se podaci podjele u veći broj paketa i da se pošalju. Na prijemnoj strani oni se ponovo sklapaju u cjelinu. Druga prednost pocket sistema ogleda se intermintentom korištenju određenog radio kanala, koji je zauzet samo u trenucima kada postoji realan protok podataka. Kada takvog protoka nema, veza se oslobađa i stavlja na raspolaganje drugom korisniku. To je mnogo efikasniji na čin korištenja veze od rezervisanja fiksnog kanala za jednog korisnika na određeno vrijeme, pošto na ovaj na čin veći broj njih može koristiti isti kanal. Broj korisnika koji mogu simultano koristiti jedan kanal limitirana je jedino koli činom podataka koji se prenose, a njega operateri mogu lako ograničiti. Konektivnost zavisi od različitih mobilnih ure đaja, takođe može varirati od provajdera do provajdera.
Bežični srednji sloj (aplikativni sloj) Aplikativni sloj je centralni dio mobilnog sistema. To je mjesto gdje se tok podataka kontroliše, postavljaju pravila, i izvršavaju fajlovi. Aplikativni softver bi trebalo da bude otvoren sistem koji lako može da uspostavi komunikaciju sa drugim sistemima. Jedan od najčešćih metoda komunikacije sa back-end sistemima je XML-API alata za rad sa podacima. XML se koristi za ekstrakovanje i isporuku podataka, XSL može da izvršava transformacije, upotrabljavajući DTD fajlove za izvršavanje funkcija koje su napravljenje za vrijeme dizajniranja aplikacije. Različiti mobilni uređaji imaju različite modele ekrana. Aplikativni sloj treba da prati korisnikovu konekciju, da odredi sa kojeg se uređaji oni prijavljuju i da u zavisnosti od toga isporu či podatke u odgovarajućoj formi. Screen tempalte može biti XML dokument koji će sadržati definiciju i osobine različitih ekrana specifičnih za pojedine mobilne uređaje. Najvažnije osobine koje apliaktivni sloj treba da posjeduje su : Lak za instaliranje, konfigurisanje i dodavanje novih servisa. Klijenstka aplikacija mora biti laka za instalaciju. Lak za integraciju sa drugim serverima i back-end sistemima. Mora biti zaštićen od različitih vrsta upada. • • • •
Transcoding Transkoding je proces formatiranja podataka, kojima korisnik pristupa putem svog mobilnog uređaja, upotrebom XML, XSL i DTD fajlova. Ovaj metod omogućava krajnjem korisniku da pristupi podacima bez obzira koji uređaj koristi.
119
Kada se sa mobilnog uređaja inicira zahtev za pristup podacima, aplikativni server prihvata zahtev i određuje sa kojeg uređaja se vrši pristup. Koristeći više logičkih procesa aplikativni server procesira podatke u XML dokument koji može komunicirati sa back-end sistemom preko API konekcije. Rezultat je da su izvorni podaci transormisani (procesirani) upotrebom XSL style sheet u format koji je odgovarajuć mobilnim uređajima. Ovaj postupak je veoma složen i zavisi od toga koliko različitih uređaja podržava servis koji nudi finansijska institucija. Postoje prozivod kao što je IBM WebSphere, to su veoma mo ćni alati koji mogu da naprave robusne finansijske aplikacije. WebSphere hendluje podatke dinamički i prilagođava različitim mobilnim ure đajima. Takođe na zahtjev može da startuje multikorisničke aplikacije koje su integrisane sa back-end sistemima. WebShare selektuje ispravan screen tempalte, prilagođava podatke odgovarajućem uređaju a zatim ih isporučuje. XSL je korišten za definiciju transformacije podataka, veza između back-end sistema i aplikativnog servera se obavlja putem API konekcije. XSL se koristi za prezentaciju i upravljanje podacima, a XML za hendlovanje podataka. Aplikacioni server može korisititi standardne osobine mobilnih sredstava za upravljanje podacima. Ovo može doprinijeti lakšem razvoju aplikacije. Na nivou aplikacionog servera mogu biti uskladišteni user id i id mobilnog ure đaja. Aplikacioni server pristupa bazi u trenutku kada primi zahtev za pristup od mobilnog uređaja. Baza priprema format podataka u zavisnosti od ure đaja koji joj pristupa. Aplikacioni server takođe poredi identifikacioni broj uređaja sa korisničkim Id i tako vrši verifikaciju. Zatim apliakacioni server uspostavlja komunikaciju sa gateway serverom, a ovaj dalje prosleđuje podatke uređaju koji je inicirao konekciju.
Pushing or puling data Pull tehnologija je tehnologiju u kojoj klijent inicira komunikaciju koriste ći gateway i zahtevajući podatke. Tada se podaci dovlače sa aplikacionog servera na mobilni uređaj. U push tehnolgiji aplikacioni server ima veću kontrolu nad mobilnim ure đajima. Aplikacioni server donosi odluku kada će poslati podatke mobilnom uređaju, za push tehnologiju nije potreban prethodni zahtjev klijenta. Bilo koja tehnologija da se koristi metod autentifkacije mora biti na prvom mjestu.
120
3.4.5
Mobilno plaćanje
Servisi mobilnih plaćanja su još uvek u fazi razvoja. Za sada još uvek nema najboljeg rješenja koje bi zadovoljilo kitičnu masu korisnika i koje bi se nametnulo kao standard na tržištu. Mobilno plaćanje predstavlja najkritičniji deo mcommerca u vrijeme kada se mobilni ure đaji sve više koriste kao transakcioni agenti. Razvoj mobilnog pla ćanje će se nastaviti sve dok se ne iskristališe jedno ili dva rješenja koja će se nametnuti kao standard na tržištu. Tek tada se može očekivati da korisnici prihvate mobilno pla ćanje kao alternativu uobičajenim metodama plaćanja. Za sada, imamo nekoliko obećavajućih eksperimenta u ovoj oblasti. 24
Kartičarstvo Prvi pokušaji mobilnog plaćanja obuhvatali su standardne bankarske kreditne i debitne kartice u integraciji sa mobilnim telefonom. U avgustu 1999. godine Francuski telekom je postio u rad probni servis koristeći motorolu starpack u kombinaciji sa čitačem kartica koji je omogu ćavao plaćanje putem bankarskih kartica. Postupak plaćanja bio je sljedeći. Korisnici su pomoću telefona ili Interneta naručivali proizvode, preko svog mobilnog telefona primali su SMS poruku o uspješnoj narudžbini, a zatim su kompletirali transakciju tako što su ubacivali karticu u čitač i unosili šifru. Ovakva vrsta plaćanja nas dovodi do uvjerenja da su ovi ure đaji korisniji od običnih mobilnih telefona. Me đutim kopanije bi morale da ponude integrisano rješenje mobilnih ure đaja i čitača kartica. Prednost je naravno stepen sugurnosti koji je u ovom slu čaju izuzetno visok i vezan za čitača kartica.
Rješenja koja ne koriste kartice Kompanije takođe nude usluge mobilnog plaćanja za koje nije potrebna upotreba smart kartica. Sonera, bivši Finski telekom, obezbjedio je usluge mobilnog palćanja bez upotrebe smart kartica, ovaj servis nazvan je »pay-by-GSM phone«. Korisnici obavljaju transakcije tako što unose poseban broj koji se odnosi na recimo parking servis ili bilo kojeg drugog pružaoca usluga. Operater mobilne telefonije u ovom slu čaju igra ulogu klirinške kuće, ona kreditira korisnikov unaprijed određeni račun. Ovakvo rješenje je veoma dobro za mikro plaćanja kao što je pla ćanje različitim trgovcima. U Finskoj MeritaNordBanken je pionir u pružanju usluga mobilnog pla ćanja svojim korisnicima. Njeni korisnici mogu obaviti kupovinu tako što će prebaciti novac sa svog računa na račun 24
Mobilo Financilal Servises, Mobilo City. net 2000 121
jednog od 700 participiranih prodavaca. Ova transakcija se obavlja veoma jednostavno unošenjem korisničkog imena, lozinke i broja transakcije. Ovakve aplikacije plaćanja bez upotrebe kreditnih karica su veoma privla čne za korisnike, pošto omogućavaju klijentima i trgovcima da obavljaju transakcije upotrebom postojeće infrastrukture. Nema nikakve potrebe da pojedinac kupuje posebne uređaje ili da kompanije ulažu dodatne investicije u svoju opremu. Najvažniji nedostatak ovakvog oblika plaćanja je sigurnost. Postojeće rješenje se oslanja na sigurnost GSM mreže koja sama posebi nije dovoljna da sprije či zloupotrebe prilikom transakcija.
Bluetooth rješenje plaćanja Bluetooth tehnologija koja omogu ćava uređajima da na malim razdaljinama komunicira pomoću brzih radio signala tako đe može da odigra važnu ulogu u sistemima mobilnog plaćanja. Pomoću bluetooth tehnologije korisnici mogu da obavljaju različite vrste mikro plaćanja tako što će svoj mobilni telefon prijeneti uređaju za plaćanje i tako obaviti transakciju. Pomoću bluetooth tehnologije korisnici takođe mogu da »napune« svoje moiblne telefone novcem preko bankomata.
Mobilni keš Mobilni keš predstavlja način punjenja mobilnih telefona »kešom« najčešće pomoću smart kartica. Koncept je još uvek u eksperimentalnoj fazi i još uvjek nema jedinstvenog procesa koji bi se nametnuo kao standard u ovoj oblasti. Postoji nekoliko inicijativa uključujući Visu i Barclays iz Velike Britanije. Obe kompanije su pustile u probni rad sistem zasnovan na debitnim smart karticama koji omogućavaju plaćanje i primanje keša putem beži čne mreže. Od nedavno postoje i drugi principi pomo ću koga korisnici mogu da razmjenjuju mobilni keš. Korisnici mogu da razmjenjuju keš putem e-maila ili komunikacijom pomoću infracrvenih portova. Dva najpoznatija servisa ove vrste su PayPal i Remit.com, oni omogućuju fizičkim i pravnim licima da vrše transfer novca sa svojih bankovnih računa ili sa svojih kreditnih računa. Da bi se ovi servisi prihvatili moraju biti ispunjena sljede ća očekivanja, rad sa njima mora biti userfrendly i moraju raditi na postoje ćoj infrastrukturi.
122
3.4.6
Sigurnost mobilnog bankarstva
Sigurnost je jedan od najvažnijih zahtjeva mobilnog bankarstva, ako ne i najvažniji. Istraživanja pokazuju da kod mobilnog bankarstva kao i kod on-line bankarstva korisnici imaju malo povjerenja u bezjbednost aplikacija. Najveći broj ispitanika se plaši da šalje svoje povjerljive podatke putem mreže, a tako đe velik broj brine za bezbjednost transakcija. Ova briga se povećava kod mobilnog bankarstva, jer je velik broj kriptografskih metoda “provaljen”, a mobline komunikacije je prilično lako pratiti. Mobilno bankarstvo i trgovina su ranjiviji od ostalih sistema komunikacija i često se nalaze na meti hakera. Kada podaci prolaze kroz mobilno okruženje većina provajdera i institucija nudi veoma slabu zaštitu. Uglavnom mjere bezbjednosti se svode na one koje pruža provajder mobilne telefonije. Ako pogledamo strukturu WAP sigurnosnog modela videćemo da postoje dva djela u modelu koja zahtevaju primjenu sigurnosnih mehanizama: Komunikacija između WAP gateway-a i web servera zahteva SSL (Secure Socket Layer) za sigurnu komunikaciju. Komunikacija između WAP gateway-a i WAP prijemnika zahtjeva upotrebu WTLS sigurnosnog protokola koji će poruke kodovane SSL protokolom na web serveru prenijeti sigurno ka WAP prijemniku.
•
•
Mogućnosti za presretanje poruke, a samim tim i njeno neovlaš ćeno korištenje na ovom modelu su brojne. Mjesta za presretanje su komunikacija između gateway-a i web servera i između gatewaya i WAP telefona. Načini
na
koji
se
tre ća
lica
mogu
uključiti
u
komunikaciju
su:
Prisluškivanje (eavesdropping ). Podaci ostaju netaknuti, ali je povrije đena privatnost pošiljaoca odnosno primaoca. Npr. neko može saznati tu đi broj kreditne kartice. Neovlašteno mjenjanje (tampering ). Podaci se promijene djelimi čno ili u potpunosti, a zatim se šalju predvi đenom primaocu. Npr. neko može promjeniti nečiju porudžbinu robe ili promjeniti sadržaj elektronske pošte. Imitiranje (impersonation). Podaci se preusmjeruju osobi koja imitira predviđenog primaoca. Imitiranje se može javiti u dva oblika: •
•
Prevara (spoofing ). Osoba se može pretvarati da je neko drugi. Npr. osoba se može identifikovati kao da ima e-mail vama drage osobe
[email protected]. Lažno predstavljanje (misrepresentation). Osoba ili organizacija se mogu predstaviti kao neko ili nešto što u stvarnosti nisu. Npr. 123
www.kupovina.co.yu se može predstaviti i izgledati kao da je online prodavaonica , a zapravo jedino što radi je uzimanje brojeva kreditnih kartica, a nikada ne dostavlja robu. Efikasan, za sada standardni način zaštite podataka na internetu je primjena tehnike sastav javnih ključeva (Public Key Criptography ) koja ostvaruje sljedeće zadatke: •
•
•
•
Šifrovanje i dešifrovanje (encryption and decryption) dozvoljavaju dvoma učesnicima u komunikaciji da sakriju sadaržaj koji šalju jedan drugome. Pošiljalac šifruje podatke prije nego ih pošalje, dok ih primalac dešifruje nakon što ih primi. Dok podaci putuju kroz mrežu nerazumljivi su potencijalnom slušaocu (osobi koja ima pristup posredničkom računaru), Detekcija neovlaštenog pristupa (tamper detection) omogućuje primaocu da provjeri jesu li podaci prilikom svog puta kroz mrežu bili promijenjeni. Svaki pokušaj promjene sadržaja ili zamjene novim bi će otkriven, Provjera vjerodostojnosti (authentication) dozvoljava primaocu podataka da provjeri vjerodostojnost njihovog izvora, odnosno da potvrdi identitet pošiljaoca, Sprječavanje nepriznavanja (nonrepudiation) onemogućuje pošiljaoca podataka da kasnije tvrdi kako te podatke nije poslao.
PKI, u osnovi obuhvata privatni i javni klu č koji između sebe djele učesnici u komunikaciji. Treći elemnt, digitalni sertifikat, je potpisan od tre će strane koja je autorizovana za izdavanje sertifikata. Prikazan je postupak rada sa transakcijama bazirane na PKI tehnologiji : 1. Pošiljalac kriptuje svoje povjerljive podatke pomoću javnog ključa primalaca, bitna napomena je da se tajni klju č nikad ne prenosi putem
Interneta za vreme transakcije. 2. Primalac poruke koristi svoj tajni klju č koji mu omogućuje da pročita kriptovanu poruku. Poruka može sadržati finansijska upustva ili druge povjerljive informacije. 3. Ukoliko neko presretne poruku, on neće moći da je pro čita pošto se ona može dekriptovati samo pomoću tajnog ključa koji se nalazi kod primalaca. 4. Da bi se osigurali da poruka ne će biti mjenjana u toku prenosa ona može da se digitalno potpiše. Digitalan potpis osigurava da podaci nisu mjenjani u toku prenosa pošto je on vezan za podatke i svaka promjena na njima bi se otkrila. Ovakav metod zaštite drastično smanjuje mogućnosti za hakerske upade i povredu sigurnosti transakcije. Jedan od najuoibčajenijih metoda zaštite je upotrebom ključeva i PDA ili smart security telefona. Enkripcija zapravo 124
predstavlja trgovinu između bezbjednosti i brzine izvršenja transakcija. Brzina kriptovanja zavisi od mobilnog uređaja, uobičajeno je da se vrši sa 32-bitnim procesorima. Mobilni Internet predstavlja šansu za uspostavljanje jačih odnosa sa korisnicima i povećanje prihoda finansijskih institucija. U turbulentnom mobilnom okruženju uspostavljenje strategije predstavlja veliki izazov. Važno je zapamtiti da mobilni Internet nije samo nova ekstenzija poslovanja finansijske institucije. Mobilne aplikacije moraju biti povezane sa stadardnim aplikacijama koje banka ili druga finansijska institucija već koristi u svom radu. Istina je da mobilna tehnologija nastavlja sa svojim razvojem i postaje sve moćnija i funkcionalnija. Vrijeme i tehnologije nikog ne čekaju: mobilni Internet ima mnogo toga da ponudi bankama. Sve finasijske institucije moraju da prepoznaju jedinstvene kvalitete mobilnih aplikacija, razmisle kako da ih najbolje integrišu u svoje poslovne operacije i izgrade svoja mobilna rješenja danas, kao i da ih stalnim usavršavanjem održavaju konkuretnim i u budućnosti.
125
4 ZAKLJUČAK Primjena informacionih i komunikacionih tehnologija u ekonomiji dovela je, i još uvijek dovodi, do strukturalnih promjena mnogih segmenata ekonomije, čije dejstvo tek treba da se osjeti. ICT u elektronskom bankarstvu obezbje đuju veću efikasnost poslovanja, fleksibilniji nastup na tržištu, ja ču povezanost banke i klijenata, ubrzanje transakcionih operacija, smanjenje troškova poslovanja, uvećanje profita, itd. U posljednjih nekoliko godina uvedene su ogromne izmjene u na činu poslovanja banaka, ponudi usluga i u komuniciranju sa klijentima. Male elektronske zajednice stupaju na tržište sa inovativnim načinima komunikacije i uslugama. Ovo je vrijeme značajnih mogućnosti za ona poslovanja koja prepoznaju moć novog tržišta, odnosno elektronskog bankarstva. Elektronsko bankarstvo će igrati veoma veliku ulogu u načinu na koji vode svoja poslovanje malie, srednje i velike kompanije, bilo sa svojim potrošačima, ostalim poslovnim subjektima ili sa oboma. Veoma je važno u ranoj fazi razumjeti tržište elektronske trgovine. Sada je takođe vrijeme za preduzetnike i male privrednike da se takmi če na istom polju kao velike korporacije. U elektronskoj zajednici nedostatak nekretnine nije neki nedostatak. Ne posjedovanje velikih resursa kao što su zaposleni i kapital, ne predstavlja neku smetnju. Ideje, inovacije i motivisanost vode naprijed. Ve ćina kompanija sa najuspešnijom prodajom putem elektronske trgovine mlađe su od pet godina. Moć elektronske trgovine upravo leži u činjenici, da kada jednom uradite nešto kako valja, to vam se višestruko isplati. S obzirom da je u našoj zemlji i elektronsko bankarstvo na samom po četku, vjerovatnije je da će i razvoj m-bsnksrstva kasniti u odnosu na druge zemlje. Ipak, e-bankarstvo u našoj zemlji će u narednom periodu imati takve snažne generatore razvoja, a pogotovo u bliskoj budućnosti. Njegova snaga leži u operatorima mobilne telefonije i proizvođačima opreme i aparata za mobilne telekomunikacije. M-bankarstvo ne zavisi ni od slabe razvijenosti doma ćeg tržišta kreditnih kartica, koji je preduslov razvoja “obi čne” elektronske trgovine. Na kraju, u našoj zemlji je odnos broja korisnika ra čunara i mobilnih telefona je veoma mali, ali to može biti i osnovni motiv da se m-bankarstvu segmentu elektronskog bankarstva posveti znatno veća pažnja. 25 Mobilni operatori imaju mogućnost i razvoja prelaznih rješenja u m-bankarskom segmentu. Jedno od takvih rješenja su bankarski sistemi za transakciono povezivanje mobilnih telefona i POS terminala. S obzirom da u našoj zemlji ve ć 25
Nacrt Zakona o elektronskom potpisu i elektronskom poslovanju u Bosni i Hercegovini objavljen na http://www.is.gov.ba/documents/
126
postoje i POS sistemi, mogu ća je jednostavna nadgradnja za primjenu u ovim specifičnim aplikacijama. Postojeća iskustva sa ovakvim m-bankarskim rješenjima u svijetu su vrlo pozitivna, čime su otklonjeni problemi sigurnosti i privatnosti korisnika, uz jednostavnost i brzinu usluga. Praktično, nerazvijenost infrastrukture nije razlog za odustajanje od razvoja mbankarskog tržišta sa brojnim i uspješnim uslugama. Zakonskom regulativom, koja je pred nama, bi će stvoreni i pravni okviri za sigurnost investicija. Inovatori će biti nagrađeni pažnjom javnosti i vjerovatnim kratkoro čnim profitima, koji bi pravu satisfakciju stekli kroz održavanje što većeg učešća na tržištu u narednim godinama, kada će napredne tehnologije, prije svih uvođenje treće generacije mobilnih telekomunikacionih sistema, biti pravi pokreta č snažnog razvoja mbankarstva u našoj zemlji.
127
SKRAĆENI POJMOVI CRM-Customer Relationship Managment E-commerce (elektronska ekonomija) je široka definicija novog fenomena daljinskih komercijalnih transakcija koje se obavljaju korištenjem telekomunikacija i Interneta GPRS-General Packet Radio Switching predstavlja implementaciju paketnog prijenosa podataka(glasa) GSM-Global System for Mobile Communications IN-inteligent network IKT-Informaciono komunikacione tehnologije LAN-Local Area Netwoork M-commerce- mobile commerce dio elektronske trgovine, čiji je pristupni mehanizam bežični telefon ili handheld računar MSC-Mobile Switching Centar POS-terminal-Point of sale SAP-System aplication processing SCP-Service Control Point SMS- Short Messaging Service UCB-USSD Call Back USSD-Unstructured Supplementary Service Data VAS-Value-added Services WAP - Wireless Application Protocol Akronim, predstavlja standard koji mobilnim telefonima, pejdžerima i sličnim mobilnim uređajima omogućava bezbjedan pristup email porukama i tekstualnim Web stranicama.
128
