Elektronické platební prostředky a jejich analýza

Bankovní institut vysoká škola Praha Katedra finančních obchodů Elektronické platební prostředky a jejich analýza (Při aplikaci u vybraných peněžních institucí) Diplomová práce Autor: Andrea Dvorská Finance Vedoucí práce: JUDr.Ing. Otakar Schlossberger, Ph.D Odborný konzultant: Ing. Michaela Menclová Vanco Euronet s.r.o. Praha Duben 2009 1

Prohlášení: Prohlašuji, že jsem diplomovou práci zpracovala samostatně a s použitím uvedené literatury. V Praze dne 15. 03. 2009 Andrea Dvorská 2

Poděkování: Za pomoc při zpracování bych ráda poděkovala svému vedoucímu diplomové práce JUDr. Ing. Otakarovi Schlossbergerovi Ph.D, který mi poskytl cenné rady. Rovněž bych ráda poděkovala celé své rodině a kolegům v práci za jejich trpělivost a veškerou možnou podporu. 3

Anotace práce: Práce Elektronické platební prostředky a jejich analýza je ucelený přehled a srovnání těchto produktů u mnou vybraných finančních institucí při dalším členění na universální a specializované banky i nebankovní instituce. Universální banky jsou posuzovány z hlediska nabídky na produkty a služby, platební karty a aplikace elektronického bankovnictví. Nabídka bankovních ústavů je velmi široká s cílem uspokojit potřeby občanů i firem pro každodenní dostupnost finančních operací v jakémkoliv objemu a v kteroukoliv dobu. Z mé práce je zřejmé, že na našem trhu jsou v nabídkách jednotlivých institucí pouze malé rozdíly, tudíž i konkurence v segmentu je spíše symbolická. Každý bankovní ústav má nepatrně výhodnější ten či onen produkt v té či oné oblasti, v zásadním měřítku jsou si však velmi podobné, pokud se nejedná o specializované banky. U specializovaných bank již nemáme nabídku tak rozsáhlou, jejich výhoda spočívá právě v této specializaci, kde dosahují relativně vysoké kvality služeb. Jsou to zejména hypotéční banky a stavební spořitelny. V dnešní době je pro nás nespornou výhodou, že nám tyto instituce umožňují prostřednictvím elektronického bankovnictví trvalý přehled o našich financích, stejně tak možnost provádění nejrůznějších operací s nimi. Další výhodou je možnost získání celé řady platebních karet, a to jak běžných, tak i kreditních, debetních či úvěrových. Nebankovní instituce jsou v tomto segmentu velmi flexibilní a svou nabídku neustále rozšiřují a upravují dle potřeb trhu. Přestože snaha nebankovního sektoru přiblížit se cenovou výhodností tomu bankovnímu, je zřejmá, banky i nadále v tomto ohledu zůstávají vpředu. V závěru své práce jsem vypracovala analýzu, která umožňuje přehledné srovnání nabídky na našem trhu. K práci byly využity veškeré dostupné materiály, nemalou měrou i vlastní zkušenosti z této oblasti. Annotation: Based on tailored selection of banking institutions, the thesis Electronic means of payment and their analysis focuses on all-purpose and specialist banks and non-banking institutions. According to its portfolio of offer, all-purpose banks are further divided into products and services, payment cards and electronic banking. The offer of these banking institutions is wide ranging as a result of everyday contact with all citizenry both in private and professional (business) areas. Based on my thesis, it can be concluded that there are no significant differences amongst the offers of the institutions on our market. 4

Certain banks has more advantagous offers in a particular area while there are also banks with own niche offers. In the area of specialist banks we do not have as wide ranging offer anymore. This is primarily due to the fact that these banks specialize either in the mortgage or home savings markets. It is of particular advantage nowadays, that all the above mentioned banking institutions enable us to track our financials both our own and others by means of electronic banking. Yet another credential is the wide offer of payment cards, either debit or credit. Based on the needs of the market, the non-banking institutions also continuously expand their offer. Inevitably despite all their efforts, services offered by non-banking institutions do still remain more expensive compared to the banking institutions. In conclusion to my thesis I drew up an analysis, which will enable us to compare efficiently the offers on our market. 5

Obsah Úvod..... 8 1. Přehled elektronického platebního styku v ČR... 10 1.1 Elektronické platby... 12 1.2 Požadavky na elektronické platební prostředky... 13 2. Právní úprava elektronických platebních prostředků... 14 2.1 Smluvní vztah mezi bankou a klientem... 15 3. Elektronické platební systémy (EPS)... 16 3.1 Základní komponenty a rozdělení EPS... 16 3.2 Hlavní technologie EPS a podpůrné mechanismy... 20 3.2.1 Karty... 20 3.2.2 Elektronické peníze... 23 3.2.3 Elektronická peněženka... 26 3.2.4 Mobilní telefony... 27 3.2.5 Autentizace držitele platební karty... 29 3.3 Bezpečnostní požadavky EPS... 30 3.3.1 Důvěrnost, integrita, autorizace EPS... 30 3.3.2 Dostupnost a spolehlivost EPS... 31 3.3.3 Interoperabilita a utajenost EPS... 31 3.4 Platební mechanismy... 32 3.4.1 Platební karty... 32 3.4.2 Mikroplatby... 34 3.4.3 Elektronické šeky... 35 4. Analýza Finančních institucí v ČR... 36 4.1 Centrální banka Česká národní banka (ČNB)... 36 4.2 Universální banky... 38 4.2.1 Česká spořitelna a.s.... 38 4.2.2 Československá obchodní banka (ČSOB)... 47 4.2.3 Komerční banka, a.s. (KB)... 59 4.3 Specializované banky (spořitelny a hypoteční banky)... 68 4.3.1 Stavební spořitelny... 68 6

4.3.1.1 Českomoravská stavební spořitelna (ČMSS)... 69 4.3.1.2 Modrá pyramida stavební spořitelna... 73 4.3.2 Hypotéční banka... 76 4.4 Nebankovní instituce... 79 4.4.1 Cetelem ČR, a.s.... 79 4.4.2 Home Credit... 82 5. Vyhodnocení analýzy bank a nebankovních institucí v ČR... 85 5.1 Porovnání nabídky universálních bank na našem trhu... 85 5.1.1 Porovnání produktů a služeb pro klienty u vybraných bankovních institucí... 85 5.1.2 Porovnání nabídky platebních karet pro klienty... 88 5.1.3 Porovnání nabídky elektronického bankovnictví... 93 5.2 Porovnání nabídky specializovaných bank na našem trhu... 94 5.3 Porovnání nabídky nebankovních institucí na našem trhu... 96 5.4 Porovnání nabídky universálních, specializovaných bank a nebankovních institucí na našem trhu... 97 Závěr... 98 Seznam použité literatury... 100 Seznam tabulek... 102 Seznam obrázků... 102 Seznam příloh... 102 7

Úvod Elektronický platební styk se stal běžnou součástí každodenního života. Téměř nikdo z nás už si nedovede představit fungování bez všech výhod, které nám elektronické bankovnictví přináší. K těmto, nám již nyní dobře známým produktům, vedla poměrně složitá cesta, kterou se vám pokusím ve své práci přiblížit. Jednoduchým a uceleným porovnáním získáte přehled o vývoji, produktech, jejich formách a výhodách i nevýhodách které přináší. Práci jsem rozdělila na dvě části. V té první popisuji přehled elektronického platebního styku v České republice, s čím se na našem trhu můžeme setkat a požadavky, které jsou na našem trhu na tyto systémy kladeny. Důležitou součástí je získání povědomí o právních podmínkách fungování elektronických platebních prostředků. Dále ve své práci popisuji fungování elektronického platebního systému (EPS) a jeho dělení do mnou zvolených kategorií. Vzhledem k tomu, že pouhé slovní porovnání není natolik přehledné, aby stačilo k vaši orientaci, ve druhé části se zaměřuji na analýzu vybraných bankovních a nebankovních institucí působících v České republice. Zde získáte přehled o portfoliu jejich služeb a produktů. Pro potřeby své práce jsem tyto instituce rozdělila na banky universální a speciální a nebankovní sektor, tyto jsem dále rozčlenila dle nabídky produktů a služeb, platebních karet a elektronického bankovnictví, vyjma nebankovního sektoru, kde jsou formy elektronického bankovnictví značně omezeny. U specializovaných bank popisuji základní a nadstandardní služby, které jsou na našem trhu nabízeny. Mezi specializované banky patří stavební spořitelny a hypoteční banky. Nebankovní instituce mají v dnešní době velmi širokou nabídku produktů a služeb, které jsem rozdělila do několika částí, které blíže specifikuji v analýze. V závěrečné části práce, jsem zpracovala analytické zhodnocení 3 universálních bank a to Komerční banky, České spořitelny a České obchodní banky. Zhodnocení obsahuje produkty a služby, platební karty a telefonické a elektronické bankovnictví. Analýza je zpracována dle jejich nabídky do přehledných tabulek s komentářem a možností porovnání. Další rozbor se týká specializovaných bank, které jsem rozčlenila na základě nabídky produktů a služeb na českém trhu. V poslední části naleznete slovní shrnutí 8

nabídky nebankovních institucí, tuto formu jsem zvolila z důvodu jejich poměrně omezené nabídky produktů. V úplném závěru naleznete celkové porovnání všech těchto institucí z hlediska jejich nabídky produktů a služeb, v celé jejich šíři, se všemi výhodami i nevýhodami, které z nich pro klienty vyplývají. 9

1. Přehled elektronického platebního styku v ČR Pod pojmem elektronický platební styk si můžeme představit elektronický přenos dat v jiné formě, než je platební příkaz na papírovém nosiči. Za elektronický platební prostředek lze považovat: prostředek vzdáleného přístupu k peněžní hodnotě (vlastní peněžní prostředky na účtu klienta). Při tomto přístupu se zpravidla vyžaduje identifikace držitele osobním identifikačním číslem přiděleným vydavatelem nebo identifikace jiným způsobem (PIN 1, heslo, podpis, průkaz totožnosti apod.) Do této skupiny elektronických platebních prostředků náleží především debetní a úvěrové platební karty s elektronickou funkcí. Home banking Home banking je ideální služba pro klienty, kteří musí zpracovávat větší objem plateb a potřebují mít neustálý přehled o stavu svého účtu. Dále je vhodný pro ty, kteří nemají v dosahu pobočku své banky. Je i velice výhodný pro ty klienty, kteří nechtějí chodit do banky a dávají přednost obsluze svých financí z domova nebo kanceláře. Home banking umožňuje téměř všechny bezhotovostní operace s běžným účtem a to vše on-line. Zjišťování zůstatku účtu, podávání příkazů k úhradě, sledování toku plateb, zakládání termínovaných účtů, dobíjení kreditu mobilního telefonu apod. bývají samozřejmostí. Kromě toho nabízí přístup do databáze banky pro vyhledávání kurzových lístků, úrokových sazeb, nabídky služeb, číselníků bank atd. Navíc lze program banky připojit na vlastní ekonomický (účetní) systém, čímž se umožní automatické předávání platebních příkazů a výpisů z účtu což je dnes velice výhodné pro všechny firmy z důvodu velké pohodlnosti. Home banking však má i své nevýhody. Kromě nákladnosti je to i vazba na konkrétní počítač s příslušným vybavením. Propojení mezi bankou a uživatelskou stanicí přitom probíhá prostřednictvím modemu a telefonu nebo sítě internetu 2. 1 PIN Personal Identification Number 2 http://www.mesec.cz/texty/home-banking/ použito dne 09.10.2008 10

Internet banking Zatímco pro využití home bankingu je nutná speciální aplikace, internet banking - nejnovější představitel elektronického bankovnictví - nic takového nevyžaduje. Klient musí mít pouze přístup k internetu a vhodný internetový prohlížeč. Klient tak může přistupovat k účtu z jakéhokoliv počítače připojeného k internetu, pouze se přihlásí k webové stránce banky a může pracovat. Zabezpečení přenosu je přitom podobné jako u home bankingu. Mobilní bankovnictví GSM banking Nejrozšířenější formou elektronického bankovnictví je mobilní bankovnictví, též nazývané GSM banking. U této služby existují tři druhy forem. První je SIM Toolkit. Zde banka do mobilního telefonu klienta (na SIM kartu 3 ) nahraje vlastní bankovní aplikaci, která se objeví v menu telefonu. Při nahrávání aplikace je SIM karta zašifrovaná a nelze z ní získat žádné údaje, ani když dané osobě ukradnou telefon. Současně je přístup k této aplikaci chráněn zvláštním bankovním PIN 4, které se nazývá BPIN. Potom tedy stačí listovat v menu aplikace, najít správnou položku a vybrat některou ze základních služeb (např. zjišťování zůstatku na účtu, přehled historie pohybů na účtu, přehled kursů, zadávání příkazů). Na konec klient obdrží informaci o vybrané službě a to buď formou textové zprávy na mobilní telefon, nebo formou e-mailu do e-mailové schránky, která je předem definovaná. Dalším druhem služby je SMS banking. Komunikace probíhá pouze prostřednictvím SMS zpráv. Na první pohled to nevypadá příliš bezpečně, ale banka i k této aplikaci může vydávat tzv. autentizační kalkulátor, s jehož pomocí si klient vygeneruje speciální kód, který vloží do struktury SMS zprávy. Nevýhodou je složitější manipulace, protože SMS zprávy musí být zaslány přesně ve formátu daném bankou. Zadávání vyžaduje velkou pozornost, aby nedošlo k přepsání. Konečně poslední formou GSM bankingu je WAP banking, což je, jak už název napovídá, technologie, která umožňuje spojení s bankovním účtem prostřednictví mobilního telefonu vybaveného technologií WAP (Wireless Application Protocol). GSM banking tedy 3 SIM karta je médiem, který nese veškeré údaje jako např. telefonní číslo. Je to procesorová karta, která obsahuje vlastní mikroprocesor, který je ovládán řídícím programem. Tím je zpravidla některý z operačních systémů pro čipové karty. 4 PIN je heslo, které umožňuje klientovi přístup k určité aplikaci. 11

umožňuje ovládat účet prostřednictvím mobilního telefonu. Klient tak může některé transakce vyřizovat v podstatě odkudkoliv, kde má potřebný signál. Spektrum služeb jednotlivých bank v rámci GSM bankingu se liší. Zatímco některé nabízejí touto cestou pouze informace o zůstatku na účtu, jiné umožňují zadávání jednorázových i trvalých příkazů k převodu peněz, zakládání termínovaných vkladů a nebo dobíjení předplacených karet. Elektronické peněžní prostředky tento platební prostředek je přijímán i jinými osobami, než jen vydavatelem a uchovává peněžní hodnotu v elektronické podobě. Musí vždy obsahovat následující peněžní znaky: uchovává peněžní hodnotu v elektronické podobě a je přijímán nejen vydavatelem, ale i jinými akceptanty 5. 1.1 Elektronické platby Implementace elektronických plateb je odbornou veřejností uznávána jako jedna z nejvíce rostoucích oblastí v elektronické komerci v poslední době, což si uvědomují hlavně obchodníci a snaží se tak co nejvíce vyvíjet své vlastní platební systémy. Tato skutečnost má za následek to, že je na trhu v současné době velký počet řešení, které stále narůstá. Očekává se, že dokud se trh nestabilizuje, bude tento trend pokračovat. Sféra elektronických plateb je velice široká, existuje několik různých systémů, které mezi sebou soutěží o pozici lídra a snaží se získat co největší počet obchodníků na svou stranu. Každá kategorie má své vítěze a poražené, nicméně je jisté, že dokud nebude jasně jedno řešení dominovat celému trhu, budou tyto platební modely jako jsou šeky, platební karty, elektronické peníze existovat paralerně vedle sebe. Elektronické platby jsou ukládány a přenášeny v digitální formě, což vytváří nové problémy pro vývoj bezpečných elektronických platebních systémů, které jsou v dnešní době velmi důležité. Platby mohou být jednoduše duplikovány na rozdíl od tradičních fyzických platících nástrojů. Jestliže jsou tedy digitální platby reprezentovány pomocí jednoduché sekvence bitů, může docházet ke zkopírování a útočník může provést 5 SCHLOSSBERGER, Otakar; HOZÁK, Ladislav. Elektronické platební prostředky. BIVŠ, a.s. 2005 str.10 12

opakovaně tu samou platbu. Tento problém se nazývá: problém dvojího utrácení a je stěžejním problémem při návrhu bezpečného platebního systému. Dá se tedy říci, že pokud je bezpečnost platebního systému závislá pouze na způsobu skrytí plateb před okolím, může je každý, kdo k nim získá přístup, použít a to i opakovaně. 1.2 Požadavky na elektronické platební prostředky Od elektronických platebních systémů se především očekává vysoký stupeň zabezpečení proti krádeži peněžních prostředků a podvodům různého typu, což je již tradičním velkým zájmem finančních institucí, které se v této oblasti angažují. A navíc je důležitým požadavkem také nízká cena prováděných operací v těchto platebních systémech. Vývojáři, kteří navrhují platební systémy, musí také brát v úvahu, že dobrý platební systém je nezávislý na různých podpůrných systémech 6, stejně jako na počtu jeho uživatelů. Jednotlivé platební transakce se musí provést kompletně (nikoliv jen z části) a transakce musí být nezávislé na sobě. Vždy musí být možné vrátit se do posledního konzistentního stavu v systému. Elektronický platební systém musí být pro uživatele srozumitelný a snadno použitelný. 6 operační, síťově komunikační apod. 13

2. Právní úprava elektronických platebních prostředků V českém právním řádu neexistuje jednotná právní úprava, která by jednoznačně upravovala elektronický platební styk. K 1. lednu 2003 vstoupil v účinnost zákon č. 124/2002 Sb., o převodech peněžních prostředků, elektronických platebních prostředcích a platebních systémech (tzv. zákon o platebním styku), který ve své třetí části charakterizuje vydávání a užívání elektronických platebních prostředků. Základní normy Základní právní normy, které jistým způsobem upravují vztah k elektronickému bankovnictví, jsou: zákon č. 124/2002 Sb., o převodech peněžních prostředků, elektronických platebních prostředcích a o platebních systémech, ve znění pozdějších přepisů, který definuje některé základní pojmy jakými jsou elektronické platební prostředky, elektronický peněžní prostředek a elektronické peníze, vzorové obchodní podmínky, obchodní podmínky vydavatele, užití elektronického platebního prostředku na dálku, osoby oprávněné vydávat elektronické peníze, instituce elektronických peněz a zahraniční instituce elektronických peněz, podmínky pro vydávání elektronických peněz jinými osobami na základě povolení České národní banky, zpětná výměna elektronických peněz, řešení sporů. zákon č. 40/1964 Sb., občanský zákoník, ve znění pozdějších předpisů, konkrétně 40. V odstavci 4 se praví: Písemná forma je zachována, je-li právní úkon učiněn telegraficky, dálnopisem nebo elektronickými prostředky, jež umožňují zachycení obsahu právního úkonu a určení osoby, která právní úkon učinila. Jak smlouvy, tak platební příkazy obsahující výše uvedené identifikace, lze považovat za právně relevantní. zákon č. 99/1963 Sb., občanský soudní řád, ve znění pozdějších novel 7. 7 Zákon o platebním styku. Část třetí. Vydávání a užívání elektronických platebních prostředků. 14

2.1 Smluvní vztah mezi bankou a klientem V oblasti elektronických bankovních služeb lze uplatnit zásadu smluvní volnosti. Strany mohou vzájemné vztahy upravit podle svých potřeb tak, jak to odpovídá jejich souhlasné vůli, pokud to není v rozporu s obecně platnými právními předpisy. Musí obecně platit zásady smluvního práva. Vztahy mezi bankou a klientem je nutné upravit písemnou smlouvou. Obsah smlouvy mezi bankou a klientem Při uzavírání smluv o elektronickém bankovnictví mezi bankou a klientem je častou podmínkou zřízení a vedení běžného účtu klienta u této banky, který slouží pro platební styk a zúčtování. Tato smlouva by měla obsahovat všechny podstatné náležitosti, v obdobném členění, jako je tomu u smlouvy o zřízení a vedení běžného účtu. Nebo může být koncipována jako dodatek k této smlouvě. Do základní smlouvy se doporučuje uvést také některá další ustanovení, např. přesně vymezit majitele účtu, ale i osoby oprávněné disponovat s prostředky na účtu, vymezit jednotlivá práva a povinnosti obou stran, stranu klienta uživatele elektronických bankovních služeb zavázat k dodržování technických pravidel nebo podmínek, jež bývají často přílohou k základní smlouvě o elektronických bankovních službách. Důležitou součástí bývá protokol s elektronickými podpisy 8 klienta. Dále by ve smlouvě nemělo chybět ustanovení o tom, že smluvní strany se dohodly, že právní úkony, učiněné a provedené prostřednictvím elektronického bankovnictví, při dodržení smlouvou stanovených podmínek, nezpochybní a budou je uznávat za platné stejně, jako kdyby byly provedeny osobně nebo písemně podle smlouvy o zřízení a vedení běžného účtu. Takové ustanovení je nutné k tomu, aby jedna či druhá strana nemohly následovně rozporovat provedení příslušného právního úkonu 9. 8 Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (tzv. zákon o elektronickém podpisu). 9 SCHLOSSBERGER, Otakar; HOZÁK, Ladislav. Elektronické platební prostředky. BIVŠ, a.s. 2005 str.12 15

3. Elektronické platební systémy (EPS) Tato kapitola je rozdělena na několik typů členění elektronického platebního styku (dále jen EPS ). EPS je členěno podle různých kritérií a vedle hlavních technologií jsou zde také uvedeny i podpůrné mechanismy, které do této problematiky náleží. 3.1 Základní komponenty a rozdělení EPS Máme několik rozdílných modelů EPS, jejichž cílem je přenos určité částky mezi různými účastníky. Navzájem se odlišují v různých aspektech. Například v bodu, ve kterém je elektronická transakce spojena s pohybem skutečných peněz ve finančním zúčtovacím systému (clearing 10 ) anebo ve stupni bezpečnosti poskytovaným systémem. Tyto různé modely EPS vždy zahrnují plátce, příjemce a nejméně jednu finanční instituci, která propojuje "bity" s penězi. V různých platebních protokolech mají plátce a příjemce také označení jako zákazník či nakupující a obchodník či prodávající. Finanční institucí je většinou banka, jejímž předmětem obchodování jsou peníze. Ve většině existujících platebních systémech je poslední uvedená role rozdělena do dvou částí: vydavatel (issuer) - třetí strana ve spojení s nakupujícím, je to tzv. správce peněz zákazníka. Vydavatel vydává zákazníkovy peníze obchodníkovi nebo jeho správci, který se nazývá nabyvatel (acquier) - třetí strana ve spojení s prodávajícím neboli správce peněz obchodníka. Tyto entity (viz obr. č.1) se de facto vyskytují v každém modelu EPS. Elektronická platba je ve své podstatě implementována jako tok peněz od nakupujícího přes vydavatele a nabyvatele k prodávajícímu. A konečně posledním, který se může v systému nacházet (není to však podmínkou), je arbitr 11, jenž má na starosti případné řešení sporů. Některé platební systémy v sobě zahrnují i další zúčastněné, jako jsou například registrační a certifikační autority nebo jiné důvěryhodné třetí strany, které potvrzují přijetí plateb, vyúčtování atd. 12. 10 Clearing je vzájemné vypořádání transakcí uskutečněných prostřednictvím platebních karet mezi zpracovatelskou a vydavatelskou bankou. 11 Jeho činnost vychází ze : Zákon č. 229/2002 Sb., o finančním arbitrovi je legislativním naplněním předpokladu zákona o platebním styku pro tzv. mimosoudní urovnání sporů, které vzniknou mezi poskytovateli služeb podle tohoto zákona. 12 SCHLOSSBERGER, Otakar; HOZÁK, Ladislav. Elektronické platební prostředky. BIVŠ, a.s. 2005 str.99 SCHLOSSBERGER, Otakar; SOLDÁNOVÁ, Marcela. Platební styk. BIVŠ, a.s. 2005 str. 21 16

Obrázek č. 1: Základní entity každého modelu EPS Zdroj: www.mesec.cz, Michal Piják, a vlastní úpravy. Důležitým dělením EPS je, zda platební instrument v sobě nese elektronickou hotovost či ne. Pokud v sobě tuto elektronickou hotovost nese, jedná se o EPS s elektronickými penězi. Pokud jí neobsahuje, jedná se o EPS bez elektronických peněz. Dalším důležitým kritériem klasifikace EPS je forma vzájemné komunikace mezi různými entitami. Tato forma se dělí do dvou základních tříd: s přímou komunikací mezi plátcem a příjemcem a s nepřímou komunikací. V případě nepřímé komunikace je platební operace vyvolána pouze jednou stranou a zahrnuje tak pouze iniciátora a banku(y). Plátci je pouze oznámena celá transakce a to jeho bankou. Podle vztahu mezi dobou, kdy zákazník, který si vybírá zboží v internetovém obchodě považuje tuto akci za ukončenou a časem, kdy se převedou peníze od plátce rozlišujeme několik systémů a to: předplacenými systémy (pre-paid payment systems), aktuálně placenými systémy (pay-now payments systems), systémy, kdy se platba provádí později (pay-later payments systems). Pre-paid systémy také se někdy označují jako hotovostní (cash-like) modely a sem patří například dobíjecí kupóny a šeky 13. V praxi znamená, že zákazník si nejdříve zakoupí kredit a až bude potřebovat, tak se z něho odečte hodnota zboží nebo služeb, které si někdy v budoucnu zakoupí. Pay-now a pay-later jsou si trochu podobné. V obou dvou 13 Šek je platební příkaz, který dává příkazce (majitel účtu) šekovníkovi (bance), aby k tíži jeho účtu zaplatil určitou částku ve prospěch osoby uvedené na šeku. 17

případech musí mít uživatel zřízen účet v bance ( na rozdíl od předplacených systémů, kdy to nutné není). Proto také tyto systémy jsou zařazeny mezi tzv. účtové (account-based) modely. Další důležité dělení je z hlediska identifikovatelnosti plateb a dělí se na: 1) Identifikovatelné u těchto EPS má vydavatel elektronických peněz možnost identifikovat účastníky každé transakce. To mu dává možnost přesně sledovat cestu elektronických peněz. 2) Anonymní elektronické peníze se chovají stejně jako běžné peníze, jakmile je zákazník od vydavatele elektronických peněz převezme, jejich vydavatel již nemá možnost zjistit, komu, kolik a za co zákazník zaplatil. Z hlediska implementace je anonymní EPS obtížněji implementovatelný než identifikovatelný EPS. EPS se mohou také dělit podle nezbytného toku informací mezi zúčastněnými entitami (viz obr. č. 2). 1) Obrázek 2A zobrazuje model EPS s přímou komunikací, typicky jde o předplacené systémy, kdy si zákazník předplatí svůj kredit a ten použije k provedení platby u obchodníka. Obchodník si následně kredit vymění u svého správce peněž za reálnou měnu a na konec ještě proběhne vyrovnání mezi správci peněz zákazníka a obchodníka. 2) Na dalším obrázku 2B je také model EPS s přímou komunikací. Plátce však dává příjemci právo k převodu peněz od svého správce financí (typickým příkladem je nákup kreditní či debetní kartou, kdy převod peněz probíhá později než zakoupení zboží či dané služby). 3) Obrázek 2C je model EPS s nepřímou komunikací, plátce zde podává požadavek svému správci peněz na převod finančních prostředků ke správci peněz příjemce. Patří sem např. příkaz k úhradě realizovaný pomocí internet bankingu. 4) Poslední obrázek 2D je také model EPS s nepřímou komunikací, ale tentokrát je z jednotlivých transakcí vyloučen samotný plátce. Jde např. o trvalý příkaz v bance, který dovoluje obchodníkovi čerpat z účtu klienta určitou částku peněz. 18

Obrázek č. 2: Platební modely (tečkované čáry znázorňují toky, které mohou vést mimo systém) Zdroj: http://www.mesec.cz/clanky/je-placeni-bezpecne/. Dále se rozlišují dva základní způsoby realizace elektronických plateb: 1) On-line platby před poskytnutím služby ověřuje obchodník s bankou platby od zákazníka 14. On-line systémy zahrnují více komunikace a jsou považovány za více bezpečné než off-line platby. 2) Off-line platby nepotřebují kontakt se třetí stranou během transakce. V tomto případě je zamezováno dvojímu utrácení nějakou již provedenou operací a tak není nutné on-line spojení s bankou. Většina off-line plateb k tomu používá hardwarové zařízení, které zamezují podvodům např. smart karty či softwarové prostředky elektronické peněženky. 14 ověřování probíhá obvykle přes autorizační server na straně vydavatele či nabyvatele. 19

EPS jsou také děleny podle částky, která je přenášena během transakce. Mezi tímto dělením se můžeme setkat s mikroplatbami tyto systémy jsou navrženy k podpoře velkého počtu malých plateb. V letech 1995-1999 došlo k velkému nárůstu mikroplateb, v současnosti však dochází k migraci klasických čistě mikroplatebních modelů k modelům založených na kreditní bázi 15. Největším problémem mikroplateb je cena samotných transakcí. Dalším dělením jsou platby s malou hodnotou obvykle se platby s malou hodnotou provádějí použitím kreditních, debetních karet a široké uplatnění nacházejí zejména na Internetu. Nakonec se můžeme setkat s platbami s velkou hodnotou používají se především on-line, založené na asymetrické kryptografii využívající toho, že identita plátce je známá a ověřená. Můžeme sem zařadit internetové bankovní systémy, převody z účtu na účet atd. Nutnou podmínkou těchto systémů je zřízení účtu v bance. 3.2 Hlavní technologie EPS a podpůrné mechanismy Platební mechanismy a technologie jsou v této části práce děleny podrobněji s vysvětlením jejich fungování. V oblasti platebních karet máme velkou možnost výběru s určitými specifikacemi. 3.2.1 Karty Ve vývoji tohoto platebního prostředku došlo k rozsáhlému vývoji a změnám. V začátku používání platebních karet se vydavatelé snažili lišit něčím od jejich konkurence. To se však časem změnilo v jejich unifikaci s cílem určité standardizace karet. V současné době se používají platební karty několika druhů, které jsou členěny dle způsobu zúčtování transakcí, dle provedení záznamu na kartě dle záznamu dat v čipu. 1) Způsob zúčtování transakcí: Charge karty: podstatou těchto karet je odložení splacení celkové částky transakcí. Fungují obdobně jako karty kreditní s tím rozdílem, že banka svému klientovi na konci měsíce sestaví vyúčtování všech transakcí kartou. Klient pak musí celý dluh jednorázově splatit v dohodnutém termínu, zpravidla do konce následujícího měsíce. Z čerpané částky není účtován žádný úrok. 15 tento model používá k platbám svoji vlastní měnu tzv. virtuální kredit 20

Kreditní (úvěrové) karty: tyto karty jsou často nazývány jako karty úvěrové, protože čerpání prostředků pomocí kreditní karty je určitou formou spotřebitelského úvěru. Úroková sazba je u těchto karet obvykle vyšší než u klasických spotřebitelských úvěrů. Držitel kreditní karty obvykle hradí své závazky v rámci stanovené lhůty pro bezúročné období. Tato lhůta je v rozmezí 30 až 54 dnů. Limitujícím faktorem je však schopnost držitelů těchto karet splácet závazky včetně vyšší úrokové sazby. Debetní karty: jsou pevně svázány s běžným účtem klienta. Jejich použitím, ať jde o platbu u obchodníka nebo výběr z bankomatu, čerpá klient své peníze uložené na bankovním kontu. Úvěr může klient čerpat pouze tehdy, má-li sjednaný u banky kontokorent. Vždy ale nejdříve vyčerpá vlastní prostředky, teprve poté banka poskytuje "kontokorentní úvěr". 2) Karty dle provedení záznamu na kartě Dle způsobu záznamu identifikačních údajů na kartě je obvykle dáno i spektrum použití karty. Existuje několik druhů záznamů na kartě: Embosované karty: typ a umístění embosovaného textu je specifikován standardem ISO 7811. Norma definuje embosování ve dvou oblastech - první je určena pro číslo karty (až 19 znaků), které identifikuje jak vydavatele, tak i držitele. Druhá oblast je vyhrazena na další údaje o držiteli, jako je jméno a adresa (4 řádky po 27 znacích). Tento způsob je nejdéle využívaným způsobem záznamu dat na platební kartě. Magnetický záznam: tento typ karet nese magnetický proužek, na kterém jsou uloženy údaje o vlastníkovi, číslo karty atd. Kdokoliv s odpovídajícím čtecím zařízením na tyto karty si může přečíst uložené informace. Tento typ karet se začal používat až po roce 1971 a znamenal naprostý zlom v karetním průmyslu. Použití platební karty v bankomatu je vždy vázáno na znalost osobního čísla PIN. Laserový záznam: tyto platební karty fungují na principu záznamu digitálních impulsů. Data-impulsy se do podkladové vrstvy disku vypalují laserovou technologií. Tyto data není možno smazat ani měnit. Kapacita záznamu těchto karet je velmi vysoká. Nevýhodou této karty je možnost data poměrně 21

jednoduše kopírovat. Z toho důvodu se tyto karty v oblasti bankovnictví využívají ve velmi omezené míře. 3) Záznam dat v čipu čipová technologie Čipová technologie se dnes využívá nejen v oblasti platebních kareta v bankovnictví, ale i v oblasti komunikací, zdravotnictví, dopravy, zbrojního průmyslu apod. Čipová karta (obrázek č. 3) má obdobné fyzikální vlastnosti jako běžná platební karta. Na přední straně je umístěn čip. Tento čip je chráněn kontaktní ploškou, která je prostřednictvím ultravodivých vodičů spojena se vstupními, výstupními a napájecími kanály integrovaného čipového modulu. Existují ale také karty, které tyto kontaktní plošky nemají. Komunikace s čipem je zajištěna prostřednictvím speciálních radiových snímačů. Čipové karty se podle způsobu využití, typu zápisu a čtení zapsaných dat dále dělí do tří základních skupin: Paměťové karty: (Memory Cards) tyto karty se používají v oblasti, kde na ně není kladená vysoká bezpečnost. Karta disponuje pamětí, avšak žádnou inteligencí. Data jsou do systému pevně vepsána již při výrobě karty. Pořizovací náklady jsou velmi nízké. Logické karty: (Hard-Wired Logic Cards) tento typ karty je už na vyšší bezpečnostní úrovni. Mimo vložených pevných dat, je zabezpečení proti případným padělkům jištěno požadavkem na identifikaci prostřednictvím tajného kódu. Inteligentní karty (Smart Cards) karty obsahují mikroprocesor, který kontroluje přístup k informacím na kartě. Tyto karty zvyšují ochranu proti podvodům a používají se v těch nejdůležitějších (z hlediska bezpečnosti) aplikacích. Dále je můžeme dělit na kontaktní a bezkontaktní karty podle toho, jestli je důležitý fyzický kontakt se čtecím zařízením. Čipové karty si ukládají data do paměti typu: CPU: tato část systému čipu koordinuje povely a tok dat v rámci celého čipu, EPROM: elektronicky programovatelná paměť, data se dají vymazat jen pomocí UV paprsku, EEPROM: na rozdíl od EPROM může být tato paměť elektronicky přepsána 22

SRAM: paměťový blok, do kterého jsou ukládána data potřebná k prováděným operacím. V této paměti nejsou data uložena trvale, je-li čipová karta ze čtečky vyjmuta, přeruší se napájení čipu a dojde k vymazání dat, ROM: v tomto paměťovém bloku jsou uložena základní parametrizační data nastavená přímo výrobcem nebo vydavatelem 16. Obrázek č. 3: Systémová struktura čipových karet Zdroj: SCHLOSSBERGER, Otakar; HOZÁK, Ladislav. Elektronické platební prostředky. BIVŠ, a.s. 2005 str. 67 3.2.2 Elektronické peníze Peníze se postupem času vyvinuly z cenných platidel (vzácné kovy-zlato, stříbro) k bezcenným mincím a bankovkám, šekům až k systémům založeným na kreditní bázi. Se vznikem elektronické komerce se začalo uvažovat také o elektronické formě peněz. Elektronické peníze (e-peníze) lze považovat za náhradu mincí a bankovek, které se ukládají na elektronickém médiu, a které jsou obecně určeny pro uskutečňování elektronických plateb v omezené výši. 16 SCHLOSSBERGER, Otakar; HOZÁK, Ladislav. Elektronické platební prostředky. BIVŠ, a.s. 2005 str.67 23

Elektronické peníze slouží pro on-line nákupy v prostředí Internetu, ale také pro běžné nakupování v kamenném obchodě. Záleží na prostředku, na němž jsou uloženy. Buď se jedná o čip nebo pevný disk počítače, tedy harddisk. Penězi uloženými na čipu lze platit jak on-line, tak off-line, kdežto těmi na pevném disku, lze platit jen on-line. České banky mohou elektronické peníze vydávat už delší dobu, ale žádná tak dosud nečiní. Zaměřují se naopak na rozvoj platebních karet a učí klienty platit jimi, třeba i malé částky v obchodech. Peněženky pro ně tedy ztrácejí význam. Navíc je tu ještě jeden problém. Novela je nyní již zastaralá, část věnovaná elektronickým penězům totiž vychází ze zákona přijatého v 90. letech a potřebovala by revizi. Vypadá to tedy tak, že novela, v její současné podobě, nemůže přinést prospěch žádné straně, jen snad přestaneme působit ve výročních zprávách jako nerovnoprávná země. Elektronické peníze mohou podle novely vydávat pouze: banky a pobočky zahraničních bank, mají-li v jim udělené licenci uvedenou činnost vydávání a správa platebních prostředků, zahraniční banky, pokud je k vydávání platebních prostředků na území České republiky opravňuje jednotná licence podle zákona o bankách, spořitelní a úvěrní družstva pro své členy, mají-li v jim uděleném povolení uvedenu činnost vydávání a správa platebních prostředků, instituce elektronických peněz, zahraniční instituce elektronických peněž, které vykonávají činnost podle tohoto zákona na území České republiky na základě jednotné licence, Česká národní banka, jiné osoby na základě povolení České národní banky 17. Elektronické bankovnictví je způsob komunikace mezi bankou a jejími klienty. Klienti mohou využívat této technologie v pohodlí svého domova nebo kanceláře pomocí moderních komunikačních kanálů. Výhody ale nejsou pouze na straně klienta, banky také obvykle elektronické bankovnictví vítají - pracovníky za přepážkou můžou nahradit (většinou) automatické prvky databáze. 17 http://www.cnb.cz/cs/platebni_styk/elektronicke_penize/index.html, použito dne 10.10.2008 24

Celé spojení je šifrováno (pomocí SSL, Secure Sockets Layer), protože by bylo nežádoucí, aby kdokoli mohl jednoduše zachytit a případně nějak zneužít komunikaci klienta s bankou. Velice důležité je ale vědět, že ten s kým šifrovaně klient komunikuje, je opravdu bankovní aplikace. Proto se banka prokáže certifikátem třetí strany (CA, Certifikační Autorita), které buď musíte věřit nebo před importem ověřit pravost nějakým jiným komunikačním kanálem (např. kontrola fingerprintu certifikátu pomocí telefonu). Šifrování komunikace a ověření, že klient komunikuje s bankou, ale samozřejmě nestačí, protože banka musí vědět, s kým komunikuje. Možností autentizace je několik - přihlásit se klient může uživatelským jménem a statickým heslem, jednorázovým heslem, prostřednictvím kalkulátoru nebo certifikátu v souboru nebo jinde (na disketě, čipové kartě či tokenu). I přihlášení pomocí statického uživatelského jména a hesla stačí. Následující tabulka číslo 1 představuje jednotlivé banky, jejich internetové aplikace a uváděné softwarové požadavky. Tabulka č. 1: Internetové aplikace jednotlivých bank a uváděné softwarové požadavky Jméno banky Název internetové aplikace Oficiální sw požadavky Citibank, a. s. Citibank Online OS MS Windows, MS IE 4.0 a vyšší nebo NN 4.0 a vyšší Česká spořitelna, a.s. ČSOB Dresdner Bank CZ a.s. ebanka, a.s. GE Capital Bank, a.s SERVIS 24 Internetbanking ČSOB Internet banking 24 Internet banking Internetové bankovnictví Internet Banka, Internet Banka GEnius OS MS Windows, MS Internet Explorer 5.0 a vyšší OS MS Windows, MS IE 5.5 (128 Bit šif.) a vyšší OS MS Windows, MS IE 6.0 a vyšší nebo NN 6.0 a vyšší, jakýsi.exe pagin internetový (webový) prohlížeč OS MS Windows (optimalizováno pro rozlišení 800x600), IE 5 a vyšší, MS Java 2752 a vyšší HVB Bank, a.s. Online Banking OS MS Windows, MS IE 4.0 a vyšší nebo NN 4.07-4.75 Waldviertler Sparkasse von 1842 Komerční banka, a.s Internetbanking Mojebanka, Expresní linka Plus OS MS Windows, MS IE 5.0 a vyšší, Active X OS MS Windows, MS IE 5.x a vyšší, MS Java 25

Raiffeisenbank, a.s. Internetové bankovnictví podpora standard HTML 4.0, podpora Javy (pro aktivní operace) Volksbank CZ, a. s. Internetbanking 32bit OS MS Windows, MS IE 5.5 nebo NN 6.0 a vyšší, nainstalovaný plugin Volksbanky Živnostenská banka, a.s. NetBanka OS MS Windows, MS IE 5 a vyšší, MS Java verze 2752 nebo SUN Java 1.3 (doporučená), popřípadě alternativní prohlížeč s podporou standardu HTML 4.0, ale bez technické podpory Zdroj: (http://www.linuxsoft.cz/article.php?id_article=105), a vlastní úpravy. 3.2.3 Elektronická peněženka Elektronická peněženka (Electronic Wallet) je platební nástroj založený na čipové technologii. Jde o prostředek využívaný především k drobným bezhotovostním transakcím. V čipu jsou uloženy tzv. elektronické peníze a platba probíhá vždy v režimu off-line. Tím dochází k úspoře prostředků vynaložených na on-line autorizace. Držitel elektronické peněženky má možnost prostřednictvím speciálních samoobslužných terminálů virtuálně přesouvat své prostředky přímo do vyhrazené sekce v čipu. Nahrávání do elektronických peněženek může být jednorázové nebo opakované. Při úhradě zboží nebo služeb se tyto prostředky prostřednictvím platebního terminálu instalovaného v obchodním místě přesunou buď do elektronické peněženky obchodníka, nebo přímo na účet obchodníka. Identifikace držitele se provádí pouze na úrovni čipu v elektronické peněžence a systému platebního terminálu. Nabíjení peněženek se provádí prostřednictví BBT terminálu, který on-line ověří odpovídající zůstatek na jeho běžném účtu. Autorizační centrum převede z běžného účtu klienta nabíjenou částku na tzv. plovoucí účet banky (Float Account). Jakmile obchodník na platebním terminálu provede uzavření účetního dne, dojde k transferu všech realizovaných transakcí do systému zúčtování transakcí a clearingu. V rámci zúčtování je pak z plovoucího účtu převedena částka rovnající se součtu provedených transakcí v rámci účetního dne ve prospěch účtu obchodníka. 26

Použití elektronické peněženky nahrazuje hotovostní platby drobných transakcí, dále zvyšuje bezpečnost jak banky, tak obchodníka a snižuje mezibankovní poplatky 18. 3.2.4 Mobilní telefony V posledních letech se zájem o mobilní telefony, které se používají jako zařízení pro platby, neustále zvětšuje. Jedním z důvodů je nedostatek čtecích zařízení pro smart karty u osobních počítačů. Předpokládalo se totiž, že tyto čtečky se stanou běžnou výbavou PC, což se nestalo a mobilní telefony tak můžeme použít pro různé druhy vzdálených i lokálních plateb. Jednou z forem využití je stahování dat do PC, telefonu, nákup CD disků, knih, šatů po internetu, ale stejně tak v normálním kamenném obchodě. Můžeme s nimi hradit také parkovné, mýtné, různé zboží z prodejních automatů a nespočet dalších věcí. Všechno to začalo s uvedením SMS zpráv s přidanou hodnotou, jejímž přijetím či posláním jsme si mohli stáhnout např. novou vyzváněcí melodii. Tento trh se rozrostl do velikosti přesahující 1 miliardu EUR pro samotnou Evropu a stále roste díky neustálému uvádění nových digitálních služeb. Je tu tedy stále ještě velký potenciál, kterého mobilní operátoři využili a tak postupně vznikalo nespočet skupin a projektů, které v této oblasti mají své zájmy a postupně vyvíjejí nové standardy a nové projekty. Mezi ty největší patří Mobile Payment Forum, Mobile electronic Trasaction (MeT), PayCircle, The Mobey Forum a posledně ustanovená Mobile Payment Services Association tvořená největšími evropskými mobilními operátory (Vodafone, T-Mobile, Telefonica O2). Hlavním faktorem pro platební operace prováděné mobilním zařízením resp. pro jejich masové rozšíření je jejich použitelnost, jednoduchost a bezpečnost. Tyto operace musí být rychlé, nesmí zákazníka zdržovat zadáváním desítek čísel a znaků. Nové technologie umožňující uživatelsky intuitivnější grafické prostředí, komunikaci typu RFID (radio frequency identification) a Bluetooth, nové verze mobilních prohlížečů a aplikační prostředí (Symbian, MIDP Java) vytvářejí pro mobilní komerci dobré základy, což se jistě v budoucnu projeví. Vznikají pilotní projekty jako např. mobilní peněženka, která podporuje nejrůznější typy plateb. 18 SCHLOSSBERGER, Otakar; SOLDÁNOVÁ, Marcela. Platební styk. BIVŠ, a.s. 2005 str. 75 27

Mobilní telefon je na nejlepší cestě stát se ekonomicky zajímavým, bezpečným a dostupným platebním nástrojem. Proto je zájem mobilních operátorů v celém projektu pochopitelný. Taktéž banky, které vložily spoustu peněz do různých projektů elektronických peněženek a jejichž přínos byl mizivý, mají zájem se spojit s mobilními operátory a vytvořit nový efektivní platební model, který bude pro klienty zajímavý. Každá platba provedená mobilním telefonem bude znamenat pro mobilní operátory další vítaný zdroj příjmů. Více bezhotovostních plateb ve větším množství obchodů přinese bankám nové příjmy a obchodníkům potenciálně o něco větší tržby. Mobilní telefony v rukách zákazníků představují již vybudovaný základ nové platební infrastruktury, do které nebude nutné znovu investovat, ale pouze ji rozšiřovat. Mobilní operátoři mají uzavřeny roamingové 19 dohody ve většině zemí světa, mohou tedy zajistit placení téměř kdekoli na zemi. Jejich nevýhodou však je, že nemají mezinárodní clearingový a zúčtovací systém, který mají banky a jejich platební asociace. Mobilní operátoři také nemají mezinárodně známou obchodní značku, jako je VISA nebo MasterCard. Překonat tyto nedostatky by stálo desítky miliard dolarů a trvalo by řadu let. Je možné uzavřít strategická partnerství s bankami, jako se stalo např. ve Španělsku a zdá se, že bude následováno i v dalších, zejména evropských zemích. Česká republika rozhodně nestojí stranou tohoto vývoje. České banky před 10 lety zavedly jeden z nejmodernějších systémů platebních karet v Evropě (MUZO), Expandia Banka (dnes Raiffeisenbank) a Paegas (nyní T-Mobile) zavedli v roce 1998 jako první na světě GSM banking. V dobíjení předplatných mobilních telefonů pomocí bankomatů nebo nyní i SMS zpráv (Komerční banka, T-Mobile) se české banky opět zařadily mezi nejrychlejší inovátory. Phone banking Phone banking není nic jiného než komunikace s bankou a správa účtu prostřednictvím běžného či mobilního telefonu. Stejně jako u GSM bankingu je možné touto cestou zjišťovat informace i zadávat příkazy, případně zakládat termínované vklady. Na rozdíl od GSM bankingu se u této služby neposílají příkazy bance, ale volá se na dané telefonní číslo - u některých bank je to dokonce i bezplatná linka - a veškerá komunikace probíhá buďto s automatem nebo s operátorem. 19 Roaming je služba, která umožní klientům použít mobilní telefon i ze zahraničí. 28

Zvolí-li klient komunikaci s automatem, dostává instrukce podobně jako u hlasové schránky mobilního telefonu a příkazy zadává prostřednictvím klávesnice telefonu. Při komunikaci s operátorem je možné dávat příkazy přímo hlasem. Služba je přitom zabezpečena buďto PIN kódem nebo heslem. 3.2.5 Autentizace držitele platební karty Bohužel spotřebitelé stále nemají příliš velkou důvěru v posílání detailů o své platební kartě po internetu, ale ve skutečnosti jejich strach vychází ze špatného důvodu. Většina lidí se obává toho, že tato data budou zachycena na cestě k obchodníkovi, což je dnes již prakticky nemožné z důvodu toho, že na všech hlavních komerčních stránkách je použit protokol SSL, který šifruje všechny důležité detaily o platební kartě. Ten podstatný problém, který si většina lidí neuvědomí, je to, že neexistuje cesta, jak autentizovat 20 zákazníka při on-line platební transakci za použití platební karty. A to proto, že nemáme rozšířený mechanismus k potvrzení identity nakupujícího v době nákupu (samozřejmě je myšleno použití platební karty na internetu a ne v normálním kamenném obchodě, kde si prodavač vždy ověřuje, zda souhlasí váš podpis s podpisem na kartě). Pokud chce on-line nakupující v dnešní době platit kartou na internetu, musí vždy zadat údaje o této kartě do formuláře na serveru, který je uváděn obchodníkem. Takto však může vzniknout situace, kdy kdokoliv cizí může do formuláře napsat údaje o cizí platební kartě za účelem podvodného nákupu a obchodník nemá šanci jak zjistit zda tyto údaje jsou pravé. Bez efektivní autentizace vznikají problémy jako např. nedostatek důvěry zákazníků, vyšší cena jednotlivých transakcí, ztráta příjmů pro obchodníky, vyšší cena samotných služeb, zpětné účtování pro banky a nakonec i poškození jména společností vydávající platební karty. V důsledku toho se otevírají možnosti pro alternativní platební metody bez použití platebních karet. Existuje několik řešení, které jsou zahrnuty v platebních systémech jako např. Card Security Code a Address Verification Service či bezpečnější a komplexnější řešení, např. MasterCard SecureCode, Verified by Visa či protokol SET. 20 Proces nazývaný autentizace je tedy ověření totožnosti držitele platební karty během samotného placení touto kartou. 29

3.3 Bezpečnostní požadavky EPS Bezpečnostní požadavky EPS se liší v závislosti na jednotlivých typech systémů, obecně však mezi základní vlastnosti těchto požadavků patří: důvěrnost, integrita, utajenost, autorizace, interoperabilita, dostupnost a spolehlivost přenášených dat. Stejně jako ve světě klasických peněz, i ve světě elektronických plateb stále budou existovat rizika porušení důvěryhodnosti a bezpečnosti. Hlavní záměr bezpečnostních požadavků je to, aby použité kryptografické mechanismy a protokoly tato rizika maximálně minimalizovaly. Uplatňované bezpečnostní politiky šifrováním zpráv brání porušování důvěrnosti odposlechem a elektronickými (digitálními) podpisy brání nepoctivým zákazníkům, aby se podvodně vydávali za jiné osoby, nepoctivým obchodníkům, aby falšovali elektronické platební příkazy zákazníků, a konečně chrání i integritu přenášených dat. Používání důvěryhodného software brání krádežím v počítačových systémech pomocí různých trojských koňů. 3.3.1 Důvěrnost, integrita, autorizace EPS Hlavní náplní důvěrnosti je zabezpečit, aby neautorizované osoby nemohly odposlechem komunikací v síti nebo vniknutím do zúčastněných počítačů zjistit takové informace, jakými jsou příkazy, platby a účty zákazníka. Taková vlastnost se zajišťuje pomocí kryptografie. Aby se omezil výskyt krádeží a snížila se tudíž celková cena zpracování plateb, prověřuje se identita zúčastněných stran autentizací. Obchodník si musí být jistý, že zákazník je legitimní uživatel čísla účtu platné platební karty. Zákazník musí mít možnost identifikovat obchodníka, se kterým může bezpečně elektronicky obchodovat a musí si být jistý, že tento obchodník spolupracuje s finanční organizací, která akceptuje jeho platební kartu. Autentizace se implementuje digitálními podpisy a certifikáty. Zákazník zprávami reprezentujícími platební transakce sděluje co objednává, svoje personální data a platební instrukce. Obsah zpráv se během přenosu nesmí změnit. Vlastnost integrity se obvykle implementuje digitálními podpisy. Celistvý platební systém umožňuje odmítnutí přijetí platby bez souhlasu, aby zabránil podobným věcem, jako je např. uplácení. Autorizace tvoří u neanonymních EPS nejdůležitější složku v platebních systémech a může být prováděna třemi způsoby: 30

1) Autorizace třetí stanou v tomto případě ověřující stranou je typicky banka, která buď zamítne, nebo potvrdí transakci použitím bezpečného venkovního kanálu (např. pošta, telefon). Typické použití je u objednávek po telefonu či mailu a plateb typu CNP (Cardholder not present), dříve zvané MO/TO (Mail order/telephone order). Kdokoliv, kdo zná data z kreditní karty může vyvolat transakci a odpovědný uživatel pak musí toto potvrdit nebo naopak říci, že jde o nepovolenou transakci. Obvykle pokud uživatel nepodá podnět proti dané transakci do 90 dní, je automaticky schválena. 2) Heslem - transakce chráněná heslem požaduje, aby každá zpráva od autorizované strany zahrnovala šifrovanou část pro kontrolu. Tato část je vypočítána pomocí tajného klíče, který je znám pouze autorizující a ověřující straně. 3) Digitálním podpisem - v tomto typu autorizace požaduje ověřující strana digitální podpis autorizované strany. Digitální podpis zajišťuje nepopíratelnost původní zprávy, protože pouze majitel tajného podpisového klíče se mohl podepsat pod tuto zprávu (resp. podepsat se může každý, ale odpovídající digitální podpis majitele X může vytvořit pouze majitel X, protože ten je jediný, kdo zná tajný klíč). 3.3.2 Dostupnost a spolehlivost EPS Dostupnost a spolehlivost přináší možnost provádět platby kdykoliv je to potřeba. Platební transakce musí být automatické. To znamená, že se provede buď celá nebo žádná část transakce a nesmí se stát, že by systém zůstal v neznámem stavu. Žádný plátce by neakceptoval ztrátu peněz kvůli hardwarovým či softwarovým potížím. Dostupnost a spolehlivost tedy předpokládá především bezchybný chod všech počítačových komponent. A pokud už k nějakému problému dojde, je nezbytné mít vypracovaný plán návratu do původního stavu. Chybové stavy zde nejsou dále probírány, protože většina EPS je explicitně ani neuveřejňuje. 3.3.3 Interoperabilita a utajenost EPS V tomto případě je nutné, aby se na platebním systému současně podílely různé hardwarové a softwarové platformy. Každý obchodník může používat jiný počítačový systém, odlišné počítačové systémy mohou používat jednotliví zákazníci, certifikační autority rovněž nejsou vázány na konkrétní softwarovou či hardwarovou platformu, i banka obchodníka si může volit svoji vlastní počítačovou platformu. Potřebná 31