Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Systemy informatyczne i rozliczeniowe instytucji finansowych Prof. zw. dr hab. Witold Chmielarz …Jak dobrze jest być sławnym, ale jeszcze lepiej mieć pieniądze…

Podobne prezentacje


Prezentacja na temat: "Systemy informatyczne i rozliczeniowe instytucji finansowych Prof. zw. dr hab. Witold Chmielarz …Jak dobrze jest być sławnym, ale jeszcze lepiej mieć pieniądze…"— Zapis prezentacji:

1 Systemy informatyczne i rozliczeniowe instytucji finansowych Prof. zw. dr hab. Witold Chmielarz …Jak dobrze jest być sławnym, ale jeszcze lepiej mieć pieniądze… Seneka

2 Specyfika informacyjna instytucji finansowych na przykładzie banku Bankiem nazywamy instytucję, która: jest samodzielną jednostką organizacyjną; określa na podstawie własnych decyzji zakres swego działania, swą organizację wewnętrzną, globalną strategię i szczegółową politykę, podejmuje swobodnie decyzje operacyjne i ponosi za nie pełną odpowiedzialność finansową; prowadzi określoną działalność gospodarczą, obejmującą: przyjmowanie wkładów, dokonywanie rozliczeń pieniężnych i różnego rodzaju operacji finansowych, w tym udzielanie kredytów i poręczeń, lokowanie w sposób celowy zebranych środków; posługuje się właściwymi sobie, typowymi dla danej dziedziny działalności środkami i metodami działania; świadczy swe usługi odpłatnie i zmierza do osiągnięcia zysku oraz do powiększania własnych zasobów kapitałowych i posiadanego majątku. B.Kosiński, Podstawy zarządzania przedsiębiorstwem bankowym, w „Współczesny bank” (red.W.Jaworski), Poltex, Warszawa 1998, s

3 Specyfika informacyjna instytucji finansowych na przykładzie banku Ponieważ pieniądz i produkty finansowe łatwo poddają się dematerializacji, są abstrakcyjne i związane są głównie z wymianą informacji można w dużym uproszczeniu scharakteryzować bank, jako przedsiębiorstwo zajmujące się głównie przetwarzaniem informacji, w którym decydującą rolę odgrywają przepływy o charakterze informacyjnym.

4 Specyfika informacyjna instytucji finansowych na przykładzie banku Na złożoność i specyfikę bankowego systemu informacyjnego banku składają się następujące cechy: bardzo duży wolumen baz danych, ważne znaczenie transakcji, realizacja większości transakcji w czasie rzeczywistym, duży wolumen transakcji i znaczna intensywność ich napływu (w bankowości detalicznej np. kilkaset tysięcy transakcji dziennie w skali banku), samodzielność transakcji i kontraktów. Są one utrzymywane tak jak rekordy główne baz danych (transakcje dilerskie, kolejne lokaty itp., rozliczane są w czasie, przechowywane w bazach operacyjnych aż do momentu ustania ich aktywności), rozliczenia w czasie (transakcje są inicjowane z określoną częstotliwością lub według harmonogramu uzgodnionego z klientem), występowanie transakcji z datami mającymi skutki finansowe (efektywnymi - data zapadalności, data wymagalności), różnorodność typów transakcji (ponad 1000), P.Zieliński, Systemy informatyczne dla bankowości w zarysie, Akademicka Oficyna Wydawnicza, Warszawa 1998, s Z. Ryznar, Informatyka bankowa, Wydawnictwo Wyższej Szkoły Bankowej w Poznaniu, Poznań 1998, s.13-27

5 Specyfika informacyjna instytucji finansowych na przykładzie banku realizacja transakcji własnych oraz w imieniu klientów (np. w zakresie papierów wartościowych), wielowalutowość transakcji, wielość algorytmów obsługi produktów tej samej klasy (np. różne zasady kapitalizacji lokat danej grupy depozytów), duża złożoność produktów bankowych i instrumentów finansowych, wynikająca ze skomplikowanych algorytmów (liczenia odsetek, rat kredytowych, odsetek karnych), występowania wielu stowarzyszonych transakcji (awiza, potwierdzenia, opłaty, płatności), pośrednictwa banków zagranicznych, znaczne obciążenie systemu zarówno obsługą transakcji w czasie rzeczywistym jak i dziennym przetwarzaniem wsadowym (podczas tzw zamykania dnia oraz dla potrzeb zarządzania finansami banku), występowanie aplikacyjnych pakietów zewnętrznych, wymagania bezbłędności działania oprogramowania aplikacyjnego oraz zabezpieczeń przed nieuprawnionym dostępem, zmienność rynku usług finansowych i związana z tym konieczność ciągłej modyfikacji produktów bankowych. Niektóre banki wprowadzają nawet 1000 różnych wariantów produktów w ciągu roku. Bank and information technology. The Economist, London, Dec 5, 2009, s.83-84

6 Specyfika informacyjna wymagań instytucji finansowych na przykładzie banku Dostępność dla każdego użytkownika do zasobów informacyjnych niezbędnych do wykonywania powierzonych mu zadań. Dla pracownika obsługi klienta będzie to dostęp do kont klientów, dla pracowników pionu skarbcowego podgląd gotówki w banku, dla pracownika pionu dilerskiego wgląd na rynek międzybankowy, dla pracownika księgowości dostęp do międzybankowych rozliczeń. Aktualność. W przypadku banku konieczna jest natychmiastowa aktualizacja danych po każdej operacji. Aktualizowanie salda na rachunku klienta po każdej transakcji umożliwia nie tylko rzetelną informację klientowi, ale przede wszystkim eliminuje ryzyko transakcji debetowych. Obserwowanie przepływu gotówki w oddziale umożliwia podjecie decyzji o konieczności zasilenia bądź odwózki gotówki. Jest to bardzo istotne ze względu na tendencje do obniżania tak zwanego „pogotowia kasowego” i konieczności wcześniejszego zgłaszania zapotrzebowania na gotówkę oraz organizowania konwojów. Bardzo ważny jest również bieżący monitoring pozycji banku, aby w razie potrzeby dokonać transakcji na rynki dilerskim. Wiarygodność. Zgodność informacji nadanej i otrzymanej, ale również określenie źródeł pochodzenia informacji. Istotne szczególnie w podejmowaniu decyzji w transakcjach niestandardowych np. zgoda na sprzedaż waluty po negocjowanym kursie, czy zaoferowanie wysokiego oprocentowania.

7 Specyfika informacyjna wymagań instytucji finansowych na przykładzie banku Porównywalność. Istotne jest, aby informacje zbierane z poszczególnych działów, oddziałów, centrów rozliczeniowych, umożliwiały przeprowadzenie analizy porównawczej. Aby przekazywane informacje były przydatne wszystkie produkty bankowe muszą być zakładane wg tych samych zasad obowiązujących w całym banku (identyczne konta księgowe poszczególnych produktów, identyczne oprocentowanie, ta sama dokumentacja sprawozdawcza). Niezawodność. W przypadku banku najistotniejsza jest niezawodność techniczna sprzętu komputerowego, która jest warunkiem funkcjonowania. System musi być odporny na awarie tzn. powinien mieć dostępność 99,99% dającą około 50 min niedostępności na rok. Wysoką niezawodność techniczną osiąga się miedzy innymi poprzez tkz. Architekturę tolerującą błędy i umożliwiająca pracę mimo uszkodzenia komponentu. Następuje to dzięki nadmiarowości podzespołów (lub całych urządzeń) oraz wymienności ich podczas pracy. Daje to możliwość drobnych napraw i wymiany podzespołów lub całych urządzeń w trakcie pracy systemu informatycznego. Poza komputerami najważniejszym ogniwem technicznym systemu jest łączność. Niezawodność linii telekomunikacyjnych nie może być absolutnie stuprocentowa. System powinien zapewniać automatyczną aktualizację centralnej bazy danych (o wyniki operacji oddziału rozłączonego) oraz lokalnych plików (o wyniki operacji wykonywanych przez inne oddziały na rzecz oddziału rozłączonego).

8 Specyfika informacyjna wymagań instytucji finansowych na przykładzie banku Elastyczność. Zdolność dostosowania systemu do stale zmieniających się potrzeb np. wprowadzanie nowych produktów i usług. Elastyczność – polega głównie na stosowaniu metod parametryzacji nie wymagających zmian w oprogramowaniu źródłowym. Są to metody względnie bezpieczne i szybkie (wymagają godzin – czasem tylko minut – a nie dni). Ponadto niezbędna jest możliwość przenoszenia danych z uwzględnieniem zmiany ich formatu przy współpracy z innymi systemami np. systemem ELIKSIR. Wydajność rozumiana jako liczba transakcji bankowych możliwych do wykonania w jednostce czasu w szczytowych godzinach i w szczytowych dniach. Dotyczy to zarówno przetwarzania transakcyjnego, jak i wsadowego. Przetwarzanie transakcyjne dotyczy głównie okienkowej obsługi klientów, transakcji zawieranych przez pokój dilerski, płatności elektronicznych obsługiwanych w trybie on-line, rozsyłania zastrzeżeń kart płatniczych, czeków itp. Przetwarzanie wsadowe (zwane również partiowym obejmuje głównie tkz. koniec dnia, ładowanie hurtowni danych itp. czyli jest to przetwarzanie polegające na cyklicznym (okresowym) przetwarzaniu danych nagromadzonych podczas przetwarzania transakcyjnego. W przypadku banków bardzo istotnym wymogiem jest również możliwość zamknięcia dnia bieżącego w jak najkrótszym czasie. Na czas zamknięcia dnia wpływają: obliczanie stanów końcowych na rachunkach, naliczanie odsetek, sporządzanie wszelkich raportów, wszelkie wydruki łącznie z wydrukami wyciągów oraz tworzenie kopii zapasowych, przed rozpoczęciem następnego dnia.

9 Specyfika informacyjna wymagań instytucji finansowych na przykładzie banku Ekonomiczność czyli porównanie kosztów projektowania i eksploatacji systemu z efektami. W przypadku banków jest to bardzo istotne kryterium z uwagi na dużą rozpiętość terytorialną placówek i w związku z tym ponoszenie dużych kosztów telekomunikacyjnych. Czas reakcji systemu – czyli jak długo użytkownik musi czekać na zadane pytanie. Jeśli system ma zapewnić sprawna obsługę klientów wymagany jest bardzo krótki czas odpowiedzi, rzędu kilku sekund dla typowych transakcji bez względu na to jak rozległa jest sieć. Stabilność systemu rozumiana jako odporność systemu na zakłócenia wewnętrzne i zewnętrzne.

10 Specyfika informacyjna wymagań instytucji finansowych na przykładzie banku Poufność. Ze względu na specyfikę instytucji finansowej można wyróżnić zapewnienie poufności wszelkich informacji o klientach i przeprowadzanych operacjach co wymusza prawo bankowe i ustawa o ochronie danych osobowych. Z drugiej strony równie istotne jest ograniczenie dostępu do pewnego zakresu informacji użytkownikom wewnętrznym. Wgląd do rachunków klientów, indywidualnych haseł i kodów identyfikujących użytkowników powinna mieć bardzo ograniczona ilość pracowników, tylko ci, którym jest to niezbędne do bieżącej i sprawnej obsługi. Należy brać pod uwagę fakt,że część nadużyć odbywa się przy udziale nieuczciwych pracowników, którzy udostępniają poufne informacje osobom trzecim. Bezpieczeństwo. Ochrona systemu obejmuje obszary: ochrona przed utratą informacji, gdzie przyczyną są zwykle ludzie obsługujący system, ale również wypadki losowe (przesłanie danych do niewłaściwego klienta, przypadkowe sformatowanie dysku lub usunięcie katalogu, pliku lub jego elementów; ochrona przed nieuprawnionym dostępem osób nieupoważnionych (do pomieszczeń serwerów, dysków, kartotek haseł, identyfikatorów użytkowników, konkretnych aplikacji); ochrona przed przerwaniem przetwarzania spowodowana najczęściej brakiem napięcia w sieci elektrycznej; ochrona przed nadużyciami spowodowanymi wejściem do systemu osób nieuprawnionych.

11 Specyfika informacyjna wymagań instytucji finansowych na przykładzie banku Łatwość użytkowania. Systemy powinny umożliwiać łatwą obsługę zarówno klientom wewnętrznym jak i zewnętrznym. Otwartość systemu czyli zdolność do łączenia się z innymi systemami, przenoszenia na inne platformy sprzętowe (co daje możliwość uniezależnienia się od dostawcy), akceptowania różnorodnych protokołów sieciowych. W bankowości następuje globalizacja rozwiązań w skali światowej. Banki dokonują nie tylko międzynarodowych płatności elektronicznych, lecz również uczestniczą aktywnie w transakcjach na światowym rynku kapitałowym. Odbywa się to za pośrednictwem światowych sieci finansowych, stosujących określone standardy komunikatów. W bankowości istotna jest możliwość uczestniczenia w rozliczeniach międzybankowych (ELIXIR), międzynarodowych czy systemami obsługi transakcji kartami bankowymi.

12 Specyfika informacyjna wymagań instytucji finansowych na przykładzie banku orientacja na klienta: zapewnienie komfortu sprawnej obsługi (stosowanie różnorodnych kanałów komunikacji z bankiem, poświęcenie należytej uwagi w przypadku każdego kontaktu z bankiem, eliminacja kolejek), zapewnienie szerokiej gamy usług (użycie elastycznych technik definiowania produktów dostosowanych do wymagań klientów), możliwość otrzymania informacji o pozycji klienta w przekroju wszystkich operacji i produktów, raporty operacji do przodu i do tyłu, zaoferowanie odpowiednich produktów i linii obsługi dla poszczególnych segmentów klientowskich. scentralizowany charakter przetwarzania – koncentracja kluczowych informacji w jednym ośrodku i maksymalne zbliżenie końcowych urządzeń obsługi klienta. W centralnym ośrodku obliczeniowym banku znajdują się zarówno definicje produktów, jak i bazy operacyjne (zawierające co najmniej komplet informacji o rachunkach i klientach) do których za pomocą stacji roboczych lub terminali sięgają pracownicy centrali i oddziałów, oraz klienci, kompleksowość i spójność rozwiązania – umożliwia usługi zarówno w bankowości komercyjnej (operacje zagraniczne, depozyty, kredyty, obsługa panierów wartościowych) jak i detalicznej (konta osobiste, depozyty, pożyczki dla osób fizycznych)

13 Specyfika informacyjna wymagań instytucji finansowych na przykładzie banku wielowalutowość – pozwala na wybieranie dowolnych walut do dowolnych produktów i transakcji. Wielowalutowość w szerokiej interpretacji polega na: prowadzone są odrębne (samobilansujace się) księgi główne dla poszczególnych walut i odrębna księga główna dla waluty podstawowej, księgowanie odbywa się według bieżących kursów walut, produkty mogą być zawierane na dowolne waluty, transakcje mogą występować w innych walutach niż konto, do którego się odnoszą, np. wpłaty USD na rachunek w PLN, transze kredytu w dowolnej walucie bez względu na walutę w jakiej kredyt został udzielony, limity i zabezpieczenia kredytów w dowolnej walucie, np. w innej niż kredyt, opłaty i prowizje mogą być w innej walucie niż rachunki i transakcje, operacje kantorowe wymiany walut (z USD na EUR) powinny być realizowane automatycznie (mimo przechodzenia prze walutę bazową), prowadzony jest rachunek strat i zysków w rozliczeniach międzywalutowych, tablica kursów wymiany walut zawiera co najmniej kilka rodzajów kursów (średni, kupno dewiz, kupno pieniądza...), utrzymywana jest historia kursów walut).

14 Produkty i usługi bankowe Różne podejścia: Pojęcia produkt bankowy i usługa bankowa stosuje się zamiennie. Produktem (usługą) bankowym jest np. kredyt konsumpcyjny lub założenie lokaty długoterminowej, ale także informowanie o stanie rachunku. „Można także uznać, że bank oferuje określone produkty klientom, a czynności związane z ich sprzedażą i konsumpcją to usługi bankowe”. W tym podejściu produktem bankowym byłby określony rodzaj lokaty czy kredytu, a przekazywanie informacji o stanie rachunku – usługą. Usługi bankowe „przyjmowanie i wypłacanie pieniędzy, oszczędzanie i tworzenie zasobów majątkowych oraz przekazywanie pieniędzy w wyniku realizacji transakcji bankowych”, produkty natomiast jako część usługi. Wyróżnia trzy główne obszary usług: usługi bazowe, usługi dodatkowe i usługi specjalne. Usługi bazowe odpowiadają potrzebom wszystkich grup klientów i obejmują takie produkty, jak: wielofunkcyjne rachunki bieżące, kredyt konsumencki czy standardowe lokaty oszczędnościowe. W literaturze spotyka się również definiowanie usług bankowych jako całości oferty banku i zalicza do nich np. karty bankowe. Wszelkie rozdzielenia w praktyce wydają się sztuczne, ponieważ produkty i usługi bankowe są ściśle ze sobą powiązane i stanowią całość oferty, skierowanej do klienta. W.Grzegorczyk: Produkty bankowe, rozwój i sprzedaż. Biblioteka Menedżera i Bankowca, Warszawa 2001, str. 8. Z.Zawadzka: Aktualne tendencje w bankowości światowej. „ Banki w Polsce”. Poltext, Warszawa 2001, str. 13–46. A.Krymas-Balcerzak, E.Słowińska : Usługi bankowe, a kształtowanie struktur organizacyjnych w banku uniwersalnym. „Nowe usługi bankowe”. Wydawnictwo Akademii Ekonomicznej w Poznaniu, Poznań 2001, str. 26–38.

15 Produkty i usługi instytucji finansowych na przykładzie banku Typologia produktów i usług bankowych: Z punktu widzenia ich treści wyróżniamy produkty i usługi : kredytowe (krótko-, średnio- i długoterminowe), depozytowe (rachunki oszczędnościowe, papiery wartościowe), usługi i produkty obrotu płatniczego (w tym transakcji zagranicznych), dodatkowe (np. doradztwo dla klientów, faktoring, leasing). Ze względu na stopień skomplikowania produkty i usługi bankowe można podzielić na: proste (których nabywanie i korzystanie nie nastręcza trudności klientom), skomplikowane (których sprzedaż i korzystanie jest możliwe tylko przy pośrednictwie i pomocy pracowników banku). Z uwagi na sposób komunikacji z bankiem produkty i usługi bankowe dzielimy na: tradycyjne (dostępne poprzez sieć oddziałów), elektroniczne (związane z wykorzystaniem systemów informatyczno-komunikacyjnych). Istota elektronicznych produktów i usług polega na włączeniu klienta, jako użytkownika do informacyjnego systemu bankowego. A.Janc, G.Kotlińsk : Bankowość elektroniczna jako platforma tworzenia nowych form komunikacji między bankami a klientami. „Zastosowania rozwiązań informatycznych w bankowości”. Mat. konferencyjne, Wydawnictwo Akademii Ekonomicznej im. Oskara Langego we Wrocławiu, Wrocław 2000, str. 169–179. A.Gospodarowicz: Technologie informatyczne w bankowości. Wydawnictwo Akademii Ekonomicznej im. Oskara Langego we Wrocławiu, Wrocław 2002, str. 46.

16 Rozwój technologii informatycznej na przykładzie bankowości Bankowość z uwagi na swój specyficzny charakter działalności była sferą przodującą w wykorzystaniu technologii informacyjnej do usprawnienia przepływu informacji. „Produkty finansowe z samej swojej istoty są predestynowane do istnienia na rynku elektronicznym. Łatwo poddające się dematerializacji, abstrakcyjne, związane są głównie z wymianą informacji. Charakterystyczną cechą większości nowych produktów jest ich autonomiczny charakter: nie są one substytutem tego, co klient może znaleźć w oddziale, lecz tworzą zupełnie nową jakość”. Rozwój IT determinował rozwój usług bankowych i sposób ich świadczenia J.Grzechnik.: Bankowość Internetowa. Internetowe Centrum Promocji, Gdańsk 2000

17 Fazy rozwoju TI w bankowości archaiczna – komunikacja oparta kolejno na poczcie, telegrafie, telefonie: od drugiej połowy XIX wieku po drugą połowę wieku XX, wstępna - wspomaganie środków tradycyjnych komunikacji za pomocą komputerów: 1956–1964 r., wczesna – systemy elektronicznego przetwarzania danych, opartych o przetwarzanie wsadowe: r., intensywnego rozwoju - burzliwego rozwoju informacyjnych systemów zarządzania w bankowości (MIS): r., produktywna – zastosowania systemów eksperckich, systemów wspomagających decyzje, systemów informowania kierownictwa (Decision Support Systems, Expert Systems, Executive Information Systems), wideotekst: r., zmian technologicznych – rozprzestrzenia i przenikania aplikacji: r., integracji aplikacji – na bazie technik komputerowych i telekomunikacji od 1990 r.; do 1995 r. na bazie łączności modemowej, zdalnych systemów – bankowość elektroniczna od 1992 r., systemów globalnych – bankowość internetowa i wirtualna od 1996 r.

18 Fazy rozwoju TI w bankowości - archaiczna Zastosowanie technik telegraficznych do wyrównywania międzyregionalnych i międzyrynkowych różnic cenowych oraz zwiększenia możliwości koordynacyjnych pomiędzy strukturami banku Najważniejsze innowacje tego okresu: telegraf – 1846 r.; położenie kabla transatlantyckiego – 1866 r.; stałe połączenia Wielkiej Brytanii z Indiami i Australią r.; zastosowanie łączy telegraficznych w rozliczeniach międzybankowych – 1918 r.; lata dwudzieste XX wieku – rozpowszechnienie łączności telefonicznej do rozliczeń wewnątrzbankowych, zastosowanie transatlantyckiej techniki telefonicznej Nowy Jork-Londyn – 1927 r. Główną zaletą - przyspieszenie szybkości przesyłania komunikatów, zmniejszające czas z dni, tygodni do minut. Usługi relatywnie bardzo drogie i działające w ograniczonych kanałach przepustowości (kabel transatlantycki do 1956 r. do 20 równoczesnych rozmów).

19 Fazy rozwoju TI w bankowości - wstępna Od połowy lat pięćdziesiątych przez następna dekadę Oparta o automatyzację czynności ręcznych, wymuszone przez ówczesny stan techniki, brak standardów sprzętu i oprogramowania oraz specjalizacją na - rozwiązania bankowe Faza ta charakteryzuje się wykorzystaniem komputerów do rozwiązywania specyficznych problemów i automatyzacji wybranych procedur w ramach departamentów bankowych. Przykładem 1956 r. system sortująco-fakturujący ERMA (Electronic Recording Machine-Accounting) w Bank of America do automatyzacji sortowania i przetwarzania czeków. Wejściowe dane numeryczne były automatycznie czytane z oryginalnych dokumentów wykorzystując technologię magnetycznego odczytu znaków (MICR). System umożliwiał sortowanie z szybkością ponad czeków na godzinę. Zastosowanie systemu wymusiło zmianę organizacji obsługi klienta – każdy klient otrzymał nowy numer konta. W 1960 r. pierwsza próba zinformatyzowania obsługi kart kredytowych, dwa lata później następne pojedyncze aplikacje typu lista płac, płatności rachunków. Aplikacje jednostkowe dostosowane ściśle do typu komputera i jego oprogramowania W 1964 r. uruchomiona w USA pierwszy bankomat

20 Fazy rozwoju TI w bankowości - wstępna Wkrótce do obsługi operacji pozaczekowych zaczęto stosować mainframe IBM Banki rozpoczęły zmianę swojej działalności – od usług realizowanych „tradycyjnie” przez personel do wykorzystania komputerów. Typowa instalacja w sektorze finansowym obejmowała centralny system mainaframe, realizujący przetwarzanie wsadowe do obsługi kont klientów i innych procedur urzędniczych. Aplikacje komputerowe były więc zorientowane na operacje back-office, prowadząc do automatyzacji prac na poziomie oddziału bankowego. Zwiększająca się skala złożoności i wolumenu transakcji finansowych dała podstawy do rozwoju technologii baz danych. W tym okresie zaczęto rozwijać systemy zarządzania baz danych (DBMS- Data Base Management Systems). Dwie kluczowe aplikacje bankowe tworzone w tej technologii powstały w Wielkiej Brytanii w 1968r. Pierwszą była realizacja międzybankowego systemu płatności (Bankers’ Clearing System), drugą – system National Girobank, automatyzujący transfer narodowych i międzynarodowych płatności detalicznych. Sukces tych aplikacji zwrócił uwagę na konieczność standaryzacji nie tylko w ramach jednego banku – zarówno sprzętu, jak i programów. Umożliwiać to mogło przenaszalność oprogramowania bankowego - po niewielkich zmianach na inne komputery, do innych banków. Zmniejszało to koszty jednostkowe tworzenia i poszerzało rynek

21 Fazy rozwoju TI w bankowości - wczesna Trwała w latach r., Była oparta o wypracowane na początku tego okresu standardy oprogramowania (języki: Algol. Basic, Cobol, Fortran; oprogramowanie operacyjne: Unix itp.) oraz postępująca standaryzacje i uniwersalizację sprzętu. Umożliwiało to obsługę wielorazowych, rutynowych, masowych operacji o do końca zdefiniowanej strukturze. Przetworzenie zgromadzonych danych następowało jednokrotnie, następne wymagało zmiany (wymiany, powtórnej rejestracji, wprowadzenia) danych do przetworzenia w programie. Programy obejmowały swym zakresem obliczenia statystyczne, standardowe wydruku kadrowe, płacowe, obsługi rachunków, obsługi kont. Z czasem oprogramowanie wzbogacono o programy zarządzające zbiorami danych lub umożliwiające ich automatyczna parametryzację.

22 Fazy rozwoju TI w bankowości - wczesna Cechy charakterystyczne: obsługiwały ją duże, drogie, wolne komputery (np. IBM 360/65) o awaryjności do 60% czasu pracy, funkcjonujące centralnie w wyodrębnionych ośrodkach informatycznych. Ich zwiększające się możliwości obliczeniowe umożliwiły bankom przetwarzanie wielkiego wolumenu transakcji opartych na dokumentach papierowych w jednym centralnym położeniu, prace nad konstruowaniem oprogramowania - standardowe, tańsze, podobnie prace nad przygotowaniem i wprowadzaniem danych – choć były nadal długotrwałe i uciążliwe, zakres systemów - automatyzacja wybranych procedur departamentów bankowych - przetwarzanie w trybie wsadowym operacji ladowych (front office) oraz zaplecza (back office) wybranych fragmentów obsługi kont klientów i prac administracyjnych (księgowość rachunkowej - obsługa rachunków; kadry, płace; statystyki i raporty zewnętrzne), szybsza, dokładniejsza i bardziej bezbłędna obsługa księgowań, obniżenie kosztów obsługi zaplecza, kontynuacja rozwoju systemu bankomatowego – od 1967 r. – Wielka Brytania, Francja, Szwajcaria, Szwecja; koniec okresu pierwsze implementacje w Japonii, pod koniec tego okresu (1968 r.) powstają pierwsze systemy rozliczeń międzybankowych (Bankers’ Clearing System), wykorzystujące technologię elektronicznej wymiany danych (EDI – Electronic Data Interchange), upowszechniono usługi telefoniczne, np. w latach sześćdziesiątych - bankową usługę połączeń bezpłatnych o charakterze informacyjnym, następnie funkcjonalnym.

23 Fazy rozwoju TI w bankowości – faza intensywnego rozwoju Trwała do końca lat siedemdziesiątych Rosnąca złożoność problemów bankowych i idąca w miliardy operacji funkcjonalność wymusiły zmiany w technologii działania na danych w bankach. Sekwencyjne sesje prac z komputerem zastępowane przez znacznie efektywniejszymi technologie baz danych najpierw hierarchiczne i sieciowe, potem – po 1970 r. - relacyjne bazy danych i systemów zarządzania bazą danych (Data Base Management Systems – DBMS). Powszechnie zmienia się również sposób komunikacji z komputerem – w miejsce taśm i kart papierowych, wczytywanych w dodatkowe urządzenia łączności z jednostką centralną komputera, pojawiają się monitory ekranowe, będącymi jednocześnie bezpośrednimi urządzeniami kontaktu użytkownika (urzędnika bankowego, klienta) z systemem komputerowym, dotąd oddzielonym od komputera ścianami ośrodka komputerowego i obsługujących go ludzi. Stanowi to swoistą rewolucję komunikacyjną – wstęp do wszelkich działań zmierzających do usamodzielnienia relacji z bankiem od strony klienta. Nadal rozwijane jest wykorzystanie łączności telefonicznej w pracy banku oraz systemów elektronicznego transferu danych – w 1973 r. w Belgii organizacja, która doprowadza do uruchomienia międzynarodowego systemu komunikacji międzybankowej SWIFT (Society for Worldwide Interbank Financial Telecommunication), do dziś jeden z najpopularniejszych systemów komunikacji międzybankowej w elektronicznej bankowości.

24 Fazy rozwoju TI w bankowości – faza intensywnego rozwoju Atrybuty: tworzenie –aplikacji automatyzujących prace w całym oddziale opartych na standardach systemów finansowo-księgowych – pełna automatyzacja obliczeń nadal indywidualnych systemów, duplikacja niektórych danych w obszarze oddziału, zapewnienie podstawowego zestandaryzowanego technicznego wyposażenia ośrodka informatycznego – architektura zawierająca: jednostkę centralną dużego komputera, urządzenia pamięci zewnętrznej: czytniki taśmy magnetycznej, dyski stałe, czytniki taśm i kart perforowanych zastępowane następnie monitorami ekranowymi, drukarki, realizacja systemów scentralizowanych typu wsadowego wraz z pierwszymi systemami rzeczywistymi, ograniczona pojemność i szybkość działania sprzętu.

25 Fazy rozwoju TI w bankowości – faza produktywna Trwała w latach r. – oprócz modernizacji działań poprzedniej fazy - posiadała głównie takie cechy, jak: przetwarzanie danych traktowane jako produkcja zapewniająca masowe przetwarzanie operacji bankowych: prowadzenie rachunków bankowych i tradycyjnych oszczędności, prowadzenie pełnej rachunkowości syntetycznej i analitycznej, prowadzenie wszystkich operacji zaplecza, wprowadzenie na stałe do systemów bankowych modułów analitycznych, prognostycznych i wspomagających decyzje, aplikacje nadal zorientowane na produkty, systemy scentralizowane głównie na poziomie oddziału, konserwacja wszelkich systemów tworzonych w tym czasie - bardzo trudna, początek rozszerzenie sieci bankomatowej, wobec zmniejszania liczby placówek bankowych, dane rejestrowane są przez użytkownika końcowego – urzędnika bankowego i klienta (1979 r. firma Advanced Data Processingd (ADP) – usługa „Pay-by Phone”: płatności rachunków, transfery płatności oraz informacje o stanie konta przez telefon – początek bankowości telefonicznej), prowadzone są wstępne prace dotyczące planowania strategii rozwoju działalności bankowej.

26 Fazy rozwoju TI w bankowości – faza produktywna Możliwości masowego wykorzystania informacyjnych systemów wideotekstowych (videotex), które w kilka lat później stanowiły niewątpliwy wzorzec koncepcyjny dla wielu usług oferowanych przez systemy internetowej bankowości. Wideotekst generalnie oznacza tu usługę dwustronnego (two-way) przesyłania stron do użytkownika w postaci cyfrowej, które przeważnie są wyświetlane na ekranie telewizyjnym, terminalu użytkownika itp. Historycznie koncepcja powstała w latach sześćdziesiątych XX w. w Wielkiej Brytanii. W późnych latach siedemdziesiątych usługę bazującą jednocześnie o TV i telefon udostępniono w Kanadzie (pod nazwą Telidon). W USA rozprzestrzeniły się w latach miedzy innymi do obsługi zleceń finansowych, szybko zaniechane z powodu wolnej transmisji i wysokich kosztów Jedyną przedinternetową usługą wideotekstową on-line, która zakończyła się pełnym sukcesem. był francuski Minitel. Rozpoczęta w 1982 r. przez PTT (Poste, Telephone et Telecommunications). Sukces osiągnięto między innymi przez bezpłatne rozdawanie terminali systemu przyszłym użytkownikom. System oferował usługi podobne, jak w kilka lat później Internet: bezpośrednie (bezpłatne) usługi telefoniczne, zamówienia detaliczne (późniejszy e- commerce), zakup biletów kolejowych i lotniczych, usługi informacyjne, dostęp do baz danych oraz wysyłanie komunikatów. Przez całe lata Minitel skutecznie konkurował z Internetem, w końcu lat dziewięćdziesiątych France Telecom oceniało system na 9 mln terminali (25 mln użytkowników na 60 mln mieszkańców) i 250 mln połączeń miesięcznie. Minitel miał wiele zalet: wprowadził Francję bezproblemowo w zasady postępowania w Internecie, nie zmuszał do zakupu własnego komputera osobistego, nie wymagał opłat za usługi, w sieci występowały mniejsze problemy z bezpieczeństwem podczas płatności kartą kredytową i przekazywaniem prywatnych informacji.

27 Fazy rozwoju TI w bankowości – faza zmian technologicznych Aplikacje wzorowane na środkach „windows’owych”, do których coraz więcej klientów jest przyzwyczajonych, wygodnych dla użytkownika (user friendly), trafiają również do banków Wśród rozwiązań telekomunikacyjnych rozwijane są nadal bankomaty (np. w latach liczba ATM (Automatic Teller Machine) w Wielkiej Brytanii wzrosła o 100% do ponad 12 tys.), przy malejącej systematycznie do tego poziomu liczbie oddziałów. W roku 1990 w Wielkiej Brytanii było więcej bankomatów niż oddziałów bankowych. Wraz z rozwojem bankomatów powszechne staje się stosowanie kart kredytowych i płatniczych. Karty te przechodzą zresztą w tym czasie kolejne ewolucje zwiększające ich zasięg – do światowego oraz jakość działania (magnetyczne, wypukłe, procesorowe). Jednocześnie zwiększają się możliwości realizacji płatności przy pomocy kart, nasycenie terminalami (liczba terminali per capita) EFT-POS w latach rośnie w USA o 31%, w Wielkiej Brytanii o 49%, Francji – 48%, Belgii – 47%

28 Fazy rozwoju TI w bankowości – integracji aplikacji Przełom lat 80. i 90. Charakteryzuje się zmianą powszechnej filozofii i systematyki tworzenia systemów informatycznych bankowości. Zastosowanie w systemach tradycyjnych obsługi banku ideologii systemów zintegrowanych typu ERP, przystosowanych do współpracy ze środowiskiem internetowym Ideologia systemów zintegrowanych zakładała tworzenie systemów współpracujących ze sobą od samego początku, opartych o wspólną bazę (hurtownię) danych, wykorzystujących wspólne dane w całym systemie, bazującym na platformie bilansów finansowych i wspólnej (na poziomie banku) księdze głównej. Nieocenione zwłaszcza stały się w sytuacji nasilenia się zjawiska konsolidacji, fuzji i przejęć banków, pomagając w procesie zarządzania przejętą infrastruktura bankową (wspólne standardy, płaszczyzny itp.). Pojęcie CRM sprowadzane do możliwości indywidualizacji podejścia do klienta (po wcześniejszej analizie środowiska klienckiego, jego kastomizacji i rozpracowaniu strategii podejścia do każdej z grup i jej członków) w celu optymalizacji uzyskiwanych efektów uzyskiwanych przez organizację. Indywidualizacja kontaktów z klientem bankowym jest wielką pokusą związaną z możliwością zdobycia przewagi konkurencyjnej, zwłaszcza po podzieleniu (i zawłaszczeniu) przez banki poszczególnych rynków (rynków w sensie dużych przedsiębiorstw i korporacji, małych i średnich przedsiębiorstw, VIP-ów, klientów indywidualnych itp.). W końcu tempo powstawania produktów bankowych i kolejnych innowacji jest tak ogromne, że w parę miesięcy po wprowadzeniu systemu zintegrowanego trzeba w sposób „zewnętrzny” integrować z nim kolejne aplikacje umożliwiające obsługę tych produktów.

29 Fazy rozwoju TI w bankowości – zdalnej bankowości Zaczęła się w 1992 r. ale już w połowie lat osiemdziesiątych wiele banków oferowało usługę telebankingu, która szybko została zrealizowana w Europie Zachodniej (Minitel – Francja, Bank of Scotland 1985 r.), USA i Japonii. Idea bankowości elektronicznej (telabankingu) opierała się początkowo jedynie na łączności modemowej - klient w celu połączenia „dzwonił” za pośrednictwem modemu na numer telefoniczny banku. Zakres usług sprowadzał się do podstawowych operacji bankowych, dostarczania informacji bankowych oraz udostępnienia informacji o rynkach i działających na nich przedsiębiorstwach. W Polsce bankowość elektroniczna w tej postaci pojawiła się wraz z napływem filii banków zagranicznych do Polski (Citibank Poland S.A., ING Bank, IBP Bank 1992 r.), a w rok później oferowana już była przez banki polskie (Bank Rozwoju Eksportu S.A., Kredyt Bank S.A.). Klient realizując przez modem łączność z bankiem mógł pracować w trybie off-line, a potem połączyć się z bankiem na czas transmisji i przesłać informację. To wówczas powstał podział wg kryterium rodzaju klienta na bankowość indywidualną, domową (home-banking) i instytucjonalną, firmową (office-banking).

30 Fazy rozwoju TI w bankowości – zdalnej bankowości Główna zaleta takiej bankowości była oczywista – użytkownik nie musiał się fatygować w przypadku najczęstszych operacji do banku, przez co oszczędzał czas na dojazdy i stanie w kolejkach. Dodatkowo uzyskiwał możliwość integracji danych pochodzących z banku z własnym systemem finansowo-księgowym, lepszego zarządzania własnymi finansami i szybki dostęp do niezbędnej w tym celu informacji, Duże bezpieczeństwo transakcji. Kiepska jakość transmisji (wolna, rwąca się, generująca błędy), zwłaszcza tam, gdzie sieć stacjonarna była słabo rozwinięta lub operowała na starych mediach, wysoka cena usług, brak integracji z systemami zarządzania działalnością banków oraz konieczność instalowania różnego oprogramowania w przypadku kontaktów z różnymi bankami, Równolegle do telebankingu (w postaci PC-bankingu) rozwija się po raz pierwszy idea elektronicznego pieniądza rozumianego dwojako poprzez medium „kartowe” i odzwierciedlenie określonych wartości na dysku komputera.

31 Fazy rozwoju TI w bankowości – faza systemów globalnych Rozpoczęła się około 1996 r. Polega na wykorzystywaniu witryn internetowych do przeprowadzania transakcji bankowych. W odróżnieniu od poprzedniej koncepcji w bankowości internetowej klient dysponuje i własnym sprzętem i własnym oprogramowaniem w postaci systemu Windows i dowolnej przeglądarki internetowej, a reszta niezbędnego oprogramowania obsługuje witrynę internetową banku. Pierwsze banki internetowe powstały w USA – La Jolla Bank FSB 1994 r. i Security First Network Bank – 1995 r. W 1996 r. rozpoczęły działalność banki internetowe w Europie (Szwecja i Finlandia). W październiku1998 r. Powszechny Bank Gospodarczy S.A. w Łodzi stworzył pierwszy w Polsce Oddział Elektroniczny. Po fuzji z bankiem Pekao S.A. Oddział Elektroniczny połączono z Centrum Bankowych Usług Telefonicznych Banku Pekso S.A. tworząc Centrum Bankowości Elektronicznej Telepekao 24.

32 Fazy rozwoju TI w bankowości – faza systemów globalnych Cztery podstawowe etapy wdrażania i rozwoju bankowości internetowej, zgodne w zasadzie z ogólnymi tendencjami rozwoju stron WWW w e- biznesie: informacyjny, interaktywny, funkcjonalny, strategiczny.

33 Faza systemów globalnych – etap informacyjny – marketing i promocja Atrybuty: pojedyncza strona lub witryna informacyjno-marketingowa: informacje adresowe, informacje ekonomiczne (kondycja banku, cenniki usług), informacje organizacyjne (struktura organizacyjna, oddziały), sposób kontaktu z bankiem (telefon, faks, call center, , formularze online, sms itp.), miejsca kontaktów z bankiem i struktura przestrzenna banku oraz jego urządzeń (oddziały, punkty, kioski, bankomaty), informacje o sferze bankowej i finansowej, informacje o bieżących wskaźnikach tej sfery: kursy, wskaźniki giełdowe itp., przykłady zastosowań produktów bankowych i porównania zastosowań wśród klientów. Korzyści: chwilowa (dopóki inne banki nie dołączą) przewaga na rynku konkurencyjnym, zaistnienie w świadomości klientów potencjalnych, informacje dla klientów obecnych – oszczędność czasu w dotarciu do informacji, marketing niskim kosztem (niskie ryzyko i nakłady inwestycyjne) przy wykorzystaniu istniejących, papierowych materiałów promocyjnych, pośredni wpływ na kształtowanie polityki małych i średnich firm przez propagację wzorców postępowania.

34 Faza systemów globalnych – etap informacyjny – marketing i promocja Wady: statyka i jednostronność komunikacji, quasi interaktywność kontaktów przy pomocy mediów telefonicznych i komputerowych, brak możliwości skorzystania z innych usług bankowych oprócz informacyjnych, niedookreślone efekty działania, „przejściowość” tej fazy, ograniczoność do witryn bankowych, bądź prymitywnych portali finansowych. Zastosowania: dotarcie do informacji poprzez - witryny poszczególnych banków, ich domów maklerskich, zakładki bankowo-finansowe portali uniwersalnych i informacyjnych, pierwsze portale finansowe.

35 Faza systemów globalnych – komunikacja dwustronna z klientem Atrybuty: witryny internetowe wielostronne, wyposażone w narzędzia wspomagające klienta w fazie dotarcia do informacji bankowych i niektórych, prostych usług, bez możliwości połączenia z systemami zaplecza banku. Narzędzia – kalkulatory kredytowe, pożyczkowe, walutowe i do innych obliczę finansowych. Usługi: sprawdzanie stanu konta, wnioski o otwarcie rachunku, wydanie karty płatniczej, porady i analizy finansowe, ogłoszenia i rekrutacja pracowników, powstanie internetowych narzędzi płatniczych. Zalety: sztuczne nieco przedłużenie działań poprzedniego etapu – poprawa wizerunku banku w oczach klientów – pozyskanie nowych, utrzymanie starych klientów, możliwość zmniejszenia obiegu i wolumenu dokumentacji papierowej, w związku z czym - zmniejszenie kosztów transakcji, etap przygotowawczy do pełnej funkcjonalności, zmniejszanie zatrudnienia w bankach zmniejszające koszty transakcji indywidualnych, rozwój wielostronnych portali finansowych wyposażonych w bogate narzędzia wyszukiwawcze i wspierające zachowania klienta, w tym związane z handlem elektronicznym.

36 Faza systemów globalnych – komunikacja dwustronna z klientem Wady: pozorowanie pełnej komunikacji dwustronnej przez nieśmiałe próby jej zastosowań, oddziaływanie jedynie w sferze „zamówieniowej”, koncentracja nadal na sferze informacyjno-marketingowej. Zastosowania: przyzwyczajanie klienta do komunikacji z bankiem poprzez narzędzia internetowe, opracowywanie mediów i standardów zabezpieczenia transakcji internetowych dla klientów bankowych.

37 Faza systemów globalnych – pełny zakres transakcji i usług Atrybuty: zabezpieczone witryny internetowe z bramkami do wykonywania większości usług finansowych: sprawdzanie stanu i historii rachunku, transfery płatności – przelewy, obsługa zleceń stałych, zakładanie lokat terminowych, składanie wniosków, kredytowych (samochodowe, hipoteczne), wniosków o pożyczki. Wspomaganie za pomocą środków telefonii komórkowej. Wirtualizacja działalności placówek bankowych tzw. prawdziwa bankowość internetowa. Zalety: znacząca redukcja kosztów obsługi klientów, zatrzymanie starych klientów, pozyskanie nowych, przy odpowiedniej polityce oprocentowania lokat i kredytów (umożliwionych zmniejszeniem kosztów), powstanie bankowości wirtualnej, obsługa transakcji handlu elektronicznego, dalsze zmniejszanie zatrudnienia w bankach.

38 Faza systemów globalnych - pełny zakres transakcji i usług Wady: wciąż ograniczona – do usług podstawowych ilość oferowanych usług, bariera konieczności umiejętności obsługi komputera i dostępności do Internetu, słaba jakość komunikacji w mobile bankingu, problemy z integracją z tradycyjnymi systemami bankowymi, większe koszty tego etapu. Zastosowania: udostępnienie szerokiego wachlarza usług bankowych przez Internet po raz pierwszy pozwoliło na upowszechnienie wirtualnych form bankowości, znaczące zwiększenie złożoności systemów informatycznych i systemów ich bezpieczeństwa, rozwój nowych form płatności – przelewy elektroniczne.

39 Faza systemów globalnych - Internet w kształtowaniu strategii rozwoju banku od 2003 Atrybuty: wielowymiarowe, wielostronne, zintegrowane portale finansowe banków, zintegrowane również w pełni z innymi tradycyjnymi systemami wewnętrznymi w banku (w tym z intranetem), pozwalające na analizy podaży i popytu, udostępnianie elektronicznych form płatności, zaawansowana sprzedaż wiązana nowych usług, obsługują płatności w handlu elektronicznym i inne usługi finansowe, bankowość w pełni wirtualna, możliwości rozpowszechnienia bankowości mobilnej poprzez komunikatory. Zalety: zakres usług zbliżony do obsługi tradycyjnej, możliwości indywidualizacji traktowania klienta bankowego na podstawie analiz zyskowności klientów, potencjalnie większe możliwości osiągnięcia zysku, pełna integracja systemów, zmiana sposobu postrzegania usług bankowych.

40 Faza systemów globalnych - Internet w kształtowaniu strategii rozwoju banku od 2003 Wady: komplikacja i wymóg coraz większego profesjonalizmu klientów dla pełnego wykorzystania nowych możliwości systemów internetowych, problemy z danymi do systemów quasi CRM (Customer Relationship Management) służących do profilowania klienta, „wyciekanie” danych klienckich. Zastosowania: częściowa realizacja idei systemów zarządzania relacjami z klientami, etap nadal niedostępny dla większości banków, tkwiących de facto nadal w zawiłościach etapy trzeciego, dalsze potęgowanie komunikacji cyfrowej w kierunku indywidualizacji będzie wymagać znaczących nakładów na telefonię internetową, wideokonferencje, ewentualnie rozpowszechnienie przenośnych urządzeń płatniczych.

41 Bankowość elektroniczna – pojęcia i typologia A.Janc oraz G.Kotliński uważają, że „pojęcie bankowości elektronicznej związane jest z wykorzystaniem systemów informatyczno-komunikacyjnych do usprawnienia i przyspieszenia realizacji zleceń klientów banków, co prowadzi do przyspieszenia obiegu pieniądza bezgotówkowego”. Według U.Swobody „istotą bankowości elektronicznej jest bezpośredni kontakt klienta z ośrodkiem obliczeniowym w banku”. Z kolei według B.Pilawskiego „pojęcie elektronicznej bankowości odnosi się do produktów i usług bankowych opartych na przetwarzaniu i przesyłaniu danych w postaci cyfrowej, obejmującej teksty, dźwięki i obrazy”. A.Janc, G.Kotliński, Wykorzystanie e-bankingu w obsłudze bankowej. „Nowe usługi bankowe”, Akademia Ekonomiczna w Poznaniu, Poznań 2001, s.159. U. Swoboda, Bankowość detaliczna, CeDeWu, Warszawa 2000, s.191. B.Pilawski: Bankowość elektroniczna – zagrożenia, ograniczenia i bariery rozwoju. „Zastosowania rozwiązań informatycznych w bankowości”. Mat. konferencyjne, Wydawnictwo Akademii Ekonomicznej im. Oskara Langego we Wrocławiu, Wrocław 2000, str. 191–204.

42 Bankowość elektroniczna – pojęcia i typologia Zestaw środków teleinformatycznych umożliwiających zdalny dostęp do rachunku bankowego takich jak: komputer, telefon stacjonarny i komórkowy, elektroniczne urządzenia do przyjmowania kart. (B. Świecka) Kompleks usług i narzędzi o zróżnicowanym charakterze finansowym i organizacyjnym, udostępniany szeroko pojętemu klientowi sfery bankowej, oparty o najnowocześniejsze techniki informatyczno-komunikacyjne, zintegrowany z konglomeratem tradycyjnych systemów informatycznych wspomagających zarządzanie bankiem. (W.Chmielarz)

43 Bankowość Internetowa - część usług elektronicznej bankowości, która jest realizowana za pośrednictwem sieci Internet (w tym również usługi banków tradycyjnych realizowane przy pomocy Sieci), instrument bankowości elektronicznej, alternatywny w stosunku do oddziału bankowego kanał dystrybucji, wykorzystujący Internet do świadczenia usług bankowych Bankowość wirtualna – część usług elektronicznej bankowości, która jest realizowana wyłącznie za pośrednictwem sieci, w tym Internetu. Bankowość elektroniczna Bankowość Internetowa Bankowość wirtualna

44 Ustawa o elektronicznych instrumentach płatniczych Określa ramy funkcjonowania bankowości elektronicznej w Polsce : Przez umowę o usługi bankowości elektronicznej: bank zobowiązuje się do zapewnienia dostępu do środków pieniężnych zgromadzonych na rachunku za pośrednictwem urządzeń łączności przewodowej lub bezprzewodowej wykorzystywanych przez posiadacza, a także do wykonywania operacji lub innych czynności zleconych przez posiadacza, posiadacz upoważnia bank do obciążania jego rachunku kwotą dokonanych operacji oraz należnymi bankowi opłatami i prowizjami albo zobowiązuje się do zapłaty należności na rachunek wskazany przez bank, w określonych terminach Ustawa o elektronicznych instrumentach płatniczych. Dz.U.nr 169 z 2002 r., Rozdz.4, Art.29

45 Podział bankowości elektronicznej

46 Typologie bankowości elektronicznej Do najczęściej spotykanych w literaturze zaliczamy podział ze względu na: rodzaj klientów: – detaliczna bankowość elektroniczna – bankowość dla klienta indywidualnego umożliwiająca dostęp do rachunku bankowego przez elektroniczne kanały dystrybucji; – korporacyjna bankowość elektroniczna – przeznaczona dla przedsiębiorstw oraz różnego rodzaju instytucji, w tym administracji rządowej i samorządowej; kanał komunikacji: bankowość telefoniczna, bankowość mobilna, bankowość terminalowa, bankowość telewizyjna, dedykowana bankowość komputerowa, bankowość internetowa; M.Polasik, Bankowość elektroniczna – istota, stan, perspektywy, CeDeWu, Warszawa 2007, s.20

47 Typologie bankowości elektronicznej tryb dostępu: – bankowość online – wykonywanie operacji w czasie rzeczywistym, – bankowość offline- wykonywanie operacji w trybie sesyjnym; poziom dostępu: – pasywny (informacyjny) – klient uzyskuje jedynie informacje (saldo konta, historia rachunku, wysokość linii kredytowej, informacje o lokatach) jednak nie może wykonywać jakichkolwiek operacji; – półaktywny – klient może wykonywać tylko niektóre operacje. Zazwyczaj są to transakcje dokonywane na rachunkach należących do klienta (np.: obsługa lokat, przelewy między własnymi rachunkami), lub przelewy na rachunki bezpieczne (określone wcześniej w banku); – aktywny – możliwość wykonywania pełnego zakresu operacji w ramach bankowości elektronicznej;

48 Typologie bankowości elektronicznej typ modelu: – wielokanałowy - wykorzystujący sieć oddziałów oraz kanały elektroniczne (bankowość terminalowa, bankowość telefoniczna, dedykowana bankowość komputerowa, bankowość internetowa); – model banku wirtualnego - oparcie działalności banku na bankowości elektronicznej. Głównym, jeśli nie wyłącznym kanałem dystrybucji jest Internet i inne elektroniczne kanały dostępu; – model banku supermarketu finansowego - agregacja usług finansowych w Internecie. Model ten polega na przyjęciu przez bank roli doradcy i pośrednika finansowego w Internecie. Koncepcja opiera się na całkowitym odejściu od tradycyjnego pojmowania banku i usług bankowych. W tym modelu podstawowym kapitałem banku jest jego marka oraz transakcyjny serwis internetowy. Model ten wyróżnia szerokie wykorzystanie outsourcingu finansowego tj. oferowanie usług innych banków, biur maklerskich oraz ubezpieczycieli za pośrednictwem swojego systemu dystrybucji, a często także pod swoją marką. D.Raskins, D.Bartkute: The development of virtual banking business – New possibilities and prospects. Organizacij Vadyba: Sisteminiai Tyrimai; ABI/INFORM Global 2007/43, s.121.

49 Elektroniczny instrument płatniczy Elektroniczny instrument płatniczy - każdy instrument płatniczy, w tym z dostępem do środków pieniężnych na odległość, umożliwiający posiadaczowi dokonywanie operacji przy użyciu elektronicznych nośników informacji lub elektroniczną identyfikację posiadacza niezbędną do dokonania operacji, w szczególności kartę płatniczą lub instrument pieniądza elektronicznego. Do elektronicznych instrumentów płatniczych można zaliczyć; karty płatnicze, pieniądz elektroniczny. Ustawa o elektronicznych instrumentach płatniczych. Dz.U.nr 169 z 2002 r., Art.2, pkt 4.

50 Karty płatnicze - definicje Zgodnie z ustawą Prawo Bankowe, kartą płatniczą nazywamy „kartę identyfikującą wydawcę i upoważnionego posiadacza, uprawniającą do wypłaty gotówki lub dokonywania zapłaty, a w przypadku karty wydanej przez bank lub instytucję ustawowo upoważnioną do udzielania kredytu - także do dokonywania wypłaty gotówki lub zapłaty z wykorzystaniem kredytu.” Wg W.Chmielarza - …Karta płatnicza to elektroniczny, indywidualny instrument płatności, ułatwiający dostęp do środków finansowych zgromadzonych na koncie... Wg J.Masioty - karta jako …kawałek tworzywa sztucznego o wymiarach określonych przez normy międzynarodowe, posiadający szatę graficzną charakterystyczną dla podmiotu, który ją wydał, umożliwiający posiadaczowi bezgotówkowe dokonywanie płatności za towary i usługi w określonych w umowie o wydanie karty podmiotach, na określonych w tej umowie zasadach… Wg B.Świeckiej karty płatnicze to …instrumenty służące do płacenia za towary i usługi w punktach akceptujących m.in. w sklepach, restauracjach, lotniskach, stacjach benzynowych, hotelach itp. Mogą być wydawane przez banki (bankowe karty płatnicze), jak i inne instytucje, jako niebankowe karty płatnicze… Karty płatnicze funkcjonują obok kart bankomatowych, identyfikacyjnych, rabatowych i innych.

51 Karty płatnicze - podział

52 Karty płatnicze W proces zapłaty dokonywany przy użyciu karty, zaangażowane są zazwyczaj cztery podmioty: system kart płatniczych – organizacja wystawców kart płatniczych, użyczająca jej emitentowi prawa do używania znaku tej organizacji. System kart płatniczych zapewnia także honorowanie kart w sieci punktów handlowo-usługowych oznaczonych znakiem organizacji oraz nadzór nad rozliczeniami i sposobem emisji. Obecnie na świecie istnieje pięć głównych systemów kart płatniczych. Są to: Diners Club International (USA ), American Express (USA-1958? Wcześniej obsługiwała przekazy pieniężne i czeki), JCB International (Japonia- 1961), Visa International (USA -1966), Europay/MasterCard (USA-1966); wydawca karty, którym jest zazwyczaj bank prowadzący rachunek klienta; posiadacz karty - osoba fizyczna, osoba prawna lub inny podmiot, które na podstawie umowy o elektroniczny instrument płatniczy dokonują w swoim imieniu i na swoją rzecz operacji określonych w umowie; akceptant – przedsiębiorca, który zawarł z agentem rozliczeniowym umowę o przyjmowanie zapłaty przy użyciu elektronicznych instrumentów płatniczych.

53 Karty płatnicze - powstanie i rozwój Karty płatnicze narodziły się w Stanach Zjednoczonych w 1894 roku. Były one wydawane przez Hotel Credit Letter Company i miały zastosowanie tylko w usługach turystycznych. Pierwsze karty trójstronne wyemitowano na początku XX wieku również w USA. Początkowo były to papierowe książeczki lub metalowe płytki. Służyły do identyfikacji klientów, którym instytucje handlowe udzielały krótkookresowego kredytu na bezgotówkowy zakup dóbr i usług w określonych punktach sprzedaży - sklepach, domach towarowych, stacjach benzynowych, hotelach, restauracjach itp. Rozwój kart płatniczych datuje się na lata czterdzieste i pięćdziesiąte XX wieku. Wiązało się to z powstaniem wielkich kampanii, dokonujących rozliczeń za pomocą kart płatniczych. Wkrótce tą forma płatności zainteresowały się banki. Pierwszą bankową kartę płatniczą o zasięgu lokalnym wydał w1947 roku Flatbush National Bank, natomiast pierwszą kartę o zasięgu ponadstanowym Franklin National Bank z Nowego Jorku w 1950 roku. Od tego czasu ze względu na duże zainteresowanie tą formą kredytowania ilość wydawanych kart rośnie lawinowo.

54 Ilość kart na 1 mieszkańca w 2008 r.

55 Karty płatnicze w Polsce Początek w 1989 roku, wraz z upadkiem socjalizmu. W tym okresie tworzyły się fundamenty, nowego, komercyjnego systemu bankowego. W 1990 roku Visa podpisała pierwsze umowy z polskimi bankami, przyznające im prawo emisji kart tej organizacji. W grudniu 1990 roku ze struktur Orbisu wyłączono dział zajmujący się akceptacją kart, tworząc firmę PolCard. W 1991 roku BIG S.A. wydał pierwszą na naszym rynku kartę Visa. Była to przeznaczona dla firm karta Visa Bussiness. Kolejne banki rozpoczęły wydawanie własnych kart bankomatowych, akceptowanych tylko w ich własnej sieci bankomatów. W 1992 roku powstało Centrum Kart i Czeków Banku Pekao S.A., które zajęło się akceptacją kart płatniczych. Pierwsze międzynarodowe karty płatnicze dla klientów indywidualnych pojawiły się w Polsce w 1993 roku. W lutym tego roku bank Pekao S.A. wydał pierwszą w Polsce kartę Visa Classic.

56 Karty płatnicze w Polsce w tys. szt.

57 Tendencje rozwojowe kart płatniczych Karty mikroprocesorowe: W 1999 roku Europay, MasterCard oraz Visa wprowadziły oparty na technologii mikroprocesorowej standard EMV służący do autentykacji (uwierzytelniania) płatności kartami. W 2004 firma JCB przyjęła również standard EMV dzięki czemu stał się on obowiązującym na całym świecie standardem dla przejścia sektora kart płatniczych do technologii chipowej. Pierwszym krajem, w którym banki wdrożyły technologię EMV była Wielka Brytania. Początkowo migracja na technologię kart chipowych następowała bardzo powoli, potem przyspieszyła W styczniu 2007 roku 97% kart płatniczych w Wielkiej Brytanii posiadało mikroprocesor, natomiast w krajach strefy euro w kwietniu 2007 roku w mikroprocesor zgodny ze standardem EMV wyposażone było 42% kart płatniczych, W Polsce w grudniu 2008 roku karty z mikroprocesorem stanowiły zaledwie 16,2% wszystkich kart płatniczych. Zgodnie z koncepcją SEPA (Jednolity Obszar Płatności w Euro) z dniem 1 stycznia 2011 roku w całej Unii Europejskiej wszystkie karty płatnicze (nie tylko nowowydane) powinny być zaopatrzone w mikroprocesor, a wszystkie terminale oraz bankomaty powinny akceptować karty w standardzie EMV. W roku 2008 została udostępniona w Polsce technologia zbliżeniowa VisapayWave w ramach wspólnego programu organizacji Visa Europe, Banku Zachodniego WBK i centrum autoryzacyjno- rozliczeniowego Service. Płatność tymi kartami na kwotę do 50 zł trwa krócej niż sekundę, co zapewnia wygodę oraz szybkość transakcji zarówno dla użytkowników, jak i placówek detalicznych. Pod koniec 2009 roku było zamontowanych ponad 1,8 tys. czytników kart zbliżeniowych.

58

59 Typologia kart płatniczych Ze względu na liczbę podmiotów zaangażowanych w proces zapłaty kartą płatniczą: Karty dwustronne – akceptowane jedynie przez ich wydawcę. Upoważniają do zakupu dóbr i usług jedynie u wystawcy. Wydawcami są zazwyczaj domy towarowe, biura podróży, linie lotnicze; Karty trójstronne - wymagają współpracy i porozumienia trzech kategorii podmiotów, a mianowicie wydawcy (emitenta) karty, akceptantów gotowych przyjąć zapłatę kartą i posiadacza karty. Wydawcami są zazwyczaj banki lub inne instytucje finansowe; Karty czterostronne – obecnie najbardziej rozpowszechnione. Oprócz posiadacza karty, jej wydawcy oraz przedsiębiorcy akceptanta zapłaty kartą płatniczą, w rozliczeniu występuje również właściciel systemu, w którym karta została wyemitowana.

60 Typologia kart płatniczych Klasyfikacja oparta na statusie wydawcy: Karty konsumenckie –np. karty przedpłacone, wydawane przez podmioty sfery niebankowej, np. towarzystwa naftowe, sieci domów towarowych, hotele itp. Najczęściej są to karty dwustronne, a ich posiadacze mogą korzystać z rozmaitych przywilejów czy rabatów w ramach danej sieci kart tego typu. Celem emisji kart konsumenckich jest trwałe związanie posiadacza karty z produktami czy usługami świadczonymi przez wydawcę. Karty bankowe – wydawane przez banki. Mogą to być: własne karty banku np. karty bankomatowe - wykorzystywane głównie do wybierania gotówki z bankomatów. Jednakże, jeśli jest to bankomat wielofunkcyjny to istnieje możliwość przeprowadzania innych czynności, jak np. dokonanie przelewu, wydruk historii rachunku, sprawdzenie stanu konta itp. Kartą bankomatową nie można jednak dokonywać transakcji bezgotówkowych (zapłaty za towary i usługi); karty wydawane w ramach międzynarodowych systemów płatniczych np. VISA, EuroCard/MasterCard; karty wydawane na zasadzie licencji (franszyzy) z instytucjami klubowymi np. DinersClub, American Express; Karty niebankowe – wydawane przez instytucje klubowe czy instytucje finansowe (nie banki). Przykładem są karty przedpłacone T&E wydawane przez American Express oraz Diners Club.

61 Typologia kart płatniczych Klasyfikacja ze względu na osobę posiadacza karty płatniczej: Karty podstawowe – karty, które wydaje się posiadaczowi odpowiedniego rachunku bankowego. W przypadku, kiedy dwie osoby są posiadaczami rachunku bankowego, każdy ze współposiadaczy uzyskuje samodzielną kartę podstawową; Karty dodatkowe – wydawane osobom wskazanym przez posiadacza rachunku (małżonek, pełnoletnie dziecko, osoba obca itd.); Karty imienne – wszystkie karty trójstronne i czterostronne wydawane na świecie są kartami imiennymi. Na rewersie takich kart znajduje się pasek do podpisu. Ponadto na pasku magnetycznym lub mikroprocesorze znajdują się dane indywidualizujące posiadacza karty. Opcjonalnie, w zależności od rodzaju karty znajduje się na jej rewersie również zdjęcie jej posiadacza; Karty na okaziciela - zawsze są to karty dwustronne i przedpłacone. Są one masowo używane, jednak ich zasięg jest zazwyczaj ograniczony do jednego domu towarowego, miasta, przedsiębiorstwa transportowego czy telekomunikacyjnego.

62 Typologia kart płatniczych Ze względu na zasięg geograficzny karty dzielą się na: Karty lokalne – karty o zasięgu miejskim, stanowym lub regionalnym; Karty krajowe – ważne tylko w kraju, w którym je wydano, Karty międzynarodowe – karty o zasięgu globalnym, ważne na całym świecie. Klasyfikacja oparta na korzyściach dodatkowych związanych z posiadaniem karty: Karty zwykłe (masowe) - dostępne dla każdego; Karty złote – oferowane najlepszym i najlepiej sytuowanym klientom. Oprócz prestiżu, zapewniają wyższe limity wydatków i wiele dodatkowych usług; Karty platynowe – przeznaczone dla klientów o najwyższych dochodach, którzy korzystają ze specjalnej obsługi w ramach instytucji private banking.

63 Typologia kart płatniczych Ze względu na źródło środków, z których pokryte będą zobowiązania klienta w stosunku do banku, wynikające z dokonania transakcji za pomocą karty, wyróżniamy : Karty kredytowe – emitent karty przyznaje klientowi limit kredytowy odnawialny, do którego posiadacz karty może się nią posługiwać, nie mając własnych środków. Spłata zadłużenia daje możliwość ponownego korzystania z limitu. Jako termin spłaty przyjmuje się zazwyczaj 21 do 25 dni od daty otrzymania wyciągu z wyszczególnieniem transakcji dokonanych w ubiegłym okresie rozliczeniowym. Wysokość przyznanego posiadaczowi kredytu oraz termin spłaty zależy od jego statusu w banku. Ten rodzaj karty adresowany jest do stałych klientów banku o wysokich dochodach, posiadających nienaganną historię kredytową i psychiczne predyspozycje chęci spłaty zadłużenia. Karty obciążeniowe (charge) – funkcjonują na zasadach zbliżonych do kart kredytowych. Zasadniczą cechą różniącą je od kart kredytowych jest obowiązek dokonania przez posiadacza karty każdorazowej spłaty kredytu zaciągniętego w danym okresie rozliczeniowym (najczęściej jeden miesiąc). Wydawana jest stałym klientom banku, z którymi współpraca przebiegała bez zarzutów. Analiza wysokości dochodów stanowi podstawę do ustalenia miesięcznych limitów, do których można dokonywać transakcji gotówkowych i bezgotówkowych. Karty debetowe – powiązane są z osobistym rachunkiem bankowym właściciela i limitowane saldem na rachunku. Kwota transakcji pobierana jest z rachunku w dniu otrzymania przez bank danych o dokonanej transakcji. Karty debetowe umożliwiają jedynie dokonywanie wypłat gotówkowych za pomocą bankomatów oraz transakcji w punktach włączonych do sieci elektronicznych banków. Karty te są bardzo dogodne dla wystawcy ze względu na niski poziom ryzyka powstania niespłacalnego debetu na rachunku klienta. Dzięki temu bank może wydać kartę również klientom nieposiadającym zdolności kredytowych (np. studentom, osobom czasowo zatrudnionym itp.) Karty gwarantowane – są odpowiednikiem karty kredytowej, w której kredyt jest zabezpieczony oprocentowanym depozytem. Funkcjonuje ona tak jak zwykła karta kredytowa, przy czym w przypadku nie wywiązywania się przez klienta z umowy z bankiem w ramach postępowania windykacyjnego obciąża się rachunek gwarancyjny, jednocześnie uważając umowę depozytową za zerwaną z winy klienta.

64 Typologia kart płatniczych Ze względu na stosowaną technologię karty bankowe dzieli się na : Karty tłoczone (embosowane) – dane identyfikacyjne posiadacza, nr karty, data ważności są wytłoczone, co umożliwia ich łatwe skopiowanie na dowodach transakcji. Jest to tani sposób akceptacji, ponieważ nie potrzeba do tego terminala elektronicznego, ale jednocześnie stosunkowo łatwy do sfałszowania. Ważność karty sprawdza się poprzez bankowy wykaz numerów zastrzeżonych bądź przez telefon z najbliższym centrum autoryzacyjnym. Dodatkowo identyfikacja następuje poprzez jego podpis dokonany własnoręcznie w obecności np. sprzedawcy. Dane z karty mogą być sczytane przy pomocy ręcznego powielacza zwanego imprinterem („żelazkiem”) lub w inny ręczny sposób (długopisem przez kalkę). Rachunek z odbitymi danymi klienta, po podpisaniu jest podstawą do obciążenia karty; Karty magnetyczne (płaskie) – dane identyfikujące posiadacza karty są jedynie nadrukowane na karcie, ale głównym nośnikiem informacji niezbędnych do autoryzacji jest trójścieżkowy pasek magnetyczny. Karty płatnicze zaczęto wyposażać w pasek magnetyczny po raz pierwszy w Stanach Zjednoczonych pod koniec lat 60. Jednakże rozwój kart magnetycznych nastąpił w połowie lat 90 na skutek rozwoju techniki komputerowej umożliwiającej szybki i pewny odczyt wiadomości zapisanych na pasku. Identyfikacja posiadacza odbywa się na zasadzie porównania wprowadzonego przez niego kodu PIN z tym, co jest przechowywane na pasku magnetycznym. Operacje na kartach magnetycznych dokonywane są przeważnie w trybie rzeczywistym (on line). W ten sposób dla każdej transakcji automatycznie sprawdzane jest pokrycie, a centrum autoryzacyjne zmniejsza o kwotę transakcji dostępne środki. Autoryzacja dokonywana jest przez czytnik elektronicznego terminala. PIN to praktycznie jedynie elektroniczne zabezpieczenie karty magnetycznej. Pozostałe mają charakter organizacyjny (dane wydrukowane na karcie, hologramy, mikrodruki, zdjęcie oraz podpis posiadacza i in.). Korzystanie z tego typu kart jest narażone na wiele niebezpieczeństw, wśród których najpoważniejsze to kradzieże, zakupy na odległość z wykorzystaniem cudzej karty, kopiowanie paska magnetycznego;

65 Typologia kart płatniczych Ze względu na stosowaną technologię karty bankowe dzieli się na cd.: Karty mikroprocesorowe (inteligentne) – mające wbudowany układ scalony zawierający zazwyczaj pamięć i procesor, co zapewnia możliwość zapisania znacznych ilości danych i pozwala na rozszerzenie zarówno zakresu kontroli autentyczności karty, jak i zdolności jej posiadacza do dokonania zamierzonej transakcji. Pierwsze testy kart mikroprocesorowych w bankowości przeprowadzono na początku lat 80-tych XX wieku. Użyteczność kart mikroprocesorowych wiąże się z ich wielofunkcyjnością i nieograniczonym zastosowaniem. Mikroprocesor jako urządzenie posiadające możliwość przechowywania znacząco większej ilości informacji niż pasek magnetyczny może być również stosowany do przechowywania innego rodzaju informacji zarówno pomocnych w dokonywaniu transakcji (podpis elektroniczny), jak również innego rodzaju danych użytecznych w życiu obywatela (dokument identyfikacyjny). Wachlarz możliwości i zastosowań mikroprocesora umieszczonego na karcie jest ograniczony jedynie przez wyobraźnię i potrzeby biznesowe. Karty te są bardzo bezpiecznym instrumentem płatności z bardzo ograniczonymi możliwościami kopiowania i dodatkowymi elementami uwierzytelniania posiadacza jak kod PIN. Karty te charakteryzują się bezpieczną kontrolą dostępu, możliwością szyfrowania i deszyfrowania informacji, a także generowania i weryfikacji podpisów cyfrowych. Nowoczesne standardy implementacji technologii mikroprocesorowej gwarantują także odporność kart na kopiowanie. Podstawową zaletą kart wyposażonych w mikroprocesor jest to, że mogą być używane bez infrastruktury telekomunikacyjnej, co powoduje iż koszty obsługi kart mikroprocesorowych są niższe o połowę od kosztów obsługi kart wyposażonych w pasek magnetyczny;

66 Typologia kart płatniczych Ze względu na stosowaną technologię karty bankowe dzieli się na cd.: Karty hybrydowe – karty funkcjonujące w państwach, gdzie występuje niedostateczna infrastruktura do powszechnego akceptowania i przyjmowania kart mikroprocesorowych. Nośnikiem informacji do autoryzacji jest pasek magnetyczny i mikroprocesor; Karty wirtualne – mogą występować w postaci wydruku papierowego (zaopatrzonego w numer karty, datę ważności i kod weryfikujący CVC2 lub CVV2) lub w postaci standardowej plastikowej karty (nie umożliwiają jednak dokonywania transakcji w tradycyjnych punktach akceptujących karty i w bankomatach). Wirtualnej karty można używać wszędzie tam, gdzie fizyczna obecność karty nie jest konieczna, np. przy transakcjach dokonywanych przez telefon lub poprzez Internet. Zastosowanie karty wirtualnej nie niesie jednak żadnych dodatkowych rozwiązań zwiększających bezpieczeństwo. Można zaryzykować twierdzenie, iż jest to tylko nowy sposób działań marketingowych mających za cel dotarcie do pewnej grupy klientów banku. W 2008 roku stanowiły one jedynie 0,2% wszystkich kart funkcjonujących w Polsce.

67 Typologia kart płatniczych Ze względu na sposób komunikacji z urządzeniem czytnika wyróżnia się karty : Stykowe – komunikacja oraz zasilanie układów karty realizuje się przez widoczne na powierzchni styki galwaniczne; Bezstykowe (zbliżeniowe) – w których brak jest widocznych styków, a posiadają one wbudowany układ transmisji radiowej oraz antenę. Komunikowanie się z urządzeniem czytającym odbywa się na niewielką odległość, kilku bądź kilkunastu centymetrów; Ze względu na typ zastosowania układu scalonego i dodatkowe urządzenia wyróżniamy karty : Pamięciowe (memory) – zawierające układ pamięci do przechowywania danych oraz układ logiczny, pozwalający na proste działania. Nie posiadają możliwości wprowadzenia zaawansowanych zabezpieczeń i funkcji, dlatego też są one wykorzystywane do najprostszych zastosowań płatniczych; Procesorowe (smart) – które oprócz co najmniej jednej pamięci posiadają procesor zarządzający dostępem do poszczególnych fragmentów pamięci oraz układ wejścia – wyjścia. Procesor znajdujący się w module pracuje pod kontrolą systemu operacyjnego umieszczonego w pamięci stałej lub np. wielokrotnie programowalnej. Karty te są znacznie droższe i gorzej zabezpieczone, ale można je łatwiej przystosować do pracy w konkretnym systemie; Oprzyrządowane – odmiana kart procesorowych zawierająca dodatkowo klawiaturę, wyświetlacz oraz dodatkowe urządzenia wejścia – wyjścia np. czytniki biometryczne.

68

69 Urządzenia do obsługi kart Bankomaty – wolno stojące urządzenia, za pomocą których można wykonywać operacje gotówkowe (wypłaty i składanie depozytów) i bezgotówkowe (sprawdzenie salda, wydruk historii, zmianę numeru PIN). Podstawowymi elementami składowymi bankomatu są: komputer z klasycznym systemem operacyjnym, czytnik paska magnetycznego, urządzenie do wypłacania pieniędzy, drukarkę dziennika operacji, drukarkę wyciągów. Oprogramowanie komputera zapewnia odczyt danych ze ścieżki magnetycznej karty, odczyt danych wprowadzonych przez posiadacza karty, sprawdzenie ich poprawności i realizacje poleceń.

70 Historia urządzeń do obsługi kart płatniczych Pierwszy bankomat zainstalowano w Stanach Zjednoczonych w 1964 roku w First Pennsylvania Bank. Początkowo ze względów technicznych instalowano je wyłącznie w siedzibie banku lub oddziale – wewnątrz budynku znajdowała się obsługa komputerowa i tył bankomatu, front zaś był na zewnątrz. Dopiero w parę lat później rozwój technologii pozwolił na lokalizację bankomatu całkowicie na zewnątrz budynku i w oddaleniu od niego. Pierwszy „samodzielny” bankomat został uruchomiony przez Barclays Bank w 1967 roku w Wielkiej Brytanii. Spotkał się z dużym zainteresowaniem na całym świecie. W 1968 roku uruchomiono pierwsze bankomaty we Francji, Szwajcarii i Szwecji, a w 1969 roku w Stanach Zjednoczonych i Japonii. Pierwsze bankomaty wydawały banknoty o konkretnych nominałach w zamian za papierowe kupony, jednorazowe karty plastikowe czy żetony. Pierwszy nowoczesny bankomat na karty z paskiem magnetycznym został wprowadzony do użytku w 1972 roku przez Lloyds Bank w Wielkiej Brytanii. Sprawne działanie sieci bankomatów i zadowolenie klientów skłoniło banki do wprowadzania w ciągu następnych lat kolejnych innowacji zwiększających sprawność działania, szybkość wymiany informacji, bezpieczeństwo czy zwiększających wachlarz usług. Z urządzeń, które ograniczały się początkowo tylko do wydawania gotówki, bankomaty ewaluowały do wieloczynnościowych automatycznych kasjerów.

71 Podział bankomatów W zależności od trybu komunikowania się bankomatów z główną bazą danych banku można podzielić bankomaty na: Stand alone – czyli bez podłączenia do informatycznego systemu bankowego. Instalowany, gdy nie ma warunków do założenia sieci. Komputer zainstalowany w bankomacie samodzielnie wykonuje wszystkie operacje związane z obsługą kart. W programie obsługującym bankomat zawarte są wówczas m.in. procedury obliczania PIN, dane potrzebne do tych obliczeń, wykaz numerów kart zastrzeżonych. Jest to rozwiązanie ryzykowne z uwagi na trudności z zabezpieczeniem poufności procedury obliczania PIN, braku bezpośredniej łączności z rachunkiem klienta i niską efektywność aktualizacji wykazu kart zastrzeżonych; Pracujące poza siecią (off-line) – bankomaty posiadają komputer nie połączony z żadnym systemem informatycznym banku, który może korzystać tylko z danych zawartych we własnej pamięci. Dane z banków przesyłane są okresowo. Stąd też nie jest możliwe dokonywanie żadnej zaawansowanej operacji, ponieważ komputer nie ma możliwości uzyskania odpowiednich informacji. Są bardziej podatne na przekłamania i nadużycia. Główną zaletą tego systemu jest jego niski koszt;

72 Podział bankomatów cd. Pracujące w trybie sieciowym (on-line) – bankomaty łączy się w sieci połączone z systemami zarządzania bankomatami, a przez ten system z systemami informatycznymi banków. Do realizacji takiego zadania niezbędna jest odpowiednia konfiguracja komputerowa, oprogramowanie oraz infrastruktura telekomunikacyjna. W systemie banku następuje sprawdzenie kwoty do wypłaty ze stanem rachunku. Dzięki możliwości autoryzacji bankomaty działające w sieci są odporne na karty sfałszowane lub bez pokrycia; Kioski multimedialne – wielofunkcyjne urządzenie do zautomatyzowanej obsługi wyposażone w urządzenia komunikacji z klientem za pomocą ekranu dotykowego lub klawiatury, umożliwiające przyprowadzanie operacji bankowych, finansowych i pozabankowych (doładowania kart, zakup biletów, informowanie o prognozie pogody itp.) To urządzenia wyposażone w szybki procesor, czytnik kart magnetycznych /procesorowych i drukarkę, połączone bezpośrednio Internetem. Najbardziej zaawansowane kioski działają na zasadzie wideokonferencji z personelem banku. W niektórych krajach instaluje się bankomaty mające wbudowane urządzenia biometryczne i ekrany dotykowe, aby ułatwić klientowi proces transakcji, stosując głos i znaki graficzne.

73 Ilość bankomatów w Polsce w latach

74 Dokonywanie płatności za pomocą kart Imprintery – ręczne maszynki, zwane potocznie „żelazkami”, służące do mechanicznego odbijania wszystkich danych z kart tłoczonych (embosowanych) na dowodach transakcji. Umożliwiają przeprowadzenie transakcji bez konieczności łączności elektronicznej z centrum autoryzacyjnym. Terminale POS (point–of–sale) - to urządzenie służące do akceptacji kart w punkcie handlowym lub usługowym. Jego głównym celem jest dokonanie automatycznej autoryzacji karty płatniczej oraz późniejsze rozliczenie takiej transakcji. Terminale są łącznikiem pomiędzy sprzedawcą, a centrum rozliczeniowym, które przeprowadza transakcje. Terminale POS w obecnym kształcie pojawiły się w 1979 roku w Stanach Zjednoczonych. Pojawienie się terminali POS było efektem wprowadzenia w 1972 roku paska magnetycznego oraz powstania systemu automatycznego rozliczania transakcji. Zbudowane są na bazie komputera, wyposażone w oddzielną jednostkę centralną, klawiaturę przystosowaną do zadań sprzedaży i monitor. Charakteryzują się ogromną ilością funkcji i pojemnością bazy danych, dużymi możliwościami rozbudowy, przystosowania i współpracy. Operacje bankowe POS charakteryzują się: elektronicznym wprowadzaniem danych do terminala kasy zamiast gotówki, elektronicznym przekazywaniem transakcji od handlowca do banku zamiast fizycznego transportu tych środków płatniczych, wprowadzaniem i sprawdzaniem numeru identyfikacyjnego PIN zamiast składania i porównywania podpisów.

75 Dokonywanie płatności za pomocą kart Od ponad 20 lat terminale nie zmieniły podstaw swojej konstrukcji. Zmianom uległy jedynie pewne elementy terminali takie jak np. moduł odpowiedzialny za połączenie z centrum rozliczeniowym. POSy początkowo korzystały tylko i wyłącznie z podłączenia do linii telefonicznej, obecnie mogą być także podłączone do Internetu lub korzystać z wbudowanego modemu telefonii komórkowej GSM. W związku z wprowadzeniem do obiegu kart chipowych wystąpiła konieczność wymiany urządzeń lub ich dostosowanie do obsługi transakcji dokonywanych kartami EMV (wyposażenie w czytnik kart elektronicznych, wymiana oprogramowania). Zmiany te obniżyły koszty eksploatacji terminala dla sprzedawcy, który nie płaci każdorazowo za połączenia telefoniczne. Transakcje są zapisywane w pamięci karty oraz w pamięci terminala. Terminal łączy się z centrum rozliczeniowym tylko jeden raz - na koniec dnia roboczego i przesyła dane o dokonanych w danym dniu transakcjach. Eliminuje to konieczność telefonicznego łączenia się terminala z bankiem przy każdej płatności dokonywanej kartą.

76 Liczba punktów handlowo usługowych wyposażonych w POS w Polsce

77 Trendy rozwojowe dokonywania płatności przy pomocy kart płatniczych W związku z wprowadzaniem przez kolejne banki kart z funkcją umożliwiającą płatności zbliżeniowe, pojawiła się konieczność wyposażenia placówek w urządzenia umożliwiające przeprowadzanie takich transakcji. Do początku 2010 roku jedynym agentem rozliczeniowym tworzącym sieć placówek detalicznych przyjmujących płatności bezstykowe był należący do PKO BP eService. Obsługiwał 4,5 tysiąca urządzeń zlokalizowanych w sieci McDonald’s, Empik, Coffee Heaven i na kilku stadionach piłkarskich ekstraklasy. Sieć taka będzie się rozwijać. FirstData, właściciel marki Polcard zamierza w 2010 roku zainstalować 5 tysięcy terminali do płatności zbliżeniowych - najpierw w mniejszych punktach, a następnie w hipermarketach. Zdaniem VisaEurope na koniec 2010 roku będzie zainstalowanych w placówkach detalicznych w Polsce 20 tysięcy takich czytników. Pomimo zwiększającej się liczby terminali POS i punktów, w których przyjmowane są płatności kartami nadal nie jest to najpopularniejsza forma płatności. Dla niemal 90% posiadaczy, karta służy do wypłacania pieniędzy z bankomatów. Klienci masowi częściej korzystają z kart w celu wyciągnięcia pieniędzy z bankomatu niż zapłaty w sklepach. W 2008 r. tak jak w 2003 r. 66% posiadaczy kart płatniczych dokonuje wypłat w bankomatach raz na tydzień, bądź częściej. Dwukrotnie rzadziej w porównaniu do wypłat z bankomatów, Polacy płacą kartami za zakupy w sklepach i niemal czterokrotnie rzadziej dokonują płatności na stacjach benzynowych. W 2008 roku 32% posiadaczy kart płatniczych w ogóle nie wykonywało płatności kartami.

78 Pieniądz elektroniczny Zgodnie z Prawem Bankowym, pieniądz elektroniczny to wartość pieniężna stanowiąca elektroniczny odpowiednik znaków pieniężnych, która spełnia łącznie następujące warunki: „jest przechowywana na elektronicznych nośnikach informacji, jest wydawana do dyspozycji na podstawie umowy w zamian za środki pieniężne o nominalnej wartości nie mniejszej niż ta wartość, jest przyjmowana jako środek płatniczy przez przedsiębiorców innych niż wydający ją do dyspozycji, na żądanie jest wymieniana przez wydawcę na środki pieniężne, jest wyrażona w jednostkach pieniężnych”. Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe, Dz. U r. Nr 72, poz. 665

79 Pieniądz elektroniczny W prawie Unii Europejskiej pieniądz elektroniczny jest surogatem monet i banknotów, wartością pieniężną, reprezentowany przez roszczenie wobec emitenta, przechowywany na urządzeniu elektronicznym (w postaci np. karty mikroprocesorowej czy pamięci) oraz przeznaczony do dokonywania płatności elektronicznych. Według R.Janowicz i R.Klepacz pieniądz elektroniczny to instrument przedpłacony lub przechowujący wartość, który umożliwia posiadaczom dokonywanie niskokwotowych transakcji przy użyciu kart płatniczych (procesorowych) lub przez sieci komputerowe. Zapis środków pieniężnych dostępnych dla posiadacza jest przechowywany w urządzeniu elektronicznym będącym w posiadaniu użytkownika. Europejski Bank Centralny definiuje pieniądz elektroniczny, jako zasób wartości pieniężnej występujący w urządzeniu technicznym, który może być szeroko wykorzystany do dokonywania płatności na rzecz podmiotów innych niż emitent, bez konieczności angażowania rachunków bankowych, funkcjonujący, jako opłacony z góry (przedpłacony) instrument na okaziciela. Dyrektywa 2000/46/EC Parlamentu Europejskiego i Rady z 18 września 2000 r. w sprawie podejmowania i prowadzenia działalności przez instytucje pieniądza elektronicznego oraz nadzoru ostrożnościowego nad ich działalnością (Dz. Urz. WE L 275 z r.). R.Janowicz, R.Klepacz, Pieniądz elektroniczny na świecie. Biblioteka Menedżera i Bankowca, Warszawa 2002, s.23. B.Frączek; Pieniądz elektroniczny –prób zdefiniowania i sklasyfikowania, „Bank i Kredyt 2004, nr 4, s.91

80 Cechy pieniądza elektronicznego Pieniądz elektroniczny charakteryzuje się anonimowością zbliżoną do pieniądza gotówkowego. Transakcje dokonane e-pieniadzem odbywają się bez pośrednictwa rachunku bankowego. Stopień anonimowości jest uzależniony od rodzaju zastosowanego systemu: system otwarty – do wydania pieniądza elektronicznego nie jest potrzebny pośrednik – e-pieniadz krąży miedzy różnymi podmiotami teoretycznie nieskończenie długo, ponieważ nie zużywa się od tak jak pieniądz gotówkowy; system zamknięty – przed otrzymaniem e-gotówki konieczny jest kontakt z pośrednikiem - jednostka pieniądza jest jednorazowa i wymaga odnowienia po każdej transakcji. D.Korenik: Innowacyjne usługi banku. Wydawnictwo PWN, Warszawa 2006, s

81 Pieniądz elektroniczny a gotówkowy Do elementów, które przemawiają za uznaniem pieniądza elektronicznego za substytut pieniądza gotówkowego, należy zaliczyć: – cechy pieniądza gotówkowego, których nie ma pieniądz bezgotówkowy jak: anonimowość, brak możliwości śledzenia zapłaty, brak potrzeby korzystania z instytucji pośredniczących, brak ograniczeń zarówno w odniesieniu do osoby płacącej jak i otrzymującej zapłatę; – akceptowanie pieniądza przez instytucje inne niż instytucja go emitująca, – rodzaj dokonywanych płatności (głównie płatności detaliczne); – możliwość sfinalizowania transakcji bezpośrednich; – minimalizacja kosztów przy dokonywaniu płatności. B.Frączek; Pieniądz elektroniczny –prób zdefiniowania i sklasyfikowania, „Bank i Kredyt 2004, nr 4, s.93

82 Pieniądz elektroniczny Pieniądz elektroniczny może występować pod dwoma postaciami: produktu bazującego na technologii kart procesorowych, tzw. elektroniczna portmonetka; produktu wykorzystującego oprogramowanie, za pomocą którego posiadacz może dokonywać płatności w Internecie tzw. pieniądz sieciowy. Jest zapisem wartości pieniężnych przechowywanych w pamięci komputera. R.Janowicz, R.Klepacz, Pieniądz elektroniczny na świecie, op.cit, s.23.

83 Model pieniądza elektronicznego W teorii opracowano zbiór postulowanych zasad ogólnych, którym powinien podlegać pieniądz elektroniczny: Bezpieczeństwo – protokół obsługi transakcji powinien zapewniać wysoki stopień bezpieczeństwa. Cyfrowy pieniądz powinien być jednorazowy; Anonimowość – musi zagwarantować użytkownikom zachowanie prywatności. Niemożliwe będzie wyśledzenie związku między kupującym, sprzedawcą a dokonaną transakcją; Niezależność od postaci fizycznej – powinna dać się przechowywać na dowolnym medium (dyskietka, dysk) i być przesyłana przez dowolną sieć; Nieograniczona ważność – możliwe powinno być magazynowanie gotówki w długim okresie; Płatność poza siecią (off-line) – dokonanie transakcji za wyjątkiem autoryzacji powinno być możliwe również bez dostępu do sieci; Możliwość przekazywania bez pośredników (peer-to-peer) – powinna istnieć możliwość przekazywania elektronicznych pieniędzy pomiędzy użytkownikami bez pośredników (np. autoryzowanego sprzedawcy). Oznacza to brak konieczności wykorzystywania rachunków bankowych podczas dokonywania płatności; Podzielność – powinna istnieć możliwość transferu dowolnych kwot pieniędzy (także ułamkowych) a następnie ich agregacji w większe kwoty; Powszechna akceptowalność – powszechnie popularna, nieograniczona terytorialnie, nieograniczona co do waluty, form płatności itp.; Łatwość użycia – prostota wykorzystania pieniądza cyfrowego powinna dotyczyć zarówno sprzedających jak i klientów; Niezależność polityczna – wartość pieniądza cyfrowego powinna opierać się na mechanizmach rynkowych, nie zaś politycznych. W.Chmielarz: Systemy elektronicznej bankowości, op.cit., s.139

84 CYFROWY PODPIS Podpis cyfrowy - gwarantuje czytającemu wiadomość, że napisała ją ta osoba, która podpisała oraz w trakcie transferu nie nastąpiły żadne zmiany. Podpis cyfrowy wymaga użycia dwóch kluczy - prywatnego dla podpisywania i publicznego do odkodowania wiadomości. Odkodować kluczem publicznym można jedynie wiadomości podpisane odpowiadającym mu kluczem prywatnym. Procedura przebiegu transakcji z użyciem cyfrowego podpisu wyglądać może następująco: Pierwszy klient za pomocą aplikacji do obsługi transakcji internetowych na swoim komputerze generuje liczbę losową o wartości 100 zł. Następnie szyfruje wygenerowany numer używając prywatnego klucza. Zaszyfrowany i podpisany numer przesyła do banku. Bank odkodowuje jego komunikat używając klucza publicznego klienta pierwszego. Obciąża jego konto wygenerowaną kwotą. Bank koduje liczbę przy pomocy własnego klucza prywatnego i przypisuje jej wartość 100 zł. Cyfrowo podpisaną liczbę bank przesyła z powrotem do pierwszego klienta. Pierwszy klient przesyła zakodowaną liczbę z przypisana jej kwotą do drugiego klienta. Drugi klient weryfikuje zgodność bankowego podpisu. Przesyła liczbę do swojego banku. Jego bank weryfikuje zgodność komunikatu używając klucza publicznego pierwszego klienta. Następnie weryfikuje ważność pieniędzy (czy przesłana liczba i przypisana do niej kwota pieniędzy nie jest na liście pieniędzy wydanych). Bank drugiego klienta wpłaca mu na konto 100 zł. Dopisuje liczbę wygenerowaną przez pierwszego klienta do listy wydanych pieniędzy. Następnie wysyła mu potwierdzenie na otrzymanie depozytu na 100 zł. W systemie tym każdy z klientów otrzymuje potwierdzenie dokonania transakcji - system zapewnia w ten sposób całkowite bezpieczeństwo transakcji, nie jest jednak anonimowy.

85 PROCEDURA TRANSAKCJI Z UŻYCIEM ELEKTRONICZNYCH PIENIĘDZY

86 MODEL PŁATNOŚCI - FIRST VIRTUAL First Virtual, system obsługi transakcji oparty na kartach płatniczych i poczcie elektronicznej Rejestracja użytkownika systemu odbywa się przez wypełnienie specjalnego formularza na stronie internetowej, podając dane osobowe i adresowe, w tym adres poczty elektronicznej, na który będą przychodziły wszystkie żądania potwierdzeń transakcji. Następnie za pomocą poczty lub faksu jednorazowo podaje się nr karty płatniczej. First Virtual przyznaje każdemu użytkownikowi specjalny, unikalny numer kodowy tzw. Virtual PIN, związany z numerem „prawdziwej” karty płatniczej, wykorzystywany przy wszystkich operacjach wykonywanych w Internecie. Virtual PIN ma charakter poufny i nie powinien być przekazywany osobom postronnym. Jednak nawet nieuprawnione jego uzyskanie nie jest gwarancją dostępu do konta. Podstawową gwarancja bezpieczeństwa tego systemu jest konieczność potwierdzenia każdej transakcji. Potwierdzenie to odbywa się poprzez pocztę elektroniczną - trzeci element związany z numerem karty płatniczej oraz numerem Virtual Pin. Korzystanie z tego systemu jest płatne. Płaci się za używanie specjalnego numeru Virtual PIN, sprzedawcy płacą prowizję od każdej transakcji (z czynnikiem stałym i procentowym). Opłaty różnią się także w zależności od towaru.

87 PROCEDURA DZIAŁANIA W FIRST VIRTUAL Zarejestrowany użytkownik tego systemu łączy się z internetową witryną sklepu włączonego w system First Virtual. W miejscu płatności zamiast numeru karty elektronicznej wpisuje się numer Virtual PIN. Oprogramowanie serwera sklepu przesyła następnie wpisany Virtual PIN wraz z własnym Virtual PIN (dla identyfikacji transakcji) pocztą elektroniczną do serwera First Virtual. Serwer First Virtual odszukuje w swojej bazie danych klienta oraz adres jego poczty elektronicznej i wysyła mu wiadomość z żądaniem potwierdzenia transakcji. Jeżeli odpowiedź użytkownika jest pozytywna, serwer First Virtual odszukuje prawdziwy numer karty płatniczej klienta. Na tej podstawie odbywa się procedura autoryzacyjna, dokonywana w banku będącym właścicielem karty płatniczej klienta. Jeżeli procedura przyniesie rezultat pozytywny, to deszyfrowany jest adres poczty elektronicznej sprzedawcy i przesyłane potwierdzenie transakcji klienta i odpowiedź centrum autoryzacyjnego. Następuje wysyłka towaru dokonywana przez sklep internetowy. Jeżeli obie odpowiedzi są aprobujące, to First Virtual przekazuje należność na konto sprzedawcy. Jeżeli użytkownik nie potwierdzi transakcji to jego Virtual PIN zostaje unieważniony i trzeba od nowa przejść przez procedurę rejestracji nowego.

88 PROCEDURA PŁATNOŚCI W SYSTEMIE FIRST VIRTUAL First Virtual Serwer Komputer klienta Sprzedawca First Virtual Serwer Bank Klienta

89 ELEKTRONICZNY SYSTEM CYBERCASH System obsługi kart płatniczych - (CyberCash Secure Card Service) - podstawą systemu jest sprawdzanie tożsamości klienta i sprzedawcy oraz szyfrowanie przekazywanej informacji. W systemie CyberCash występują trzy podstawowe elementy składowe: portfel klienta - CyberCash Wallet, rejestr operacji gotówkowych sprzedawcy - Cash Register - aplikacja na serwerze sprzedawcy, spełniająca funkcje: administratora systemu, komunikacji i przetwarzania płatności, serwer systemu - CyberCash Serwer - oprogramowanie na serwerze koordynującym rozliczanie płatności i przekazującym informacje pomiędzy Internetem, a siecią bankową. System obsługi kart płatniczych CyberCash opiera się na wzajemnym sprawdzaniu tożsamości klienta i sprzedawcy oraz szyfrowaniu przekazywanej informacji. Dane o karcie kredytowej klienta są przekazywane w postaci zaszyfrowanej do sprzedawcy, który dodaje do nich własne informacje identyfikacyjne i bez rozszyfrowywania przesyła do serwera CyberCash. Serwer, działając poprzez zamknięte przed Internetem sieci służące do obsługi kart kredytowych rozkodowuje informację i dokonuje autoryzacji transakcji. Korzystający z oprogramowania CyberCash użytkownik, powinien przed pierwszym użyciem wprowadzić dane osobiste oraz informacje dotyczące kart płatniczych, które będą obsługiwane w systemie. Wprowadzone dane są weryfikowane przez serwer CyberCach, a dopiero następnie generowany jest osobisty certyfikat użytkownika, poświadczający jego tożsamość.

90 PROCEDURA ROZLICZANIA TRANSAKCJI ZA POMOCĄ KART PŁATNICZYCH W SYSTEMIE CYBERCASH Działanie systemu bazuje na programach działających po stronie klienta i serwera. Po stronie klienta, jest to program „Wallet” instalowany jako dodatek (ang. Plug in) do przeglądarki WWW rozszerzając jej możliwości o obsługę CyberCash. Po stronie sklepu internetowego na serwerze WWW instalowany jest „Cash Register” całość jest obsługiwana przez serwer CyberCash (VeriSign) ostatecznie obsługujący operacje na kartach kredytowych. Ponieważ system jest oparty na zasadzie podobnej do podpisu elektronicznego, po zainstalowaniu dodatku do przeglądarki internetowej trzeba zarejestrować się na serwerze (VeriSign). W ten sposób otrzymujemy nasz elektroniczny portfel. Następnym krokiem jest włożenie do niego kart kredytowych, których może być kilka. Dla każdej karty serwer sprawdza, poprawność danych, czy karta istnieje i nie jest zastrzeżona oraz czy jesteśmy jej właścicielem. Weryfikacja jest dokonywana na podstawie informacji z sieci bankowych. Po pozytywnym przejściu przez ten proces otrzymujemy nasz certyfikat który będziemy wykorzystywać podczas zakupów w Internecie. Jeżeli w późniejszym okresie będziemy dodawać lub usuwać karty z portfela, za każdym razem będziemy otrzymywać nowy certyfikat. W sytuacji, gdy w naszym portfelu umieściliśmy więcej niż jedną kartę kredytową, podczas zakupów będziemy pytani z której z nich pokryć wydatki.

91 PROCEDURA ROZLICZANIA TRANSAKCJI ZA POMOCĄ KART PŁATNICZYCH W SYSTEMIE CYBERCASH Dokonując zakupów w sklepie internetowym wykorzystującym system CyberCash zamiast wpisywać numer karty kredytowej klikamy polecenie zapłaty. To uruchamia cały mechanizm działania systemu na serwerze sprzedawcy. Strona sprzedawcy wysyła plik zawierający informacje o transakcji są one elektronicznie podpisane, certyfikując sprzedawcę. W ten sposób klient chroniony jest przed oszustwami ze strony sklepów. Plik jest otwierany na komputerze klienta i pojawia się prośba o potwierdzenie rachunku. Jeżeli weryfikacja rachunku wypadnie pomyślnie i zdecydujemy się go uregulować Wallet wysyła do sklepu zaszyfrowany numer karty wraz z naszym certyfikatem, co zapewnia, że nikt się pod nas nie podszyje. Serwer sklepu wyposażony w CashRegister przesyła rachunek, nasz zakodowany numer, wraz ze swoim certyfikatem do serwera VeriSign. Serwer dokonuje sprawdzenia sklepu, co sprawia, że nikt nie może się pod niego podszyć, rozkodowuje numer naszej karty kredytowej i przez zamkniętą sieć autoryzacji kart kredytowych dokonuje przelewu na konto sklepu. Dużą zaletą tego systemu jest to, że sklep nie dysponuje naszym numerem karty kredytowej (a jedynie jego zakodowaną wersją). Oprócz nieuczciwości sklepu uniemożliwia to także wykradzenie numeru z bazy sklepu.

92 1. Tworzenie „portfela” 2. Dokonywanie płatności Nr karty kredytowej i dane właściciela Certyfikat portfela Kanały SSL Użytkownik wprowadza dane Serwer VeriSig n (CC) Weryfikacja otrzymanych danych Bank Generowanie certyfikatu Program Wallet zapamiętuje certyfikat Użytkownik klika „zapłać” Sklep internetowy Uruchamiany jest Cash Register Wysyła informację o transakcji do klienta ze swoim certyfikatem Start transakcji Wallet sprawdza certyfikat i prosi o potwierdzenie transakcji Użytkownik zatwierdza Wallet wysyła zaszyfrowany numer karty ze swoim certyfikatem zapłata Prośba o zapłatę Cash Register przyjmuje potwierdzenie zapłaty podpisuje je swoim podpisem i przesyła do serwera VeriSign Serwer VeriSign rozkodowuje informacje i zleca do sieci bankowej przelanie pieniędzy Bank CyberCash Nr Karty kredytowej

93 PŁATNOŚCI ZA POMOCĄ KART PŁATNICZYCH W SYSTEMIE CYBERCASH

94 ZALETY PŁATNOŚCI ZA POMOCĄ KART PŁATNICZYCH W SYSTEMIE CYBERCASH użycie posiadanych kart kredytowych, wysoki stopień zabezpieczeń kryptograficznych, zachowanie prywatności danych, łatwość obsługi, możliwość wyboru płatności, niezależność od przeglądarki, autoryzacja w czasie rzeczywistym, szybkość i bezpieczeństwo otrzymania płatności, obsługa przez całą dobę, wysyłka zamówienia via Internet, zgodność z istniejącą infrastrukturą płatności kartami kredytowymi, przyrost wpływów i umocnienie pozycji konkurencyjnej.

95 ELEKTRONICZNY SYSTEM CYBERCASH – składał się: System obsługi kart płatniczych (CyberCash) System czeków elektronicznych - (PayNow) - pozwalający na przekazywanie pieniędzy bezpośrednio z konta bankowego klienta i regulowaniu wszelkich zobowiązań przy pomocy sieci. Za pomocą tej usługi można dokonywać przelewów i opłacać rachunki za usługi, Może ona służyć do dokonywania płatności pomiędzy użytkownikami Internetu oraz uiszczania należności wydawcom kart kredytowych. Elektroniczna gotówka - (CyberCoin) - dotyczy niewielkich płatności za drobne usługi świadczone w sieci. Jest odpowiedzią na zapotrzebowanie klientów na szybkie i łatwe dokonywanie małych transakcji (początkowo od 25 centów do 10 dolarów USA), po rozsądnych kosztach, czego nie zapewnia im płacenie kartą magnetyczną.

96 CYBERCOIN Zainstalowanie na własnym komputerze osobistym bezpłatnej aplikacji CyberCash Wallet w trakcie sesji internetowej jest wystarczającym warunkiem do używania tej formy płatności. Aplikacja jest obwarowana szeregiem wielopoziomowych zabezpieczeń. Na poziomie użytkownika - przydziela on portfelowi nazwę i hasło dostępu. Od strony technologicznej jest to zabezpieczenie kryptograficzne z kluczem symetrycznym, chroniące numery kart kredytowych i elektroniczną gotówkę przed nieuprawnionym dostępem. Po akceptacji warunków korzystania z CyberCoin, aplikacja tworzy klucz użytkownika - prywatny i publiczny. Klucz publiczny używany potem do autoryzacji korespondencji i transakcji jest wysyłany po zabezpieczeniu kluczem publicznym do serwera CyberCash. Korzystanie z elektronicznego portfela odbywa się na takiej zasadzie jak korzystanie z bankomatu - można go załadować bądź z karty kredytowej (w Polsce), bądź z konta bankowego. Pobrane pieniądze pozostają w Banku Przejściowym (Gateway), do czasu aż nie zostaną wydane - zamienione na elektroniczne nie ulegają zwrotowi.

97 PROCEDURA KORZYSTANIA Z CYBERCOIN Klient wysyła do serwera CyberCash polecenie wymiany określonej kwoty na elektroniczną gotówkę CyberCoin, korzystając z programu CyberCash Wallet. Serwer sprawdza czy pieniądze na pokrycie wymiany są na koncie w banku klienta. Bank potwierdza bądź anuluje transakcję, w przypadku potwierdzenia przelewa środki do Serwera Przejściowego. Elektroniczne pieniądze rejestrowane są w portfelu klienta. W sklepie internetowym klient wybiera towar, formę płatności CyberCoin i potwierdza. Cash Register aplikacji na komputerze sprzedawcy uruchamia CyberCoin na komputerze klienta. Po potwierdzeniu transakcji, zlecenie zostaje przesłane do sprzedawcy. Klient uzyskuje informację o możliwości przeprowadzenia transakcji. Sprzedawca wysyła zlecenie autoryzacji do serwera Cyber Casha. W przypadku pozytywnym serwer Cyber Casha potwierdza dokonanie przelewu środków. Automatycznie zmniejsza to konto klienta o kwotę zakupu i prowizji, a zwiększa stan konta w Banku Przejściowym. Klient otrzymuje potwierdzenie dokonania transakcji oraz zamówiony towar (o ile może być on przesłany drogą elektroniczną, to przesłanie następuje w trybie natychmiastowym). Sprzedawca wysyła potwierdzenie dokonania usługi do serwera Cyber Casha Kwota utargu zostaje przelana na konto sprzedawcy.

98 ECASH - SYSTEM ANONIMOWEJ ELEKTRONICZNEJ GOTÓWKI System składa się z wymienionych poniżej elementów: Klient - posiadający komputer osobisty z przeglądarką internetową oraz oprogramowaniem w postaci elektronicznego portfela klienta (CyberWallet), musi posiadać konto w banku współpracującym z systemem, na które składa się, przechowuje lub z którego wydaje się ecash. Sprzedawca - posiada witrynę sklepu internetowego i oprogramowanie wspólnego łącza przejściowego (Common Gateway Interface) do komunikacji z klientami, akceptuje przesyłany ecash za własne towary bądź usługi. Bank - emitent elektronicznej gotówki, w którym każdy z użytkowników musi posiadać swoje konto, utrzymuje rejestr zużytych cybermonet przez co uwierzytelnia będące w obiegu pieniądze, prowadzi wymianę Ecash na realne pieniądze.

99 ECASH Środkiem płatniczym w tym systemie, podobnie jak w poprzednim, są cyfrowe pieniądze - posiadające określony nominał, unikalny numer seryjny i zabezpieczenie przed fałszerstwem w postaci podpisu cyfrowego banku emitenta, szyfrowanego (jak we wszystkich zastosowaniach internetowych) algorytmem RSA. Pieniądze cyfrowe są jednorazowe w tym sensie, że „banknot” o danym numerze seryjnym (identyfikatorze) może być użyty do pokrycia płatności tylko jeden raz, a następnie zostaje unieważniony przez bank. Jest to pewien rodzaj dodatkowego zabezpieczenia przed nadużyciami. Gdyby każdy „banknot” pieniądza cyfrowego nie miał swojego numeru, użytkownik mógłby - podobnie jak inne zasoby komputerowe - takie cyfrowe pieniądze kopiować i wykorzystywać wielokrotnie. Najistotniejszym momentem w kształtowaniu pieniądza cyfrowego wydaje się sposób generacji jego unikalnego identyfikatora. Kwoty wyspecyfikowane przez klienta zostają przez oprogramowanie portfela elektronicznego przeliczone na odpowiednią ilość monet/banknotów cyfrowych. Następnie dla każdej kwoty, przy pomocy generatora liczb losowych tworzone są 100-cyfrowe numery (identyfikatory). Liczby odwzorowujące banknoty mnoży się ponownie przez liczby losowe, zacierając ślad relacji pomiędzy elektronicznym pieniądzem, a jego właścicielem (anonimowość elektronicznego pieniądza lub jego „odprywatnienie”).

100 PROCEDURA PŁACENIA ZA POMOCĄ ECASH Użytkownik przeznacza określona sumę pieniędzy na zamianę na „elektroniczną gotówkę”. Program portfela dokonuje uprzednio wymienionych operacji, anonimową gotówkę umieszcza w przesyłanej wiadomości, podpisuje prywatnym kluczem użytkownika, szyfruje kluczem publicznym banku i do niego wysyła. Bank, po otrzymaniu elektronicznej gotówki, weryfikuje podpis użytkownika. Jeżeli dyspozycja jest prawidłowa, obciąża nią konto klienta, podpisuje własnym, prywatnym kluczem i odsyła do użytkownika. Właściciel pieniędzy odszyfrowuje przesyłkę kluczem prywatnym i eliminuje z nich wprowadzony uprzednio czynnik losowy i uzyskuje pieniądz cyfrowy gotowy do użycia. Zakupów w Internecie dokonuje się przy pomocy dowolnej przeglądarki. W momencie, gdy na witrynie sklepowej klient znajdzie towar, wybiera z opcji płatności opcję Ecash. Uaktywni to portfel – program pracujący w tle na komputerze użytkownika. Przeglądarka zapewni połączenie z oprogramowaniem wspólnego łącza przejściowego na serwerze sprzedawcy. Jest to aplikacja Ecasha dla sprzedawców. Aplikacja uzyskuje w ten sposób informację o artykułach jakie wybrał klient.

101 PROCEDURA PŁACENIA ZA POMOCĄ ECASH Aplikacja sprzedawcy łączy się z portfelem klienta, wysyłając zapytanie o potwierdzenie płatności. Jeżeli użytkownik ją potwierdzi, portfel odpisuje odpowiednią ilość gotówki Ecasha i wysyła je jako płatność do sprzedawcy. Gotówka jest zaszyfrowana publicznym kluczem sprzedawcy. Jeżeli klientowi np. zabraknie pieniędzy, sprzedawca zostaje poinformowany o odmowie zapłaty. Sprzedawca odkodowuje gotówkę. Następnie weryfikuje i sprawdza czy elektroniczna gotówka jest ważna (nie została wcześniej wydana). W tym celu podpisuje ją swoim prywatnym kluczem, szyfruje publicznym kluczem banku i do niego przesyła. Bank sprawdza ważność pieniędzy poprzez porównanie numerów seryjnych monet nadesłanych z numerami monet, zawartymi w bazie wydanych pieniędzy oraz sprawdza poprawność podpisu banku emitującego. W przypadku potwierdzenia ważności, pieniądze przelane zostają na konto sprzedawcy. Elektroniczna gotówka jest niszczona, a jej numery wpisane do katalogu pieniędzy wydanych. Sprzedawca uzyskuje potwierdzenie dokonania transakcji. Potwierdzenie transakcji zostaje przesłane do portfela klienta. Potwierdzenie zakupu towaru przesłane zostaje z aplikacji Ecasha do serwera internetowego. Serwer internetowy wystawia polecenie przesyłki towaru. Sprzedawca przesyła towar klientowi.

102 SCHEMAT PŁATNOŚCI ZA POMOCĄ ECASHA

103 Elektroniczna portmonetka Elektroniczna portmonetka - jest kartą wstępnie przedpłaconą, mającą realną siłę nabywczą, za którą klient wcześniej zapłacił. Ideą pieniądza elektronicznego bazującego na kartach jest bezgotówkowa realizacja transakcji detalicznych niskokwotowych. Według polskich przepisów instrument służący do przechowywania pieniądza elektronicznego udostępniony posiadaczowi powinien być wyposażony w mechanizm uniemożliwiający przechowywanie pieniądza elektronicznego o wartości większej niż równowartość w złotych 150 euro. Ograniczenie to wynika z art.58 ust.1 ustawy o elektronicznych instrumentach płatniczych. R.Janowicz: Pieniądz elektroniczny w wybranych krajach – charakterystyka, główne funkcje i zastosowanie. „Bank i Kredyt” 2005, nr 1, s.89 B.Frączek: Pieniądz elektroniczny – próba zdefiniowania i sklasyfikowania, „Bank i Kredyt 2004, nr 4, s.93

104 Porównanie karty płatniczej i elektronicznej portmonetki Kryterium porównawczeKarta płatniczaElektroniczna portmonetka Forma płatnościBezgotówkowy instrument płatniczy inicjujący transfer środków pomiędzy dwoma rachunkami bankowymi Elektroniczny środek wymiany, działający bez potrzeby angażowania rachunków bankowych PrzeznaczenieRealizowanie bezgotówkowych płatności na wyższe kwoty Realizacja transakcji niskokwotowych Możliwość uzyskania kredytuPozwala na zaciągnięcie kredytuMożna się posługiwać jedynie do wysokości środków zgromadzonych na karcie Dokonywanie i rozliczanie transakcji Z reguły podczas transakcji wymagają autoryzacji on-line oraz obciążają rachunek bankowy Transakcja w trybie off-line, bez rejestracji na rachunku bankowym posiadacza Różnica czasowa pomiędzy momentem dokonania transakcji, a momentem zapłaty Obciążenie rachunku posiadacza następuje w momencie realizowania transakcji Posiadacz karty z góry płaci za jej określoną wartość nabywczą

105 Przykłady zastosowań elektronicznej portmonetki System Proton w Belgii - system wielofunkcyjnej karty przedpłaconej uruchomiony w 1995 roku przez firmę Banksys. Karta Proton funkcjonuje w transakcjach niskokwotowych dokonywanych w małych sklepach, automatach do sprzedaży towarów, parkometrach, transporcie publicznym i komunikacji. Karta ta może zostać załadowana kwotą od 5 do125 euro. W systemie nie jest możliwe przekazywanie środków pomiędzy dwiema kartami. Proton jest kartą mikroprocesorową wydawaną zazwyczaj przez banki swoim klientom. Karta może zostać załadowana za pomocą następujących urządzeń: bankomatów, specjalnych terminali ładujących, telefonów publicznych, telefonów domowych wyposażonych w czytnik kart, telefonów komórkowych oraz poprzez Internet. Podczas ładowania środków na kartę jej posiadacz musi każdorazowo podać PIN-kod. Terminale akceptujące karty Proton zostały zainstalowane w wielu punktach handlowo-usługowych, które wcześniej nie akceptowały żadnych kart płatniczych – np. w kioskach z gazetami, piekarniach, małych barach i kawiarenkach, pralniach, kwiaciarniach czy bufetach zakładowych.

106 Przykłady zastosowań elektronicznej portmonetki Francja – pierwsze systemy elektronicznej portmonetki zostały wprowadzone pod koniec lat dziewięćdziesiątych XX w. Do najbardziej znanych należą: Modeus – stworzony przez instytucje finansowe (Societe Generale, pocztę i banki oszczędnościowe) firmy transportowe (SNCF- koleje francuskie i RATP – metro i autobusy paryskie) oraz France Telecom. Uruchomiony w 2001 roku. Na karcie umieszczono elektroniczną portmonetkę oraz elektroniczny bilet do paryskiego metra i autobusów. W ramach funkcji elektronicznego biletu wykorzystywana jest technologia bezstykowa; Moneo – stworzony przez firmę SEME, akcjonariuszami, której było siedem banków francuskich w tym BNP i Credit Agricole. Uruchomiony w 1999r. Moneo jest kartą posiadająca zarówno funkcję tradycyjnej karty debetowej, jak i pieniądza elektronicznego. Do płatności poniżej 15 euro zazwyczaj wykorzystuje się elektroniczną portmonetkę. Do kart dodawane są również inne funkcje np. programy lojalnościowe. Karty Moneo mogą być ładowane w trybie off-line w terminalach akceptujących te karty znajdujących się w klepach; Mondex – do powstania systemu przyczynił się bank Credit Mutuel, który utworzył przedsiębiorstwo Mondex France w celu zakupu i wprowadzenia systemu na podstawie licencji od Mondex International. System pod względem struktury i organizacji przypomina system gotówkowy, ponieważ do zadań emitenta należy emitowanie oraz wykupywanie elektronicznych impulsów dostarczanych przez elektroniczne portmonetki, a także zarządzanie ryzykiem w całym systemie. W systemie Mondex istnieje możliwość przekazywania środków bezpośrednio pomiędzy posiadaczami elektronicznej portmonetki, jednak we Francji możliwość ta została ograniczona tylko do klientów z tej samej rodziny.

107 Przykłady zastosowań elektronicznej portmonetki Niemcy - system elektronicznej portmonetki powstał z inicjatywy sektora bankowego. Wydawcami kart i emitentami pieniądza elektronicznego są wyłącznie banki komercyjne i banki oszczędnościowe. System elektronicznej portmonetki nazwany GeldKarte funkcjonuje od 1996 roku. Karty wydawane były przede wszystkim wraz z kartami debetowymi wyposażonymi w mikroprocesor. Karta GeldKarte mogła zostać załadowana maksymalnie do wysokości 205 euro. Doładowanie karty odbywało się w drodze obciążenia rachunku bankowego poprzez transakcję on-line w bankomacie (z weryfikacją PIN kodem) lub przedpłatę gotówki, w przypadku nie posiadania rachunku bankowego. W 2004 roku banki zrezygnowały z umieszczania GeldKarte na nowych kartach. Wielka Brytania: W 1996 roku powołano do życia firmę Mondex International Ltd., której celem jest promowanie i rozwijanie technologii Mondex na świecie. Od 1997 roku głównym udziałowcem jest MasterCard International. W systemie Mondex istnieje możliwość przekazywania środków pomiędzy posiadaczami kart. Umożliwia to urządzenie nazywane portfelem Mondex (wielkości kalkulatora kieszonkowego), które jest wyposażone w dwa czytniki kart. Karty mogą być doładowywane w bankomatach lub w specjalnych terminalach ładujących w zamian za gotówkę; Drugim funkcjonującym w Wielkie Brytanii systemem jest VisaCash. Program pilotażowy funkcjonował od 1997 do 2000 roku. Karty były zarówno jednorazowe jak i ponownie ładowane. Posiadacze kart mogli je zasilić maksymalnie kwotą 50 funtów. Załadować kartę można było w bankomatach (w zamian za obciążenie rachunku) lub w specjalnym urządzeniu (w zamian za obciążenie karty kredytowej).

108 Pieniądz sieciowy Pieniądz sieciowy nie posiada materialnej postaci. Występuje w postaci pliku zapisanego na dysku komputera. Specjalne oprogramowanie, zainstalowane na komputerze osobistym klienta, generuje pieniądze elektroniczne, czyli zabezpieczone przed kopiowaniem i wyposażone w numer seryjny pliki. Są one następnie przesyłane do banku w celu ich autoryzacji. Klient otrzymuje je z powrotem do komputera tzw. elektronicznego portfela i wówczas pliki mogą być przesyłane do przedsiębiorcy (odbiorcy) w celu dokonania zapłaty. W przypadku, kiedy klient chce dokonać zakupu na stronie internetowej następuje automatyczne sprawdzenie ich ważności w banku emitującym. Bank ten stwierdza, czy dany klient posiada daną kwotę i jeśli tak to rejestruje ją, jako wydaną. Rozwiązanie pieniądza sieciowego polega więc na zapisywaniu określonej wartości pieniężnej na twardym dysku użytkownika, która: jest emitowana z unikalnym numerem seryjnym i w zakodowanej formie przez określoną instytucję; zostaje zaksięgowana na rachunku klienta; posiada zabezpieczenie przed sfałszowaniem w postaci podpisu cyfrowego emitującej go instytucji.

109 Pieniądz sieciowy Pieniądz sieciowy w odróżnieniu od banknotów papierowych służy do jednorazowego użytku. Dlatego też posiada zabezpieczenie przed próbą dokonania zapłaty podwójnie tzn. tymi samymi pieniędzmi - double spending. Oznacza to, że banknot o danym numerze seryjnym nie może być użyty więcej niż jeden raz, bowiem zostaje on unieważniony przez określoną instytucję. Wynika to głównie z faktu, że banknoty elektroniczne przechowywane na dysku komputera użytkownika są łatwe do skopiowania i można by wielokrotnie płacić tymi samymi pieniędzmi. Pomimo możliwości technologicznych i powstających (oraz upadających) systemów pieniądza elektronicznego na świecie, nadal rozliczenia za pomocą elektronicznej portmonetki i pieniądza sieciowego stanowią marginalny procent wszystkich transakcji.

110 Ilość transakcji w zależności od typu instrumentu płatniczego w 2010 roku (% wszystkich transakcji) Rodzaj płatności:Strefa Euro przelewy30% stałe zlecenia płatnicze30% karty29% czeki9% e-money2% Źródło: European Central Bank: Legal Working Paper Series, No.7/July 2012, s.54

111 Zdalne kanały dostępu

112 Bankowość telefoniczna Bankowość telefoniczna obejmuje usługi bankowe, w których kontakt banku z klientem następuje za pomocą telefonu stacjonarnego bądź telefonu komórkowego. Są to zazwyczaj standardowe usługi i operacje płatnicze wymagające niewielu wyjaśnień. Można tu wymienić: informacje ogólne – stan rachunku, przelewy, pytanie o limity kredytowe; prowadzenie transakcji – przelewy, zlecenia stałe, zamawianie czeków; pytania o specjalistyczne informacje o produktach – warunki zawierania transakcji, składanie wniosków kredytowych i otwieranie lokat pieniężnych. Niektóre banki (np. Filia Midland Bank’s – First Direct) oferują w ten sposób nie tylko dostęp do konta, ale również debetów, kredytów hipotecznych, kart kredytowych, produktów ubezpieczeniowych, a nawet serwisu podróżniczego.

113 Bankowość telefoniczna – anomalia USA Bankowość telefoniczna jest jedyną formą bankowości elektronicznej, która nie wymaga żadnych dodatkowych nakładów ze strony klienta – wystarczy tylko telefon, który w większości gospodarstw domowych jest już od lat standardowym wyposażeniem. Przeprowadzane w USA badania użytkowników bankowości elektronicznej, wskazują, że gospodarstwa domowe chętniej korzystają z bankowości telefonicznej niż z bankowości internetowej (w 2007 roku z e-bankingu korzystało 51,5% gospodarstw).

114 Dostęp za pomocą telefonu stacjonarnego W praktyce wydzielamy trzy podstawowe technologie bankowości telefonicznej realizowane przez telefon stacjonarny: Reakcja na głos (voice response) – klient komunikuje się z bankiem przez telefon, funkcjonujący w trybie wybierania tonowego lub (z dodatkowym urządzeniem) w trybie wybierania impulsowego. Działa w sposób zautomatyzowany przez bezpośrednie połączenie z systemem komputerowym. Dźwięki są rozpoznawane przez centralny komputer w banku, który udziela klientowi żądanych informacji przez generator mowy ludzkiej lub (częściej) nagrane na taśmie magnetycznej komunikaty głosowe. Technologia ta była najbardziej popularnym sposobem realizacji systemów telebankowości w latach siedemdziesiątych XX wieku. Klient przez telefon z wybieraniem tonowym mógł uzyskiwać informacje o stanie konta, dokonywać płatności rachunków (zlecenia stałe) i realizować transfery funduszy. Ponieważ większość ludzi miała telefon w domu (w krajach zachodnich), wydawał się on idealnym narzędziem dla bankowości domowej. Mimo początkowego optymizmu, rezultaty były niezadowalające. Brakowało np. weryfikacji wizualnej, która okazała się dużo ważniejsza dla klientów. Rozpoznawanie głosu (voice recognition)- technologia „rozpoznawania głosu” jest bardziej złożona, potrafi rozpoznawać ludzki głos i reagować na żądane instrukcje. Jakość tego typu rozwiązań zależy jednak od stosowanego oprogramowania do rozpoznawania i generowania mowy; Zatrudnianie wykwalifikowanych telefonistek – jest to metoda najprostsza i najbardziej popularna, chociaż z uwagi na „tradycyjność” nie zaliczamy jej jednak do usług bankowości elektronicznej.

115 Ilość telefonów stacjonarnych na 100 mieszkańców w 2010r.

116 Dostęp za pomocą telefonu stacjonarnego Usługi bankowości telefonicznej z wykorzystaniem telefonów stacjonarnych mogą być świadczone na dwa sposoby: automatycznie - wykonywanie operacji polega na wyborze za pomocą klawiatury telefonu numerów odpowiadających poszczególnym operacjom. Ich liczba jest zazwyczaj ograniczona do podstawowych operacji, takich jak sprawdzenie stanu konta, założenie lokaty lub dokonanie przelewu na wcześniej zdefiniowane rachunki. Bardziej wyszukane operacje, takie jak przelewy na dowolny rachunek czy zmiana danych właściciela rachunku, a przede wszystkim złożenie reklamacji, wykonywane są z udziałem operatora. Niektóre operacje wymagają podania hasła. Identyfikacja klienta może nastąpić także dzięki odpowiedzi na wcześniej określone pytania; z udziałem operatora - operacje z udziałem operatora polegają na przyjmowaniu i wykonywaniu zleceń klientów przez pracowników. Jest to metoda znacznie mniej elektroniczna, a tym samym znacznie mniej zautomatyzowana niż jakikolwiek inny rodzaj bankowości elektronicznej. Jest tak samo pracochłonna jak obsługa klienta w oddziale. B.Świecka, Bankowość elektroniczna.. op.cit., s.19

117 Mobile banking Mobile banking (m-banking) pojawił się wraz z możliwością dostępu do banku za pomocą telefonu komórkowego, pejdżerów i innych urządzeń komunikacji radiowej. Mobile banking rozwijał się zdecydowanie szybciej niż poprzednie technologie. Upowszechnił się w ciągu zaledwie 3 lat podczas, gdy bankowości internetowej zajęło to lat 10. Telefon komórkowy integruje funkcje telefonu i komputera; dysponuje on zbiorem funkcji, które tworzą efektywną platformę telebankingową, m.in.: możliwość identyfikacji użytkownika, funkcja komunikacyjna – przekaz różnych kategorii informacji (głos, impulsy tonowe, dane), wprowadzanie/wyprowadzanie danych na /z ekranu, możliwość przetwarzania danych.

118 Ilość telefonów komórkowych na 100 mieszkańców 2012 r.

119 SMS Usługa SMS (Short Message Service) możliwa jest dzięki dynamicznemu rozwojowi telefonii komórkowej. Dostęp poprzez SMS jest jedną z alternatywnych metod dostępu do systemów bankowych. Pozwala on na przesyłanie asynchronicznych, krótkich wiadomości tekstowych pomiędzy bankiem, a klientem. Klienci mogą w formie komunikatów dokonywać operacji zarówno pasywnych, jak i aktywnych. Dostęp poprzez SMS może być realizowany jako usługa : pobierania - klient chcący uzyskać jakąś informacje lub wykonać jakąś operację musi wysłać pod numer banku komunikat SMS z komendą, a z powrotem otrzyma komunikat SMS z odpowiedzią lub zostanie w banku wykonana operacja, a on uzyska potwierdzenie wykonania operacji; powiadamiania – bank wysyła komunikat SMS, gdy zaistnieje jakieś zdarzenie na rachunku np. zmieni się wysokość salda, wystąpi debet itp.

120 SMS Zaletą tej usługi jest jej prostota i fakt, że jest ona standardowo implementowana we wszystkich aparatach komórkowych. Korzystanie z tej usługi jest jednak czasochłonne i bardzo ograniczone – nie istnieje możliwość wymiany większej ilości danych w postaci innej niż tekst (np. interaktywnej grafiki, bogatego tekstu itp.). Nie jest na przykład możliwe przesłanie za pomocą wiadomości SMS miesięcznego zestawienia transakcji klienta, tabeli kursów walut lub pełnej oferty lokat terminowych. Przesyłanie widomości tekstowych jest techniką tanią, dlatego też banki chciałyby maksymalnie wykorzystać ten sposób kontaktu z klientem. Szukają więc rozwiązań, aby przekazywać większą ilość informacji i znacznie bardziej skomplikowanych. Obecnie wiele banków wykorzystuje wiadomości tekstowe do przekazywania komunikatów klientom, na których rachunkach dokonywana jest operacja finansowa na większą kwotę. Uzyskuje się dzięki temu dwie zasadnicze korzyści: zwiększa bezpieczeństwo transakcji i zmniejsza obawy klientów, co do transakcji oszukańczych. Poza tym SMS mogą być wykorzystywane do działań marketingowych. Badania wykazują, że czytanych jest 90% otrzymywanych na telefon komórkowy wiadomości tekstowych - znacznie więcej niż wiadomości e- mailowych.

121 Płatności mobilne (elektroniczne) Płatności elektroniczne mogą być dokonywane na kilka sposobów: płatność SMS - idea mikropłatności SMS oparta na wiadomościach Premium SMS sprowadza się do potraktowania telefonu komórkowego jak wirtualnego portfela. Wiadomości wysłane za pośrednictwem Premium SMS zalicza się do grupy wiadomości SMS, lecz ich wartość jest podwyższona. Wysłanie dowolnej wiadomości pod jeden z dostępnych numerów jest jednoznaczne z naliczeniem odpowiedniej opłaty, która zależy od klasy numeru. Z punku widzenia użytkownika telefonu komórkowego usługa Premium SMS realizowana przez serwisy internetowe wygląda następująco:

122 Płatności mobilne (elektroniczne) mPay – usługa wprowadzona na polskim rynku przez Polkomtel i mPay. Umożliwia płatności komórką tam, gdzie zarówno gotówka, jak i karta kredytowa się nie sprawdzają. mPay, jako uniwersalny instrument płatniczy, zapewnia zdalną realizację dowolnego rodzaju transakcji: płatności w tradycyjnych sklepach, płatności w Internecie, płatności w automatach z napojami i przekąskami, przekazy pieniężne pomiędzy użytkownikami Mapy, doładowywanie telefonów na kartę, płatności za rachunki, płatności za przesyłki pocztowe i kurierskie, opłaty za parkingi, przejazd środkami komunikacji (taksówka, komunikacja miejska, kolej), realizację zamówień w sprzedaży wysyłkowej, zakup biletów – papierowych i elektronicznych (kino, teatr, koncerty, imprezy sportowe), loterie i zakłady wzajemne. W pierwszym etapie użytkownik telefonu musi przelać na specjalne konto kwotę, którą chce przeznaczyć na płatności. Może to zrobić w dowolny sposób: na poczcie lub przelewem z Internetu. W przyszłości ma być tak, że wystarczy wizyta w oddziale banku i podanie numeru telefonu, na którym chcemy uruchomić mPay. Aktywacją zajmie się bank, a środki może np. ściągać ze zwykłego konta klienta. Zamiast wyciągać drobne z portfela czy kartę płatniczą, wystarczy sięgnąć po komórkę i wystukać numer. Użytkownik łączy się z serwisem podobnym do poczty głosowej i z klawiatury wpisuje sześciocyfrowy numer przyznany sprzedawcy przez mPay oraz kwotę, jaką chce zapłacić. Na telefonie w ciągu kilku sekund wyświetla się informacja o przelewie. Jeśli dane się zgadzają, transakcję należy potwierdzić podobnie jak w przypadku karty płatniczej - wstukując kod PIN.

123 Płatności mobilne (elektroniczne)

124 Płatności oparte na technologii komunikacji krótkiego zasięgu NFC (Near Field Communication) Wymagane jest posiadanie w aparacie telefonicznym mikroprocesora zapewniającego komunikację NFC. Technologia ta pozwala na realizacje transakcji bezstykowych (zbliżeniowych). Telefon komórkowy działa w tym przypadku jak instrument płatniczy, zbliżony funkcjonalnie do karty płatniczej lub pieniądza elektronicznego. Płatności mogą być rozliczane poprzez obciążenie konta bankowego klienta (działają wtedy podobnie do karty debetowej lub kredytowej) lub specjalnego rachunku technicznego (wtedy działają jak elektroniczne portmonetki). Praktyczne zastosowanie tego rozwiązania jest obecnie poważnie ograniczone, z uwagi na niewielka jeszcze liczbę telefonów komórkowych obsługujących technologię NFC oraz konieczność wyposażenia sprzedawców w specjalny czytnik do akceptacji płatności. Organizacja Visa Europe wprowadziła program płatności zbliżeniowych wykorzystujących technologię łączności bliskiego zasięgu z użyciem telefonii komórkowej w Finlandii, Wielkiej Brytanii, Francji, Turcji, Włoszech, Szwajcarii i Hiszpanii. Telefony z zainstalowaną aplikacją płatności komórkowych mogą być używane zarówno do płatności drobnych (poniżej 20 euro) jak i większych. Przy płatnościach przekraczających 20 euro, trzeba tylko przed zbliżeniem komórki do czytnika wprowadzić hasło do telefonu. NFC (Near Field Communication) – technologia komunikacji radiowej krótkiego zasięgu, która pozwala na szybka wymianę danych miedzy urządzeniami na odległość do kilkunastu centymetrów.

125 Bankowość telewizyjna Bankowością telewizyjną określa się dostęp do rachunków bankowych przy pomocy różnych technik przekazu telewizyjnego, m.in. poprzez telegazetę (telewizję analogową), telewizję cyfrową, satelitarną, kablową. Istnieją dwa kanały realizacji usług bankowych: kanał satelitarny – można go porównać do telegazety. Użytkownik poprzez wybranie odpowiedniej opcji w aplikacji zgłasza chęć załadowania interesujących go informacji np. danych o koncie, wolnych środkach, ostatnich operacjach na koncie itp. Największą zaletą takiego kanału jest to, że jest on całkowicie darmowy. kanał modemowy – realizowany jest poprzez aktywację modemu zainstalowanego w dekoderze cyfrowym i wykonanie połączenia z modemem docelowym. Umożliwia wykonanie akcji transferu danych z dekodera do komputera docelowego. Dzięki temu, możliwe stają się operacje typu: wykonanie przelewu, założenie lokaty, złożenie zamówienia na kartę płatniczą itp. Użytkownik za pomocą pilota wpisuje dane i zatwierdza je w sposób określony przez aplikację, następnie aplikacja dokonuje zainicjowania modemu oraz nawiązanie połączenia z modemem docelowym. Z punktu widzenia użytkownika kanał ten jest kosztowniejszy od kanału satelitarnego – dochodzą opłaty za korzystanie linii telefonicznej oraz ewentualne opłaty dla dostawcy usług internetowych.

126 Bankowość telewizyjna - bariery Do przeszkód w popularyzacji telewizji interaktywnej i internetowej zalicza się: brak infrastruktury teleinformatycznej o dostatecznej przepustowości do przesyłania na masową skalę bardzo dużych ilości danych, dotychczasowy model działania telewizji, jako medium nastawionego przede wszystkim na pasywny odbiór i konsumpcję rozrywki, w odróżnieniu od Internetu, będącego głównie środkiem aktywnego zdobywania informacji i komunikacji poszczególnych osób. Telewizja interaktywna zintegrowana z Internetem pozwala na głębsze poznanie potrzeb klienta, zastosowanie reklam z odnośnikami do stron banku jako formy marketingu bezpośredniego, udzielanie porad w czasie rzeczywistym. Zakres operacji bankowych jakie mogą zostać wykonane przy pomocy interaktywnego sprzętu telewizyjnego jest podobny jak w bankowości internetowej. Dekodery do telewizora dla telewizji internetowej mogą zostać wyposażone w czytniki kart procesorowych potencjalnie działających w funkcji identyfikacyjnej, płatniczej, bankomatowej. Wadą odbiorników telewizji internetowej może okazać się brak dysków twardych, na których można by trwale zapisywać dane, i gorsza jakość odbioru stron WWW niż z komputera osobistego.

127 Bankowość telewizyjna - zalety Zalety TV bankingu są następujące: niskie koszty dla konsumentów (nie jest wymagany komputer); dekodery oferują operatorzy (częste promocje); odbiornikami TV cyfrowej dysponuje znacząca część gospodarstw domowych; zintegrowana telewizja jest (będzie) kanałem dystrybucji innych usług dla konsumenta; system jest user friendly – dla użytkownika finalnego bardzo łatwy w użyciu. Bankowość telewizyjna zaczęła się dynamicznie rozwijać w latach W 2001 roku jedna trzecia z dwudziestu największych banków w Europie oferowała TV-banking. W 2004 roku było już ponad 10 milionów użytkowników tej formy bankowości. W Polsce bankowość telewizyjną przez jakiś czas oferował jedynie Invest Bank wraz z telewizją Polsat. Z uwagi na ubogi zakres dostępnych informacji i ich pasywną formę oraz dynamicznie rozwijająca bankowość internetową bank wycofał się ze świadczenia usług bankowych tym kanałem.

128 Bezpieczeństwo platformy cyfrowej Dekoder cyfrowy jest urządzeniem, które można porównać z komputerem bardzo małej wydajności. W związku z tym nie ma możliwości zastosowania tak dobrych szyfrów asymetrycznych. Oznacza to zmianę strategii bezpieczeństwa przy projektowaniu aplikacji telewizyjnych. Zamiast koncentrować się na silnym, pojedynczym rozwiązaniu, preferuje się podejście bezpieczeństwa warstwowego. Bezpieczeństwo definiuje się, jako system warstw realizujących różne rodzaje zabezpieczeń, odpowiednich dla danej warstwy: minimalizacja informacji – czyli zawieranie w przesyłanych danych jak najmniejsze porcji „znaczących” treści. Na przykład może to być nie przesyłanie danych osobowych ani numerów kont. W przypadku przejęcia pakietu danych suche zestawienia sald i operacji nie można zestawić ich z konkretną osobą czy rachunkiem; pomimo niemożności zastosowania szyfrów asymetrycznych; szyfrowanie informacji - pomimo niemożności zastosowania szyfrów asymetrycznych istnieje możliwość wykorzystania mniej wymagających szyfrów symetrycznych, zwłaszcza, gdy dane, które posłużą do definicji takiego szyfru, nie muszą być przesyłane tym samym kanałem. Mogą to być dane znajdujące się po obu stronach łącza np. numer konta;. kontrola dostępu – dekoder posiada zaszyte w sobie, niezmienne numery, różne dla każdego egzemplarza. Dekodery o numerach nieautoryzowanych nie zostaną wpuszczone do systemu.

129 Bankowość internetowa Wg B.Świeckiej, bankowość internetowa (BI) jest instrumentem bankowości elektronicznej, alternatywnym w stosunku do oddziału bankowego kanałem dystrybucji wykorzystującym Internet do świadczenia usług bankowych. Wg M.Kisiela są to „wszelkie usługi banku, których funkcjonowanie oparte jest w swojej istocie na wykorzystaniu sieci. Termin ten określałby zatem całokształt działalności rynkowej banku w wirtualnej, tworzonej przez internetową komunikację, przestrzeni”. Według M.Zaleskiej „pojęcie bankowości internetowej jest związane z systemem bankowej obsługi klientów, bazującej na zdalnej komunikacji z klientem poprzez wykorzystanie wyłącznie komputerów osobistych wyposażonych w przeglądarkę internetową oraz dostęp do łącza internetowego.”

130 Bankowość internetowa – trochę historii Pierwszym bankiem świadczącym swoje usługi przez Internet był Security First Network Bank, który rozpoczął działalność operacyjną w październiku 1995 r. Zaledwie w kilka miesięcy później w 1996 roku powstał pierwszy bank internetowy w Europie – w Finlandii. Usługi bankowości internetowej jako pierwszy polski bank zaoferował Pekao S.A. w październiku 1998 (usługa Telepekao 24). Wkrótce inne banki zaczęły obsługiwać rachunki klientów przez Internet, m.in. WBK S.A., BPH, Handlobank, BRE, Lucas Bank.

131 Bankowość internetowa – fazy rozwoju

132 Bankowość internetowa Dobry system bankowości internetowej powinien: dostarczać użytkownikom pełny obraz ich finansów: konta, kredyty, płatności, historie operacji itd. zapewniać możliwość korzystania z różnego rodzaju wskazówek i narzędzi pomagających w zrozumieniu problematyki finansowej np. możliwość porównania użytkownika z innymi z jego grupy demograficznej pod względem tempa oszczędzania, dochodów, wydatków itp. być zabawny i ciekawy. System nie może być nudny. zindywidualizowany. Technologia umożliwia „śledzenie” zachowań klienta i dostosowanie stron do jego preferencji, tak, aby np. po zalogowaniu otwierała się strona z jego ulubionymi opcjami. P.Totty: Fast, fun and efficient. Credit Union Magazine. Madison: Sep 2009, s.58-59

133 Bankowość internetowa – zalety dla klienta Do głównych zalet bankowości internetowej z punktu widzenia klienta można zaliczyć: Brak ograniczeń terytorialnych. Dostępny jest za pomocą standardowych urządzeń komunikacyjnych bez względu na miejsce przebywania. Możliwość skorzystania z oferty banków zagranicznych; Oszczędność czasu. Możliwość wykonywania operacji z domu, z pracy i innych lokalizacji pozwala oszczędzić czas, który byłby potrzebny na dotarcie do placówki bankowej, oczekiwanie i przeprowadzenie spraw bankowych przez pracownika; Kontrola finansów. Wygodny dostęp do bieżących i historycznych operacji ułatwia zarządzanie finansami i ich kontrolę; Brak ograniczeń czasowych. Usługi za pośrednictwem Internetu są dostępne przez 24 godziny siedem dni w tygodniu. Każdy może kontaktować się z bankiem i korzystać z jego usług w czasie dogodnym dla siebie; Niskie koszty transakcyjne. Zawieranie transakcji pociąga za sobą znacznie mniejsze koszty niż w tradycyjnych oddziałach. Wiele banków rezygnuje w ogóle z pobierania opłat za transakcje wykonane za pomocą Internetu; Łatwość skorzystania z oferty innego banku. W przypadku braku satysfakcji z usług jednego banku można bez specjalnych trudności przenieść się do banku konkurencyjnego, którego oferta oddalona jest zaledwie o kliknięcie myszką.

134 Bankowość internetowa – zalety dla banku Zalety wykorzystania Internetu ze strony banku: Niskie koszty stałe. Jeżeli klienci wykonują operacje bankowe za pomocą Internetu nie angażują do przeprowadzania transakcji pracowników banku, lecz robią to na zasadzie samoobsługi. Oddziały mogą być mniejsze, zatrudniające po kilka osób. Dodatkowo zmniejszają się koszty zmienne związane z bieżącą eksploatacją; Koszt obsłużenia dodatkowego klienta jest niski. Dodanie do systemu komputerowego nowego klienta i generowanych przez niego transakcji sprowadza się w zasadzie wyłącznie do wykonania odpowiednich zapisów w bazie danych; Uaktualnianie informacji jest tanie. Nie trzeba na nowo drukować materiałów reklamowych, zmieniać plakatów – wystarczy jedynie zmienić dane na stronie internetowej banku; Koszt transakcyjny kontaktu z klientem jest niski. Wynika to przede wszystkim z nawiązywania krótkotrwałych kontaktów z klientem. Klient pokrywa część kosztów takich jak koszty telekomunikacyjne; Możliwość dodatkowych dochodów transakcyjnych. Bank może uzyskiwać dodatkowe dochody pobierając opłaty za udostępnione serwisy finansowe, linki do biur maklerskich czy innych banków;. Możliwość większych zysków. Na użytkownikach bankowości internetowej bank zarabia czterokrotnie więcej niż na klientach, którzy z takiej formy komunikacji z bankiem nie korzystają; Możliwość wykorzystania Internetu jako platformy działań marketingowych. Internet Umożliwia przygotowanie i zaoferowanie obecnym klientom produktów spersonalizowanych i/lub produktów standardowych, których jeszcze nie posiadają: kart, ubezpieczeń, kredytów i innych.

135 Bankowość internetowa - modele funkcjonowania Banki oferujące usługi przez Internet ze względu na model funkcjonowania można podzielić na: model wielokanałowy (Bricks & Cliks) - bank posiadający sieć oddziałów wykorzystuje Internet jako drogą oferować usługi klientom, jako alternatywny kanał dystrybucji dodatkowe do tradycyjnych kanałów dystrybucji; model banku wirtualnego (Clicks only) – definiowany, jako bank, w którym dostęp do produktów i usług bankowych odbywa się przede wszystkim, jeżeli nie wyłącznie, poprzez Internet i inne elektroniczne kanały dostępu; model banku supermarketu finansowego – bank spełnia rolę doradcy i pośrednika finansowego w sieci Internet. Cechą charakterystyczną tego modelu jest szerokie wykorzystanie outsourcingu finansowego, tj. oferowanie usług innych banków, biur maklerskich oraz ubezpieczycieli za pośrednictwem swojego kanału dystrybucji, a często także pod swoją marką.

136 Stan obecny w Polsce Wzrost ilości klientów indywidualnych mających potencjalny dostęp do konta wzrosła o 17,08% (3% więcej niż rok wcześniej) osiągając ponad 20 mln użytkowników; liczba aktywnych klientów indywidualnych o ponad 12%, osiągając poziom 11, 364 mln, Od końca 2006 r. roku do końca III kwartału 2012 r. - wzrosła o blisko 7 milionów użytkowników, czyli o 164%. Dynamika: 2007 r. przybyło ponad 700 tys. osób, a ciągu 2012 r. aż 3 miliony. Aktywnych klientów jest blisko 55%, Średnia wartość rozliczeń klienta indywidualnego na miesiąc rośnie w 2012 r. o ponad 1,67%, z 6,0 tys. do 6,3 tys. zł.

137 Istotność problemu - ilości klientów z potencjalnym dostępem elektronicznym do konta w latach w mln 137

138

139

140 Udział aktywnych klientów bankowości internetowej w ogólnej liczbie klientów posiadających umowy umożliwiające korzystanie z usług tego typu

141 Bankowość internetowa w Polsce na tle świata Dla porównania: w 2011 roku - w kolebce bankowości internetowej – w Stanach Zjednoczonych: 55% użytkowników Internetu korzystało z e- bankingu, z bankowości internetowej korzysta 71% osób w grupie lata, oraz 48% osób w grupie lat, przewiduje się, że do 2015 roku, 86% gospodarstw domowych będzie korzystać z e-bankingu.

142 Systemy rozliczeń międzybankowych Transakcjom gospodarczym przedsiębiorstw i rozmaitym operacjom bankowym towarzyszą rozliczenia pieniężne przebiegające między różnymi oddziałami banków zarówno w Polsce, jak też w innym dowolnym kraju na świecie. Zasady rozrachunków międzybankowych są określone w zarządzeniu nr 6/2004 Prezesa Narodowego Banku Polskiego z 20 kwietnia 2004 r. w sprawie sposobu przeprowadzania rozrachunków międzybankowych (z późniejszymi zmianami). Polskie banki rozliczają zlecenia płatnicze związane z płatnościami wysokokwotowymi (tzn. głównie dotyczące transakcji z rynku pieniężnego, rynku walutowego oraz rynku papierów wartościowych) bezpośrednio poprzez Narodowy Bank Polski, a zlecenia płatnicze związane z płatnościami detalicznymi za pośrednictwem KIR. Istotną rolę w realizacji rozliczeń odgrywa informacja, jej jakość i terminowość oraz zabezpieczenie przekazu informacji bankowych. Stąd istotna rola technologii i systemów informatycznych, wspomagających realizację tej ważnej funkcji instytucji bankowych.

143 Statystyki systemów rozliczeniowych KIR S.A W lutym br. klienci banków zlecili za pośrednictwem systemu ELIXIR ® ponad 126 mln transakcji. W porównaniu do lutego ub. r. liczba transakcji była wyższa o ponad 6 mln, a ich łączna wartość wzrosła o ponad 14,6 mld zł, osiągając wynik 298,8 mld zł wobec 284,1 mld zł w lutym 2013 r. Rekordowy pod względem liczby transakcji przetworzonych w systemie ELIXIR ® był poniedziałek, 10 lutego. Tego dnia KIR S.A. rozliczyła ponad 11 mln transakcji, o łącznej wartości prawie 17 mld zł. Liczba transakcji przetworzonych w systemie EuroELIXIR w minionym miesiącu wyniosła ok. 1,08 mln i była niewiele niższa od liczby transakcji przetworzonych w styczniu br. Krótszy miesiąc uszczuplił je jedynie o ok. 33 tys. operacji. Wartość transakcji również była nieco niższa i wyniosła 5,98 mld euro wobec 6,36 mld euro miesiąc wcześniej. Porównując rok do roku, wartość lutowych transakcji była wyższa o ok. 1,4 mld euro w stosunku do lutego ub. r., gdy wynosiła 4,6 mld euro.

144 Statystyki systemów rozliczeniowych KIR S.A W lutym br. za pośrednictwem systemu Express ELIXIR klienci banków zrealizowali ponad 38 tys. przelewów natychmiastowych. W stosunku do danych za luty 2013 r. ponad dwukrotnie wzrosła liczba zlecanych transakcji. Wartość przelewów natychmiastowych przetworzonych w lutym br. przekroczyła 217 mln zł. Miniony miesiąc okazał się rekordowy zarówno pod względem średniej dziennej liczby transakcji, jak i liczby transakcji dokonanych w ciągu jednego dnia – w piątek 28 lutego przetworzono ich najwięcej od początku powstania systemu, tj. od czerwca 2012 r. – W statystykach systemów rozliczeniowych obserwujemy stały wzrost popularności przelewów natychmiastowych. Dzięki systemowi Express ELIXIR przelewane pieniądze pojawiają się na koncie odbiorcy w innym banku w czasie liczonym w sekundach. To optymalne rozwiązanie jeśli chcemy mieć kontrolę nad momentem realizacji transakcji – mówi Grzegorz Leńkowski, dyrektor Linii biznesowej płatności natychmiastowe w Krajowej Izbie Rozliczeniowej S.A.

145 Systemy rozliczeń międzybankowych Krajowa Izba Rozliczeniowa S.A, powołana do życia w 1991 r. przez NBP wspólnie ze Związkiem Banków Polskich i grupą 17 banków komercyjnych, formalnie rozpoczęła swoją działalność w 1993 roku. Celem powołania KIR S.A. było usprawnienie i unormowanie systemu rozliczeń międzybankowych. Na strukturę KIR S.A. składały się Centrala w Warszawie oraz 17 Bankowych Regionalnych Izb Rozliczeniowych (BRIR). Od momentu uruchomienia KIR sprawnie i bezpiecznie realizuje usługi rozliczeniowe za pośrednictwem systemów ELIXIR (dla płatności krajowych) i EuroELIXIR (dla płatności krajowych i transgranicznych w euro). Dotychczas Izba zrealizowała ponad 6 miliardów transakcji. W kwietniu 2008 roku, po raz pierwszy w historii Izby, miesięczna liczba zrealizowanych bezgotówkowych transakcji płatniczych przekroczyła 100 milionów. Tym samym KIR S.A umocniła swoją pozycję wśród największych europejskich izb rozliczeniowych.

146 Zadania KIR S.A rejestracja wierzytelności uczestników Izby oraz potrącenia ich wzajemnych zobowiązań i należności, wynikających z wymiany dokumentów rozliczeniowych, informowanie central banków o stanie ich zobowiązań i należności, składanie w NBP zleceń dokonania rozrachunku międzybankowego, czyli wyliczonych pozycji netto dla każdego banku, prowadzenie punktów przyjęć i odbioru przesyłek oraz magnetycznych nośników informacji, prowadzenie komórek międzyregionalnej poczty bankowej.

147 Budowy systemu rozliczeń za pośrednictwem KIR S.A. w systemie uczestniczą podmioty zdecentralizowane, tzn. oddziały banków, natomiast końcowy rozrachunek prowadzony jest z centralą banku, banki przekazują papierowe nośniki informacji w zakresie zleceń klientów wraz z nośnikiem magnetycznym w celu dokonania rozrachunku, wynik rozliczenia jest przekazywany w jednej kwocie na sesji rozrachunkowej, wierzytelności są rejestrowane automatycznie z pomocą systemów komputerowych, Izba zapewnia transport dokumentów pomiędzy oddziałami banków.

148 Elektroniczne systemy rozliczeniowe KIR: ELIXIR ® - system rozliczeń międzybankowych w złotych, który od 1994 roku umożliwia sprawną i bezpieczną realizację przelewów i poleceń zapłaty. To jeden z najszybszych systemów rozliczeniowych w Europie. Jest to kluczowy system dla sprawnego funkcjonowania polskiego sektora bankowego. Każdego dnia roboczego w systemie ELIXIR ® odbywają się trzy sesje rozliczeniowe, dzięki czemu klienci mogą przekazywać środki pomiędzy rachunkami w różnych bankach w ciągu zaledwie kilku godzin. W 2013 roku ELIXIR ® przetworzył ponad 1,5 mld transakcji o łącznej wartości ponad 3,8 bln złotych, co pozycjonuje KIR S.A. w grupie największych izb rozliczeniowych w Europie. EuroELIXIR - system rozliczeń międzybankowych w euro, umożliwiający rozliczanie płatności w relacjach krajowych i transgranicznych. Jest w pełni dostosowany do standardów unijnych i funkcjonuje w ramach zintegrowanej infrastruktury Jednolitego Obszaru Płatności w Euro (SEPA). EuroELIXIR pozwala na realizację płatności w euro tego samego dnia, niezależnie od tego czy płatność jest krajowa czy transgraniczna. W 2013 roku EuroELIXIR przetworzył 12,6 mln transakcji o łącznej wartości 71 mld euro. Express ELIXIR - pierwszy w Polsce, i drugi w Europie, system rozliczeń płatności natychmiastowych. Umożliwia realizację przelewów międzybankowych w czasie liczonym w sekundach, w trybie 24h/dobę i 365 dni w roku. Express ELIXIR dostępny jest obecnie dla klientów ośmiu banków, a w kolejnych piętnastu trwają lub planowane są prace nad jego wdrożeniem. W 2013 roku Express ELIXIR został uznany za „Innowację Roku 2012” w konkursie Liderów Świata Bankowości.

149 Elektroniczne systemy rozliczeniowe KIR: Obok udostępniania systemów rozliczeniowych dla banków, KIR S.A. oferuje również usługi wspierające różne instytucje finansowe w bardziej efektywnej i sprawnej wymianie informacji pomiędzy nimi. W tym celu uruchomiliśmy usługę OGNIVO. Obecnie z tego rozwiązania korzystają: banki, centrala i oddziały ZUS, Poczta Polska, Urzędy Skarbowe, Izby Celne, Urzędy Miast oraz komornicy sądowi. OGNIVO umożliwia tym instytucjom szybką i bezpieczną elektroniczną wymianę informacji, która wcześniej odbywała się w formie papierowej. Dzięki OGNIVO możliwe jest między innymi przekazywanie zapytań do banków o istnienie rachunków, przenoszenie rachunków klienta pomiędzy bankami oraz obsługa zgód i odwołań poleceń zapłaty. KIR jest akredytowanym partnerem SWIFT w Polsce. Korzystając z własnej infrastruktury teleinformatycznej, zapewnia bankom i instytucjom takimi jak izby rozliczeniowe, giełdy papierów wartościowych, fundusze emerytalne, depozytariusze czy domy maklerskie, dostęp do globalnej sieci SWIFTNet, która umożliwia realizację międzynarodowych operacji finansowych. Jako SWIFT Service Bureau, oferuje również wsparcie techniczne w zakresie infrastruktury dostępowej użytkowników SWIFT w Polsce. SWIFT zrzesza obecnie ponad 10 tysięcy podmiotów rynku finansowego z ponad 200 krajów i przetwarza każdego dnia około 20 mln operacji. Z myślą o branży e-commerce i rozwoju e-usług w sektorze publicznym opracowano też PayByNet – system gwarantowanych, bezpośrednich i szybkich płatności internetowych. To pierwsze tego typu rozwiązanie w Polsce, które umożliwia dokonywanie płatności za e-zakupy bezpośrednio pomiędzy klientem banku a odbiorcą – sklepem internetowym lub e-urzędem. System zintegrowany jest z elektroniczną Platformą Usług Administracji Publicznej (ePUAP).

150 Oprócz usług rozliczeniowych, będących podstawowym obszarem działalności KIR dostępne są również usługi: podpis elektroniczny SZAFIR – który zaoferowaliśmy w 1994 roku jako pierwsi w Polsce i jedni z pierwszych w Europie. Jesteśmy jednym z wiodących kwalifikowanych podmiotów, świadczących usługi certyfikacyjne w zakresie wydawania certyfikatów kwalifikowanych oraz znaczników czasu, usprawniające zarządzanie dokumentacją, do których należą:  invoobill - pierwsza na polskim rynku usługa elektronicznej prezentacji i płatności rachunków (EBPP), działająca w oparciu o kanały bankowości elektronicznej. Usługa umożliwia przekazywanie rachunków i faktur od dostawców usług masowych bezpośrednio na internetowe konto bankowe klienta, z którego realizowana jest płatność. Obecnie invoobill dostępny jest dla ponad 95 proc. klientów polskiej bankowości elektronicznej.  invooclip - usługa przeznaczona dla klientów regularnie wystawiających faktury elektroniczne. Pozwala na bezpieczny dostęp on-line do przechowywanych e-faktur i innych dokumentów elektronicznych przez okres 6 lat (zarówno dla wystawcy, jak i odbiorcy), szybkie wyszukiwanie, dystrybucję z potwierdzeniem odbioru czy podpisywanie dokumentów zarówno bezpiecznym, jak i zwykłym podpisem elektronicznym, a także opłacanie e-faktur z wykorzystaniem płatności internetowych PayByNet.  usługi eArchiwum - rozwiązania umożliwiające masowe skanowanie, archiwizację oraz zarządzanie dokumentacją papierową i elektroniczną. Usługa skierowana jest do wszystkich firm, niezależnie od ich wielkości, struktury organizacyjnej czy rodzajów wykorzystywanych dokumentów i umożliwia obsługę i zarządzanie dokumentacją, m.in.: finansową, logistyczną, kadrowo-płacową, korespondencją przychodzącą i wychodzącą itp.

151

152 ELIXIR ELIXIR jest scentralizowanym systemem rozliczeń międzybankowych, w ramach którego wymieniane są komunikaty płatnicze i informacyjne mające wyłącznie postać elektroniczną. Został uruchomiony w 18 czerwca 1994 roku. Jest system rozrachunku netto, w którym zlecenia, przedstawiane przez KIR S.A. do zaksięgowania na rachunkach banków, są rezultatem kompensaty wzajemnych należności i zobowiązań banków, wynikających z indywidualnych zleceń klientów. Sukcesywnie dopasowując się do zapotrzebowania rynku, rozwijana jest oferta świadczonych usług : 1998r. -wprowadzenie Polecenie Zapłaty. Polecenie zapłaty jest inicjowane przez wierzyciela, który „zleca” swojemu bankowi pobranie określonej kwoty należności z rachunku dłużnika. Bank wierzyciela przesyła polecenie zapłaty do banku dłużnika, ten z kolei pobiera żądaną kwotę ze wskazanego rachunku i przekazuje środki do banku wierzyciela; 1999r. - komunikat do obsługi składek ZUS, 2003r - komunikat do obsługi należności podatkowych na rzecz urzędów skarbowych, 2003r. - Gospodarcze Obciążenie Bezpośrednie (GOBI). Jest to instrument obciążeniowy dostosowany do potrzeb rozliczeń handlowych dokonywanych pomiędzy podmiotami gospodarczymi. Zasady funkcjonowania GOBI są zbliżone do polecenia zapłaty, z tą różnicą, iż procedura rozliczania GOBI zawiera klauzulę ostateczności rozliczenia (brak możliwości odwołania) i brak jest kwotowego ograniczenia pojedynczego zlecenia;

153 ELIXIR 2004r. - komunikat MPS. Podstawowym elementem wyróżniającym komunikat MPS jest zawartość pola tytułem, w którym na początku pierwszej linii znajduje się słowo kodowe MPS, a po nim ciąg cyfr o długości do 20 znaków. Wyróżnik /MPS/ jest symbolem zastrzeżonym dla standardowych zapisów w polu tytułem, który pozwala bankom na rozpoznanie tego typu płatności i skierowanie zlecenia do odpowiedniego trybu rozliczania; 2005r - Komunikat Uproszczony (KOK) - wyróżnia go standaryzacja pola tytułem, a w szczególności powiązanie jej z technologią kodu kreskowego, co ogranicza możliwości wystąpienia błędów utrudniających identyfikację płatności po stronie beneficjenta. Cykl rozliczeniowy w systemie ELIXIR wynosi 1 dzień. Każdego dnia roboczego odbywają się 3 sesje rozliczeniowe w systemie ELIXIR: poranna (I), popołudniowa (II) i wieczorna (III).

154 Harmonogram sesji ELIXIR Nr sesji Otwarcie wejścia Zamknięcie wejścia Początek sesji rozrachunkowej w NBP Koniec sesji rozrachunkowej i przekazanie wyników do banków I16:00 (D-1) 9:30 (D)10:30 (D)11:00 (D) II 9:30 (D)13:30 (D)14:30 (D)15:00 (D) III13:30 (D)16:00 (D)17:00 (D)17:30 (D) Każdego dnia roboczego odbywają się 3 sesje rozliczeniowe w systemie ELIXIR®: poranna (I), popołudniowa (II) i wieczorna (III). D-1 oznacza dzień poprzedni

155 EuroELIXIR EuroELIXIR to międzybankowy system rozliczeń płatności w euro. Został uruchomiony przez Krajową Izbę Rozliczeniową S.A. w marcu 2005 roku. Umożliwia on bankom rozliczanie płatności w euro zarówno w kraju, jak i w relacjach transgranicznych. System zapewnia paneuropejski zasięg dzięki połączeniu z pierwszą paneuropejską izbą rozliczeniową STEP2. System EuroELIXIR jest nowoczesnym i uniwersalnym rozwiązaniem stworzonym, by sprostać wyzwaniom, wynikającym z pogłębiania integracji europejskich systemów płatności, a zwłaszcza z budową Jednolitego Obszaru Płatności w Euro (Single Euro Payments Area - SEPA). Udostępniając system EuroELIXIR, Izba we współpracy z Narodowym Bankiem Polskim zapewniła paneuropejską adresowalność zleceń płatniczych w euro. Realizacja płatności transgranicznych jest oparta na pełnieniu przez Narodowy Bank Polski roli bezpośredniego „punktu wejścia” tego systemu w kraju, jako bezpośredniego uczestnika systemu STEP2. Obsługa transakcji transgranicznych przez system EuroELIXIR umożliwia spełnienie, przez działające w Polsce banki, wymogu „zdolności odbioru” nałożonego na wszystkie banki Unii Europejskiej. Funkcja ta wymaga pełnienia przez NBP roli pośrednika pomiędzy systemami EuroELIXIR a STEP2. Zgodnie z przyjętymi ustaleniami funkcja NBP sprowadza się do formalnego uczestnictwa w systemie STEP2, sponsorowania uczestników pośrednich oraz zapewnienia rozrachunku, natomiast KIR S.A. jest odpowiedzialna za wysyłanie i odbieranie w imieniu NBP zleceń płatniczych uczestników.

156 EuroELIXIR System EuroELIXIR spełnia następujące funkcje: rozliczanie transakcji wewnątrzsystemowych w euro; przekazywanie płatności do systemu STEP2; dystrybucja płatności odebranych z systemu STEP2; inicjowanie rozrachunku na platformie TARGET2. Do realizacji w/w funkcji, system EuroELIXIR wykorzystuje w dużym stopniu infrastrukturę techniczną systemu ELIXIR, zwłaszcza w zakresie rozliczeń wewnątrzsystemowych. W przypadku rozliczeń transgranicznych zlecenia są przesyłane do systemu STEP2 poprzez sieć SWIFTNet.

157 Rozliczenia międzybankowe i systemy rozrachunkowe w Polsce

158 Systemy RTGS Narodowy Bank Polski jest operatorem dwóch systemów RTGS (real time gross settlement) służących przetwarzaniu wysokokwotowych płatności międzybankowych: systemu SORBNET - do płatności w złotych, uruchomionego w marcu 1996r.; systemu SORBNET-EURO do płatności w euro, uruchomionego 7 marca 2005r. Systemy te są również wykorzystywane do rozrachunku pozycji netto pochodzących z trzech systemów rozliczeniowych, tzn. z dwóch systemów obsługiwanych przez KIR oraz jednego obsługiwanego przez KDPW (Krajowy Depozyt Papierów Wartościowych) oraz pozycji brutto pochodzących z KDPW. System SORBNET zapewnia dokonywanie rozrachunku brutto w czasie rzeczywistym poprzez rachunki bieżące banków prowadzone w Narodowym Banku Polskim. System realizuje zlecenia płatnicze składane przez banki, NBP, KDPW oraz KIR. Warunkiem realizacji zlecenia jest posiadanie dostatecznej kwoty środków na rachunku. Zlecenia są realizowane albo w określonym dniu wskazanym przez posiadacza rachunku lub NBP, albo w kolejności składania dyspozycji.

159 Funkcjonowanie systemu System jest dostępny dla uczestników od 7:30 do 18:00, jednakże zlecenia klientowskie mogą być przesyłane tylko do godziny 16:00. Wyjątek stanowią zlecenia płatnicze dotyczące banków uczestniczących w Porozumieniu międzybankowym w sprawie zasad współpracy pomiędzy bankami-korespondentami, które mogą być przesyłane do godziny 17:00. Po godzinie 18:00 komunikaty płatnicze nie są akceptowane. Komunikaty przesyłane między bankami a Narodowym Bankiem Polskim są szyfrowane w celu zapewnienia poufności oraz opatrywane podpisem elektronicznym w celu zapewnienia autentyczności, integralności i niezaprzeczalności nadania. System SORBNET, będąc systemem RTGS, zapewnia minimalizację ryzyka kredytowego. Banki mają dostęp do płynności poprzez śróddzienne wykorzystanie swoich środków zaliczanych do minimalnej rezerwy obowiązkowej. Ponadto Narodowy Bank Polski przyznaje nieoprocentowany zabezpieczony kredyt śróddzienny (techniczny), jednakże banki muszą wcześniej zawrzeć stosowne umowy. Jako zabezpieczenie kredytu śróddziennego są obecnie wykorzystywane bony skarbowe oraz obligacje skarbowe.

160 Zasady funkcjonowania Sorbnet-Euro W systemie SORBNET-EURO realizuje się następujące rodzaje zleceń: krajowe zlecenia międzybankowe i klientowskie w euro składane przez banki, transgraniczne zlecenia międzybankowe i klientowskie w euro składane przez banki, zlecenia wynikające z rozliczeń krajowych płatności detalicznych w euro w systemie EuroELIXIR (zagregowane pozycje netto), zlecenia z tytułu transgranicznych płatności w euro kierowanych z systemu EuroELIXIR, poprzez NBP, do systemu STEP-2 (zagregowane pozycje brutto), zlecenia z tytułu transgranicznych płatności w euro kierowane z systemu STEP-2, poprzez NBP, do systemu EuroELIXIR, z tytułu należności dla polskich banków uczestniczących w systemie STEP-2 (zagregowane pozycje brutto), krajowe i transgraniczne zlecenia wynikające z transakcji zawartych na papierach wartościowych, operacje dotyczące przyznania i spłaty kredytu śróddziennego w euro.

161 Zasady funkcjonowania Sorbnet-Euro System SORBNET-EURO funkcjonuje w godzinach od 7:00 do 18:00. Poszczególne rodzaje zleceń płatniczych mogą być składane w następujących godzinach: w przypadku płatności krajowych: – między 7:00 a 17:00 – w odniesieniu do płatności klientowskich, – między 7:00 a 18:00 – w odniesieniu do płatności międzybankowych, w przypadku płatności transgranicznych: – między 7:00 a 16:52,30 – w odniesieniu do płatności klientowskich, – między 7:00 a 17:52,30 – w odniesieniu do płatności międzybankowych. Komunikaty przesyłane między bankami a Narodowym Bankiem Polskim są szyfrowane w celu zapewnienia poufności oraz opatrywane podpisem elektronicznym w celu zapewnienia autentyczności, integralności i niezaprzeczalności nadania. Przeciętnie przeprowadza się w systemie SORBNET kilka tysięcy operacji dziennie. W 2008 roku, było to średnio ponad 6 tysięcy operacji w ciągu dnia.

162 TARGET System TARGET (Trans European Automated Real Time Gross Settlement Express Transfer) - transeuropejski zautomatyzowany błyskawiczny system rozrachunku brutto w czasie rzeczywistym, zaistniał w styczniu 1999 roku. TARGET to zdecentralizowany system zajmujący się rozliczaniem dużych płatności w czasie rzeczywistym (rozlicza wyłącznie płatności w euro). Nadzór nad działaniem sytemu TARGET sprawuje Europejski Bank Centralny (EBC), którego podstawowym zadaniem jest stworzenie techniczno-organizacyjnych warunków do zapewnienia sprawnego i bezpiecznego funkcjonowania systemu płatniczego w ramach strefy euro. System TARGET stworzony został w celu usprawnienia funkcjonowania międzybankowych systemów płatności i rozrachunku na obszarze Unii Europejskiej. Ma to z kolei służyć pogłębieniu procesów integracyjnych na rynku pieniężnym euro i tym samym prowadzeniu polityki pieniężnej Europejskiego Systemu Banków Centralnych. TARGET, obejmując 15 krajowych systemów RTGS z krajów UE oraz mechanizm płatniczy Europejskiego Banku Centralnego, jest czymś więcej niż zwykłym systemem płatności. Świadczy bowiem usługi płatnicze na terenie całej UE, pokonując granice między poszczególnymi krajowymi systemami płatności.

163 TARGET2 By przygotować się do rozszerzenia obszaru Euro, Eurosystem rozwinął drugą generację systemu TARGET, czyli TARGET2. Decyzję o tej zmianie systemu podjęła Rada Zarządzająca EBC w roku Chęć uczestnictwa w systemie TARGET2 zadeklarowały wszystkie banki centralne Eurosystemu, oprócz Szwecji i Anglii. Nowi członkowie będą uczestniczyć w systemie wtedy, gdy wprowadzą Euro. System TARGET2, 19 listopada 2007 r. zastąpił system TARGET. W odróżnieniu od swojego poprzednika jest systemem scentralizowanym. Jego podstawą jest jednolita wspólna platforma techniczna (SSP - Single Shared Platform) zbudowana na bazie istniejącej infrastruktury banków centralnych: Włoch, Francji i Niemiec. System TARGET2 składa się z 21 systemów RTGS będących systemami płatności, działającymi zgodnie z prawem poszczególnych krajów i prowadzonymi odpowiednio przez banki centralne 20 krajów i Europejski Bank Centralny. W dniu 19 maja 2008 r. do TARGET2 przystąpił Narodowy Bank Polski. Wraz z nim bezpośrednimi uczestnikami systemu stały się trzy banki: ABN AMRO Bank (Polska) S.A., Bank Zachodni WBK S.A. oraz Powszechna Kasa Oszczędności Bank Polski S.A. Za pośrednictwem NBP dostęp do systemu uzyskały z kolei 24 inne banki, Krajowa Izba Rozliczeniowa SA oraz Krajowy Depozyt Papierów Wartościowych SA.

164 SWIFT Najbardziej znanym systemem elektronicznego transferu informacji bankowej (finansowej) jest prywatna dedykowana sieć Towarzystwa Światowej Międzybankowej Telekomunikacji Finansowej SWIFT (Society for Worldwide Financial Telecomunication). Towarzystwo SWIFT powołała w 1973 roku grupa 240 banków z 15 krajów. W ramach SWIFT opracowano standard wymiany informacji finansowej siecią komputerową. Sieć rozpoczęła swoją działalność w 1977r, z tym, że pierwsze polskie banki włączyły się do niej w 1988r. Z roku na rok wzrasta liczba instytucji mających dostęp do systemu jak też liczba przesyłanych komunikatów. W 1987 roku przeprowadzano średnio około 1 mln transakcji dziennie, w 2008 roku już ponad 10 mln. Największa liczba przeprowadzonych dziennie komunikatów wyniosła w 2008 roku ponad 16,5 mln.

165 SWIFT Liczba instytucji i krajów będących uczestnikami SWIFT oraz liczba komunikatów przeprowadzonych w poszczególnych latach rokLiczba instytucjiLiczba krajówLiczba komunikatów (w mld.) , , , , , , , , ,53

166 Bezpieczeństwo bankowego systemu informatycznego - to akceptowalny przez klientów i instytucję bankową poziom zabezpieczeń, gwarantujący z jednej strony bezbłędną realizację usług oraz ich adekwatność do zaistniałej sytuacji, gwarantującą ustalone prawa kontrahentów.

167 Bezpieczeństwo w bankowości elektronicznej Bezpieczeństwo to stan niezagrożenia, spokoju, harmonii, niezakłóconego funkcjonowania, odnoszące się do całości systemów teleinformatycznych instytucji, wraz z zawartą w nich informacją i świadczonymi przez nie usługami, wykorzystywanymi do realizacji jej zadań statutowych. Stan ten trzeba zdefiniować w kontekście potrzeb instytucji, należy dążyć do jego osiągnięcia i zapewnić jego utrzymywanie w czasie. Bezpieczeństwo jest decydującym czynnikiem rozwoju e-commerce, a zwłaszcza zdalnych kanałów dostępu do „wrażliwych” usług finansowych.

168 Charakterystyka zagrożeń Czego obawia się klient przy korzystaniu z bankowości internetowej?

169 Liczba incydentów w latach

170 Bezpieczeństwo informatyczne Bezpieczeństwo w znaczeniu informatycznym to pewien stan, który charakteryzuje się określonym poziomem najważniejszych atrybutów: – poufność – gwarantującą, że dostęp do danych przechowywanych i przetwarzanych w systemie mają tylko osoby do tego uprawnione; – integralność – gwarantującą, że dane przesyłane w czasie transakcji elektronicznej nie są przez nikogo modyfikowane; – autentyczność – pozwalająca stwierdzić, czy osoba podpisująca się pod transakcją jest rzeczywiście osobą, za którą się podaje; – niezaprzeczalność – niepozwalajacą wyprzeć się faktu nadania lub odbioru komunikatu drogą elektroniczną; – dostępność – gwarancja stałego dostępu do systemu bankowości elektronicznej opartego na autoryzowanym dostępie do tychże danych; – niezawodność – gwarantującą, że system działa w sposób, jakiego się od niego oczekuje.

171 Zagrożenia systemów informatycznych bankowości Zagrożenia bankowości elektronicznej ze względu na typ ataku na system informatyczny: przerwanie – zagrożenia dostępności, przechwycenie – zagrożenia poufności, modyfikacja – zagrożenia integralności, podrobienie – zagrożenia autentyczności.

172 ORANGE BOOK Na początku lat osiemdziesiątych w USA powstała tak zwana „Pomarańczowa księga” (Orange Book)uznawany po dziś dzień za podstawę standaryzacji systemów informatycznych w ogóle, a w bankowości w szczególności. Dzielił on systemy informatyczne wg stopnia zabezpieczenia na cztery grupy (A, B, C, D), które dzielą się następnie na numeryczne klasy bezpieczeństwa: ochrony zweryfikowanej (A - verified protection) – charakteryzująca się zastosowaniem metod sprawdzania jakości aktualnie stosowanych zabezpieczeń, na etapie projektowania, tworzenia i implementacji, ochrony obowiązkowej (B - mandatory protection) – zakłada konieczność stosowania wzmocnionej kontroli dostępu do zasobów systemu, twórca systemu powinien dostarczyć również założeń polityki bezpieczeństwa. Wyróżnia się trzy główne klasy: B1 – etykietowaną ochronę bezpieczeństwa (labelled security protection) – z nieformalnie określonym modelem polityki bezpieczeństwa, etykietowaniem danych i obowiązkową kontrolą dostępu, B2 – strukturalna ochronę (structured protection) – formalny model polityki bezpieczeństwa, z kontrolą dostępu dotyczącą wszystkich obiektów i działań w systemach informatycznych, ze wzmocnionymi mechanizmami uwierzytelnienia i narzędziami zarządzania bezpieczeństwem na poziomie administratora systemu, B3 – domeny bezpieczeństwa (security domains) – w stosunku do poprzednich zostają wzmocnione mechanizmy nasłuchu, w celu sygnalizowania zdarzeń związanych z bezpieczeństwem oraz pojawiają się procedury automatycznego naprawiania systemu,

173 ORANGE BOOK wyrywkowa ochrona bezpieczeństwa (C - discretionary security protection) – wymogi bezpieczeństwa systemów tej klasy ograniczają się do wyrywkowej i często przypadkowego (bez prowadzenia określonej polityki) zapewnienia bezpieczeństwa systemom informatycznym, C1 – dyskretna ochrona bezpieczeństwa (discretionary security protection) – zapewniona jest separacja użytkowników i danych systemu, wymogiem minimalnym jest tu wystąpienie jakiejś formy kontroli indywidualnego dostępu. Dostęp użytkowników do systemu musi byś kontrolowany przez uwierzytelnienie oraz musza istnieć narzędzia przydziału uprawnień poszczególnym użytkownikom lub ich grupom, C2 – ochrona kontrolowanego dostępu (controlled access protection) – w ramach tej klasy użytkownicy są odpowiedzialni za swoje działania, prowadzone jest śledzenie zdarzeń związanych z bezpieczeństwem, zasoby systemu są odseparowane od użytkownika, co gwarantuje brak śladów działalności poprzedniego użytkownika nawet przy ich wielokrotnym przetwarzaniu. ochrona minimalna (D – minimal protection) - o zabezpieczeniach najniższych z możliwych lub wręcz nie istniejących.

174 Podział ataków na bezpieczeństwo systemów informatycznych

175 Klasyfikacji zagrożeń bierne i czynne (bądź też pasywne i aktywne), O zagrożeniach biernych mówimy w momencie ujawnienia informacji w nieuprawniony sposób, jednak bez narażenia i wpływu na system informatyczny. Należą do nich: podsłuch, analiza ruchu w sieci czy emisja ujawniająca. Zagrożenia czynne spowodowane przede wszystkim przez pracowników banków w postaci nadużyć bądź po prostu zwykłych przeoczeń; wewnętrzne i zewnętrzne, Zagrożenia wewnętrzne powodowane są przez legalnych użytkowników systemu bądź sieci. Główne przyczyny ich powstawania to: brak polityki bezpieczeństwa, nadmierne przywileje pracowników, brak dokumentowania zdarzeń, brak planów ciągłości działania, brak lub zbyt późna reakcja na nieprawidłowości. Powodem istnienia zagrożeń zewnętrznych są nielegalni użytkownicy, których celem jest uzyskanie dostępu do zasobów systemu;

176 Klasyfikacji zagrożeń przypadkowe i celowe, Do zagrożeń przypadkowych zaliczamy: awarie sprzętu, przeoczenia i pomyłki użytkowników oraz błędy w oprogramowaniu. Celowymi zagrożeniami nazywamy świadome działanie użytkowników systemu; sprzętowe i programowe, Zagrożenia sprzętowe dotyczą nieprawidłowości w funkcjonowaniu sprzętu komputerowego. Zagrożenia programowe związane są z błędnym działaniem oprogramowania.

177 Źródła zagrożeń zagrożenia wspólne dla serwera i klienta, związane z podsłuchiwaniem lub modyfikacją danych przesyłanych sieciami: sniffing, czyli podsłuchiwanie, dzięki któremu można wejść w posiadanie danych przesyłanych sieciami; spoofing, który polega na podszywaniu się pod inny komputer w sieci, czyli wysyłaniu sfałszowanych pakietów do danej maszyny, aż do przejęcia całej sesji użytkownika z daną maszyną włącznie (session hijacking); network snooping, czyli wstępne rozpoznawanie parametrów sieci, zwłaszcza pod katem stosowanych narzędzi bezpieczeństwa; phishing - wyłudzanie poufnych informacji osobistych (np. haseł lub szczegółów karty kredytowej. Phisherzy najczęściej wysyłają w dużych ilościach korespondencję ową do wybranych osób z informacją głosząca, że ich konto zostanie zablokowane jeżeli użytkownik pilnie nie potwierdzi swoich danych. Oczywiście strona podana w mailu nie jest stroną banku. Jak wynika z badań Anty- Phishing Working Group liczba osób nabierających się na takie e wynosi zaledwie 5%, jednak liczba spreparowanych fałszywych stron wciąż rośnie. W 2005 roku 80% wszystkich ataków typu phishing na świecie dotyczyło sektora finansowego; sabotaż komputerowy i cyberterroryzm.

178 Źródła zagrożeń zagrożenia serwera, związane z atakami na zasoby serwera, ataki blokujące DOS oraz DDoS; wykorzystanie specyficznych programów, umożliwiających ingerencję w systemy informatyczne, takich jak bakterie, robaki,konie trojańskie uzyskiwanie dostępu do systemów przez furtki (trap doors), tj. nieudokumentowane wejścia do legalnych programów pozwalające zorientowanemu użytkownikowi omijać zabezpieczenia; ataki na bazy danych; nielojalność i nieuczciwość pracowników banku; błędy i przeoczenia personelu obsługującego system; zagrożenia losowe, środowiskowe, czyli powodzie, pożary, wyładowania atmosferyczne, awarie zasilania, brud, kurz itp.; Sabotaż komputerowy i cyberterroryzm. DoS (ang.Denial of Service - odmowa usługi) - atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów. DDoS (ang Distributed Denial of Service) - atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów Bakterie - programy, których jedynym przeznaczeniem jest powielanie się w celu zniszczenia systemu przez doprowadzenie do jego zablokowania. Robaki - programy przenoszące się z systemu na system w sieci, czasami pozostawiające po sobie bakterie lub wirusy. Konie trojańskie - programy, które udając, że wykonują bezpieczne operacje, w rzeczywistości wykonują działania mające na celu naruszenie bezpieczeństwa systemu.

179 Źródła zagrożeń zagrożenia klienta, związane z procedurami logowania się do systemu oraz pracy z oprogramowaniem klienta: zagrożenia kompromitacji parametrów dostępu do systemu (identyfikator, hasło, lista haseł jednorazowych, PIN do tokena), manipulacje sprzętem i oprogramowaniem, mające na celu zmiany ich funkcjonalności niewidoczne dla użytkownika, błędy w oprogramowaniu standardowym (przede wszystkim w przeglądarkach), błędy w oprogramowaniu klienta (niestandardowym), wirusy – samoistnie powielające się programy komputerowe o szkodliwym działaniu w większości przypadków mające na celu zniszczenie danych przechowywanych na dysku twardym a w niektórych przypadkach nawet zniszczenie komputera.

180 Zagrożenia bezpieczeństwa systemów informatycznych w bankowości

181 Specyfikacja zagrożeń Typologie zagrożeń bezpieczeństwa systemów informatycznych można rozpatrywać ze względu na różne kryteria. Ze względu na poziom ich losowości wyróżnia się zagrożenia: zamierzone – czyli wykonywane w sposób wcześniej przemyślany i zaplanowany jako wynik szpiegostwa przemysłowego (wywiad gospodarczy), odwetu, rewanżu, terroryzmu, wandalizmu itp., losowe wewnętrzne – niezamierzone błędy, zaniedbania użytkowników, awarie sprzętu i braki oprogramowania itp., losowe zewnętrzne – negatywne wpływy klimatu, zakłócenia zasilania, klęski żywiołowe itp.

182 Specyfikacja zagrożeń Ze względu na umiejscowienie źródeł zagrożeń wyróżnia się zagrożenia typu: wewnętrznego – wszelkie niebezpieczeństwa związane z działalnością legalnych i uprawomocnionych użytkowników systemu, zewnętrznego wobec systemu – wynikające z realizacji polityki nieuprawnionego dostępu przez osoby zewnętrzne w sposób: bierny (podsłuch, emisja ujawniająca, analiza ruchu w sieci) albo czynne (podszywanie się pod legalnych użytkowników, modyfikacje informacji itp.). Z merytorycznego punktu widzenia podawane są przeważnie trzy typy zagrożeń pojawiające się w sieciach: naruszenie tajności danych, nieautoryzowany dostęp do systemu, zablokowanie usługi.

183 Naruszenie tajności danych Zagrożenie to związane jest głównie z ujawnianiem tajności danych. Z reguły zagrożenie to związane jest z włamaniem się do systemu. Istotny wpływ na tego rodzaju zagrożenie mają słabe algorytmy oraz brak ochrony lub właściwego zabezpieczenia klucza, co w konsekwencji prowadzi do naruszenia poufności szyfrowania danych. Najczęstszą metoda ataku przy tego rodzaju zagrożeniu jest podsłuch i przechwytywanie danych. Większość danych szyfrowana jest przy pomocy algorytmów publicznych, które poddawane mogą być atakom brutalnym. Druga ewentualność to kradzież klucza. Ma to miejsce w przypadkach przesyłania klucza w sieciach bez odpowiednich zabezpieczeń.

184 Nieautoryzowany dostęp do systemu Zagrożenia płynące z nieautoryzowanego dostępu stanowią jedne z najczęstszych przypadków ataków na systemy komputerowe. Brak zapewnienia odpowiedniej procedury uwierzytelnienia, czyli określenia tożsamości użytkownika prowadzi niejednokrotnie do utraty lub zniszczenia danych. Najczęstszą metodą ataku jest przechwycenie hasła uprawniającego do wejścia do systemu. Hasło to służy następnie hackerom do działania jako uprawnionego użytkownika, dlatego podstawą dobrze zabezpieczonego systemu jest właściwa procedura autoryzacji.

185 Zablokowanie usługi Ataki stwarzające tę klasę zagrożeń mają na celu zajęcie zasobów komputera, w konsekwencji zaburzając normalną pracę użytkownika lub grupy użytkowników. W celu przeprowadzenia tego typu ataku wykorzystuje się wirusy komputerowe, agentów lub bomby czasowe. Blokada usług ma niebagatelne znaczenie dla tzw. podszywania sieciowego (network spoofing). Atak ten polega na podszyciu się przez komputer hackera pod zablokowany komputer dzięki czemu informacje mogą trafiać do rąk niepowołanych.

186 Strefy zagrożeń elektronicznej bankowości a poszczególne ogniwa procesu elektronicznych operacji w sieci: Komputer i jego peryferia: sygnały emisji elektromagnetycznej - informacje przetwarzane na komputerze są emitowane w otaczającą nas przestrzeń przed ich utajnieniem, co eliminuje efekty równoległej ochrony kryptograficznej. Zabezpieczenie może być osiągnięte przez odpowiednie przygotowanie sprzętu: stosowanie niskoemisyjnych urządzeń, ekranowanie oraz tłumienie sygnałów. Takie warunki spełnia wojskowy standard USA - TEMPEST. Standard ten jest jednak bardzo drogi, odczyt danych przez niepowołaną osobę - zawsze istnieje możliwość włamania się do naszego biura lub domu i odczytanie hasła i na przykład numerów kart kredytowych z naszego komputera. Zabezpieczeniem jest tutaj po pierwsze ograniczenie dostępu do pomieszczeń z komputerami w sposób administracyjny, czy fizyczny (zamki, identyfikacyjne, elektroniczne karty dostępu itp.) oraz ewentualnie zastosowanie programu do szyfrowania wszystkich istotnych danych. Problemem do rozwiązania jest ostateczne usunięcie niezaszyfrowanego pliku z katalogów, tak aby go się nie dało odczytać z powrotem za pomocą programów typu Norton Utilities,

187 Strefy zagrożeń elektronicznej bankowości a poszczególne ogniwa procesu elektronicznych operacji w sieci: Linia telefoniczna - podsłuchiwanie przez osoby trzecie może nastąpić w trakcie przesyłania sygnału linią telefoniczną, w lokalnej sieci komputerowej oraz w sieci Internet. Zabezpieczeniem jest szyfrowanie i stosowanie narzędzi weryfikujących komunikaty, Lokalna sieć komputerowa - jeżeli lokalna sieć komputerowa nie jest odpowiednio zabezpieczona przed ingerencją z zewnątrz, to z sieci globalnych można kontrolować nie tylko ruch w sieci lokalnej, ale i pracę naszego komputera (podsłuch zakodowanego sygnału albo modyfikacja przekazu w trakcie transmisji). Rozwiązaniem tej sytuacji jest albo prawidłowe zabezpieczenie sieci lokalnej, albo odłączenie od sieci lokalnej terminala na którym dokonujemy operacji finansowych (co jest sprzeczne z ideą elektronicznej bankowości). Możliwy jest również odczyt danych wprost z naszego, niezabezpieczonego komputera,

188 Strefy zagrożeń elektronicznej bankowości a poszczególne ogniwa procesu elektronicznych operacji w sieci: Serwery i łącza sieci Internet - dane przesyłane przez tą sieć zazwyczaj przechodzą przez wiele serwerów. Może je w związku z tym podsłuchać każda osoba kontrolująca przynajmniej jedno z ogniw pośrednich, przechwycić komunikat, podstawić nowy - fałszywy lub zmodyfikować przekaz w trakcie transmisji. Zabezpieczenie polega na szyfrowaniu wiadomości. Kolejnym zagrożeniem jest nikła możliwość potwierdzenia tożsamości strony transakcji. Zabezpieczeniem jest tu cała gama metod kluczujących i szyfrujących, Styk sprzedawca - kontrahent - najważniejszym problemem w tym zakresie jest stwierdzenie tożsamości sprzedawcy/klienta - czy jest on osobą, za którą się podaje. Drugim słabym punktem tego ogniwa jest nieuczciwość sprzedawcy lub jego pracowników. Trzecim - swoista nieszczelność jego systemu komputerowego.

189 Strefy zagrożeń elektronicznej bankowości a poszczególne ogniwa procesu elektronicznych operacji w sieci: Instytucja rozliczeniowa i bank - możliwymi niebezpieczeństwami są tu pomyłki systemu, nieuczciwość pracowników instytucji oraz potencjalne włamania do systemu. Użytkownik przed większością z tych pomyłek jest jednak dodatkowo zabezpieczony gwarancjami, ponieważ instytucje finansowe odpowiadają za ewentualne szkody powstałe z ich winy.

190 TECHNIKI STOSOWANYCH WŁAMAŃ Techniczne: łamanie haseł dostępu, nasłuch sieciowy, oszukiwanie zabezpieczeń, obejście lub zneutralizowanie istniejących zabezpieczeń, rejestracja promieniowania elektromagnetycznego, przechwytywanie otwartych połączeń sieciowych, blokowanie usług, wirusy komputerowe, wykorzystywanie luk w zabezpieczeniach, oraz takie metody organizacyjno-psychologiczne, jak: szantaż, korupcja pracowników, manipulowanie pracownikami, wprowadzanie własnych pracowników, po celowej awarii.

191 Niekorzystne sytuacje z punktu widzenia bezpieczeństwa systemów bankowych przypadkowe ujawnienie informacji przez pracowników (w postaci przesłania poufnych danych do niewłaściwej osoby, wyrzucenie istotnych danych, udostępnienie niepowołanym osobom, przypadkowe odkrycie hasła lub szyfru), przypadkowe usunięcie informacji z pamięci zewnętrznej (sformatowanie dysku, usunięcie pliku, katalogu itp.), umyślne działania zawodowych włamywaczy komputerowych, nadużycia popełniane w systemie przez pracowników banku, byłych pracowników banku i klientów systemu, znających np. formaty elektronicznych dokumentów i zabezpieczenia, niewłaściwie określony zakres dostępu dla użytkowników końcowych systemu (udostępnienie zakresu dostępu właściwego dla innego użytkownika, umożliwienie dostępu do systemu operacyjnego osobie niepowołanej),

192 Niekorzystne sytuacje z punktu widzenia bezpieczeństwa systemów bankowych nieuprawniony dostęp do oprogramowania systemu lub jego baz danych programistów, którzy mogą chwilowo zmieniać daty systemowe w celu ukrycia przestępstwa, modyfikować algorytmy (zaokrąglenie kwot z generowaniem przelewu na inne rachunki bankowe) lub bezpośrednio zmieniać dane w bazie danych drogą bezśladowej edycji, dostęp nieuprawnionych osób do pomieszczeń serwerów, dysków, taśm wydruków, dostęp nieuprawnionych osób do kartoteki haseł, identyfikatorów itp., umyślna dezorganizacja danych w bazie danych, unieruchomienie centrum obliczeniowego - celowe lub losowe.

193 Typologia zabezpieczeń bankowości elektronicznej komputer osobisty (terminal, klient) i jego system operacyjny – zabezpieczenia przez stosowanie haseł dostępu oraz określenie zadań poszczególnych komputerów włączonych do sieci bankowej, sieciowy system operacyjny – do zabezpieczeń stosowanych na tym poziomie zaliczamy: hasła dostępu, prawa dostępu, programy śledzące, mechanizmy programowo-sprzętowe takie jak firewall oraz metody kryptograficzne, system zarządzania bazą danych – powinien zawierać dodatkowe mechanizmy w stosunku do systemu operacyjnego wzmacniające poziom bezpieczeństwa, oprogramowanie aplikacyjne – mechanizmy identyfikacji i uwierzytelniania, ograniczenia praw dostępu, mechanizmy rozliczania, poziom fizyczny – to przede wszystkim wszelkie rozwiązania zapobiegające wpływowi na system zdarzeń losowych, poziom organizacyjny – właściwa realizacja działań.

194 Typologia zabezpieczeń bankowości elektronicznej

195 Środki prawne Ustawa o ochronie danych osobowych W rozumieniu tej ustawy za dane osobowe uważa się każdą informację dotyczącą osoby fizycznej, pozwalające na określenie tożsamości tej osoby. Definiuje takie pojęcia jak: zbiór danych oraz jego zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie, przetwarzanie, administrator danych. Prawo bankowe Ustawa definiuje pojęcie tajemnicy bankowej, która obejmuje wszystkie wiadomości dotyczące: czynności umowy i osób będących stroną umowy, uzyskane w czasie negocjacji oraz związane z zawarciem umowy z bankiem i jej realizacją, z wyjątkiem wiadomości, bez ujawnienia których nie jest możliwe należyte wykonanie przez bank umowy. osób, które nie będąc stroną umowy, dokonały czynności pozostających w związku z zawarciem takiej umowy, z wyjątkiem przypadków, gdy ustawa przewiduje ujawnienie takich czynności (zgodnie z art.105: innym bankom, Komisji Nadzoru bankowego, sądom i prokuratorom, prezesowi Głównego Urzędu Ceł, prezesowi Najwyższej Izbie Kontroli, przewodniczącemu Komisji Papierów Wartościowych, prezesowi Zarządu Bankowego Funduszu Gwarancyjnego, biegłym rewidentom). Kodeks pracy Wśród obowiązków pracowniczych – wymienia obowiązek zachowania w tajemnicy informacji, które mogłyby narazić pracodawcę na szkodę, oraz obowiązek przestrzegania tajemnicy określonej w odrębnych przepisach.

196 Środki prawne Kodeks karny W kodeksie karnym: – w kilku rozdziałach zawarto zagadnienia ścigania przestępstw komputerowych: przestępstwa przeciwko ochronie informacji, przestępstwa przeciwko mieniu, przestępstwa przeciwko bezpieczeństwu powszechnemu, przestępstwa przeciwko wiarygodności dokumentów, uwzględniono przestępstwa związane z bezpieczeństwem transakcji elektronicznych: hacking komputerowy (nieuprawnione wejście do systemu przez naruszenie zastosowanych zabezpieczeń), podsłuch komputerowy (nieuprawnione przechwycenie informacji możliwe dzięki najnowocześniejszym urzadzeniom technicznym) bezprawne niszczenie informacji, czyli usuwanie, zmiana bądź utrudnianie osobie uprawnionej zapoznania się z informacją, sabotaż komputerowy, czyli zakłócenie lub paraliż funkcjonowania systemów informatycznych o istotnym znaczeniu dla bezpieczeństwa państwa i jego obywateli, oszustwo komputerowe czyli osiągnięcie korzyści majątkowej lub wyrządzenie innej szkody przez wpływ na automatyczne przetwarzanie, gromadzenie albo przesyłanie informacji, fałszerstwo komputerowe, polegające na przerabianiu lub podrabianiu dokumentów w formie zapisu elektromagnetycznego przez wyspecjalizowane urządzenia.

197 Środki prawne Ustawa o elektronicznych instrumentach płatniczych Określa zasady wydawania i używania elektronicznych instrumentów płatniczych, takich jak karty płatnicze i różne formy pieniądza elektronicznego. Wśród najważniejszych regulacji należy przede wszystkim wskazać te, które regulują zakres odpowiedzialności poszczególnych podmiotów transakcji. Ustawa o podpisie elektronicznym Ustawa określa warunki stosowania podpisu elektronicznego, skutki prawne jego stosowania, zasady świadczenia usług certyfikacyjnych oraz zasady nadzoru nad podmiotami świadczącymi te usługi. Normalizacja Zagadnieniami normalizacji środków ochrony oraz kryteriów ich oceny zajmuje się Komitet Techniczny nr 182 „Ochrona informacji w systemach teleinformatycznych w Polskim Komitecie Normalizacyjnym”. Lista polskich norm w tym obszarze jest niemała. Obejmuje m.in.: przetwarzanie informacji, techniki zabezpieczeń, kryteria oceny zabezpieczeń procedury rejestracji profili zabezpieczeń i.t.p. Drugą grupę norm stanowią normy opracowywane przez Pierwszy Wspólny Komitet techniczny ISO i IEC. Należą do nich miedzy innymi: norma ISO IEC 9126 określa jakość oprogramowania; norma 27001, która definiuje takie cechy bezpieczeństwa jak poufność, integralność, dostępność i rozliczalność, norma ISO

198 Środki fizyczne Środki fizyczne nie stanowią elementu składowego systemu informatycznego, ale funkcjonują w jego otoczeniu. Bez nich optymalna praca SI byłaby niemożliwa. Wyróżniamy w tej grupie: urządzenia przeciwwłamaniowe, sejfy, alarmy, zamki kodowe, urządzenia ochrony przeciwpożarowej, pomieszczenia odpowiednio przystosowane do pracy komputerów, urządzenia klimatyzacyjne, rozwiązania architektoniczne (np. lokalizacja centrum obliczeniowego w budynku banku), Strażnicy.

199 Środki techniczne – urządzenia podtrzymujące zasilanie, – karty magnetyczne i mikroprocesorowe, – urządzenia do identyfikacji osób na podstawie linii papilarnych, głosu, siatkówki oka itp., (tzw. urządzenia biometryczne), – urządzenia wykorzystywane do tworzenia kopii zapasowych wraz z metodami ich stosowania, – serwery Proxy, – sprzętowe blokady dostępu do klawiatur, napędów dysków itp., – urządzenia i rozwiązania chroniące przed emisją ujawniającą, – optymalizacja konfiguracji sprzętowej komputerów, – dublowanie okablowania, – dublowanie centrów obliczeniowych i baz danych.

200 Środki programowe dzienniki systemowe (logi), czyli obowiązkowe w każdym systemie rozwiązania rejestrujące dane pozwalające na późniejszą identyfikację działalności użytkowników, które są jednym z najważniejszych narzędzi monitoringu BSI, programy śledzące, czyli mechanizmy umożliwiające monitoring pracy użytkowników systemu w czasie rzeczywistym, mechanizmy rozliczania, czyli rozwiązania pozwalające na identyfikację wykonawców określonych operacji w systemie, oprogramowaniey antywirusowe, oprogramowanie antyspamowe, oprogramowanie antyszpiegowskie, personalne zapory ogniowe (personal firewall), zapory sieciowe (firewalls) na serwerach czy ruterach brzegowych oraz chroniące wydzielone obszary w ramach złożonej sieci lokalnej, programy wykrywające słabe hasła istniejące w systemie, czyli narzędzie pracy administratorów, stanowiące absolutnie kluczowy element optymalnego zarządzania dostępem do systemu (korzystanie z tych programów powinno jednak podlegać wielu ograniczeniom), pozostałe systemy moniturujące, inne narzędzia wspomagające pracę administratorów, mechanizmy zabezpieczania statystycznych baz danych, kody korekcyjne (mechanizmy umożliwiające identyfikację i korygowanie błędów transmisji danych), wirtualne sieci prywatne (VPN) (Virtual Private Networks); mogą one być uznane za przykład rozwiązań hybrydowych - techniczno-programowych).

201 Środki organizacyjne analiza ryzyka – polega na identyfikacji wszelkich przypadków ryzyka, a następnie określeniu jego wielkości w sposób jakościowy albo ilościowy. Sprowadza się ona do wykrycia potencjalnych zdarzeń, mających negatywny wpływ na funkcjonowanie instytucji, a związanych z systemami teleinformatycznymi lub ich otoczeniem oraz do określenia możliwości ich wystąpienia; polityka bezpieczeństwa. Opracowując politykę bezpieczeństwa przyjmuje się pięć głównych celów bezpieczeństwa informatycznego: dostępność, poufność, integralność, odpowiedzialność, brak możliwości wyparcia się. Polityka bezpieczeństwa obejmuje: dzielenie funkcji operacyjnych między różne osoby, powierzenie odpowiedzialności za rozwój systemu oddzielnej grupie osób, tak by nikt nie miał pełnej władzy w systemie, nie pozostawianie w gestii programistów, którzy mają dostęp do danych o kontach, kontroli przy wydawaniu kart i kodów, prowadzenie dokumentacji zmian w systemie w taki sposób, aby możliwe było okresowe sprawdzanie sytemu, nadzorowanie modyfikacji oprogramowania i testowania systemu; analiza ryzyka, szkolenia użytkowników, monitoring systemu i wykrywanie anomalii.

202 Środki kontroli dostępu Identyfikacja, uwierzytelnianie i autoryzacja to trzy niezależne, lecz spokrewnione i mocno zakorzenione pojęcia środków kontroli dostępu: identyfikacja - ustala, kim użytkownik jest, uwierzytelnianie – próbuje ustalić, że użytkownik jest tym, za kogo się podaje, autoryzacja – ustala, co użytkownikowi wolno zrobić w danej chwili. Rozróżniamy uwierzytelniania: – słabe – oparte na hasłach niezmiennych w czasie. To zazwyczaj ciąg 6 do 10 lub więcej znaków, które użytkownik jest w stanie zapamiętać. Takie hasło pełni rolę wspólnego sekretu użytkownika i systemu; – silne – w kierunku silnego uwierzytelniania można już zaliczyć hasła jednorazowe – używane tylko raz (lista haseł jednorazowych, sekwencje haseł jednorazowych opartych na funkcjach jednokierunkowych). Silne uwierzytelnianie to przede wszystkim identyfikacja wyzwanie-odpowiedź, która polega na tym, że jedna ze stron dowodzi swojej tożsamości drugiemu podmiotowi, wykazując się znajomością sekretu, o którym wiadomo, że dotyczy tego podmiotu, bez ujawnienia samego sekretu pomiotowi weryfikującemu (klucze symetryczne, klucze publiczne); – oparte na metodach o wiedzy zerowej – protokoły specjalnie projektowane na potrzeby identyfikacji wykorzystujące liczby losowe nie tylko, jako wyzwania, ale również, jako „zobowiązania”. Umożliwiają udowodnienie prawdziwości bez przekazania żadnej informacji o samej asercji, innej niż jej aktualna prawdziwość. W tym sensie dowód o wiedzy zerowej jest podobny do odpowiedzi uzyskanej z zaufanej „wyroczni”.

203 Uwierzytelnianie Możemy wyróżnić cztery podstawowe metody uwierzytelniania: weryfikacja wiedzy użytkownika (ang. by something you know - SYK ) – na podstawie tego, co użytkownik zna, weryfikacja przedmiotu posiadanego przez użytkownika (ang. by something you have - SYH ) - na podstawie tego, co użytkownik ma, weryfikacja cech fizycznych użytkownika (ang. by something you are - SYA) – na podstawie tego, kim (czym) użytkownik jest, weryfikacja czynności wykonywanych przez użytkownika (ang. by something you do - SYD) - na podstawie tego, co użytkownik robi.

204 Systemy biometryczne Metody biometryczne badają: cechy fizyczne - tęczówka oka, siatkówka (dno oka), linie papilarne, układ naczyń krwionośnych na dłoni lub przegubie ręki, kształt dłoni, kształt linii zgięcia wnętrza dłoni, kształt ucha, twarz, rozkład temperatur na twarzy, kształt i rozmieszczenie zębów, zapach, DNA itp. cechy behawioralne - związane z zachowaniem np. sposób chodzenia, podpis odręczny, sposób pisania na klawiaturze komputera, głos. Metody biometryczne oparte są o trzy etapowy proces: pobranie (utrwalenie) (capture) – fizycznych próbek od użytkowników i zapisanie ich jako obowiązujących szablonów, porównanie (comparison) – szablonu z nową próbką użytkownika, chcącego skorzystać z bankowości elektronicznej np. z bankomatu wyposażonego w skaner biometryczny, dopasowanie (matching) –system decyduje czy uzyskana próbka pasuje do szablonu czy nie. Jeżeli pasują to użytkownik dostaje dostęp.

205 Systemy biometryczne Analizując czynniki sukcesu rozwoju metod biometrycznych w bankach można je podzielić na cztery zasadnicze grupy: czynniki technologiczne: – dokładność - mierzona w czasie liczba odrzuconych i zaakceptowanych transakcji błędnych i fałszywych, liczba wejść zakończonych niepowodzeniem, zdolność do weryfikacji, – elastyczność - systemy biometryczne wymagają pewnej tolerancji błędów, związanych głównie ze zmianą indywidualnych cech np. pojawianiem się zmarszczek, – prywatność i poufność – konieczność zapewnienia bezpieczeństwa przechowywania danych biometrycznych i procedury ich uaktualniania; czynniki finansowe: – koszty namacalne – koszty wdrożenia i testowania systemu, koszty szkoleń, koszty utrzymania systemu, – aktywa niematerialne – podniesienie bezpieczeństwa, zwiększenie wygody klientów zwiększa konkurencyjność banku i przekłada się na wyniki finansowe, – kwestia zrównoważenia kosztów - długoterminowa stabilność i trwałość czynników biometrycznych równoważy koszty wprowadzenia takich rozwiązań. Nie ma konieczności ponoszenia kosztów związanych z wymianą np. tokenów czy kart;

206 Systemy biometryczne - zastosowania Po raz pierwszy zastosowano metody biometryczne w bankomacie w 1996 przez Diebolg w RPA, który wykorzystywał weryfikacje odcisku palca. Identyfikacja na podstawie układu naczyń krwionośnych dłoni stosowana jest od 2005 roku w bankomatach w Japonii. W Arabii Saudyjskiej Al Rajhi Bank wykorzystuje bankomaty biometryczne do dystrybucji miesięcznych emerytur i zasiłków w całym królestwie. Lista banków wykorzystujących technologie biometryczne zwiększa się z roku na rok, ale w ciągu kilku ostatnich lat większość przykładów jej zastosowań wcale nie dotyczy krajów wysokorozwiniętych: największym na świecie wykorzystaniem systemu identyfikacji biometrycznej może pochwalić się Banco Azteca z Meksyku. Rozmieścił on urządzenia identyfikacyjne w celu ubankowienia dużej części społeczeństwa. W 2008 roku 75% ich klientów dzięki technologii biometrycznej miała możliwość po raz pierwszy w życiu korzystać z usług bankowych; w 2006 roku brazylijski bank Banco Bradesco’s wprowadził identyfikacje na podstawie rozmieszczenia naczyń krwionośnych dłoni do weryfikacji klientów korzystających z bankomatów; w 2007 roku Canara Bank w Indiach wprowadził biometryczne bankomaty w celu umożliwienia ludności w biednych rejonach dostępu do usług bankowych.

207 Systemy biometryczne czynniki organizacyjne: – poparcie kadry zarządzającej - zainteresowanie kadry zarządzającej wprowadzeniem metod biometrycznych, dostępność środków na wprowadzenie projektu, świadomość pracowników, co do problemów etycznych i kulturowych związanych ze stosowaniem metod biometrycznych; – dostępność zasobów – dostępność wykwalifikowanej kadry, możliwość dostosowania infrastruktury biometrycznej do struktury bezpieczeństwa, możliwość przeprowadzania szkoleń; czynniki prawne i etyczne: – konieczność dostosowania się do regulacji prawnych i przepisów związanych z zagadnieniami biometrycznymi, – kwestie społeczne i psychologiczne – związane niekorzystnym wpływem na zdrowie człowieka fal radioaktywnych i podczerwieni oraz obawą o bezpieczeństwo przechowywanych próbek (obrazów twarzy, siatkówek, odcisków palców czy DNA).

208 Środki kryptograficzne Kryptografia nazywamy naukę o metodach przesyłania wiadomości w zamaskowanej postaci, tak aby tylko odbiorca był w stanie odczytać wysłaną przez nadawcę wiadomość, będąc jednocześnie pewnym, że nie została ona przez nikogo zmodyfikowana. Wiadomość, która ma być przesłana, nazywa się tekstem jawnym lub tekstem otwartym, a proces ukrywania jej treści szyfrowaniem. Algorytm kryptograficzny, zwany również szyfrem, jest funkcją matematyczną, lub pewnym procesem z matematycznymi elementami, który przy użyciu klucza szyfrującego zmienia zwykły tekst w ciąg znaków. Wyróżniamy: Algorytmy symetryczne (klucze szyfrujący i deszyfrujący są takie same lub jeden jest wyznaczany z drugiego): DES (Data Encryption Standard) – jest międzynarodowym standardem szyfrowania najczęściej stosowanym na świecie. Klucz szyfrowania ma długość 56 bitów, ale zapisywany jest w postaci liczby 64-bitowej (8 bitów to tzw. bity parzystości, służące do korekty błędów przy wprowadzaniu klucza); 3-DES – jest prostą odmianą algorytmu DES. Idea tego algorytmu bazuje na trzykrotnym szyfrowaniu tekstu, przy czym każdy etap bazuje na otrzymanych danych; IDEA (International Data Encryption Standard) – to blokowy szyfr symetryczny, pracujący na 64-bitowych blokach tekstu jawnego. Klucz ma długość 128 bitów;

209 Środki kryptograficzne RC2, RC4, RC5 – szyfry blokowe. RC2 – szyfr blokowy o zmiennej długości klucza i 64 bitowym bloku danych, znacznie szybszym niż DES. Nowszy algorytm RC5 opiera się na kluczu o zmiennej długości wynoszącej maksymalnie 2048 bitów i definiowanym rozmiarze bloku wynoszącym odpowiednio 32, 64 lub 128 bitów. Algorytmy RC2, RC4, RC5 wyróżnia duża szybkość działania oraz szerokie zastosowanie w szczególności wśród producentów oprogramowania; SkipJack – opracowany przez NSA. Opiera się na 80-bitowym kluczu oraz 64- bitowych blokach danych; Algorytmy asymetryczne - cechą charakterystyczną algorytmów asymetrycznych jest to, iż do procesu szyfrowania oraz deszyfrowania wykorzystywana jest para kluczy, z których jeden jest kluczem prywatnym (tajny), a drugi publicznym (jawnym). Jeden z kluczy wykorzystywany jest do szyfrowania, a drugi do deszyfrowania danych. RSA – najpopularniejszy algorytm niesymetryczny o zmiennej długości klucza. Istota algorytmu opiera się na łatwym sposobie obliczania funkcji szyfrującej, ale za to trudnej metodzie znalezienia funkcji odwrotnej deszyfrującej. Funkcja deszyfrująca nosi miano funkcji jednokierunkowej i stanowi podstawę w kryptografii z kluczem publicznym,

210 Szyfrowanie w zabezpieczeniach systemów informatycznych Szyfrowanie oznacza takie przekształcenie informacji, które sprawia, że treść przekazywanej informacji jest niezrozumiała dla przypadkowego obserwatora, a po ponownym przekształceniu za pomocą specjalnego algorytmu przez użytkownika uprawnionego przybierająca swoją pierwotną postać. Algorytm - to sposób transformacji danych z postaci jawnej w ukrytą i na odwrót. Klucz – przekształcający ciąg znaków do zrozumiałej postaci - jest zbiorem zasad prowadzących do zmiany jednego znaku szyfrowanej informacji na inny znak. Przeważnie przybiera postać ciągu liter lub cyfr np. w postaci losowego ciągu bitów, który używa się łącznie z algorytmem. Nawet znajomość algorytmu nie pozwala odczytać właściwej informacji bez znajomości klucza!

211 Metody kryptograficzne wykorzystywane są do: zapewniania poufności informacjom przesyłanym pomiędzy obiektami sieci, ochrona danych przechowywanych w bazach danych przed ich zmianą, zachowania integralności przesyłanych i przechowywanych danych przed nieautoryzowanym dostępem, zapewnienia integralności połączenia (uniemożliwienie odbioru informacji przez innego użytkownika niż adresat), weryfikowanie tożsamości użytkowników, ochrony przed fałszywymi powtórzeniami, maskowania przepływu informacji między obiektami sieci.

212 Wartość systemu kryptograficznego można określić za pomocą następujących czynników: stabilność algorytmu, tajność klucza, trudność odgadnięcia klucza lub trudność polegająca na przeszukiwaniu klucza, odporność na ataki z tekstem jawnym, wrażliwość na ataki na tzw. tylne drzwi algorytmu.

213 Moc systemów szyfrujących określa się za pomocą czterech zasadniczych atrybutów identyfikowalność podmiotów transakcji, autentyczność nadawcy i przekazu, nieodwołalność potwierdzonej transakcji, prywatność dla stron transakcji.

214 Identyfikowalność polega na potwierdzeniu tożsamości nadawcy. Odbywa się przeważnie poprzez sprawdzenie elektronicznego certyfikatu, wydawaniem którego zajmują się instytucje zaufania publicznego. Najbardziej rozpowszechnioną metodą identyfikacji jest wymaganie numeru PIN lub hasła dla potwierdzenia transakcji. W systemie weryfikującym numer PIN nie jest na ogół przechowywany w prostej postaci (ochrona przed włamaniem), a w postaci jednokierunkowej operacji matematycznej wykonanej na autentycznym numerze PIN. Operacja daje zawsze jeden wynik podlegający przechowywaniu. Na podstawie samego wyniku nie można jednak odtworzyć numeru PIN. Autentyczność - weryfikuje tożsamość nadawcy i sprawdza jednocześnie czy treść komunikatu nie została zmieniona w trakcie przekazywania. W tym systemie wymaga się podania cyfrowego podpisu. Klucz publiczny służy do odszyfrowania wiadomości i jednocześnie weryfikacji autentyczności (identyfikacja tylko na podstawie certyfikatu).

215 Nieodwołalność - uniemożliwia zaprzeczeniu przez nadawcę, że wysłał określone dane lub komunikaty. Żadna ze stron nie może w ten sposób podważyć zaakceptowanej już transakcji. Odbywa się to na zasadach podobnych jak przy pocztowej przesyłce poleconej z potwierdzeniem zwrotnym (też: poczta elektroniczna), gdzie każda przesyłka notowana jest w specjalnym dzienniku. Prywatność - właściwość systemu do zabezpieczenia komunikacji przed podsłuchem i identyfikowalności na zewnątrz dokonanych transakcji. Powinna być zapewniona w trakcie całej drogi przesyłania informacji.

216 Kryptografia kluczy prywatnych (tajnych, symetrycznych) Tradycyjna kryptografia opiera się na założeniu, że kontrahenci znają jeden tajny klucz (kod), który służy zarówno do szyfrowania i jak i deszyfrowaniu wiadomości. Główna wadą tej metody jest konieczność uzgodnienia przez nadawcę i odbiorcę tajnego klucza sposobu dyskretnego (gwarantującego zachowanie tajności) przekazania go sobie. Dużym minusem jest również fakt, że wszelkie operacje szyfrowania muszą być poprzedzone posiadaniem klucza, co może być problematyczne w przypadku sieci publicznych. Nie istnieje też możliwość sprawdzenia, czy zaszyfrowana wiadomość pochodzi rzeczywiście od danej osoby. Natomiast niezaprzeczalnymi zaletami metody kluczy symetrycznych jest szybkość ich stosowania, duża wydajność oraz prostota zastosowania. Przykładami algorytmów bazujących na metodzie symetrycznej mogą być: DES (Data Encryption Standard), Triple-DES (3DES), IDEA (International Data Encryption Standard), RC2, RC4, oraz RC5, SkipJack.

217 Kryptografia kluczy publicznych (asymetrycznych) U podstaw kryptografii kluczy publicznych leży metoda zaproponowana przez W. Diffiego oraz M. Hellmana w 1976 roku. Koncepcja tej metody polega na przydzieleniu pary kluczy każdej ze stron, gdzie jeden klucz nie pochodzi od drugiego. Spośród każdej pary jeden nosi miano klucza publicznego, drugi klucza prywatnego. Jeden klucz służy do zaszyfrowania wiadomości, drugi do odszyfrowania i jeśli wiadomość została zaszyfrowana kluczem pierwszym, to odczytać ja możemy tylko przy pomocy drugiego. Klucz publiczny każdej ze stron jest jawny, podczas gdy klucz prywatny jest kluczem tajnym. Każda wiadomość zaszyfrowana za pomocą klucza publicznego może zostać rozszyfrowana wyłącznie przy użyciu klucza prywatnego odbiorcy. Czyli każda osoba, która użyje ogólnodostępnego klucza publicznego może przekazać informację tylko odbiorcy posiadającemu klucz prywatny, będący parą do klucza publicznego. W ten sposób potrzeba wymiany kluczy prywatnych została wyeliminowana, ponieważ wszelka komunikacja zapewniona jest dzięki użyciu kluczy publicznych. Dzięki takiej metodzie, problem tajności połączenia, dzięki któremu realizowana musi być wymiana kluczy prywatnych zostaje rozwiązany. Jedynym wymogiem narzucanym kryptografii kluczy publicznych jest ich przechowywanie w wiarygodnym, poufnym miejscu. Kryptografia kluczy publicznych wykorzystywana jest obecnie do szyfrowania oraz podpisów cyfrowych. Przykładem RSA

218 Narzędzia zabezpieczania działalności systemów informatycznych - Funkcje skrótu W celu zapewnienia nienaruszalności danych wykorzystuje się matematyczne funkcje skrótu. Funkcje skrótu pozwalają na przekształcenie wiadomości o dowolnej długości w skrót, który jest jej unikatową reprezentacją. Przekształcenie powoduje, że tekst jawny zamienia się w niezrozumiały ciąg symboli, jednak nie ma możliwości cofnięcia tego działania, tekst jawny zostaje więc bezpowrotnie zniekształcony. Jednokierunkowe funkcje skrótu nie posługują się kluczami, ponieważ służą do identyfikowania wiadomości. Podstawowym zastosowaniem skrótu jest umożliwienie stwierdzenia, czy pierwotny tekst zanim do nas dotarł został zmieniony lub podstawiony. Skrót i tekst wiadomości mogą być bowiem przesyłane oddzielnie. Istnieje bardzo małe prawdopodobieństwo, że dwie wiadomości będą charakteryzowały się takim samym skrótem.

219 Podpisy cyfrowe W świecie dokumentów cyfrowych pojawia się problem autentyczności danych spowodowany możliwością dokonania kopii doskonałej z dowolnego dokumentu zapisanego na nośnikach komputerowych. Podpis cyfrowy pozwala więc na uwierzytelnienie dokumentów cyfrowych. Jego zadaniem jest określenie właściciela wiadomości oraz jej integralność. Służy więc do sygnowania dokumentów, gdzie każdy odbiorca może czytać i weryfikować jego autentyczność, należy do grupy usług realizowanych w technologii kluczem publicznym. Podstawą kryptograficzną podpisu elektronicznego jest odwrócony klucz RSA - to co zostaje zaszyfrowane prywatnym kluczem użytkownika, może być odszyfrowane przez każdego, kto zna klucz publiczny. Fakt, że wiadomość została zaszyfrowana kluczem danego użytkownika stanowi dowód, że istotnie musi od niego pochodzić. W odróżnieniu od zwykłego podpisu na papierowym dokumencie jest to podpis niemal zupełnie niepodrabialny. Podpis cyfrowy stanowi sekwencję bitów dołączoną do dokumentu cyfrowego.

220 Podpisy cyfrowe Podpis cyfrowy jest tworzony w następującej sekwencji czynności: nadawca generuje wiadomość, tworzy skrót za pomocą jednokierunkowej funkcji skrótu, podpisuje kluczem prywatnym wartość skrótu za pomocą algorytmu podpisów cyfrowych z kluczem jawnym, łączy wiadomość i podpis w celu w celu uzyskania nowej, podpisanej wiadomości, przesyła wiadomość odbiorcy, odbiorca najpierw wiadomość rozdziela od podpisu, za pomocą jednokierunkowej funkcji skrótu tworzy skrót wiadomości, pobiera z bazy danych klucz jawny nadawcy, deszyfruje podpis za pomocą algorytmu podpisów cyfrowych z klucze jawnym, używając klucza jawnego nadawcy, porównuje odszyfrowany podpis z podpisem wiadomości. Jeśli podpisy się różnią wiadomość zostaje odrzucona jako fałszywa lub zmieniona.

221 Podpisy cyfrowe Cechy charakterystyczne podpisów cyfrowych są następujące: podpisy są niepodrabialne - tylko nadawca zna swój klucz prywatny, są autentyczne - odbiorca sprawdzając podpis za pomocą klucza jawnego weryfikuje jego autentyczność, nie mogą być ponownie użyte - skopiowane na inny dokument, podpisany dokument jest zablokowany przed zmianami - jakiekolwiek przeróbki powodują utratę ważności podpisu, podpisu nie można się wyprzeć.

222 Protokoły bezpieczeństwa Wśród implementacji rozwiązań kryptograficznych wykorzystywanych w bankowych systemach informacyjnych i nieobjętych tajemnicami bankowymi, należy wymienić protokoły zapewniające bezpieczeństwo komunikacji sieciowej. Najpowszechniej stosowane protokoły: SSL (Secure Sockets Layer) zapewniający bezpieczny kanał komunikacji miedzy klientem a serwerem, S-HTTP (Secure HTTP) zapewnia bezpieczną komunikację dla serwisu www,. SET (Secure Electronic Transactions) – bezpieczny standard transakcji elektronicznych. Szczegółowo definiuje wszystkie etapy transakcji elektronicznych, a także innych operacji związanych z tymi transakcjami, np. uzyskiwanie certyfikatów. Związany jest on oczywiście nierozerwalnie z możliwościami i jednocześnie ograniczeniami, jakie stawiają karty płatnicze. Protokół jest kompleksowy – nie pomija żadnych obszarów, które mogłyby w jakikolwiek sposób negatywnie wpłynąć na poziom bezpieczeństwa realizowanych transakcji.

223 Podpis elektroniczny A.Menezes definiuje podpis elektroniczny (cyfrowy) jako ciąg danych wiążących wiadomość (w postaci cyfrowej) z pewnym podmiotem, od którego wiadomość ta pochodzi. Zgodnie z obowiązująca ustawą podpisem elektronicznym nazywamy dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny. Wyróżniamy dwa rodzaje podpisu cyfrowego: Zwykły podpis elektroniczny – potwierdzony zwykłym certyfikatem wydanym przez firmę XYZ, Bezpieczny podpis – potwierdzony certyfikatami kwalifikowanymi. Posiada moc prawną podpisu własnoręcznego. Musi spełniać następujące cechy: jest przyporządkowany wyłącznie do osoby, która go składa, jest niepowtarzalny, czyli tylko jedna osoba może nim dysponować, jest sporządzony przy pomocy bezpiecznego urządzenia i klucza prywatnego, do którego dostęp ma wyłącznie ta osoba, umożliwia wykrycie ewentualnych prób jego podrobienia podejmowanych po jego złożeniu.

224 Podpis elektroniczny Elementy wykorzystywane do składania podpisu: klucz prywatny i klucz publiczny, certyfikat, nośnik kluczy i certyfikatu. Klucz prywatny i klucz publiczny. Klucze to liczby całkowite, o określonej, bezpiecznej długości. Przykładowo dla algorytmu RSA, długość liczby zapisanej w systemie dwójkowym nie powinna być krótsza niż 1024 cyfry. Tworzenie i dystrybucja kluczy, w szczególności klucza prywatnego, musi być dokonana w taki sposób, aby użytkownik miał pewność, że jest jego wyłącznym posiadaczem. Proces generowania kluczy realizowany jest w ścisłej współpracy z wydawcą certyfikatów. Certyfikat, czyli dokument elektroniczny potwierdzający przynależność pary kluczy do konkretnego użytkownika, wydawany przez podmiot zwany urzędem certyfikacji. Wydawać certyfikaty lub wykonywać inne usługi związane z podpisem elektronicznym mogą: przedsiębiorcy, NBP, organy władzy publicznej (np. organy samorządu terytorialnego). Podstawowe informacje zapisane w certyfikacie to: określenie właściciela (posiadacza certyfikatu) – poprzez podanie, np. imienia i nazwiska, bądź pseudonimu oraz kraju pochodzenia, wskazanie wydawcy certyfikatu (urzędu certyfikacji), wskazanie – poprzez podanie odpowiedniego identyfikatora – polityki certyfikacji, czyli zbioru reguł określających sposób postępowania wydawcy przy wydawaniu certyfikatu określonego typu, wskazanie okresu ważności certyfikatu opisane datami wydania certyfikatu i momentem utraty przez niego ważności.

225 Schemat działania podpisu cyfrowego

226 Certyfikacja kluczy Certyfikacja kluczy oznacza potwierdzenie ich autentyczności. Polega to na potwierdzeniu, że klucz należy do osoby, której nazwisko na nim widnieje przez instytucję zaufania publicznego. Identyfikatory cyfrowe (certyfikaty) umożliwiają podpisywanie wiadomości, dzięki czemu odbiorcy mają możliwość dowiedzenia się skąd wiadomość przychodzi oraz czy nikt w nią nie ingerował. Ponadto pozwalają one na przesyłanie szyfrowanych wiadomości - takich które są chwilowo zamieniane na cyfrowy kod i mogą być czytane przez wybranych adresatów. Certyfikat może być użyty do weryfikacji transakcji lub wymiany dowolnego rodzaju informacji w Internecie, zarówno między firmami jak i osobami prywatnymi. Cyfrowy certyfikat sprowadza się do cyfrowego identyfikatora, określającego relacje pomiędzy konkretnym publicznym kluczem, a jego posiadaczem. Zawiera nazwę organizacji certyfikującej, klucz jawny posiadacza, jego dane identyfikacyjne, numer seryjny oraz określony termin ważności. Certyfikat cyfrowy można uzyskać od urzędu certyfikacyjnego - organizacji odpowiedzialnej za wystawianie certyfikatów i sprawdzanie ich ważności. Jest to dokument czasowy, może być cofnięty przed wygaśnięciem terminu ważności z powodów organizacyjnych, bądź odtajnienia klucza.

227 Określenie tożsamości użytkownika (autentykacja) Dominuje powszechny pogląd, że autoryzacja usług w sieciach oraz systemach komputerowych odbywa się na podstawie trzech zmiennych: tego co użytkownik wie, tego co posiada, tego kim jest. Pierwsza zmienna polega na zapamiętaniu przez użytkownika ciągu znaków, wykorzystywanego jako hasło. W tym przypadku proces uwierzytelnienia odbywa się poprzez identyfikator oraz hasło użytkownika. Jest to metoda najczęściej wykorzystywana, chociaż przeważnie nie zapewnia pożądanego poziomu bezpieczeństwa.

228 Określenie tożsamości użytkownika (autentykacja) Bezpieczeństwo systemu opartego o system haseł zależy głownie od: czasu obowiązywania hasła, liczby możliwych prób odgadnięcia hasła w danej jednostce czasu, przestrzeni hasła czyli jego długości oraz długości alfabetu wykorzystanego w tym haśle. Druga ze zmiennych polega na generowaniu haseł jednorazowych oraz certyfikatów. Największym problemem haseł statycznych czyli wymyślanych i pamiętanych przez użytkownika jest okres ich ważności. W celu ominięcia tego problemu stosuje się specjalne karty generujące dynamiczne hasła. Karty takie zawierają zaimplementowane algorytmy kryptograficzne, co pozwala na ochronę hasła. Hasło jest generowane po wprowadzeniu PIN upoważniającego do jednokrotnej operacji jednorazowego utworzenia hasła. Karta podaje ciąg znaków będących przedmiotem uwierzytelniania. Główne korzyści ze stosowania tej metody w stosunku do poprzedniej są następujące: okres ważności hasła z reguły nie jest dłuższy niż 60 sekund, hasła nie mogą być łamane przy pomocy metody słownikowe, ponieważ karty ni generują otwartych tekstów tylko liczby bądź heksadecymalne ciągi znaków, nigdy nie są dwukrotnie wykorzystywane, hasła nie są przechowywane w pliku, więc dostęp do nich jest utrudniony.

229 Określenie tożsamości użytkownika (autentykacja) Poza kartami generującymi hasła jednokrotnego użytku, drugim takim rodzajem identyfikatorów są certyfikaty. Opisane wcześniej certyfikaty mogą zawierać nazwisko, adres poczty elektronicznej oraz klucz jawny danej osoby. Główną cechą certyfikatów jest możliwość potwierdzenia ich wiarygodności w ramach instytucji poświadczającej certyfikaty, główną zaletą możliwość uwierzytelniania nie tylko użytkownika ale także oprogramowania i dokumentów. Trzecia ze zmiennych oparta jest o analizę cech fizycznych użytkownika. Metoda ta polega na porównaniu cech fizycznych lub behawioralnych z cechami zapisanymi w systemie. Brane są pod uwagę takie cechy jak: odciski palców, dłoni, wzorzec siatkówki oka, głos lub podpis. Z powodu wysokich kosztów i słabszego zaawansowania tych metod nie są one tak powszechnie rozpowszechnione i wykorzystywane jedynie w połączeniu z innymi metodami.

230 Ochrona warstwy fizycznej i łącza danych Warstwa fizyczna związana jest z medium za pomocą którego przenoszone są dane. Wyróżniamy trzy takie podstawowe media: kabel miedziany - fale elektromagnetyczne, światłowód - fale świetlne, powietrze - fale radiowe. Największe niebezpieczeństwo niosą ze sobą fale radiowe, które może podsłuchać praktycznie każdy. Ze względu na emisje pola elektromagnetycznego istnieje też możliwość przechwytywania danych z sieci opartych o kable miedziane. Największe bezpieczeństwo warstwy fizycznej zapewniają kable światłowodowe. Związane jest to z niskim stopniem propagacji fal świetlnych poza medium. Metody przechwytywania danych w warstwie fizycznej są rzadko wykorzystywane, bardziej atrakcyjne są warstwy wyższe ze względu na ich większa dostępność.

231 Ochrona warstwy fizycznej i łącza danych Technologie sieciowe są w sumie dość silnie narażone na podsłuchiwanie i przechwytywanie danych. Zarówno np. zastosowanie Ethernetu jak i Token Ringu narażają użytkowników na duże prawdopodobieństwo podsłuchu. Ethernet jest siecią oparta o rozsyłanie pakietów próbnych w celu informowania o aktywności sieciowej, a ponadto wszystkie systemy w ramach sieci są tak samo uprawnione do dostępu do różnych danych. Podczas użycia Token Ring wszystkie pakiety są transmitowane w pierścieniu obejmującym średnio połowę komputerów w sieci, co jest idealna sytuacją do nieuprawnionego przejęcia informacji. Średni poziom bezpieczeństwa wbrew obiegowym opiniom może zapewnić linia telefoniczna. Nowoczesne modemy uniemożliwiają praktycznie podsłuch przesyłanych danych. Największe niebezpieczeństwo budzą sieci oparte na falach radiowych i mikrofalach. Okazuje się, że i sieci radiowe zapewniają dość duży poziom bezpieczeństwa. Przykładem takiej bezpiecznej technologii jest FH (Frequency Hopping) bazująca na losowym wyborze częstotliwości, na której wysyłane są dane. Transmisja danych oparta jest na schemacie losowych sekwencji.

232 Ochrona danych w Internecie i Intranecie Bezpieczeństwo protokołu IPv6, Zapory ogniowe (Firewall), Zapory ogniowe na poziomie aplikacji (proxy), Zapory ogniowe na poziomie transmisji Zabezpieczanie aplikacji,

233 Standardami ochrony stron WWW są - wobec braku zapewnienia ochrony przez protokół http - stały się dwa standardy S-HTTP oraz SSL S-HTTP (Secure HTTP) - jest to zmodyfikowana wersja protokółu http. Ma na celu zapewnienie bezpieczeństwa usługi http. Wykorzystuje szyfrowanie, podpisywanie, sprawdzanie informacji wysyłanych przez nadawcę oraz uwierzytelnienie. Serwer wykorzystuje standard PKSC-7 lub RSA na podstawie którego porównuje metody szyfrowania u klienta, a następnie przesyła zaszyfrowany komunikat. SSL (Secure Socket Layer) - opracowany przez firmę Netscape i zastosowany w jej przeglądarkach i serwerach WWW. Jest to narzędzie zapewniające możliwość zaszyfrowania dowolnego połączenia internetowego między programami obsługującymi ten standard. W ten sposób informacja będzie nieczytelna dla osoby podsłuchującej.

234 Ochrona przed nieautoryzowanym dostępem - odbywa się poprzez autoryzację dostępów Dostęp realizowany jest na dwóch poziomach: fizycznym - z ograniczeniami dostępu do jednostki centralnej i terminali, logicznym - gdzie oprogramowanie aplikacyjne i systemowe sprawdza uprawnienia użytkowników do dostępu do poszczególnych funkcji, poprzez: profile uprawnień, uprawnienia użytkowników do pracy przy określonych terminalach, uprawnienia do pracy w określone dni lub godziny, indywidualne hasła użytkowników.

235 Zabezpieczenie autentyczności i poufności danych polega na możliwości stwierdzenia, czy dane nie zostały zmodyfikowane przez źródło nieautoryzowane. Modyfikacja dotyczy wszelkich operacji na danych. Dla zabezpieczenia stosuje się szyfrowanie za pomocą podpisu cyfrowego. Dla danych przesyłanych przez sieć - kryptografię z kluczami publicznymi RSA, dla danych kryptografię konwencjonalną DES. Podpis cyfrowy zapewnia uwiarygodnienie danych krytycznych systemu oraz danych przesyłanych przez sieć w formie komunikatów lub elektronicznego transferu plików, uwiarygodnienie nadawcy komunikatów lub plików.

236 Wyniki raportu dotyczącego zbadania przyczyn niechęci do bankowości internetowej CzynnikProcentowy udział Brak potrzeby korzystania z takich usług 68,0% Obawy o bezpieczeństwo16,0% Przywiązanie do fizycznego oddziału2,9% Przywiązanie do obecnego oddziału3,8% Niewielka ilość bankomatów0,9% Niewygodna procedura zakładania konta 1,2% Inni odradzają0,6% Zbyt wysokie koszty połączeń internetowych 7,0% Brak wiedzy na ten temat3,8% Z powyższego zestawienia wynika, że obawa o bezpieczeństwo i brak potrzeby korzystania z usług elektronicznej bankowości stanowią podstawową przeszkodę w ich rozwoju

237 Formy zabezpieczeń stosowane przez banki działające na terenie Polski BankDostępne kartyRachunek, z którym związana jest usługa Zabezpieczenia BGŻIntegrum Maestro Integrum Maestro dla młodzieży Integrum Visa Classic Integrum Integrum Max Integrum VIP Szyfrowanie protokółem SSL, 128 bitów, zabezpieczanie identyfikatorem i hasłem, token, lista haseł jednorazowych BPH PBKVisa Electron BPH MasterCard Gold BPH MasterCard Silver BPH Visa Gold BPH Visa Silver Bursztynowa Karta Kredytowa BPH PBK Sezam Sezam Student Sezam Junior Srebrny Sezam Złoty Sezam Szyfrowanie protokółem SSL, 128 bitów, zabezpieczanie identyfikatorem i hasłem, wygenerowany prywatny klucz

238 Formy zabezpieczeń stosowane przez banki działające na terenie Polski BŚK INGZłota Karta Kredytowa Visa Karta Kredytowa MasterCard Karta Maestro Karta Visa Electron Karta Visa Classic charge Karta MasterCard Gold charge Karta przedpłacona Maestro Karta kredytowa Visa Electron Konto z Lwem: Standard Komfort Prestiż Student Szyfrowanie protokółem SSL, 128 bitów, zabezpieczanie identyfikatorem i hasłem, wygenerowany prywatny klucz BZ WBK24Visa Electron BZ WBK Maestro BZ WBK Visa Classic BZ WBK Visa Electron Prestiż BZ WBK Euro<26 BZ WBK Maestro EuroCard/Mastercard BZ WBK Konto 24 Konto 24 Plus Konto 24 Prestiż Konto 24 X-tra Student Konto 24 Young Konto 24 Absolwent Szyfrowanie protokółem SSL, 128 bitów, zabezpieczanie identyfikatorem i hasłem, token

239 Formy zabezpieczeń stosowane przez banki działające na terenie Polski CitibankCitibank Visa Citibank Master Card Citibank Citibank Maestro Visa Electron Visa Classic CitiKonto CitiOne CitiGold Szyfrowanie protokółem SSL, 128 bitów, zabezpieczanie identyfikatorem i hasłem Deutsche Bank PCB Visa Electron Visa Classic PCK Visa Gold Konto osobiste Konto student Szyfrowanie protokółem SSL, 128 bitów, zabezpieczanie kartą identyfikacyjną i zestawem pytań osobistych Fortis BankVisa Electron Visa Classic Visa Gold ePakietSzyfrowanie protokółem SSL, 128 bitów, zabezpieczanie identyfikatorem i hasłem, certyfikat cyfrowy

240 Formy zabezpieczeń stosowane przez banki działające na terenie Polski Lukas BankVisa ElectronKonto Wygodne eKonto eKonto Pro Szyfrowanie protokółem SSL, 128 bitów, zabezpieczanie identyfikatorem i hasłem, token mBankVisa Electron Visa Classic Visa Gold eKarta eKonto eMax Szyfrowanie protokółem SSL, 128 bitów, zabezpieczanie identyfikatorem i hasłem, hasła jednorazowe MilleniumMillenium Visa ElectronMillekonto Millekonto Premium Millekonto Student Millekonto Junior Szyfrowanie protokółem SSL, 128 bitów, zabezpieczanie identyfikatorem i hasłem, MilleKod, 1 i 2 MultiBankVisa Electron Visa Classic Multikonto jestem Multikonto ja Multikonto my Szyfrowanie protokółem SSL, 128 bitów, zabezpieczanie identyfikatorem i hasłem, hasła jednorazowe

241 Formy zabezpieczeń stosowane przez banki działające na terenie Polski Nordea Bank PolskaVisa Electron Nordea Visa Classic Nordea VIP Nordea Nordea VIP Szyfrowanie protokółem SSL, 128 bitów, zabezpieczanie identyfikatorem i hasłem, token Pekao S.A.Maestro Eurocard/MasterCard Visa Concerto Eurokonto: Akademickie, Standard, Plus, VIP, Prestiż Eurokonto Business Business Lider Lider Farmacji Firma I Ja Szyfrowanie protokółem SSL, 128 bitów, zabezpieczanie identyfikatorem i hasłem, token PKO BP S.A.Visa Electron Visa Electron z Sercem PKO Ekspres Visa Electron PKO Visa Classic Karta wirtualna PKO BP S.A. Inteligo PKO Inteligo Szyfrowanie protokółem SSL, 128 bitów, zabezpieczanie identyfikatorem i hasłem, karta kodów VW Bank DirectVisa Electron (wszystkie pakiety) Visa Classic (srebrny) Visa Gold (złoty) Konto e-DirectSzyfrowanie protokółem SSL, 128 bitów, zabezpieczanie identyfikatorem i hasłem, token

242 DZIĘKUJĘ ZA UWAGĘ! Witold Chmielarz - Wydział Zarządzania UW


Pobierz ppt "Systemy informatyczne i rozliczeniowe instytucji finansowych Prof. zw. dr hab. Witold Chmielarz …Jak dobrze jest być sławnym, ale jeszcze lepiej mieć pieniądze…"

Podobne prezentacje


Reklamy Google