Bankovní institut vysoká škola Praha Katedra ekonomických a sociálních věd
Elektronické komunikační a distribuční kanály a jejich využití v podmínkách českých bank Alternativní distribuční kanály českých bank v obchodní i technické praxi Bakalářská práce
Autor:
Chyba! Chybné propojení. Bankovní management
Vedoucí práce:
Praha
PhDr. František Jirásek, CSc.
Duben, 2010
Čestné prohlášení: Prohlašuji, ţe jsem bakalářskou práci vypracoval samostatně s pouţitím uvedené literatury a odborných zdrojů.
…….…………………………………………….
V Karlových Varech, dne 12. 4. 2010
Daniel Ripel
Poděkování Na tomto místě bych rád poděkoval PhDr. Františku Jiráskovi, CSc. za cenné připomínky a rady, kterými přispěl k vypracování této bakalářské práce.
Anotace Tato práce popisuje nejpouţívanější druhy alternativních cest moderního bankovnictví. Mapuje historický vývoj a pokračující trendy. Vysvětluje příčiny bezpečnostních problémů a postoje k odpovědnosti z nich plynoucí. Práce není seznamem či konkurenčním porovnáním jednotlivých bankovních produktů. Ty se ostatně parametrově mohou v krátké době velmi radikálně měnit, klade si spíše za cíl pomoci se zorientovat v moţnostech, které jsou v současnosti na trhu k dispozici a zároveň upozornit na moţná úskalí, která z jejich vyuţití plynou.
Annotation This work describes the most used common types of alternative ways of modern banking and delineate the historical development and ongoing trends. Explains the causes of safety, problems and attitudes towards the responsibility arising therefrom. Work is not a list or a competitive comparison of bank products. It can also change in a many parameters in a short time, but work is designed to help orient the opportunities that are currently available in the market and also describe the possible difficulties from their use.
Obsah ÚVOD.................................................................................................................................... 7 1
2
Počátky elektronického bankovnictví ............................................................................ 9 1.1
Základní pojmosloví ............................................................................................. 10
1.2
Vývoj .................................................................................................................... 10
Platební karty ............................................................................................................... 13 2.1
Druhy platebních karet.......................................................................................... 15
2.2
Výroba platebních karet ........................................................................................ 16
2.3
Elektronické peněţenky ........................................................................................ 17
2.4
Historie kartových asociací ................................................................................... 18
2.5
Nástup nových technologií ................................................................................... 21
2.5.1
Magnetický prouţek ...................................................................................... 22
2.5.2
Bankomaty ..................................................................................................... 23
2.5.3
Čip ................................................................................................................. 24
2.6 3
3-D Secure ............................................................................................................ 24
Elektronický platební styk............................................................................................ 28 3.1
Druhy elektronických peněz ................................................................................. 28
3.2
Organizace platebního styku ................................................................................. 29
3.3
Realizace platebního styku ................................................................................... 30
3.4
Nabízené aplikace elektronického platebního styku ............................................. 31
3.4.1
Sluţba Homebanking..................................................................................... 31
3.4.2
MultiCash (MC) ............................................................................................ 32
3.4.3
Navazující produkty a sluţby ........................................................................ 36
3.5
Telefonní bankovnictví ......................................................................................... 36
3.6
Internetové bankovnictví ...................................................................................... 37
5
4
5
6
Bezpečnost platebních systémů .................................................................................... 43 4.1
Ochrana dat při elektronickém platebním styku ................................................... 43
4.2
Internetové bankovnictví - Problémy zabezpečení očima expertů IT .................. 46
4.3
Pouţití vyššího typu zabezpečení ......................................................................... 48
Elektronické importy/exporty dat ................................................................................ 51 5.1
ABO formát .......................................................................................................... 52
5.2
GEMINI formát .................................................................................................... 53
5.3
BEST formát ......................................................................................................... 53
Vývojové trendy ........................................................................................................... 54 6.1
Samoobsluţné zóny .............................................................................................. 54
6.2
Bezkontaktní technologie ..................................................................................... 57
Závěr .................................................................................................................................... 58 Pouţitá literatura .................................................................................................................. 59
6
ÚVOD
Tématem alternativních distribučních kanálů se zabývám, konkrétně v bankovnictví jiţ 10 let. Téměř od počátku vývoje a následné implementace těchto bankovních sluţeb u nás jsem byl uprostřed dění. Jako zaměstnanec banky jsem se léta věnoval správě, inovacím a instalacím jak u externích klientů, tak uvnitř banky. Zúčastňoval jsem se odborných seminářů a interních průzkumů, kde se připomínkovaly funkčnosti a komunikovali moţná vylepšení. Domnívám se, ţe za ta léta jsem nasbíral spoustu zkušeností v oblastech technických i obchodních, řešil vzniklé problémy a musel zvládat řadu argumentů a dotazů, které logicky vznikaly na straně klientů i banky z mnoha různých důvodů. Spolupráce na obou výše jmenovaných stranách nebyla vţdy snadná. Vzpomínám na doslovné boje zejména se staršími generacemi, které bohuţel mnohdy jiţ ze zásady odmítají vše nové, byť jednodušší a levnější. Pocit z úkolu učit se nové technologie byl mnohdy takovou překáţkou, ţe domluva byla nemoţná. A nejednalo se jen o jednotlivce, i ve velkých firmách se nacházeli a mnohdy ještě dnes pracují zaměstnanci odpovědní za účetní případy, ekonomové, zvyklí na svou „starou“ práci např. nošení příkazů k typování. Na druhé straně stála řada průkopníků a vyznavačů moderních technologií, kteří hledali novinky a vylepšení, které by jim usnadnili podnikání či kaţdodenní ţivot. Tito lidé byli mnohdy ochotni tolerovat zaváděcí dětské nemoci softwarového vybavení a chyby v instalacích. Umoţnili nám se rozvíjet, poznat mezery a zapracovat poţadavky, které posléze přinášely mnohým uţivatelům úspory. V dobách snahy prosadit se na trhu s elektronickým bankovnictvím byla z důvodu mnoha neznámých kaţdá instalace „originál“ a kaţdá povedená a fungující verze oslavována. Počítačové prostředí firem a jednotlivců, koncových zákazníků, bylo natolik rozličné, ţe nebylo moţné připravit např. dnes standardně fungující samoinstalační balíčky. Dříve probíhalo zprovoznění elektronické komunikace pomocí analogových modemů různých standardů, výrobců s různými funkčnostmi, které ani nepodporovali vše potřebné ke kvalitnímu a bezproblémovému provozu. Kaţdá návštěva klienta znamenala hodiny 7
bádání, konzultací a náročné přípravné fáze. Tím se pochopitelně prvotní prosazení na trhu prodraţovalo, ale poptávka po elektronickém bankovnictví rychle rostla. Zpoplatnění sluţby následně krylo prvotní výdaje, avšak provozní udrţovací náklady samostatných instalací byly nadále velmi vysoké. Nutné bylo udrţovat v kaţdém okrese moderní server s drahými licencemi, který vyţadoval HW i SW upgrady, klimatizovanou místnost a odborného správce. Zbavit se těchto nákladů šlo jen ujednocením verze pro všechny koncové uţivatele, dostupné na jednom místě, bez nutnosti cokoliv instalovat. To umoţnilo internetové bankovnictví pomocí běţně rozšířených prohlíţečů a sluţeb sítě Internetu. Klienti dnes po podpisu smlouvy obdrţí v bance CD-ROM (případně si potřebná data stáhnout na webových stránkách banky) obsahující balíček automatického nastavení vč. příručky k obsluze. Nastavení zabere minimum času a vše funguje většinou bez jediného zadrhnutí. V dalších kapitolách postupně představuji a popisuji moderní distribuční kanály, jejich technickou i obchodní stránku, potenciál, výhled do budoucna a širší lidský pohled na toto téma.
Cíl práce: Zmapovat a popsat podmínky vzniku, historický rozvoj elektronického bankovnictví aţ po současnost; nebezpečí doprovázející odvětví; moţnosti trhu, úspory pro koncové uţivatele; moţné směry rozvoje elektronického bankovnictví.
Postup práce a použité metody: Vyhledání a prostudování potřebné literatury vč. elektronických zdrojů. Zjištění nových poznatků a jejich zapracování do bakalářské práce a doplnění konkrétních produktů (alternativních kanálů) z osobní zkušenosti a znalosti.
8
1
Počátky elektronického bankovnictví
Vše se s plynoucím časem mění. Lidé a jejich nároky, technologie a bankovní produkty nevyjímaje. Zejména s masovým zpřístupněním výpočetní techniky se dostavila myšlenka obsluhovat a spravovat své finance „na dálku“. Jaké by to bylo, kdybych nemusel vystát frontu před přepáţkou banky, kdybych vlastně nemusel vůbec do banky…bylo by to rychlejší a moţná i levnější…? Jistě mnoho podobných otázek si pokládali a stále ještě pokládají lidé z celého civilizovaného světa. Ovlivněni moderní technikou jsme do jisté míry všichni. Málokdo si umí ţivot představit bez novodobých zařízení, tak velmi usnadňujících práci. Zvláště markantní je potom pouţití osobních počítačů, datových sítí či Internetu ve všech moderních profesích či zájmových oblastech. Banky, jejich produkty a sluţby pak zvlášť rychle reagují na měnící se prostředí trhu. Snaţí se naslouchat svým klientům a jejich myšlenky a poţadavky co moţná nejrychleji zapracovávat do svých elektronických a webových aplikací, vţdyť současný boj o klienta na více méně rozděleném bankovním trhu je obzvláště tvrdý. Klienti a doba si ţádají dynamické změny a vývoj kupředu. Kaţdý chce šetřit svůj čas, který je velmi drahou komoditou a nechce trávit hodiny v bankovním ústavu vyřízením triviálních operací, které lze provést např. cestou domů z mobilního telefonu během několika minut nebo vteřin. Ruku v ruce s tímto masovým rozvojem jde samozřejmě otázka bezpečnosti těchto systémů, protoţe to vše by nemělo význam, pokud bychom neuměli zajistit dostatečnou ochranu koncových uţivatelů. Všechna tato hlediska je nutné mít neustále na zřeteli a dobře kalkulovat se všemi moţnostmi. Spousta bank působících na našem území si není nebo nechce být vědoma dopadů při selhání např. bezpečnostních mechanizmů přihlášení jejich Internetového bankovnictví. Rizika si mnohdy neuvědomují ani klienti sami a svou nekázní se vystavují značnému nebezpečí. Případů odčerpaných prostředků z běţných účtů klientů přes elektronické cesty není v historii málo.
9
Mnoho lidí dnes v kontextu moderní doby rádo pouţívá sousloví jako „elektronicky poslat“, „převést z domova“ apod. Často ovšem ve špatném kontextu nebo dokonce v úplně jiném významu.
1.1 Základní pojmosloví
Prvotním a zcela obecným pojmem je e-bussines. Jeho definice ovšem zahrnuje velké pole významů. Jedná se o veškeré procesy (ať jiţ obchodní či administrativní), které jsou zpracovávány či závislé na nějakém automatizovaném informačním systému. Můţe jít o řízení vztahu se zákazníky či dodavateli, elektronické objednávky, fakturace, poskytování sluţeb a v neposlední řadě o internetovou síť. Blíţe vymezeným pojmem e-commerce rozumíme nákup, prodej, umístění či podporu produktů a sluţeb pomocí elektronických systémů zejména s pouţitím sítě Internet. Nejvíce rozšířeným typem jsou pak internetové obchody či prezentace na webových stránkách. Teprve pojmem e-banking (elektronické bankovnictví, často také pouţívané názvosloví přímé bankovnictví) je specifikováno jako poskytování bankovních a souvisejících sluţeb pomocí dostupných komunikačních sítí (Internet, telefonní a GSM sítě apod.). Jejím uţivatelům banky nabízejí moţnost přistupovat k účtům svých klientů, disponovat se svými finančními prostředky bez nutnosti navštívit pobočku banky.
1.2 Vývoj Z historického hlediska banky v minulosti komunikovaly se svými klienty pouze na bázi osobního styku, nejčastěji prostřednictvím pobočkové sítě. Na konci dvacátého století se však situace začíná měnit, zejména díky technologickému rozvoji. Za první krůčky elektronického bankovnictví můţeme povaţovat vznik platebních karet (zpočátku debetních). K transakcím docházelo nejprve jen pomocí technických zařízení 10
jednoúčelově zaměřených na výběr hotovostního oběţiva – bankomatů (ATM - Automatic Teller Machine). Tento druh spojení se zákazníkem a bankou vyţadoval pouţití nových způsobů autorizací a identifikací. Bylo potřeba identifikovat osobu a autorizovat poţadovanou operaci. Tuto práci původně zastávali jen pracovníci bank. Právě v případě platebních karet se stal tímto novým bezpečnostním prvkem tzv. PIN (Personal Identification Number). Dalším významným krokem pokračujícím v inovativních krocích elektronického systému bankovnictví bylo zahájení činnosti First Direct Bank v Leedsu. Tato bankovní společnost obsluhuje své zákazníky výhradně prostřednictvím telefonních linek. Ověření totoţnosti klientů probíhá na základě hlasové identifikace. K tomuto trendu se ale jiţ v této době přidávají spousty dalších bank. Ty velké z nich nabízejí produkty a sluţby svým klientům zaloţené na komunikaci prostřednictvím personálního počítače a modemu. Banky v celé historii byly, jsou a stále budou nevyhnutelně konfrontovány s novými technologiemi a moţnostmi uplatnění informačních technologií. V mnoha typech základních sluţeb, jakými je např. platební styk, uţ nemohou dnes ani jinak, neţ vyuţívat maximálního potenciálu informačních technologií jaký mají k dispozici. Moderní zákazníci mnohdy ţádají extrémně rychlá zpracování a odezvy od svých bankovních institucí a svých elektronických distribučních kanálů. Navíc obrovská konkurence nikdy nespí… Cílem elektronického bankovnictví je špičková kvalita, co moţná nejvyšší bezpečnost, přesnost a vysoká rychlost zpracování klientských poţadavků. K tomu pomáhá mezinárodní propojení datových sítí. V současné době je nejdynamičtějším trendem elektronického bankovnictví Internet. Mnoţství klientů, kteří dnes doma, na pracovištích a ve svých firmách vyuţívají počítače k elektronickým převodům peněţních prostředků se během posledních let zmnohonásobil. J. Stack (bývalý generální ředitel České Spořitelny, a.s.) zmiňuje ve svém 10-ti letém výhledu (v roce 2006), ţe větší roli sehraje internetové bankovnictví. Mimo jiné také, ţe češi budou zadluţenější, coţ je začíná naplňovat jiţ nyní a také, ţe bude převládat snaha k minimalizaci byrokracie. S tím jiţ řada bank začala.
11
Dostupné moderní technologie ovlivnily obecně všechny nabízené produkty dluţny. To si všichni postupně uvědomují. Někdo se uţ nemůţe dočkat, jiný se zdráhá a ignoruje současný vývoj. Nakonec ale i přes nevůli mnoha státních orgánů i oni museli začít pouţívat např. elektronické poštovní (datové) schránky. Jiţ mnoho municipalit nabízí platby např. svých poplatků – odvoz odpadu, plateb za psi platebními instrumenty jako jsou platební karty (PK) a platební terminály, které transakce realizují. Platební karty se obecně etablovaly téměř všude, vidíme to v obchodech, kde dokonce lidé při nemoţnosti platit PK odcházejí od plných nákupních vozíků jinam. Nakonec podlehla i poslední společnost Kaufland ČR v.o.s. a začala přijímat PK na svých pokladnách. Dnes jiţ umoţnění vyuţití PK ani nezvyšuje image, ale stalo se nedílnou součástí nákupního procesu. I starší lidé, z počátku velmi obezřetní a nedůvěřivý, dnes běţně vybírají hotovost z ATM pomocí svých PK. Nezanedbatelný je samozřejmě i komfort pro plátce. V neposlední řadě pouţití PK sniţuje obchodní náklady na manipulaci s hotovostí, bezpečnostní sluţby apod. Banky nabízí většinou zapůjčení potřebné techniky – platební terminály, PINPADy, či další komunikační zařízení zdarma. V rámci svých equirových zúčtovacích sluţeb umoţňují banky rychlé a bezpečné připsání peněţních prostředků na účty obchodníků. Obvyklé procentní provize (ve výši cca dvou procent) jsou většinou obchodníků akceptovány. Banky dále poskytují bezplatné zaškolení personálu obchodních partnerů, servisní techniky a odstranění závad (či výměny terminálu) do 24 hod od nahlášení závad.
12
2
Platební karty
Tento dnes jiţ široce pouţívaný platební nástroj našel rychle uplatnění v běţném ţivotě nás všech. Jde o bezesporu nejrozšířenější elektronický platební prostředek z pohledu délky uţívání i objemu uskutečněných transakcí. Jsou vyuţívány zejména retailovým sektorem k úhradám spotřebních výdajů a výběrům hotovosti, ale mnoho firemních organizací jiţ vybavuje své zaměstnance kartami s různými výhodami. Vydávány jsou především bankami, ale i nebankovními vydavateli (JBC, American Express). V současnosti nabízí přes dvacet tisíc bankovních společností na celém světě několik desítek tisíc typů debetních a kreditních karet. V ČR je tento platební prostředek regulován dle Zákona o bankách č. 21/1992 Sb. a dále je dílčí úpravou zákona č. 124/2002Sb. vymezeno vydávání a pouţití elektronických platebních prostředků z pohledu ochrany spotřebitele. Dnešní sluţby platebních karet nejsou omezeny zdaleka jen na výběr hotovosti z bankomatů (výhradně pracujících v online reţimech) či platby u obchodníků, ale uţivatel můţe zjistit svůj zůstatek účtu, zaplatit jednorázový příkaz k úhradě, vybrat hotovost na pobočce bank (bohuţel s poměrně vysokým poplatkem) a dokonce v tzv. samoobsluţných zónách také peníze uloţit. Podmínky pro vydání karty jsou dány jejím druhem a před zadáním do výroby a pouţíváním platební karty banka uzavírá s klientem písemnou smlouvu. Účastníky platebního styku realizovaného pomocí PK jsou potom klient, banka emitující PK, banka přijímajícího obchodníka, obchodník a autorizační středisko. Náleţitosti platebních karet: Vydavatel platební karty (název a logo) Informace k jakému systému daná karta patří Platnost karty (začátek a konec) Na jakém území je pořízena Číslo karty (16-19 znaků) Jméno drţitele (max. 27 znaků) Ochranné prvky CVC kód (Card Verification Code), CSC (Card Security Code), CVV (Card Verification Value) 13
Ochranné prvky: Hologram/ Kinegram - trojrozměrný obraz – znak na hologramu se mění při pohybu karty určeným způsobem Podpisové prouţky – slouţí k záznamu vzorového podpisu drţitele karty Ochranné prvky viditelné pouze v UV světle Guilloche vzory - dekorativní vzory skládající se z mnoha jemně protkaných čar Speciální tisk karty, mikrotext Tisk čísla karty na podpisový prouţek Rytí pomocí laserů K autorizacím a verifikacím plateb se připravují novinky, které budou pouţívat tzv. biometrické údaje drţitele. V současnosti kromě standardních norem ISO fungují normy vytvořené společnostmi VISA, MasterCard a Europay International nesoucí název EMV (v roce 1996). Standardem EMV 4.0 jsou definovány elektromechanické, logické uspořádání systémů v čipu, vyuţívaná bezpečnost, přenosové protokoly a další.
Při pouţití PK probíhá několik fází. V základu je lze rozdělit do: ověření transakce přenos údajů do zúčtovacího centra vypořádání plateb K první ověřovací fázi patří i kontrola PK a údajů na ní, není-li zfalšována. Provádí ji obsluha obchodníka, která je na toto speciálně školena obchodními zástupci bank, kteří s provozovnou uzavírají smlouvu. Přenos údajů je pak nejčastěji prováděn pomocí veřejných telekomunikačních sítí. Přenos je samozřejmě kódován. Po vypořádání plateb banky zatíţí či kreditují účty svých klientů.
14
2.1 Druhy platebních karet Základní rozdělení můţe provést do těchto tří skupin: 1) Podle vydavatele a) platební karty bankovní b) platební karty nebankovní
2) Podle uživatele a) sluţební platební karty – k firemním účtům, slouţí pro uhrazení výdajů spojených se splněním pracovních úkonů, vydávají se pro majitele účtu a pro osoby zmocněné především k firemním účtům, jsou nepřenosné b) osobní platební karty – nepřenosné, jsou na jméno drţitele, vydávají se k účtům majitele (i pro disponenty) a jsou nepřenosné
3) Podle zúčtování transakcí a) Kreditní karta (úvěrová karta) charakteristické je pro ni různě dlouhé bezúročné období, které umoţní čerpání prostředků banky (ovšem týká jen při platbách u obchodníků, při výběru hotovosti z ATM je tato suma ihned ode dne vybrání úročena) bez úroků. Podle druhu karty či vyuţívaných sluţeb bývá bezúročné období různě dlouhé a platí pro všechny kreditní karty, ţe na jeho konci musí být celá částka uhrazena jinak je počítán standardní smluvní úrok umoţňuje odloţit splacení. Drţitel čerpá tzv. revolvingový úvěr, banka stanoví úvěrový limit, který je závislý na příjmech klienta a zkušenostech banky s klientem, probíhá tedy jisté ověření důvěryhodnosti klienta úvěr můţe být čerpán po částech, najednou, nebo vůbec. Mimořádné splátky jsou moţné bez sankcí kdykoliv 15
b) Debetní karta jejím pouţitím klient banky čerpá své peněţní prostředky, které má uloţeny na většinou běţných účtech slouţí také k placení zboţí peněţní částka je odepsaná z běţného účtu kupujícího a připsána na účet prodávajícího banka neposkytuje ţádný úvěr, tyto karty umoţňují přístup k penězům na účtu pomocí bankomatu
c) Charge karta jde o nejstarší formu platební karty s v podstatě identickým principem jako karty kreditní, rozdílem je většinou jen délka splatnosti čerpaných prostředků
Dále lze PK dělit z hlediska záznamu dat (embosované, čipové, s laserovým záznamem – bez většího uplatnění, neprosadilo se) a z hlediska teritoriálního (tuzemské, mezinárodní), i kdyţ v poslední době jiţ výhradně tuzemské PK v podstatě neexistují.
2.2 Výroba platebních karet Obecně je výroba plastových karet prováděna laminací několika (u bankovních PK většinou tří) vrstev PVC z netoxických materiálů působením teploty a tlaku. Při výrobě je moţné opatřit plastovou kartu libovolným barevným potiskem s individuálním vzhledem. Výroba umoţňuje implementovat celou řadu prvků, které zabezpečí její inteligenci, ochranu a personalizaci.
16
Obrázek 1: Vzor podpisového proužku
Obrázek 2: Bankovní platební karty
Zdroj: Dinocommerce, s.r.o. [online]. 2009 [cit. 2010-04-27]. Http://www.dinocommerce.cz. Dostupné z WWW:
2.3 Elektronické peněţenky Modul Elektronické peněţenky slouţí klientovi k realizaci bezhotovostních úhrad za odebrané sluţby nebo zboţí. Klient si vloţí na svůj osobní účet libovolný finanční kredit zálohu. Přínosy modulu Elektronická peněţenka: Zjednodušení a zrychlení transakcí, zejména jednoduchost koncepce uţivatelského rozhraní modulu Elektronické peněţenky zajistí jak pro obsluhu, tak i pro klienta zásadní zrychlení a zjednodušení transakcí (odpadá vracení a kontrola peněz, předávání trţeb a další administrativní úkony v souvislosti s hotovostními platbami). Bezpečnost klienta - Zavedení modulu Elektronické peněţenky zajistí bezpečnost finančních prostředků klienta (klient nemusí nosit hotové peníze s sebou), v případě ztráty identifikačního média je moţné okamţitě zablokovat klientův kredit a tak zabránit jeho čerpání neautorizované osobě. Bezpečnost obsluhy - Díky bezhotovostním transakcím, se pro obsluhu eliminují moţná rizika v souvislosti s prácí s hotovostí a chybovými stavy.
17
2.4 Historie kartových asociací
Při postupném se zvětšování vzdáleností mezi lidmi, firmami, rozvoji obchodu a migraci sil přišel poţadavek na uspokojení resp. vyřešení problému – přesunu hotovosti. Kolébkou vynálezu byli Spojené státy americké. Největší dopravní společnosti této doby byly Livingston, Fargo & Co. a Wells & Co. a Butterfly & Wasson. V roce 1850 se tyto společnost spojily v jedinou - American Express Company, společnost disponovala s více neţ 2800 pobočkami jiţ v roce 1900. V roce 1864 pomocí nového vynálezu telegrafu byli poprvé převedeny peníze. Dalším vynálezem byly cestovní šeky. Vynálezcem byl Thomas Cook, majitel stejnojmenné cestovní kanceláře. Svým zákazníkům prodával tzv. Hotel Coupons – hotelové poukázky na platbu ubytování v Evropě. Ty později nahradily The Circular Notes – pomocí nichţ si klient mohl navíc vybrat hotovost v místní měně ve smluvních bankovních a hotelových směnárnách. O několik let později zavedla cestovní šeky s názvem The Travellers Cheque společnost American Express. Jako jiţ jednu z mnoha platebních alternativ byly nabízeny i poštovní poukázky, které měly zajišťovat převody peněz, výplaty penzí apod. Bohuţel pro svou snadnou padělatelnou nenašli velkou oblibu. Velký úspěch pak zaznamenaly aţ nepadělatelné poštovní poukázky společnosti Amex (oficiální zkratka American Express). Rok 1914 se povaţuje za zrod první věrnostní platební karty a roku 1950 byla vyrobena první univerzální platební karta.
18
MC – Master Card Společnost MC byla zaloţena 16.8.1966 jako federace později 70-ti bank z amerického středozápadu z mnoha důvodů, zejména reciproční akceptace kreditních karet. Původní názvy Interbank Card Association a Master charge se změnili v dnešní Master Card.
Reklamní slogan na začátku 70. let 20. století krásně rýmoval následují: „Give the house a new coat. New shade tree. New shoes for the car…Dress things up for spring with Master Charge.“ „Dejte domu nový kabát. Nový stín stromu. Nové obutí vozu. Přestrojte věci do jarního…s Master Charge“. První předchůdce kreditních karet se objevil jiţ v 70. letech 19. st. v USA, banky začali vydávat PK aţ po II. sv. válce. Zapojila se řada amerických obchodníků, letecké a ţelezniční společnosti a v 50. letech 20 st. firmy Diners Club, Amex a Carte Blanche. Celý vývoj však brzdil tzv. Mc Fadenův zákon. Nařizoval, resp. zakazoval bankám poskytování svých sluţeb mimo stát, ve kterém měli sídlo. Týkalo se to i kreditních karet, ovšem jiţ ne nebankovních karet. Dalším problémem byla nevole obchodníků k příjímání různorodých pravidel pouţití PK od mnoha různých bank. Klonili se proto k největším společnostem, coţ bylo z mnoha důvodů jednodušší. Proto spoustě bank zkrachovala snaha o rozšíření jejich projektů. První velký úspěch (i kdyţ přes počáteční velké ztráty) zaznamenala společnost Bank of America (Kalifornie 1958) se svou BankAmericard a kreditní karta Marine Midland Bank z Buffala. Myšlenka byla tedy sdruţit se do tzv. kartové asociace. To znamenalo vybudovat zúčtovací centra v jednotlivých státech unie – tak vznikly tři skupiny a později sloučeny v jedinou Master Card.
19
První skupinou v 1965 se staly čtyři Chicagské banky. V roce 1967 se připojilo 600 bank z Illinois, Indiany a Michiganu. Druhou skupinu tvořilo západní pobřeţí USA – Wells Fargo Bank. V roce 1966 poloţilo 14 bank základní kameny nového systému PK, následně dalších 60 bank z Nevady a Oregonu. O rok později bylo sdruţení přejmenováno na Western States Bankcard Association, která nabrala během pár měsíců dalších 200 amerických bank. Na Východním pobřeţí se v roce 1966 Marine Midland Bank v čele s více prezidentem Karlem H. Hinkem snaţila dohodnout s ředitelem Vernem Richardsem ( Bank of America) za účelem vydávání jejich PK, byl však ostře odmítnut. Marine Midland Bank začala proto jednat s dalšími bankami o vybudování vlastního systému. 17 bank (Richmond, Milwakee, Phoenix, Seattle, Louisville) utvořili federaci ICA – Interbank Card Association, která slavila vzápětí úspěch. V roce 1967 vydali 6 miliónů PK s obratem 312 miliónů USD u 131 tis. obchodníků. Po náročných jednáních se podařilo v témţe roce spojit s Western States Bankcard Association a tím dát vzniknout asociaci Master Charge, která se stává vedoucím systémem ve Spojených státech amerických s 286 členy. Do konce roku 1969 se členy ICA stalo 1207 bank a obrat PK činil 2,639 mld. USD! Konkurenční National Bank Americard (VISA) mělo v roce 1970 243 členů + desítky mimo USA. EuroCard a MasterCard expandovali dále do Evropy (se sídlem, provozem a marketingovou podporou ve Švédsku). V roce 1966 se stává holdingem se sídlem v Bruselu. 1969 uzavřeno partnerství s MasterCharge. Roku 1981 vydává svou první zlatou PK, o čtyři roky později první firemní kartu, v roce 1988 první PK v Číně. V roce 1992 se EuroCard spojil s Eurocheque a do roku 2003 kdy se Europay včlenil do globální asociace Master Card Europe. MC International v roce 2005 prodal část akcií na Newyorské burze a tím se stala veřejnou akciovou společností. Výnos 2,55 mld. USD šel na vyplacení 1400 současných akcionářů MC a na rozšíření boje s VISA. Prodej 61,5 mil. akcií (24. 5. 2006) byl největší primární emisí od prodeje společnosti Google. Výchozí cena akcie (39 USD) stoupla do července na 45 USD/akcii. Od června 2006 nese společnost název MasterCard Worldwide (The Heart of commerce).
20
Vedle MC a VISA dnes úspěšně existují ještě Diners Club, AMEX a JCB (Japan Credit Bureau). Takový rozvoj s sebou nesl samozřejmě nespočet snah o padělání, kopírování a podvodná jednání páchaná pomocí PK. Koncem sedmdesátých let 20. st. přišel MC jako první na světě s ochranou pomocí hologramu. Dnes mají PK jiţ mnoho moderních bezpečnostních prvků, avšak nejsou v ţádném případě vyloučeny z pokračujících snah páchání trestných činů. V dnešní moderní době bojují vydavatelské, zúčtovací a bankovní společnosti podvodům s odcizenými kartami a jejími kopírováním. Nemalé ztráty se kaţdoročně šplhají ke třem mld. USD. Tuto hrozbu se pokusila Evropská komise v únoru roku 2001 zmírnit svým tzv. „Sdělení
Komise
Radě,
Evropskému
parlamentu,
Evropské
centrální
bance,
Ekonomickému a sociálnímu výboru a Europolu“ nesoucí název „Prevence podvodů a padělání bezhotovostních platebních prostředků“. Přes veškeré snahy útoky stále pokračují a jsou o to více propracované a rychlé. A přesto, ţe došlo k určitému poklesu páchaných trestných činů, bude potřeba dále zdokonalovat technologie a neustále inovovat pouţité moţnosti.
2.5 Nástup nových technologií
Významné inovace v 60. a 70. letech minulého století znamenaly pro platební karty největší boom. Počátečním přerodem byla změna z papírových účtenek na mechanické tzv. imprintery. Mechanizace zápisu znamenala přínos zejména v oblasti lepší čitelnosti údajů (datum či cena), které vyplňovali obchodníci do účtenky ručně.
21
2.5.1 Magnetický prouţek Magnetický prouţek byl vynalezen v roce 1878. Velmi brzo, ale jeho reálná aplikace do běţného ţivota se podařila společnosti IBM, která dokázala v prvních dvou vrstvách nanést potřebná klientská data a dále přepisovací data jako zůstatky na kontě a provedené transakce ve vrstvě třetí. Časem se podařilo magnetický prouţek upravit natolik, ţe šel jen velmi špatně kopírovat a byl tak poměrně slušně chráněn proti padělání. První karta, která pouţívala magnetický prouţek byla vydána roku 1969 (společnost Air Travel Card). Ve velmi krátké době, cca do 4 let od uvedení této karty, bylo 85% všech platebních karet jiţ vybaveno magnetickým prouţkem.
Stopy na kartách Magnetický prouţek je definován normami, které však poskytují i dostatek prostoru pro to, aby jej bankovní systémy vyuţívaly podle svých potřeb. Má tři záznamové stopy, z nichţ kaţdá má svůj účel. Stopa č. 1 byla definována v roce 1969 Mezinárodní asociací leteckých společností. Banky ji přijaly uţ v roce 1970. Má 79 znaků, které obsahují číslo karty (aţ 18 číslic) a jméno klienta (aţ 26 znaků). Stopa č. 2 obsahuje 40 numerických znaků (19 číslic) a pouţívá se pro on-line finanční transakce. Stopa č. 3 můţe být na rozdíl od první a druhé stopy i přepisována. K záznamu potřebných informací v ní bylo pouţito 107 numerických znaků.
Zdroj: 21 Století [online].
2008
[cit.
2010-04-10].
22
Www.21stoleti.cz.
Dostupné
z
WWW:
2.5.2 Bankomaty Dalším velkým vynálezem, který rozkryl nové uplatnění platební kartě se stal bankomat. Šlo o první počítačový přístroj pouţívaný laickou veřejností. Evropské ovace jsou přisuzovány Britovi John Shepherd-Barron, řediteli De la rue instruments. Americké zase vynálezci Donu Wetzelovi, jenţ přišel s myšlenkou bankomatu jako „automatického pokladního“. Původní myšlenkou bylo vyzrát na krátké otevírací doby bank a umoţnit tak výběr hotovosti všem klientům i po zavírací době. První bankomat (tzv. Cash Dispencer) byl zprovozněn 27.6.1967 v Barclays Bank v londýnském Enfieldu. Tehdy se vytvoření bezpečnostních mechanismů podílela i britská tajná sluţba MI5. Autentizační metodou je pouţití tokenu. Tím jsou nejčastěji platební karty s magnetickým prouţkem nebo čipové (EMV). Oba typy se pouţívají při výběru hotovosti z bankomatů a v také při jednorázových platbách, ať jiţ prováděných v klasických kamenných nebo Internetových obchodech. V dnešní době jsou všechny bankomaty jiţ značně posíleny z hlediska bezpečnosti. Kaţdý bankomat je vybaven kamerovým systémem (minimálně mikrokamerou přímo v bankomatu) a v posledních letech instalovaným zařízením znemoţňující tzv. skimming neboli nejčastější metodu padělání platebních karet jejich zkopírováním. Způsob spočívá v instalaci skimmovacího zařízení na fungující bankomat, resp. jeho štěrbinu určenou pro zasunutí platební karty. Klient následně v domnění, ţe pouţívá originální zařízení, zasune svou kartu do bankomatu a z magnetického prouţku jsou při opětovném vysunutí zkopírována data, která pachatelé pouţijí při výrobě falešné platební karty. Systém bývá doplněn malou kamerou k moţnosti odpozorování PIN kódu při zadávání klientem. Antiskimmovací zařízení vysouvá kartu trhavými pohyby a tím znemoţní zkopírování magnetického prouţku.
23
2.5.3 Čip Do technologických převratů zasáhli také Francouzi, konkrétně Roland Moreno a to svými čipovými kartami uvedenými v roce 1974. Od té doby pokračuje do dnešních dní proces výměny jiţ nevyhovujících platebních karet s magnetickými prouţky za čipové. Společnost Carte Bleue původně pracovala na spuštění tzv. elektronické peněţenky slouţící k placení parkovného v Lyonu. Následovala řada firem a obchodníků, kteří nabízeli své platební karty široké veřejnosti.
2.6 3-D Secure Moderní platební cestou, která je bankovními společnostmi dnes také vyvíjena a poskytována v reakci na poţadavky nejen obchodníků, ale i klientů, kteří se bojí pouţít svých platebních karet k platbám na síti Internetu, je umoţnění přijímání zabezpečených (kontrolovaných) elektronických plateb pro majitele internetových obchodů a zároveň bezpečný průběh platby pro zákazníka. Přetrvávající obavy mnohých klientů bank platit elektronicky své nákupy na Internetu přiměly asociace VISA a MasterCard se spojit v projektu, který celosvětově ujednotil systém zúčtování karetních operací na Internetu – tzv. 3D Secure. Základním principem a zároveň bezpečnostním prvkem celé transakce je, ţe poskytnuté údaje z platebních karet nedostává do rukou obchodník, ale pouze banka. Ta po provedení autorizací posléze poskytuje obchodníkovi zaručené a ověřené údaje (dostatečné krytí nákupu, platnost údajů, apod.) a zákazníkovi jistotu, ţe jeho citlivá data nelze obchodníkem jakkoliv zneuţít. K platbám lze pouţít všechny druhy PK, u kterých není blokována platba po Internetu buď vydávající bankou (sociací) nebo klientem samým.
24
Do systému 3D Secure se zapojuje více a více bankovních společností. Obchodníci implementují do svých internetových obchodů potřebné softwarové vybavení zejména proto, aby zvýšili svůj bezpečnostní kredit na trhu.
Obrázek 3 a 4: Loga asociací potvrzující zapojení do systému 3D Secure
Zdroj: Měšec.cz [online]. 2004 [cit. 2010-04-27]. Http://www.mesec.cz/. Dostupné z WWW:
Existují i další vývojáři obdobných systémů, ale pro transakce typu e-commerce se u nás nejčastěji pouţívá řešení 3D Secure. Toto řešení je vyvinuto na bázi nejmodernější aplikace kartových asociací Visa a MasterCard. Jedná se o celosvětově standardizovaný proces placení a akceptace karet na internetu, který z hlediska bezpečnosti a komfortu splňuje nejnáročnější poţadavky nejen obchodních partnerů, ale také zákazníků nakupujících na internetu.
Placení pomocí karty je bezpečné údaje platební karty jsou zadávány přímo zpracovatelské bance obchodník nemá přístup k údajům platební karty přenos dat se uskutečňuje prostřednictvím zabezpečeného protokolu HTTPS, který tyto informace šifruje přítomnost log Verified by Visa kartové společnosti Visa a MasterCard SecureCode kartové společnosti MasterCard zaručuje bezpečnou platbu v internetovém obchodě.
25
Výhody pro obchodního partnera bezpečnost nabízeného řešení vysoká důvěra drţitelů karet zvýšení počtu uskutečněných transakcí zvýšení obratu vysoká rychlost provedení platby přesná kontrola uskutečněných plateb nadstandardní uţivatelský komfort
Výhody pro zákazníky vysoká bezpečnost a transparentnost probíhající transakce vysoká důvěryhodnost obchodníků podporující 3D Secure veškerá komunikace probíhá přímo mezi zákazníkem a bankou bez prostředníka
Způsob platby Pokud se drţitel platební karty/zákazník rozhodne za vybrané zboţí/sluţby vyuţít k platbě platební kartu, vyplní údaje o platební kartě na platební stránce banky. Ta zajistí bezpečný zakódovaný přenos dat a obchodníkovi pouze sdělí výsledek autorizace a dává tím pokyn k vyřízení objednávky. Tímto je odstraněna moţnost zneuţití platební karty subjektem, od kterého si zboţí kupuje a volného přenosu nechráněných dat na veřejné počítačové síti. O výsledku transakce jsou drţitel i obchodník informováni e-mailem. V případě, ţe není moţné platbu zpracovat, systém banky drţitele informuje o moţném důvodu: údaje o platební kartě nebyly vyplněny správně na účtu drţitele není dostatek finančních prostředků nebo byl vyčerpán limit pro internetové transakce platební karta není určena pro transakce u internetových obchodů. V tomto případě je nutné se obrátit na vydavatelskou banku 26
Technické podmínky sluţby e-commerce, 3D Secure: příslušná část internetového obchodu musí být zabezpečena protokolem https (certifikát potvrzený certifikační autoritou zde není podmínkou, self-signed certifikát je akceptován) řešení obsahuje zadávání bezpečnostního prvku - tzv. CVV2, resp. CVC2, coţ je trojmístný kód umístěný zpravidla na zadní straně karty v podpisovém prouţku platební brány komunikují většinou i v cizích jazycích akceptace cizích měn je samozřejmostí - v současné době EUR, USD a GBP před vlastním spuštěním internetového obchodu do ţivého provozu probíhá testování komunikace e-shopu s bankou
Nutné úpravy na straně obchodního partnera před integrací do systému: vytvoření, příp. úprava formuláře odesílajícího data úprava databáze (zavedení potřebných polí) vytvoření skriptů "validation" a "confirmation" pro kontrolu dat přijatých od bank, s daty uloţenými v databázi. Skripty musí přijmout proměnné, provést kontrolu a a odpovědět html řetězcem. vytvoření "OK" a "NOK" stránek, na které je drţitel karty platebním systémem přesměrován po dokončení transakce (stále je přenášeno identifikační číslo platby, tzn. je moţno pomocí skriptů zapisovat např. do databáze status transakce) validation a confirmation skripty musí být zabezpečené protokolem SSL. Tyto adresy tedy začínají https://... (jiné OS nejsou zatím standardně podporovány)
Z výše uvedeného vyplývá, ţe se zavedením bezpečných nákupů po Internetu jsou spojeny také nemalé zaváděcí náklady zejména pro obchodníky. Moţnost takovéto platby se tedy stala dobrou vizitkou pro kaţdý internetový obchod pouţívající technologii 3D Secure.
27
3
Elektronický platební styk
Právní úprava je řešena z důvodu velkého významu jiţ Směrnicí EU č. 2000/46/ES. Důraz je kladen na zvýšení právní jistoty klienta a zamezení nekontrolovaných emisí elektronických peněz. Dále Směrnice č. 2002/65/ES, č. 97/7/ES a doporučení č. 97/489/ES. V ČR je to stejně jako u PK zákon č. 124/2002Sb.
3.1 Druhy elektronických peněz Dle způsobu uloţení elektronických peněz rozlišujeme dva systémy: na samostatném nosiči, který je nutno předloţit dříve neţ transakci provedeme v paměti počítače, kdy vyuţíváme existence počítačových sítí Dle povahy elektronických peněz rozlišujeme taktéţ dva systémy: token-based elektronické peníze, vnímané jako kopie skutečných mincí balance-based elektronické peníze, které se vyskytují nejčastěji jako kreditní či debetní zůstatek elektronického účtu Nabízené sluţby: fax, telefon, GSM banking, WAP banking, Internet, přenosová média (diskety s textovými/datovými soubory), komunikační programy apod.
28
3.2 Organizace platebního styku
Zúčtovací centrum, systém ABO Na tomto systému zaloţeném na počítačovém zpracováním plateb se pracovalo od 60. let 20. století. Z důvodu velkého zpoţdění byl do provozu zaveden teprve v červenci roku 1980. Za cíl si kladl vytvořit bezdokladový systém platebního styku. Jelikoţ ale v tehdejším Československu existovala pouze jednostupňová bankovní soustava, byl po roce 1989 postupně měněn. V systému ABO bylo vedeno přes 45 000 účtů ještě na konci roku 2005. Zejména z důvodu specifických sluţeb a klientely byl tento systém jedním z největších. Kaţdý den jeho prostřednictvím z účtu na účet bylo převedeno více neţ 2 biliony korun ve statisících poloţkách.
Současný clearingový systém, CERTIS V současnosti je tento systém jediný systém mezibankovního zúčtování v českých korunách u nás. Česká národní banka uvedla do provozu počínaje listopadem roku 2006 novou verzi, která je téměř výlučně pouţívána, i kdyţ právní úprava nestanovuje ţádnou povinnost pouţívat jej při mezibankovním platebním styku. Na vývoji novodobé verze CERTISu spolupracovala firma Oracle. Tato spolupráce a technologie pouţité firmou Oracle umoţnily navýšení počtu operací zejména díky velké rychlosti zpracování dat. Původně systém zpracovával přibliţně 400 tis. poloţek za kaţdou hodinu. Nový systém umí za stejnou dobu pojmout a zpracovat cca 1 mil. poloţek. V průběhu jednoho obchodního dne tak lze odbavit asi 8 mil poloţek.
29
Graf 1: Denní počty položek za rok 2009
Zdroj: Statistika ČNB 2010
3.3 Realizace platebního styku Elektronický platební styk zpracovávají zejména komunikační a databázové servery, které jsou napojeny na standardní datové sítě. Nároky na jejich rychlost, kapacitu a stabilitu jsou obrovské. Servery musí denně bezchybně zpracovat milióny transakcí. Jen Česká Spořitelna, a.s. má přes milion uţivatelů internetového bankovnictví a čtyři pětiny transakcí probíhají přes tento distribuční kanál. Komunikační servery Jsou základní stavebním prvkem celé sítě. Celosvětovou síť tvoří obrovské mnoţství serverů, kde kaţdý zajišťuje a podporuje jiné sluţby. Soustavy sítí jsou propojeny tzv. routery, které mají za úkol směřovat data správným směrem. Zasílání zpráv a komunikace v reálném čase je zajištěna pomocí přenosů protokoly TCP/IP (Transmission Control protokol/Internet Protocol). 30
Důleţitou součástí jsou vlastnosti serveru, které umoţní paralelní zpracování dat. Nezávislost zpracování je nezbytně nutná k moţnosti obslouţit v jednom čase mnoho klientů současně. Sluţba WWW (World Wide Web) pracuje s informačním systémem, který umoţňuje sběr dat z v podstatě nekonečného souboru činností, poznání a oblastí světa a to vše v jednoduchých strukturách s aktivními odkazy (prolinky) pomocí jazyka HTML (HyperText Markup Language). WWW servery tedy velmi zjednodušeně řečeno zajistí, aby zpětně k uţivateli byla vyslána data, o která jej poţádal.
3.4 Nabízené aplikace elektronického platebního styku Z původně vyvíjených aplikací byly v provozu nejčastěji pouţívány produkty Office Line firmy A && L soft, s.r.o. Produkt MultiCash je pouţíván dodnes.
3.4.1 Sluţba Homebanking Na konci 90tých let a počátkem nového tisíciletí se mohutně rozvinul systém elektronické komunikace s bankami nazývaný „homebanking“. Systém zaloţený na počítačové aplikaci ovládané nejčastěji v off-line reţimu, kde se nejprve pořídila všechna potřebná data, ta se následně zašifrovala a odeslala v rámci jednoho telefonního spojení s bankovním serverem. Komunikace probíhala nejčastěji po standardních analogových komutovaných telefonních linkách běţných providerů pomocí MODEMů (HW zařízení převádějící analogový a digitální signál. Zkratka slov modulátor, demodulátor) připojených k PC buď jako externí periférie nebo přímo instalovaných uvnitř PC (tzv. karty nebo interní modem s různou sběrnicí). Velmi rozšířené aplikační vybavení pouţívané např. ČS, a.s. byl Officeline. Systém byl neustále vyvíjen a zlepšován. Od počátečních dní, kdy podporoval jen operační systém MS-DOS, dostal později nadstavbové řešení pro MS Windows všech jeho verzí. 31
V tom ale také byla největší slabina homebankingu. Vazba na konkrétní PC, náchylnost k systémovým problémům při instalacích, často upgradované verze, to vše znamenalo značné prostředky vynaloţené na optimální chod nejen v bance, ale zejména u konečných klientů. Z důvodu obtíţnosti instalací (zejména síťových verzí) si v drtivé míře nedokázali sami klienti ony aplikace nainstalovat a zprovoznit. Banky zaměstnávali ve svých IT odděleních několik specialistů zabývajících se např. pouze touto tématikou. Objíţděli klienty bank a zprovozňovali aplikační vybavení, řešili komunikační problémy, SW podporu a nesourodost v HW vybavení apod. Systém tedy nefungoval zcela optimálně a byl na údrţbu poměrně drahý. V podstatě všechny tyto problémy vyřešil nástup web serverů pro elektronické bankovnictví a pouţívání Internetbankingu.
3.4.2 MultiCash (MC)
MC byl vyvíjen hlavně pro náročnější klientelu bank. Je rozšířenou formou homebankingu sdruţujících více bank pospolu v jedné aplikaci, kde klient můţe v rámci jednoho systému obsluhovat více bankovních společností. Vyuţití našel zejména pro segmenty středních (MICRO, SME) a velkých firem či korporací, veřejného sektoru a neziskových organizací a nadnárodních či skupinových klientů, kteří mají pod jedním IČ více subjektů a pro klienty agendy sběrných účtů, kteří nemají v dané bance vedený ţádný běţný účet. Z právních forem můţe být vyuţíván jak právnickou, tak fyzickou osobou – podnikatelem (rezidentem, nerezidentem). Charakteristika a podrobnější popis: MultiCash je mezinárodní multibankovní systém, jehoţ prostřednictvím je moţné obsluhovat účty klienta vedené v různých bankách nejen na území České republiky, ale i v zahraničí. Z toho vyplývá i moţný rozsah jeho nasazení. Na jedné straně můţe být nasazen jako aplikace, která bude obsluhovat jediný běţný účet malé společnosti vedený u jedné banky v České republice a na straně druhé můţe být nasazen v rozsáhlé podnikové síti 32
nadnárodní korporace, která jím bude schopna obsluhovat své účty vedené v různých měnách u několika domácích i zahraničních bank. MultiCash je rozdělen na dvě části: 1. Klientskou část, která je instalována do IT prostředí konkrétního klienta (na jeho pracovní stanice, resp. servery) pracovníkem banky, popř. dodavatelské společnosti. V této aplikaci klient připravuje veškerou platební agendu a po provedení všech autorizačních procedur je odesílá do banky, bankovní straně systému MultiCash ke zpracování. V této časti systému klient zpracovává přijaté reporty z banky jako jsou denní výpisy, zůstatky, kurzovní lístky měn, apod. 2. Bankovní část, která přijímá platební instrukce od klientských aplikací systému MultiCash a následně je předává bankovním systémům ke zpracování. Z nich pro klienty připravuje veškeré informace jako jsou denní výpisy, zůstatky, kurzovní lístky, atd. Komunikace mezi těmito dvěma částmi je řešena dvěma moţnými technologiemi. Klient můţe ke komunikaci mezi klientskou a bankovní stranou systému MultiCash vyuţít: Komunikaci
pomocí
pevné
komutované
telefonní
linky
prostřednictvím
analogového modemu. Komunikaci TCP/IP protokolem (internetem).
Hlavní funkcí sluţby MultiCash je platební styk: Jednorázový i hromadný (vč. urgentního) tuzemský platební příkaz k úhradě. Jednorázová i hromadná ţádost o inkaso. Odeslání souboru plateb pro agendu sběrných účtů (SBÚ). Jednorázový i hromadný platební příkaz v cizí měně. Jednorázový i hromadný zahraniční (vč. urgentního) platební příkaz. Jednorázový i hromadný PRIEURO platební příkaz. Jednorázový i hromadný SEPA platební příkaz. Vzorové platební příkazy (pro často se opakující platby). 33
Trvalé tuzemské i zahraniční platební příkazy. Oboustranné propojení s účetním systémem / mzdovou agendou - import plateb do aplikace MultiCash a export výpisů z účtu do účetního systému / mzdové agendy. Databáze obchodních partnerů Systém MultiCash pracuje na principu zasílání platebních souborů. V praxi to znamená, ţe klient aplikace připravuje jednotlivé platební příkazy a ty jsou po autorizaci a přípravě na přenos odesílány do banky jako dávky (tzv. platební soubory). Tedy jako hromadné platební příkazy. Pouze na klientovi je, zda v platební dávce bude jediný platební příkaz nebo jich do dávky umístí více. Proto se v předešlém seznamu hovoří o jednotlivých i hromadných platebních příkazech.
Z mnoha bankou připravovaných reportů jsou nejvíce pouţívány: Denní výpis z účtu ve formátu MT940, ABO a klientem volně definovaný TXT nebo CSV (XLS). Předúčtované poloţky (průběţné denní obraty na účtech) ve formátu MT942. Stavy plateb - informace o provedení nebo neprovedení platební transakce v bankovním systému. Aktuální zůstatek na účtu - informace o momentálním stavu na účtu. Kreditní a debetní avíza k zahraničním platbám. Seznam neprovedených ţádostí o inkasa. Kurzovní lístek (valuty a devizy - nákup/prodej/střed). Kurzovní lístek ČNB. Textové informace a provozní informace. Soubory komprimované metodou ZIP - zprávy z banky, např. reporting pro cashpooling, apod.
34
Bezpečnost sluţby MultiCash Přihlášení do aplikace je moţné několika způsoby, které závisí na konfiguraci jednotlivých uţivatelů, tj. uţivatelským jménem a heslem, elektronickým podpisem, systémovým jménem uţivatele (přihlašovacím profilem do operačního systému Windows). Přístupy k jednotlivým funkcím zajišťuje detailní správa přístupových práv. Do těchto skupin jsou jednotliví uţivatelé zařazováni. Při změně práv se taková změna projeví u všech uţivatelů zařazených do upravené skupiny. Stejně jako skupinám, lze přístupová práva přiřazovat individuálně jednotlivým uţivatelům. Pouţívaný elektronický podpis je souborem dat uloţeným na vyměnitelném paměťovém médiu nebo na pevném disku počítače, kterým lze autorizovat platební soubory a který je chráněn heslem. Je zaloţen na technologii tajného a veřejného klíče (RSA algoritmus).
Banky nabízející MultiCash v České republice: LBBW Bank CZ, a.s. COMMERZBANK Aktiengesellschaft, pobočka Praha Česká spořitelna, a.s. Československá obchodní banka, a.s. Deutsche Bank Aktiengesellschaft Filiale Prag Fortis Bank SA/NV, pobočka Česká republika HSBC Bank plc - pobočka Praha ING Bank N.V. Komerční banka, a.s. Oberbank AG pobočka Česká republika Raiffeisenbank, a.s. UniCredit Bank Czech Republic, a.s. Volksbank CZ, a.s. Všeobecná úvěrová banka a.s., pobočka Praha
35
3.4.3 Navazující produkty a sluţby
MultiCash WebSign 24 Doplňková sluţba klientské aplikace MultiCash, která prostřednictvím aplikace v internetovém prohlíţeči umoţňuje pouze kontrolu a vzdálené podepsání platebních souborů zaslaných do banky ze standardní aplikace MC a také staţení aktuální verze a následnou automatickou aktualizaci aplikace a všech jejích modulů. Provoz sluţby je garantován pouze v prostředí prohlíţeče Microsoft Internet Explorer 6.0 nebo vyšší. V nastavení bezpečnosti prohlíţeče je nutné povolit staţení, instalaci a běh "ActiveX“ a „plug-in“ prvků.
3.5 Telefonní bankovnictví
Při vyuţívání této formy elektronické komunikace mají klienti bank na výběr z více moţností tu, která jim nejlépe vyhovuje. Pokud upřednostňují rozvor s ţivým operátorem pouţití sluţbu některého z Call center, pokud chtějí zadat např. platbu JEP pomocí hlasového automatu, pouţijí sluţbu IVR (Interactive Voice Response). Dále lze odeslat SMS zprávu, pouţít WAP nebo SIM toolkitovou GSM aplikaci přímo v mobilním telefonu. Největší podíl na trhu a nejkomfortnější obsluhu nabízí však jen Internetbanking. Dále se proto budeme zabýt jiţ jen jeho sluţbami a moţnostmi.
36
Obrázek 5: Ukázka schématu služby IVR (Interactive Voice Response)
Zdroj: Wikia [online]. 2010 [cit. 2010-04-27]. Wikia.com.
Dostupné
z
WWW:
3.6 Internetové bankovnictví
Celosvětová nejpouţívanější počítačová síť Internetu jednoznačně pomohla k obrovskému boomu a rozvoji internetového bankovnictví. Dnešní rozličné moţnosti připojení umoţní kaţdému, kdo stojí o připojení k Internetu toto přání realizovat. Rozvinuté formy zabezpečení chránící citlivá přenášená data v drtivé většině případů fungují bez problémů. Transakce prováděné tímto kanálem jsou obvykle v cenících bank tím nejlevnější transferem vůbec. Další výraznou úsporou je čas. Zjednodušení pouţití (běţný internetový prohlíţeč se standardním šifrováním) bez sloţitých instalací aplikačního vybavení a jeho údrţby zaznamenalo další růst zájemců o tento druh komunikace s bankami a svými finančními aktivy či pasivy. 37
Internetové bankovnictví je určeno pro: fyzické osoby - občany (tuzemce i cizozemce) fyzické osoby - podnikatele právnické osoby majitele sporoţirových, běţných korunových a cizoměnových účtů
Charakteristika a popis: Představuje sluţby přímého bankovnictví, které umoţňují klientům 24 hodin denně, 7 dní v týdnu, po celý rok obsluhovat účty z jakéhokoli místa v České republice či zahraničí prostřednictvím internetového prohlíţeče. Slouţí zejména k: provádění vybraných bankovních operací na běţných, majetkových a vkladových účtech (vedených v Kč a vybraných cizích měnách), získání informací o kartových, úvěrových, hypotečních a majetkových účtech, získání všeobecných informací o produktech a sluţbách bank přímému sjednání smlouvy o spotřebitelském úvěru, kontokorentním úvěru nebo kreditní kartě, nepřímému prodeji vybraných produktů dceřiných společností; Sluţba Internetbankingu je dostupná z jakéhokoli místa v České republice i v zahraničí na příslušných internetových adresách. Pro bezproblémové vyuţívání internetového bankovnictví je nutné mít na osobním počítači nainstalován internetový prohlíţeč nejčastěji od firem Microsoft Internet Explorer (verze 6.0, 7.0 a 8.0) nebo Mozilla Firefox (verze 3.0 či vyšší). Prohlíţeče od jiných firem nebo jiných verzí prohlíţečů nejsou standardně podporovány.
38
Klient si můţe vyzkoušet, jak snadné a přehledné je pouţívání aplikace Internetbanking v DEMO verzích.
Obrázek 6: Ukázka demo verze Internetového bankovnictví Servis 24 České Spořitelny a.s.
Zdroj: Servis 24 Internetbanking [online]. 2010 [cit. 2010-04-27]. Servis 24 Internetbanking Demo verze. Dostupné z WWW:
39
Obrázek 7: Ukázka demo verze Internetového bankovnictví Moje banka Komerční banky, a.s.
Zdroj: Www.mojebanka.cz [online]. 2006 [cit. 2010-04-27]. Moje banka demo. Dostupné z WWW:
Výhody internetového bankovnictví: přístup do banky 24 hodin denně, 7 dní v týdnu, po celý rok, obsluha účtů dostupná z jakéhokoli místa v České republice či zahraničí, jednoduché sjednání sluţby i bez návštěvy klienta v bance, pohodlná a cenově velmi výhodná obsluha účtů, realizace běţných bankovních (aktivních a pasivních) operací na osobních i podnikatelských účtech a na účtech právnických osob v Kč a vybraných cizích měnách, pohodlná realizace zahraničního a přeshraničního platebního styku v Kč i cizí měně, jednoduchá a pohodlná moţnost změny nastavení účtu moţnost přístupu k většině produktů (stavební spoření, ţivotní pojištění, penzijní připojištění, hypotéky, vkladové účty, aj.), 40
moţnost realizace změn v produktech, umoţňuje zobrazení přehledu a detailních informací o platebních a kreditních kartách uţivatelů, e-faktury - moţnost aktivovat a přijímat elektronické faktury prostřednictvím sluţby je moţné realizovat dobíjení předplacených karet všech tuzemských mobilních operátorů, u mobilního operátora lze navíc i zaplatit fakturu, provést platbu a navýšit volací jistinu, spolehlivé a moderní zabezpečení sluţby pomocí přihlašovacích SMS i vyššího typu zabezpečení (autentizační kalkulátor a klientský certifikát) moţnost zasílání informací o účtu prostřednictvím SMS zpráv nebo prostřednictvím e-mailu zabezpečeného digitálním podpisem, umoţňuje uţivatelům obsluhovat účty, jichţ nejsou majiteli, ale ke kterým mají dispoziční právo od majitele účtu, moţnost importu dávky jednorázových příkazů k úhradě nebo k inkasu v Kč v rámci tuzemských bank, export elektronického textového výpisu ve formátu PDF zadání hromadného platebního příkazu jednoduchá realizace opakujících se plateb pomocí klientem nadefinovaných příjemců, moţnost přímého sjednání smlouvy o spotřebitelském úvěru, kontokorentním úvěru nebo kreditní kartě, moţnost nastavení zasílání obchodních sdělení přes různé komunikační kanály, moţnost modelování investičních produktů nebo celých portfolií.
Zdroj: Www.csas.cz [online]. 2010 [cit. 2010-02-10]. Česká Spořitelna. Dostupné z WWW:
41
Technické poţadavky pro sluţbu Internetbanking a pro vyuţití klientského certifikátu (standardní bezpečnost, autentizační kalkulátor, autorizační a přihlašovací SMS): PC s nainstalovaným operačním systémem Windows (podporované verze jsou Windows2000, WindowsXP a Windows Vista); prohlíţeč Microsoft Internet Explorer verze 6.0, 7.0 a 8.0 nebo Firefox verze "(-)" 3.0.
Podmínkou pro podporu vţdy nové verze aplikace Java je instalace nových ovladačů.
42
4
Bezpečnost platebních systémů
4.1 Ochrana dat při elektronickém platebním styku Při zváţení hlediska bezpečnosti (důvěryhodnosti) bank je zřejmé, ţe musí neustále hledat lepší a bezpečnější cesty pro přenášená data od a ke klientům a nevyhnou se tím značným částkám vynakládaným na ochranu a vývoj šifrování těchto dat. Pro klienty je více neţ rychlost a spolehlivost důleţitá bezpečnost jejich finančních prostředků! Zašifrovaná data odeslaná bankou musí mít moţnost rozšifrovat jen správný jedinečný příjemce. K tomu existuje v praxi celé řada bezpečnostních opatření a metod. Základní formu tvoří uţivatelské jméno a heslo. Uţivatelé mají moţnost stanovit si maximální denní limit odesílaných plateb, přes který je jiţ banka nedovolí uskutečnit další transakci. Dalším technicky poměrně jednoduchým, ale účinným a hojně dnes pouţívaným nástrojem jsou tzv. přihlašovací SMS zprávy, které banka na vyţádání odešle na klientův mobilní telefon, který je smluvně registrován a lze jej změnit pouze při fyzické přítomnosti klienta na pobočce banky. SMS zprávy jsou jedinečné a pouţitelné vţdy pouze jedenkrát. Při telefonické komunikaci se pouţívá více prvkového zabezpečení. Identifikační číslo IPPID, PIN a klientské heslo. Při GSM bankingu je moţné vyuţít přímo generovaného PIN aplikací banky uloţené (nahrané) na SIM kartu klientova mobilního telefonu. Vstup do aplikace je zabezpečen zvlášť nejčastěji bankovním PINem = BPIN. Za zmínění stojí ještě dnes pouţívané avšak na ústupu autentizací kalkulátory, které po zadání potřebných údajů vygenerují jedinečný a časově omezený kód pomocí kterého lze danou operaci uskutečnit. Nejčastější formou při pouţívání speciálních bankovních PC aplikací (OfficeLine apod.) je elektronický podpis. Jedná se o asymetrický šifrovací algoritmus (RSA), který vyuţívá dvou klíčů na kaţdé komunikační straně, z nichţ jeden je uloţen v PC (nejčastěji na pevném disku počítače, či FDD) a je tajný a druhý, který je certifikován a veřejný. Oba klíče mají omezenu platnost na max. 1 rok. 43
Historický vývoj platebních systémů se značně liší země od země. Navzdory celosvětové globalizaci, kdy jsou dnes bankovní sítě vzájemně propojeny, je mezi nimi velká nestejnorodost. Technický pokrok panuje napříč všemi bankami, bohuţel však pokulhává legislativní rámec, kde nejsou sledovány primární cíle (např. bezpečí či komfort pro uţivatele těchto sluţeb), nýbrţ směr zvyšování počtů transakcí a tím především zisků bank. Tento úhel pohledu má při zamyšlení svá opodstatnění. Tam kde je to zákonně moţné, totiţ navíc banky přesouvají maximální moţnou míru odpovědnosti za prováděné transakce na klienty. Rozdílnost je patrná např. v USA, kde byla přijata tzv. Regulace E, která jednoznačně určuje odpovědnost za transakce poskytujícím bankám. Citace: KRHOVJÁK J., LORENC V., MATYÁŠ V., Autentizace a autorizace finančních transakcí: „Ať je současný model v jakémkoliv směru dokonalý, postavíme-li do role útočníka samotného obchodníka, zjistíme, ţe téměř ţádný z pouţívaných bezpečnostních prvků mu samostatně nemůţe zabránit zneuţít svého postavení a podvést zákazníka. Jeho postavení je výjimečné tím, ţe pro platby poskytuje tzv. "důvěryhodný terminál". Stačí mu tedy jen podstrčit falešný displej zobrazující sumu rozdílnou od té, která je právě odečítána ze zákazníkova účtu. Zákazník na místě nemá ţádnou šanci takovou transakci před provedením potvrdit či zastavit, obrana je moţná aţ v případě, kdy se vyskytne větší mnoţství stíţností na jednoho obchodníka. Obecně platí, ţe terminál je pod výhradní kontrolou obchodníka, platební karta pod kontrolou banky, avšak zákazník nemá k dispozici ţádnou technologii, které by mu umoţnila ověřit, ţe obchodník zadal skutečně správnou sumu (tj. tu, která se zobrazuje na displeji terminálu).“1 Zatímco první odstavec je v podstatě pravdivý, s textem v druhém odstavci autora si však dovolím nesouhlasit. Z letité praxe a po mnoha desítkách instalací platebních terminálů na různých obchodních místech mohu prohlásit, ţe naopak platební terminály jsou jen výjjímečně (v řádu do cca jednoho procenta instalovaných POS) pod kontrolou obchodníka. O výhradní kontrole nemůţe být řeč vůbec! Veškeré platební terminály (POS) jsou instalovány pouze odborným personálem banky a zabezpečeny hesly, která jsou nutná pro rekonfigurace či případné změny v nastavení POS. Kaţdý POS má přiděleno jedinečné 1
Pramen: KRHOVJÁK J., LORENC V., MATYÁŠ V.: Autentizace a autorizace finančních transakcí. Zpravodaj ÚVT MU, Praha 2007, ISSN 1212-0901, (5-10 s.)
44
ID, které je na centrálním datovém úloţišti nakonfigurováno přesně pro konkrétního obchodníka a je zpřístupněno jen autorizovaným pracovníkům banky. Je tedy zřejmé, ţe jakékoliv zásahy do POS ze strany obchodníka ať jiţ SW nebo HW jsou moţné pouze po sepsání příslušných dodatků ke smlouvám a jejich realizaci pracovníky banky.2
V jiných médiích se IT specialisté zabývají celým balíkem SW opatření, které velmi elegantně řeší zabezpečení přístupu k vašim financím na Internetu. Zajímavou myšlenkou, kterou sice umí zrealizovat spíše pokročilí uţivatelé PC systémů, je mít k bankovním internetovým transakcím druhý samostatný prohlíţeč, který je speciálně upraven (ořezán) o spoustu doplňkových sluţeb jinak nutných k modernímu browningu. Další variantou je přenosný Firefox, uloţený na flashdisku (USB paměti), který máte všude s sebou. K dispozici je na www.portableapps.com bohuţel ne v českém jazyce. Jako důleţité jsou zmíněny tipy pro ještě vyšší bezpečnost, které jsou obecně komunikovány dnes jiţ všem uţivatelům IB. Svá čísla kont, PINy nikdy neukládejte v PC Vţdy kontrolujte platnost a přesnost www adresy (dbejte na šifrování) Zřiďte si denní limit Kontrolujte často (nejlépe denně) svůj účet Po skončení bankovních operací se odhlaste! Nestačí ukončit okno prohlíţeče „kříţkem“ v pravém horním rohu
Zdroj: Portableapps.com
2
[online].
2009-2010
[cit.
2010-03-02].
Dostupné
Vycházím ze znalosti prostředí ČS, a.s. Není nemoţné, ţe jiné společnosti postupují rozdílně.
45
z
WWW:
4.2 Internetové bankovnictví - Problémy zabezpečení očima expertů IT Odborníci se v reakci na červencové a srpnové (roku 2006) vybrání 20 klientských účtů pomocí IB začali zamýšlet nad bezpečností a odpovědností. Případů totiţ bylo jiţ v minulosti několik, ale zde údajně zaútočil profesionál, který byl dobře připraven. V předstihu si zajistil více údajů a vše potřebné, pak zaútočil jednorázově. Bezpečnostních prvků je v bankách obrovské mnoţství, nejen při obsluze alternativních kanálů samozřejmě. Byla tedy vznesena jednoduchá, ale velmi pravdivá a znepokojující otázka: „Je klient schopen (zodpovědný ano) zabezpečit svůj počítač?“ … dodávám v souladu s bankovními, smluvními předpoklady? Kdyţ pomineme, ţe jsou obecně „kriminálníci“ vţdy o trochu napřed, protoţe oni se snaţí prolomit a obejít systémy, které fungují, (IT specialisté v oblasti jiţ jen reagují na vznikající snahy o podvodná jednání a mnohdy vynalézavost podvodníků opravdu nemá hranic) tak pokud bude docházet k útokům přes nové cesty, nedostatečně systémově chráněné přístupy (ať jiţ v operačních systémech či jejich nadstavbách), kdo bude hradit případně vzniklé škody? Jak se v budoucnu postaví velké IT firmy (s 10tkami měsíčních záplat jejich světově rozšířených operačních systémů) k podílu na odpovědnosti? To je skutečně jen řečnickou otázkou… Podívejme se tedy, jak to funguje nyní. PRVNÍM A KLÍČOVÝM FAKTOREM JE PREVENCE! Všichni „slušní“ počítačový specialisté (ať jiţ bankovní či jiní) se snaţí klienta především vychovávat. Činil jsem tak při své bankovní praxi vţdy, mnohokrát daleko za rámec mých povinností a doporučení. Proč? Protoţe cítím určitou profesní odpovědnost a mám stále ještě neutuchající snahu lidem v tomto pomáhat. Bohuţel po mém 10tiletém působení na tomto trhu musím obecně konstatovat - Lidé jsou nezodpovědní. Nejen ţe nijak nechrání své počítače (antivirové programy staţené a instalované zdarma nebo „na zkoušku“ tzv. shareware či freeware, neaktualizované operační systémy, nezabezpečené nebo jen málo zabezpečené připojení sítí), ale také nechávají např. ve svých kancelářích volně poloţené papírky s hesly a přístupovými kódy 46
nebo s hesly uloţenými v textových souborech na jejich pracovních PC plochách. Takové „zabezpečení“ je stejné jako kdyţ zapomětlivý klient napíše permanentním fixem PIN kód na svou platební kartu! Pokud si ale toto lidé uvědomují (a je jich dnes jiţ většina) a přes to svou pozornost bezpečí jejich vlastních či firemních peněţních prostředků nevěnují, dokonce s nimi místy i hazardují, tak se mi dere na jazyk velmi pouţívaná a populární věta „Komu není rady tomu není pomoci“. S tím totiţ souvisí názor expertů v oblasti počítačové kriminality, kteří poukazují na to, ţe banky v USA si jiţ dávno uvědomily odpovědnost za sluţbu, kterou nabízejí a ţe rozeznají transakce, které zadávají jejich relevantní klienti, od transakce, kterou klientovo jménem zadá podvodník… S tím si dovolím polemizovat dvakrát. Poprvé, kdyţ transakce probíhá zcela v reţii počítačového jazyka, pouze na bázi autorizace a autentizace, tak zprvu nelze rozpoznat ţádným dostupným nástrojem, kdo onu transakci zadává. Bankovní specialisté z kartových center sice sledují prováděné operace a pohyby, v mimořádných situacích (pokud zaznamenají operace ve zvýšené míře či tzv. nezvyklé pro klienta) se snaţí ho kontaktovat a tím se ubezpečit, zda jsou zjištěné činnosti skutečně prováděny oprávněným drţitelem. To ale k ochraně bohuţel nestačí. Po druhé pak nesouhlasím s názorem, ţe jen bankovní společnosti jsou odpovědné za bezpečnost. V našich podmínkách si především díky výše popsanému, zejména běţní uţivatelé (klienti sluţeb IB) neuvědomují svou odpovědnost. Banky v ČR pouţívají velmi kvalitní systémy zabezpečení a patří ke špičce v oboru. Naopak zastávám názor, ţe internetové bankovnictví je správná cesta. Vývoj je však tak dynamický, ţe většina populace není zkrátka schopna drţet krok. To se jednoznačně musí odrazit i dalším odkrytí neoraných polí pro zloděje a podvodníky. Bude právě na expertech oboru nalézt, vyvinout a projektovat takové systémové postupy, které budou pro uţivatele dostupné se současnými technologiemi, jednoduché, resp. co moţná nejjednodušší a zároveň dokonale (nic nebude nikdy stoprocentní) zabezpečené. Zdroj: NÁPRAVNÍK J.: Problémy internetového bankovnictví očima experta IT, Časopis Bankovnictví, Praha 2006, ISSN 1214-9810
47
4.3 Pouţití vyššího typu zabezpečení
OBECNÉ ZÁSADY: Vyšším typem zabezpečení pro sluţby přímého bankovnictví můţe být klientský certifikát nebo autentizační kalkulátor (dále AK). Autentizační kalkulátor lze vyuţít pro: přihlašování se do sluţeb Internetbanking, autorizaci plateb přes IB i Telebanking. klientský certifikát lze vyuţít pouze pro IB, a to: pro přihlašování se do sluţby, pro autorizaci plateb. O vyšší typ zabezpečení můţe uţivatel poţádat kdykoliv a to v kterékoliv pobočce banky. Vyšší typ zabezpečení je mu poskytnut na základě podpisu smlouvy. Ta můţe být uzavřena i v okamţiku staţení klientského certifikátu uţivatelem nebo v momentě přihlášení do sluţby autentizačního kalkulátoru. Uţivatel můţe mít vţdy pouze jeden autentizační kalkulátor nebo jeden klientský certifikát a ten je přiřazen právě k jednomu konkrétnímu uţivateli. Vydává se a kontroluje jedinečnost výrobního čísla kalkulátoru a výrobního čísla čipové karty, na kterou se certifikát ukládá. Vyuţití vyššího typu zabezpečení Uţivatel sluţby IB vyuţívá autentizační kalkulátor/klientský certifikát zejména pokud: chce provádět platby vyšší, neţ jsou povolené limity, chce lépe zabezpečit aktivní transakce, které provádí chce pouţívat vyšší typ zabezpečení i pro přihlašování se do sluţby a pro autorizaci všech aktivních transakcí. Pokud je ve smlouvě uveden poţadavek na přístup ke 48
smlouvě vyšším typem zabezpečení, jiţ klient vţdy musí tento způsob pouţít. Pokud se uţivatel přihlásí standardní cestou (klientská čísla a hesla) a nikoliv systémem vyššího typu zabezpečení, nejsou mu zobrazena data o něm samým nebo nelze provádět aktivní převodní transakce.
Pro autorizaci aktivních transakcí realizovaných prostřednictvím sluţby IB platí následující pravidla: Metoda
proUţivatel přihlášen
Technické omezení
autorizaci transakce
metody
Klientský certifikát Klientský certifikát
Bez omezení
Autorizační SMS
Klientské číslo + heslo (pokud má aktivoványDo
200.000,-
Přihlašovací SMS, tak i přihlašovacím SMSCZK(či jiný limit) kódem) klientské číslo + heslo + AK AK
Klientské číslo + heslo (pokud má aktivoványBez omezení Přihlašovací SMS, tak i přihlašovacím SMS kódem) klientské číslo + heslo + AK
Klientský certifikát je ověřený soubor dat o uţivateli přímého bankovnictví, který se pouţívá pro asymetrické šifrování dat prováděných operací a transakcí. Výsledkem jeho pouţití je digitální podpis, který zajišťuje integritu, nezpochybnitelnost, neodmítnutelnost a autentizaci šifrované komunikace mezi bankou a uţivatelem. Klientovi je dodána čipová karta, na kterou se klientský certifikát uloţí (tomu předchází komunikace a staţení certifikátu z centrálního serveru banky konkrétním uţivatelem či technikem banky, pokud o to klient poţádá nebo vyţadují-li to okolnosti) a dále čtečka čipové karty. Klienti, kteří pouţívají obdobný systém např. jiţ od jiné banky, mohou vyuţít svojí jiţ instalovanou čtečku. Kompatibilita bývá stoprocentní. 49
Obsluhující přepáţka banky následně klientovi vytiskne nebo zašle na korespondenční adresu jednorázové heslo pro získání klientského certifikátu. Jeho platnost bývá omezena (cca 30 dní od data vygenerování). Po nainstalování čtečky čipových karet, kterou si uţivatelé provádí většinou sami, si uţivatel prostřednictvím sluţby IB zaţádá o klientský certifikát, potvrdí ho heslem, které obdrţel a uloţí jej na čipovou kartu. Certifikát je následně moţné pouţívat 12 měsíců od jeho vydání certifikační autoritou (bankou). Vţdy před skončením platnosti klientského certifikátu je uţivatel informován prostřednictvím e-mailu, zprávou v IB nebo dokonce zaslanou SMS zprávou na mobilní telefon. Platnost čipové karty je časově také omezena, stejně jako standardní debetní či kreditní platební karty. Karta má vyznačeno datum platnosti tzv. "Valid thru:", které označuje rok, ve kterém platnost karty končí. V tomto roce karta můţe být pouţita s existujícím aktivním certifikátem, avšak neumoţní jiţ uloţení nového. Poslední certifikát je moţné na ČK tedy uloţit vţdy nejpozději 31.12. do 23:59 hod předcházejícího roku neţ je rok ukončení platnosti ČK.
Příklad: Pokud je na kartě uvedeno datum "Valid thru: 2008" je nejzazší termín pro uložení certifikátu 12/2007. Po úspěšném uložení a aktivaci cetifikátu je tento platný dalších 12 měsíců (tedy v průběhu roku 2008). Upozorněte Klienta na tuto skutečnost. O blížícím se ukončení platnosti čipové karty je Klient informován prostřednictvím informačního e-mailu, upozorněním v IB nebo prostřednictvím TB.
50
5
Elektronické importy/exporty dat
S vývojem aplikačního softwarového vybavení šla ruku v ruce snaha o minimalizaci doprovázené administrativy, zjednodušení potřebných kroků a úspoře práce pro koncového uţivatele. V éře homebanking aplikací (SW Office Line, aj.) vznášeli koncoví uţivatelé poţadavky na provázanost účetních systémů s bankovními aplikacemi. Zdálo se jim zdlouhavé pořizovat data v interních podnikových systémech a následně je typovat znova v systému homebankingu. Volalo se po zjednodušení práce a především po úspoře času. Banky, resp. jejich smluvní organizace zajišťující podporu a programování SW vybavení pro přímé bankovnictví, začali pracovat na systému propojení dat mezi účetními softwary na běţném trhu a bankovními aplikacemi. Hledal se převodní můstek mezi velkou roztříštěností a různorodostí účetních systémů, způsobenou zejména mnoha malými organizacemi, které se zabývali vývojem a instalací tohoto vybavení pro koncové firmy. Ţádný z těchto mnoha systémů z prvopočátku nefungoval na stejném základě, standardu. Propojení s dalším SW bylo tedy velmi obtíţné nebo zcela nemoţné. Z důvodu neochoty malých výrobců SW přizpůsobit své produkty poţadavkům měnícího se trhu tato situace přetrvávala poměrně dlouhých několik měsíců, kdy vznikla mezera na trhu a zákazníci nebyli zcela spokojeni. Banky tedy pomocí svých vlastních personálních zdrojů (IT oddělení) připravovali přechodové můstky „na míru“ mnohdy klientům přímo v místě jejich působnosti, sídel společností či u klientů doma . Cílem bylo, aby klienti pořídili potřebná data pouze jednou ve svých účetních programech a následně jednoduchou operací tato data exportovali k dalšímu pouţití (načtení) systémem bankovním. Při větším počtu prováděných transakcí byla úspora zřejmá od prvního pouţití této funkce. Např. Komerční banka pouţívá formátu BEST, Raiffeisenbank GEMINI, Česká spořitelna a ČSOB ABO formátu.
51
5.1 ABO formát
ABO neboli automatizovaná bankovní operace byla zavedena jiţ v osmdesátých letech Státní bankou československou, aby jí její klienti mohli předávat nosiče elektronických dat (datové pásky, diskety). Formát ABO se v České republice a na Slovensku běţně pouţívá pro výměnu finančních zpráv. Jeho struktura je pevně definována, a to podle dále uvedeného přehledu. Při importu z či exportu zpráv do ABO formátu není pouţíván popis záznamu.
Obrázek 8: Základní struktura ABO formátu
Zdroj: Www.mbank.cz : dokumenty [online]. 2009 [cit. 2010-04-27]. Technická specifikace struktury ABO formátu.
Dostupné
z
WWW:
formatu.pdf>
52
5.2 GEMINI formát
Pracuje se souborem ASCII. 1 řádek = 1 příkaz, pevné pozice poloţek. Datový soubor můţe obsahovat vţdy pouze účetní poloţky jednoho typu, tzn. tuzemský příkaz k úhradě nebo k inkasu v CZK, příkaz k úhradě do zahraničí nebo na adresu. V jednom datovém souboru tedy nikdy nemohou být obsaţeny současně příkazy různých typů. Datový soubor je prostý textový soubor s pouţívaným kódováním znaků ASCII a příponou souboru *.pnn (tuzemský příkaz k úhradě, k inkasu a na adresu v CZK) nebo *.fnn (příkaz k úhradě do zahraničí). Skupina písmen „nn“ můţe vyjadřovat pořadové číslo datového souboru vytvořeného v průběhu jednoho kalendářního dne nebo můţe vyjadřovat typ datového souboru.
5.3 BEST formát
Formát BEST obsahuje domácí platební příkazy (Import) účetní i neúčetní údaje blíţící se rozsahu normy UN/EDIFACT v rámci domácích platebních příkazů. Zahraniční platební příkazy (Import) účetní i neúčetní údaje odvozené od potřeb SWIFTových zpráv v rámci zahraničních platebních příkazů. Elektronický výpis (Export). Kódová stránka DC je vyţadována windows-1250 – Windows Eastern European (Řádkování Windows CRLF).
53
6
Vývojové trendy
Moderní klientsky orientovaná banka si jistě musí uvědomovat, ţe její pobočková síť je při styku se zákazníkem tím nejdůleţitějším. Klienti jsou hýčkáni nadstandardními sluţbami a komunikací, která bývá klíčová při rozhodování se o setrvání u té či oné banky. Uvědomují si ale také, ţe taková řešení s sebou nesou velmi vysoké náklady na provoz, rekonstrukce, vybavení a především mzdy. Hledány jsou varianty, které je moţné akceptovat ze strany klientů i bank. K těmto moţnostem banky přistupují ze stejných důvodů jako k elektronickému bankovnictví, tj. povětšinou z důvodů úspory vysokých mzdových nákladů. Takovou variantou se v poslední době stávají tzv. bezobsluţné neboli samoobsluţné zóny, propojování bankovního sektoru s dalšími odvětvími, neomezená dostupnost rozmanitých sluţeb a apel na jejich přátelskost směrem k uţivatelům. Ti vyvíjejí tlak na všechny dodavatele podobných sluţeb a vyţadují je za co nejniţší ceny a dokonale bezpečné.
6.1 Samoobsluţné zóny Propagovaným moderním bankovním kanálem jsou dnes se velmi rozrůstající tzv. samoobsluţné zóny často i s nepřetrţitým provozem 7/24. Klienti si v těchto zónách zpracovávají sami většinou jednorázové příkazy k úhradě, výběr a vloţení hotovosti na své běţné účty pomocí duální bankomatů (vkladomatů) nebo si zrealizují tisk výpisů z účtu. Na území hlavního města je těchto zón jiţ několik a trend se postupně přenáší do dalších měst po celé ČR. Klienti tak za nedlouho budou moci např. ukládat své peníze či firemní trţby i mimo pracovní doby svých bank. Z průzkumů vyplývá, ţe tuto moţnost by uvítala drtivá většina obchodníků z důvody delší otevírací doby svých obchodů, neţ je pracovní doba většiny bank. Samoobsluţné zóny nejsou úplnou novinkou. Existovaly v České republice jiţ před několika lety v tehdejší Ţivnostenské bance. Ta na svých pobočkách měla ojedinělá zařízení na vklad hotovosti a zadání příkazu k úhradě. Automaty umoţňovaly klientům 54
vytisknout i zkrácenou verzi výpisu z účtu (přehled obratů). Po převzetí Ţivnobanky UniCredit Bank byla tato zařízení vesměs demontována a zůstaly jen vkladomaty. Dalším zástupcem na poli samoobsluţných zón byla eBanka. Ta vkladomaty sice nedisponovala vůbec, umoţňovala ale pomocí komunikačních terminálů spojení na internetové bankovnictví a infolinku. Toto spojení existuje na některých pobočkách dodnes. Pobočky Citibank provozují samoobsluţné zóny, které mají dnes jen slabé vyuţití. Banka se omezila před lety na výběr hotovosti z bankomatu a mnoţnost vkládat v těchto zónách zrušila úplně. Jedinou sluţbou pak zůstalo zprostředkování telefonického kontaktu s klientským servisem Citiphone. Volksbank Shop od Volksbank je zvláštní distribuční cestou, umoţňující klientům např. při nákupech ve společnosti Kauflandu ČR si vytisknout výpisy z účtu z elektronického terminálu. Stejnou moţnost nabízí i samoobsluţná zóna Raiffeisenbank im Stiftland. Kopíruje tak politiku své mateřské společnosti v Německu. V zahraničí jsou samoobsluţné zóny samozřejmostí naprosté většiny bank. V Německu, Rakousku, Francii, Španělsku a ve Velké Británii jsou mnohem běţnější neţ na našem území a najdete je v pobočkách ihned při příchodu. Standardně bývá osazeno několik automatů vedle sebe, pomocí kterých si provedete rozmanité operace.
Vkladomaty I kdyţ se jedná o poměrně drahé zařízení, je stále více na vzestupu. Bankovní domy sledují ve svých statistikách obraty vkládaných hotovostí na všech pobočkách a mají tak k dispozici pro svá rozhodnutí o umístění potřebná data. Depozitní automaty umí přijmout, přepočítat a bezpečně uloţit hotovost a obratem ji připsat na účet vkládajícího. Počítačky bankovek obsaţené v těchto zařízeních umí pracovat s různými nominály současně, roztřídit je a vytisknout výčetku s počtem kusů a celkovými částkami. Depozitní automaty provozuje Česká spořitelna (její automat přijímá dokonce i mince všech nominálů), Československá obchodní banka, GE Money Bank a HSBC Bank. 55
Transakční terminály V březnu roku 2010 byla u nás představena novinka v podobě transakčního terminálu. Tento automat slouţí klientům k provádění výlučně bezhotovostních transakcí. Autorizace probíhá pomocí debetních platebních karet a PIN kódu uţivatele. Z nabízených sluţeb jsou nejvíce vyuţívány platby faktur a účtů, které mají na sobě vytištěn standardizovaný čárový kód. Např. fakturu za plyn jen přiloţíte ke čtečce terminálu a ihned jsou načteny údaje pro platbu. Sluţba bohuţel naráţí na nejednotnost čárových kódů (absence normy) a stává se, ţe ne všechny doklady jsou automaticky načteny. Odzkoušeny jsou poukázky SIPO, které fungují bez chyb. Další nabízenou moţností je úhrada klasických poštovních poukázek. Pro ty je v terminálu umístěna interní čtečka s otvorem, do kterého se sloţenka vloţí, terminál poukázku naskenuje a bez další asistence sám vygeneruje jednorázový příkaz k úhradě. Údaje stačí jen potvrdit. Ruční editace je samozřejmě také moţná. Po potvrzení operace je původní doklad vrácen a k němu terminál vytiskne potvrzení o přijetí příkazu. Zpřístupněny budou v brzké době i transakce pomocí karet kreditních. Obrázek 9: Transakční terminál
Zdroj: Přes nové transakční terminály zaplatíte sloţenku i fakturu. IDnes.cz [online]. 3. března 2010, [cit. 2010-04-27]. Dostupný z WWW:
56
Obrázek 10: Naskenovaná poštovní poukázka s potvrzením
Zdroj: Banky zavádějí samoobsluţné zóny, finanční potřeby vyřídíte kdykoli. Měšec.cz [online]. 4. 3. 2010, [cit. 2010-04-27]. Dostupný z WWW:
6.2 Bezkontaktní technologie Společnost MasterCard představila před dvěma lety svou vizi rychlého platebního odbavení. Jedná se o tzv. MasterCard PayPass, který umoţňuje platit při kaţdodenním styku ještě rychleji běţné nákupy. Takto vybavenou platební kartu nemusíte vůbec dávat z ruky. Lze platit bez jakéhokoliv protaţení přes terminál, bez zadání PINu či podpisu. Karta se jen přiloţí ke čtečce a úhrada je ihned provedena. Jako ideální pouţití se jeví provádění drobných nákupů, zejména v městských hromadných dopravách, restauracích, na parkovištích nebo např. k úhradě tiskovin ve stáncích. Obliba tohoto druhy plateb se celosvětově zvyšuje. MasterCard s ní přišel jako první v Evropě a jiţ v polovině minulého roku bylo vydáno před 61 miliónů PK s touto technologií. A nejedná se jen o klasické platební karty. Zákazník si můţe nechat technologii zapracovat do svých hodinek, mobilního telefonu nebo do podoby přívěsku na klíče apod.
Zdroj: Mastercard [online]. 2010 [cit. 2010-04-18]. MasterCard PayPass™. Dostupné z WWW:
57
Závěr Na předchozích stránkách jsem popsal stručný průřez tématem alternativních distribučních cest v bankovnictví. Nastínění let minulých a pouţití v současnosti dává tušit, ţe se tento směr se bude rozvíjet bok po boku s nástupci dalších technologií. Zkracuje se doba mezi vývojem a implementací, rozvoj jde kupředu mnohem rychleji a čím dál více integruje trhy. Historické mezníky, např. mohutný rozvoj platebních karet, rozhodně předčil prvotní očekávání sloučených bankovních domů (asociací). Dnes je platební karta neodmyslitelnou součástí konzumního stylu ţivota. Bezhotovostní styk převyšuje ve všech směrech ten hotovostní. Elektronické peníze budou podle mého názoru jednoznačnou cestou budoucnosti. Zaznamenají mnoho podob, neţ se usadí všeobecně přijímaný jediný druh. Rozvíjet se musí současně zabezpečení těchto distribučních kanálů. Odklon od např. autentizačních kalkulátorů, samostatných aplikací a jejich nahrazení jednoznačně levnějšími moţnostmi aplikací internetových je dnes zřejmý. Na světlo vyvstává otázka odpovědnosti za případná zneuţití nebo prolomení zabezpečení, která se budou jistě objevovat. Směr rozvoje, webové aplikace, nové technologie, sleduje také propojení více sektorů nejen těch bankovních (dobíjení mobilních telefonů, sluţby elektronických úhrad běţných závazků kaţdého obyvatele, e-faktura, e-billing). Zákaznické segmenty jsou rozděleny, směr se ubírá jednoznačnou cestou úspory nákladů a moderními cestami pro klienty všude k dispozici. Přetrvávající konzervatismus a zčásti bezdůvodné obavy obyvatel ČR k alternativním cestám plateb nutí dále banky otevírat a modernizovat jejich pobočkové sítě. Ústup od těchto tradičních prodejních kanálů je ale jiţ patrný a bude jednoznačně pokračovat. Umím si představit v daleké budoucnosti, ţe klasické kamenné pobočky budou existovat jen ve velmi omezeném počtu a s nabídkou vysoce sofistikovaných sluţeb pro nejnáročnější klientelu. Vše ostatní lze vyřešit elektronickou cestou. Prosazované trendy současnosti budou jednoznačně rozvíjeny i v budoucnu. Snaha o co nejširší zpřístupnění a zjednodušení bankovních sluţeb všem klientům povede k dalším novým nápadům a uplatnění v praxi. Upřímně se těším co nám přinese moderní bankovnictví. 58
Použitá literatura 1.
KRATOCHVÍL P.: On-line banking: Jak udržet peníze v bezpečí, Časopis CHIP, Praha 2008, ISSN 1210-0684.
2.
KRHOVJÁK J., LORENC V., MATYÁŠ V.: Autentizace a autorizace finančních transakcí. Zpravodaj ÚVT MU, Praha 2007, ISSN 1212-0901, (5-10 s.)
3.
MÁČE M.: Platební Styk. Grada, Praha 2006, ISBN 80-247-1725-5, (55-62, 158210 s).
4.
MARVANOVÁ M., SCHLOSSBERGER O.: Platební styk.2. vydání. Bankovní institut VŠ, Praha 1998, 376 s.
5.
NÁPRAVNÍK J.: Problémy internetového bankovnictví očima experta IT, Časopis Bankovnictví, Praha 2006, ISSN 1214-9810.
6.
PÁNEK D.: Bankovní služby, 1. vydání. ESF MU, Brno 2001, ISBN 80-210-2691-X, 70 s.
7.
PŘÁDKA M., KALA J.: Elektronické bankovnictví: rady a tipy, 1.vydání. Computer Press, Praha 2000, ISBN 80-7226-328-5.
8.
STACK J.: Potřebujeme jednodušší služby. Časopis Bankovnictví, Praha 2006, ISSN 1214-9810.
59