بسترهای نرم افزاري تجارت و بانکداری الکترونیک در ايران

چکیده
اجرای تجارت و بانکداری الکترونیک نیازمند وجود بسترهای مختلفي است که از جمله آنها مسائل مهم در اين بخش نرم‌افزار است كه در زمينه‌هاي مختلف مسائل تجارت و بانكداري الكترونيك مطرح مي‌باشد. وابسته نبودن برنامه‌های تحت وب به Platform و قابل اجرا بودن آن در اینترنت در تمام نقاط موجب رونق گرفتن مجازی سازی جهت کاهش هزینه‌ها شده است.

رونق گرفتن برنامه‌های سرویس‌دهنده و سرویس گیرنده و همچنین گسترش بانکهای اطلاعاتی قدرتمند نصب شده در سرویس‌دهنده‌ها با توانائی ایجاد دومیلیون جدول و امن بودن اطلاعات با توجه به قابلیتهای تهیه پشتیبان خودکار از اطلاعات موجب آسودگی مشتریان و بانکداران شده است. شركتهاي بزرگ نرم‌افزاري بيش از پيش به مقوله امنيت در توليد سيستم‌هاي عامل و برنامه‌هاي توليد كننده Web Applications انديشيدند، و در قرن ۲۱ به جاي افزايش كمي نرم‌افزارها در جهت ارتقاء كيفي كوشيدند زيرا بخوبي مي‌دانستند كه تجارت و بانكداري الكترونيك به سرعت در حال رشد و توسعه است بنابراين مي‌بايست بسترهاي آنرا فراهم نمايند.

بسترهاي نرم‌افزاري بطور خلاصه مي‌توان در ابعاد فني ، فرهنگي، آموزش و حقوقي مورد توجه قرار داد. بعد فني بسترهاي نرم‌افزاري را مي‌توان در فناوريهاي ايجاد شده در زمينه‌هاي سيستم‌هاي عامل، مرورگرهاي وب، زبانهاي برنامه‌نويسي توليد كننده‌هاي برنامه‌هاي تحت وب، بانكهاي اطلاعاتي مبتني بر سرويس‌دهنده مورد بررسي قرارداد. علاوه بر بعد فني در بسترهاي نرم‌افزاري ابعاد آموزشي، فرهنگي و حقوقي نيز در پذيرش تجارت و بانكداري از اهميت فراواني برخوردار است. عدم توجه به وضعيت آموزشي، فرهنگي و عدم بسترهاي حقوقي مناسب در يك كشور موجب شكست تجارت و بانكداري الكترونيك خواهد شد.

تجارت الكترونيك
تجارت الكترونيك فرآيندي است كه بوسيله آن كليه محصولات اعم از محسوس يا نا‌محسوس از طريق يك شبكه‌هاي ارتباطي رايانه‌اي، مخابراتي و يا هر دو خريد و فروش مي شود. تجارت الكترونيك مفهوم گسترده‌اي دارد و تنها محدود به مبادلات و تراكنشهاي انجام شده بر روي اينترنت نمي شود، بلكه كليه تراكنشهاي مالي كه از طريق شبكه‌هاي مخابراتي و ارتباطي رايانه‌اي انجام مي‌گيرد را شامل مي‌شود.

مبادله الكترونيكي داده‌ها(EDI)
از مبادله الكترونيكي داده‌ها مي‌توان براي مخابره الكترونيكي مدارك و اسناد مانند سفارشات خريد، فاكتور، اعلاميه حمل، تاييديه وصول كالا و ساير مكاتبات استاندارد و بازرگاني بين طرفين تجاري استفاده نمود. موضوع مبادله الكترونيكي داده‌ها (EDI) از دهه ۱۹۶۰مطرح شد و به بيان چگونگي مبادله اطلاعات بين شركتها و ادارات پرداخت.

در ارتباطات تجاري سنتي بر پايه كاغذ، وارد نمودن مكرر يك رشته اطلاعات يكسان و واحد مي‌تواند موجب بروز مشكلاتي گردد، ولي با استفاده از مبادله الكترونيكي داده‌ها اين مشكلات بطور قابل ملاحظه‌اي كاهش مي يابد، اين مشكلات بطور كلي عبارتند از:
صرف زمان بيشتر
دقت كمتر
هزينه بالاي نيروي كار
در فن آوري مبادله الكترونيكي داده‌ها براي اسناد تجاري عادي مانند استعلام قيمت، سفارش خريد، اصلاحيه سفارش خريد، بارنامه، اعلاميه وصول، فاكتور و مدارك نظير آنها قالبهاي استاندارد پيام الكترونيكي تهيه شده است. اين مجموعه‌هاي الكترونيكي، رايانه واقع در يك سازمان را قادر مي‌سازد كه بدون تهيه و توليد مدارك كاغذي با رايانه واقع در يك سازمان ديگر ارتباط برقرار نمايد. به اين ترتيب، تلاشي كه بوسيله انسان براي خواندن، طبقه بندي و حمل فيزيكي اين گونه اسناد صرف مي‌گردد، حذف مي‌شود.

اسنادي كه براي آنها قالب استاندارد الكترونيكي تهيه شده يا در دست تهيه مي‌باشد. ۸۵درصد از مكاتبات رسمي تجاري بين شركتها، مؤسسات دولتي، نهادهاي آموزشي و سازمانهاي غيرانتفاعي دركشورهاي صنعتي را تشكيل مي‌دهد.

سه جزء اصلي در ارسال ودريافت پيامهاي مبادله الكترونيكي داده‌ها عبارتندار:
استانداردهاي مبادله الكترونيكي داده‌ها
نرم‌افزار مبادله الكترونيكي داده‌ها
شبكه‌هاي طرف ثالث جهت برقراري ارتباط

مبادله اسناد تجاري به شكل پيش ساخته و مورد توافق طرفين مورد معامله ايجاد مي‌شود كه استاندارهايي براي اين منظور تدوين شده است. استانداردهاي مبادلات الكترونيكي اساسا استانداردهاي مبتني بر داده‌هاي ديجيتال مي‌باشد، زيرا تركيب و مفهوم داده‌هاي مورد مبادله را تعيين مي‌نمايند. بعضي ازاين استانداردها عبارتنداز:
استاندارد مربوط به قسمت حمل ونقل درايالات متحده آمريكا
استاندارد ارتباطات يكنواخت
استاندارد مبادله داده‌هاي تجاري
مدل فرايند تجاري در تجارت الكترونيك

تجارت الكترونيك بطور عام و مبادله الكترونيكي داده‌ها بطور خاص، به عنوان ابزاري براي ايجاد تغيير در شيوه‌هاي عملياتي سازمانها طراحي و پيش‌بيني شده‌‌اند. در اين فرايند تنها حذف معاملات كاغذي مطرح نيست، بلكه همچنين ايجاد تحول در نحوه انجام معاملات سازمانها با طرفهاي تجاري و نيز پاسخگويي به معاملات در مبادله الكترونيكي داده‌ها نيز مورد نظر مي‌باشد و اين خود موجب بازسازي فرايندهاي درون سازماني مي‌شود.
در حقيقت بالاترين سطح بهره‌وري و كارايي زماني حاصل مي‌شود كه اين فن‌آوري پس از بررسي‌هاي كامل و تجزيه و تحليل فرايندهاي درون سازماني پياده شود و پس از برقراري آن نيز فرايندها بطور مداوم مورد بازنگري و بازسازي قرار گيرند.

بازسازي فرايندهاي عملياتي به عنوان ضابطه‌اي جهت ترويج صحيح تجارت الكترونيك در فرايندهاي جديد ظهور كرده است. براي ايجاد يك مدل فرايند تجارت الكترونيك راههاي مختلفي وجود دارد. طبق نظريه «راجر كلارك» يكي از اين مدل‌ها، مدلي است كه بر پايه پنج مرحله متداول در معاملات عادي قرار دارد. اين مراحل پنجگانه به شرح زير است:
۱- مرحله پيش از قرارداد: اين مرحله مربوط به جمع‌آوري اطلاعات در مورد كالاها يا خدماتي است كه خريد يا فروش آنها مورد نظر مي‌باشد.

۲- مرحله قرارداد: در اين مرحله يك رابطه رسمي بين خريدار و فروشنده بوجود مي‌آيد و شرايط حاكم بر قرارداد مشخص مي‌شود.
۳- مرحله سفارش و پشتيباني: در اين مرحله سفارش خريد داده و پردازش مي‌شود، كالاها يا خدمات حمل يا ارائه مي‌شوند و امور پس از تحويل مانند بازرسي و قبول موضوع قرارداد انجام مي‌شود.
۴- مرحله تسويه حساب: در اين مرحله تهيه فاكتور، صدور دستور پرداخت، پرداخت و اعلاميه حواله صورت مي‌پذيرد.

۵- مرحله پس از پردازش: اين مرحله شامل جمع‌آوري و گزارش اطلاعات مديريتي، انبارداري و تجزيه و تحليل آمار تجاري است.

تجارت الكترونيك را در پايين‌ترين سطح آن مي‌توان تنها براي خودكار كردن فرايندهاي موجود به كار برد ولي با اجراي بازسازي روشهاي كاري نحوه انجام كارها را مي‌توان منطقي ساخت. اين اقدام اثراتي نيز روي ساختار سازماني دارد و موجب كاهش هزينه‌ها، افزايش سرعت و بهبود كيفيت خدمات مي‌شود. از آنجا كه خودكار كردن فعاليتهاي سازمان الزاماً طرفهاي تجاري سازمان را نيز تحت تأثير قرار مي‌دهد، لذا عمليات مربوط به خودكار كردن فعاليتها و منطقي ساختن و تغيير و طراحي مجدد شيوه‌هاي انجام كار تنها محدود به ساختار و فرايندهاي درون سازماني نمي‌شود. بلكه ممكن است از چارچوب سازماني فراتر رفته و سراسر يك صنعت يا بخش را فراگيرد.

براي تجارت الكترونيكي چهار مرحله متفاوت و كلي به شرح زير وجود دارد:
۱) در مرحله ارتباط، ‌اينترنت رابطي است كه از طريق آن ارتباط تجاري صورت مي‌گيرد.
۲) در مرحله تبادل اطلاعات با مشتريان رابط گرافيكي تحت وب تسهيلات تبادل اطلاعات را فراهم مي‌نمايد.
۳) مرحله در اختيار قراردادن نحوه اجراي معاملات و طبقه بندي آنها.
۴) مرحله‌ايجاد ارتباط دو سويه از طريق پويا كردن صفحات وب در اينترنت بطوريكه امكان تبادل اطلاعات با مشتريان فراهم آيد.

هدف از بكارگيري شيوه‌هاي تجارت الكترونيك، ايجاد سازمانهاي الكترونيكي است. گرچه اين روش‌ها، مطالعات بدون استفاده از كاغذ را ميان بخش‌هاي تجاري رواج مي‌دهد، ليكن غالباً كارهاي كاغذي درون يك سازمان يعني نامه‌ها، درخواست‌هاي خريد و فرمها، ناديده گرفته مي‌شوند. با توجه به اين امر، مقصود از خودكار كردن گردش كار، حذف كاغذ در داخل سازمان مي‌باشد. بر اين اساس فن‌آوري گردش كار بايد به نحو مناسبي با تجارت الكترونيك تلفيق شود تا راه حل جامعي براي ايجاد يك محيط تجاري بدون كاغذ فراهم گردد.

تمركز و تأكيد اين دو فن‌آوري بر روان ساختن فرايندهاي تجاري، يعني طراحي مجدد آنان از طريق بازسازي روشهاي كاري قراردارد. اين دو فن‌آوري مكمل يكديگرند. در حقيقت مطالعات نشان داده است كه اجراي سيستمهاي گردش كار ممكن است پذيرش سيستمهاي تجارت الكترونيك را آسان‌تر كند.

نرم‌افزار گردش كار، قواعد پردازش و مديريت مسيريابي پيامها و اطلاعات را معين مي‌كند و به اين ترتيب امكان مي‌دهد كه نقش شركت‌كنندگان مشخص شود. ممكن است نقش‌هايي به شركت‌كنندگان واگذار و قواعد مناسبي براي مسيريابي اطلاعات و پيامها بين افراد و پايگاههاي اطلاعاتي تعيين شود. معمولاً يك فرم مجازي به كاربران اجازه مي‌دهد كه فرمهاي سنتي و آشناي مبتني بر كاغذ را روي صفحه رايانه خود ببينند. كاربران بايد اين فرمها را در ايستگاههاي كاري خود با رابطهاي گرافيكي كه كاربردشان نيز آسان است پر كنند.

اين كار به آنان كمك خواهد كرد تا وارد محيط الكترونيكي شوند. نرم‌افزارهاي گردش كار، معمولاً همراه با رابط‌هاي كاربردي، برنامه‌نويسي و ابزار توسعه كاربرد، و زبان نوشتاري عرضه مي‌شوند تا نقشها و قواعد مسيريابي مشخص شود. مديران مي‌توانند با استفاده از ويژگيهاي رديابي نرم‌افزار، از وضعيت كار باخبر شوند.

زمينه‌هايي كه در آنها سيستمهاي گردش كار با سيستم تجارت الكترونيك با موفقيت تلفيق شده‌اند عبارتند از: تداركات، تهيه صورتحساب، امور پشتيباني، فروش، سفارش و غيره. انتظار مي‌رود روند ادغام سيستمهاي داخلي گردش كار با سيستم‌هاي خارجي تجارت الكترونيك به علت كوچكتر شدن شركتها و افزايش كارايي آنان جنبه عمومي پيدا كند. در بعضي موارد، طرفهاي تجاري، استفاده از مبادله الكترونيكي داده‌ها را به سازمان تحميل مي‌كنند.

چنين سازمان‌هايي بايد لزوماً فرايندهاي داخلي خود را بازسازي كنند و در صورت امكان فن‌آوري گردش كار را با تجارت الكترونيك كه در حيطه سازماني آنها اجرا مي‌شود، ادغام كنند. گردش كار را مي‌توان بطور كامل با تجارت الكترونيك ادغام كرد، چرا كه معامله بازرگاني خود نوع خاصي از گردش كار است.

فن‌آوري ديگري كه بايد بخشي از سيستم اطلاعاتي يكپارچه سازمان را در چارچوب گردش كار تشكيل دهد، خط نماد است. خط نماد به كنترل كار و جريان اطلاعات در سازمان طرف تجاري نيز كمك مي‌كند. مزاياي واقعي مبادله الكترونيكي داده‌ها در مديريت كارآمد زنجيره عرضه، از طريق استفاده از خط نماد در تجارت كالاها تحقق مي‌يابد. در زمينه استاندارد، «كميته كد تجاري يكنواخت» ايالات متحده و «موسسه اروپايي شماره‌گذاري كالا » سيستم‌هاي خود را هماهنگ مي‌كنند تا فن‌آوري خط نماد از سازگاري لازم برخوردار شود.

اينترنت
اينترنت عموماً به مجموعه‌اي از شبكه‌ها گفته مي‌شود كه اولاً بصورت فيزيكي به هم متصل‌اند. ثانياً مي‌توانند با يكديگر ارتباط برقرار كنند و منابع اطلاعاتي را با هم به اشتراك بگذارند و ثالثاً در كنار يكديگر بصورت يك شبكه واحد عمل نمايند.
براي اينكه چنين شبكه‌اي بتواند كار كند، شبكه‌ها و رايانه هاي موجود در اينترنت بايد به يكي از دو طريق زير عمل كنند:

بكارگيري زبان يكسان براي برقراري ارتباط با يكديگر
بكارگيري مترجم و مفسر مناسب براي درك زبان يكديگر
اينترنت براي كاربران خود امكان دسترسي به انواع اطلاعات مورد نياز بصورت متن، صوت، تصوير، نرم‌افزارها و… را فراهم مي‌كند. كاربران با استفاده از اينترنت مي‌توانند با يكديگر ارتباط برقرار سازند. اين تسهيلات با استفاده از مجموعه‌اي از سرويس‌ها و ابزارهاي متنوع ارتباطي و مبادله كننده اطلاعات صورت مي‌گيرد.

پست الكترونيك، انتقال فايل، پايانه راه دور، تور جهان گسترتنها گوشه‌اي از اين سرويس‌ها مي‌باشد.
گ‍ستره اينترنت
امروزه اينترنت تقريباً تمام كره زمين را پوشش مي‌‌دهد و انواع شبكه‌هاي كوچك و بزرگ محلي و منطقه‌اي را دربر مي‌گيرد. تمام خدمات و سرويس‌هاي موجود، اين شبكه‌ها را بصورت يكپارچه به كاربران خود ارائه مي‌كنند.

شكي نيست كه گسترش اينترنت و افزايش تعداد كاربران موجب گسترش تجارت الكترونيكي گرديده است، اما اين بدان معني نيست كه افزايش تعداد كاربران به همان ميزان موجب افزايش تجارت الكترونيكي گردد.
بر اساس مطالعه‌اي كه بر روي ۱۲ كشور انجام گرفته است بيش از ۵۰ درصد فعاليتهاي اينترنتي در هر كدام از اين كشورها در شش ماه گذشته در ارتباط با پست الكترونيكي بوده است.
اين فرض درست مي‌باشد كه در كشورهاي در حال توسعه كاربران اينترنتي كه در فعاليتهاي تجارت الكترونيكي دخالت دارند كمتر از سطح ميانگين اين شاخص قرار دارند. شايد اين امر به دليل بازدهي كم سرمايه و پايين بودن سطح استفاده از كارتهاي اعتباري و فقدان محصولات و خدمات و يا پشتيباني ضعيف باشد.

امنيت در اينترنت
ارتباطات اينترنتي مبتني بر TCP/IP به عنوان يك پروتكل زيربنايي است ولي TCP/IP و HTTP با در نظر گرفتن مسائل امنيتي طراحي نشده‌اند و بدون استفاده از نرم‌افزارهاي خاص تمام ترافيك اينترنت به صورت قابل رويت منتقل مي‌شود و هركسي كه ترافيك را مانيتور كند مي‌تواند آن را بخواند. مرتكب شدن چنين حمله‌اي با استفاده از نرم‌افزارهاي پي برنده به بسته موجود، نسبتاً ساده است. اين بدين علت است كه اينترنت رسماً يك شبكه باز است. براي مثال شماره كارتهاي اعتباري افراد هنگامي كه از آنها براي خريد از طريق اينترنت استفاده شود به سادگي مي‌تواند در دسترس ديگران قرار گيرد مگر آنكه تدبيري براي محافظت از آنها اتخاذ شود و اطلاعات آنها به صورت امن منتقل شود. براي يك ارسال امن بايد نكات زير رعايت شود:

 اطلاعات تنها و قابل دسترسي براي فرستنده و گيرنده باشد. محرمانه بودن
 اطلاعات در طول زمان ارسال تغيير نكرده باشد. (صحت)
 گيرنده مطمئن شود كه اطلاعات از فرستنده مورد نظر رسيده است. (اصليت)
 فرستنده مطمئن شود كه گيرنده حقيقي و موثق است. (غير ساختگي بودن)
 فرستنده نتواند منكر ارسال اطلاعاتي كه مي‌فرستد بشود. (غيرقابل انكار بودن)

براي رسيدن به اهداف فوق لازم است از روشهاي رمزنگاري، گواهينامه‌هاي ديجيتال و پروتكلهاي امنيتي استفاده كرد. در اين مقاله روشهاي رمزنگاري پايه و گواهينامه‌هاي ديجيتال بطور خلاصه توضيح داده مي‌شوند سپس پروتكلهاي امنيتي جديد كه براي انجام معاملات بانكي الكترونيكي امن ايجاد شده‌اند، بررسي مي‌شوند.
محافظت از داده‌ها با رمزنگ‍اري
رمزنگاري در ساده‌ترين شكل، بطور سيستماتيك ترتيب عناصر يك پيغام (كلمات، حروف) را تغيير مي‌دهد تا براي همه به جز گيرنده مورد نظر غيرقابل درك شود. روشهاي رمزنگاري و محصولات گوناگوني كه ويژه كاربردهاي خاصي مانند پست الكترونيك يا معاملات كارت اعتباري هستند، وجود دارند كه در اينجا از بين آنها روشهاي DES، RSA و PGP به اختصار توضيح داده مي‌شوند.

۱- (Data Encryption standard) DES
DES از يك رشته الفبا عددي به عنوان كليد استفاده مي‌كند تا يك پيغام را رمزنگاري و رمزگشايي كند. اين روش در سال ۱۹۷۷ ابداع شد و به عنوان يك استاندارد پذيرفته شد. در يك سيستم تك كليدي (متقارن) مانند DES، فرستنده و گيرنده هر دو از يك كليد براي رمزگذاري و رمزگشايي استفاده مي‌كنند. يكي از مشكلات اين روش چگونگي رساندن كليد محرمانه به دست طرف مقابل مي‌باشد

زيرا ممكن است كليد در طول ارسال بدست ديگران بيفتد. بعلاوه سيستمهاي تك كليدي براي اهداف تصديق فرستنده و مسئله غيرقابل انكار بودن كه قبلاً توضيح داده شد، كمكي نمي‌كند. يعني با رمزنگاري تك كليدي به تنهايي راهي براي شناسايي كسي كه احتمالاً از كليد براي تغيير پيغام استفاده كرده است وجود ندارد. اين كمبودها باعث ابداع يك روش دو كليدي با نام RSA شد.

۲-RSA و رمزنگ‍اري با دو كليد عمومي و خصوصي
adi shamir, Len adelman , ron rivest Drs يك روش نامتقارن به نام RSA را ابداع كردند كه به جاي استفاده از يك كليد خصوصي براي رمزنگاري و رمزگشايي پيغامها، از يك كليد خصوصي و يك كليد عمومي متناظر آن استفاده مي‌كند. هر كدام از اين دو كليد براي رمزنگاري و رمزگشايي پيغامها به كار مي‌روند.

هر شخصي براي رمزنگاري پيغام از كليد عمومي گيرنده پيغام استفاده مي‌كند. اين كليد عمومي از طريق پست الكترونيك يا سرور كليدهاي عمومي قابل دسترسي است و چون تنها براي رمزنگاري و نه رمزگشايي پيغامهايي كه به گيرنده فوق ارسال مي‌شوند، استفاده مي‌شود، تبادل آن بدين طريق مانعي ندارد. پيغامي كه با كليد عمومي گيرنده رمزنگاري شود با كليد خصوصي وي كه تنها در دست خود اوست قابل رمزگشايي است.

بنابراين از مجموعه اين كليدها مي‌توان استفاده كرد تا پيغامهاي امن را با هر كسي و بدون مشكل تبادل اين كليد رد و بدل كرد. اين روش حفاظت از داده‌ها را به خوبي انجام مي‌دهد ولي هنوز كاري براي تصديق هويت انجام نمي‌دهد. براي اطمينان از ارسال درست كليدهاي عمومي مي‌توان از گواهينامه‌هاي ديجيتال استفاده كرد كه در بخش گواهينامه هاي ديجيتال توضيح داده مي‌شوند. روش رمزنگاري جديدتري به نام PGP براي رسيدن به هدف صحت اطلاعات از امضاهاي ديجيتال نيز استفاده مي‌كند.

۳-(Pritty Good Privacy) PGP
اين روش توسط Phil Zimmerman ابداع شد و تركيبي از روشهاي IDE, RSA مي‌باشد. PGP همچنين مي‌تواند براي ايجاد امضاهاي ديجيتال از طريق رمزنگاري كاراكترهايي كه در انتهاي پيغام اضافه مي‌شوند، استفاده كند. اين كار اجازه مي‌دهد گيرنده پيغام را با امضاي آن مطابقت دهد و در صورتيكه حتي يك كاراكتر از پيغام عوض شده باشد اين مطابقت وجود نخواهد داشت و مشخص مي‌شود كه پيغام در مسير دستكاري شده است.

در حال حاضر PGP هم نام يك استاندارد رمزنگاري و رمزگشايي مي‌باشد و هم نام يك محصول نرم‌افزاري خاص براي پست الكترونيكي مي‌باشد. اين نرم‌افزار براي سيستم عاملهاي متداول تهيه شده است و پس از نصب plugin آن برنامه پست الكترونيكي موجود روي رايانه اضافه مي‌شوند. سپس مي‌توان بعد از يك بار توليد كدهاي عمومي و خصوصي، ارسال ايمن پيغامها را به راحتي آغاز كرد.

آنچه كه PGP را منحصر به فرد مي‌كند اين است كه يك پيام مي‌تواند داراي چندين امضاي ديجيتال باشد يعني يك نامه مي‌تواند توسط بيش از يك شخص امضا شود و هر شخص ميزان اطمينان خود را بيان كند.

گ‍واهينامه‌هاي ديجيتال
گواهينامه ديجيتال، ضميمه‌اي است كه به يك پيغام الكترونيكي اضافه مي‌شود و براي مسائل امنيتي استفاده مي‌گردد. براي مثال گواهينامه ديجيتال مي‌تواند تصديق كند كه فرستنده پيام همان كسي است كه ادعايش را مي‌كند يا مي‌تواند براي تأمين وسيله‌اي كه گيرنده بتواند با آن پاسخش را رمزگذاري كند، به كار رود. روش كار گواهينامه ديجيتال بدين صورت است كه فردي كه مي‌خواهد يك پيام رمز شده ارسال كند، از يك مرجع گواهينامه (CA) تقاضاي يك گواهينامه ديجيتال مي‌كند. سپس CA يك گواهينامه ديجيتال رمز شده صادر مي‌كند كه شامل كليد عمومي متقاضي و برخي اطلاعات شناسايي ديگر است. CA كليد عمومي خودش را از طريق انتشارات كاغذي يا اينترنت در اختيار همگان قرار مي‌دهد.
گيرنده پيغام رمز شده از كليد عمومي استفاده مي‌كند تا گواهينامه ديجيتالي چسبيده شده به پيغام را رمزگشايي كند و تعيين كند كه توسط CA صادر شده است و سپس كليد عمومي فرستنده و اطلاعات شناسايي نگهداري شده در گواهينامه را بدست مي‌آورد. با اين اطلاعات گيرنده مي‌تواند يك پاسخ رمز شده بفرستد.

مسلماً نقش CA در اين فرايند اساسي است زيرا به عنوان واسطه‌اي در ارتباطات دو گروه عمل مي‌كند. در شبكه بزرگ و پيچيده‌اي مانند اينترنت، اين مدل سه گروهه لازم است زيرا دو گروه خاص ممكن است نتوانند به تنهايي در مورد يك روش مورد اعتماد به توافق برسند ولي با اين وجود بخواهند يك ارتباط مطمئن داشته باشند. بنابراين هر دو گروه به CA اعتماد مي‌كنند و CA هويت و صداقت هر دو گروه را با امضا كردن گواهينامه‌هاي آنها تصديق مي‌كند و هر گروه بطور ضمني به گروه ديگر اعتماد مي‌كند.

لايه سوكتهاي امن (SSL) و HTTP امن (S-HTTP)
بسياري از توليدكنندگان بزرگ محصولات اينترنت، توافق كرده‌اند كه از يك پروتكل رمزنگاري به نام پروتكل لايه سوكتهاي امن (SSL) كه توسط Netsacpe براي ارسال اسناد محرمانه از طريق اينترنت ايجاد شده بود، استفاده كنند. SSL از يك كليد خصوصي براي رمزنگاري داده‌هايي كه از طريق اتصال SSL ارسال مي‌شوند، استفاده مي‌كند.

Internet explorer , Netscape Navigator هر دو از SSL پشتيباني مي‌كنند و بسياري از وب سايتها از اين پروتكل براي گرفتن اطلاعات محرمانه از كاربر مانند شماره كارتهاي اعتباري استفاده نمايند.
اين پروتكل كه بين لايه‌هاي پروتكل سطح Application مانند http و پروتكل لايه Transport يعني TCP/IP قرار مي‌گيرد، براي جلوگيري از استراق سمع، تحريف كردن و جعل پيغام طراحي شده است. چون SSL در زير پروتكل لايه Application قرار مي‌گيرد، مي‌تواند براي ساير پروتكلهاي لايه Application مانند FTP نيز به كار رود.

پروتكل ديگري براي ارسال ايمن داده‌ها روي وب، HTTP امن (S-HTTP) مي‌باشد كه نسخه تغيير يافته‌اي از پروتكل HTTP استاندارد مي‌باشد. S-HTTP توسط شركت Enterprise integration technologies طراحي شد كه در سال ۱۹۹۵ شركت Verifone آن را خريداري كرد. در حاليكه SSL يك اتصال مطمئن بين يك مشتري (Client) و يك سرور ايجاد مي‌كند كه در طول آن هر مقدار داده مي‌تواند بطور امن منتقل شود، S-HTTP طوري طراحي شده است كه پيغامهاي جداگانه را بصورت ايمني ارسال مي‌كند. بنابراين SSL و S-HTTP را مي‌توان به ديد تكنولوژيهاي مكمل و نه رقيب يكديگر نگاه كرد.

اين پروتكلها به مشتري و سرور اجازه مي‌دهند يكديگر و اطلاعات امني را كه بطور پياپي بين آنها جريان دارد، تصديق كنند. با استفاده از روشهاي رمزنگاري و امضاهاي ديجيتال اين پروتكلها:
 به مشتري و سرور اجازه مي‌دهند يكديگر را تصديق كنند.
 به دارندگان سايتهاي وب اجازه مي‌دهد دسترسي به سرورها، دايركتوريها، فايلها يا سرويسهاي خاصي را محدود سازند.

 اجازه مي‌دهند اطلاعات حساس (براي مثال شماره كارتهاي اعتباري) بين مشتري و سرور مبادله شوند در حاليكه براي افراد ديگر غيرقابل دسترسي ميباشند.
 تضمين مي‌كنند كه داده‌هاي تبادل شده بين مشتري و سرور قابل اعتماد هستند (يعني نمي‌توانند بدون اينكه معلوم شود، بطور عمدي يا غيرعمدي تغيير كنند يا خراب شوند)
يك عنصر كليدي در برقراري ارتباطات امن در اينترنت از طريق پروتكلهاي SSL يا S-HTTP، گواهينامه‌هاي ديجيتال مي‌باشد كه در واقع بدون گواهينامه‌هاي ديجيتال پروتكلهايي مانند SSL و S-HTTP نمي‌توانند هيچ امنيتي را تضمين كنند.
پروتكلهاي SSL و S-HTTP به منظور تبادل ايمن اطلاعات بين يك مشتري و يك سرور طراحي شده‌اند. مثلاً هنگاميكه يك مشتري مي‌خواهد از طريق اينترنت يك حساب بانكي جديد نزدبانك افتتاح كند، اطلاعاتي در مورد خود مانند نام، نام خانوادگي، آدرس، تلفن و غيره را به فرم الكترونيكي كه سرور بانك در اختيار وي قرار مي‌دهد، به بانك ارسال مي‌كند. واضح است كه اين اطلاعات بايد محرمانه باقي بمانند و براي اين كار از پروتكلهاي بالا استفاده مي‌شود.

در حاليكه پروتكلهاي SSL و S-HTTP به منظور تبادل ايمن اطلاعات از هر نوعي بين يك مشتري و يك سرور طراحي شده‌اند پروتكلهاي STT و SET ويژه انجام عمليات بانكي و معاملات با كارت اعتباري طراحي شده‌اند.
مبادلات الكترونيكي امن (SET) و تكنولوژي مبادلات امن (STT):

پروتكل مبادلات الكترونيكي امن (SET) يك استاندارد باز براي پردازش معاملات كارتهاي اعتباري روي اينترنت مي‌باشد كه با همكاري Netscape، Microsoft، Visa، Mastercard، GTE، SAIC،System Tersia و Version ايجاد شده است. هدف SET اين است كه معاملات با كارت اعتباري روي اينترنت با همان سادگي و ايمني كه در فروشگاهها انجام مي‌گيرند، باشد. براي حفظ محرمانه بودن معاملات طوري تقسيم مي‌شود كه فروشنده به اطلاعات كالاي مورد تقاضا، قيمت آن و اينكه آيا پرداخت آن تاييد مي‌شود،

دسترسي دارد، ولي دسترسي به اطلاعات نحوه پرداخت مشتري راندارد، بطورمشابه صادركننده كارت اعتباري دسترسي به قيمت كالا را دارد ولي دسترسي به اطلاعاتي درباره نوع كالا را ندارد. SET از گواهينامه‌هاي ديجيتال براي تصديق كردن صاحب كارت، تصديق اينكه فروشنده با موسسه اعتباري ارتباط دارد و غيره استفاده مي‌كند.

نرم افزارهای مورد نياز درتجارت و بانكداري الكترونيك
يكي از زيرساختهاي مهم و اساسي براي بانكداري الكترونيك ايجاد برنامه‌اي كاربردي است. توانمندي و قابليتهاي برنامه‌هاي كاربردي مستلزم تجزيه و تحليل درست نيازها و شناخت وضع موجود در فرآيند عملياتي و محدوديتها و بهبود روشها مي‌باشد. هرچند در طراحي موفق يك برنامه كاربردي، تجزيه و تحليل درست فرآيند عملياتي و بهبود روشها لازم مي‌باشد، اما موفقيت يك برنامه كاربردي مستلزم قابليت و توانايي بالاي نرم‌افزار در توليد برنامه كاربردي مورد استفاده قرار مي‌گيرد، مي‌باشد. تواناييها و قابليتهاي نوع سيستم عامل و بانك اطلاعاتي نيز بعنوان اركان اصلي در تشكيل برنامه‌هاي كاربردي محسوب مي‌شوند. در ارتباط با نرم‌افزارهاي مورد نياز بانكداري الكترونيك نيز مي‌توان به نرم‌افزارهاي بخش داخلي و بخش خارجي بانك نيز اشاره نمود. نرم‌افزارهاي بخش داخلي بانك به در سه گروه زبانهاي برنامه نويسي در ايجاد برنامه‌هاي كاربردي و نمونه‌هايئ از برنامه‌هاي كاربردي، بانكهاي اطلاعاتي و سيستم‌هاي عامل طبقه‌بندي مي‌شوند. نرم‌افزارهاي مورد نياز بخش خارجي بانك (مشتريان) بطور مختصر در اين قسمت اشاره خواهيم نمود.

نرم‌افزارهاي مورد نياز بخش خارجي بانك: مشتريان مي‌توانند از طريق ايجاد ارنباط با Website بانك به تمامي بخشهاي مورد نياز دسترسي داشته باشند. تنها نرم‌افزار مورد نياز مشتريان، يك نرم‌افزار مرورگر وب مانند Internet Explorer (محصول شركت ميكروسافت كه همرا سيستم عامل Windows ارائه مي‌شود)يا Netscape (محصول شركت ميكروسان) است كه ميبايست از رمزنگاري ۱۲۸بيتي پشتيباني كند.

زبانهاي برنامه‌نويسي مورد استفاده در توليد برنامه‌هاي كاربردي
بيشتر زبانهاي برنامه‌نويسي كه اخيراً مورد توجه قرار گرفته‌اند از نوع شي‌گرا مي‌باشند. هر شي داراي ماهيتي است و رفتار هر شي بوسيله عملياتي كه بر روي آن انجام مي‌شود تعريف شده و بالعكس. هر شي در واقع نمونه‌اي از كلاس معيني از شي‌ها است. زبان هاي برنامه‌نويسي كه شي‌گرا هستند عبارتند از: delphi, visual c, visual baseic, c++, java و اخيراً.NET, C≠.

در طراحي برنامه‌هاي كاربردي بوسيله زبانهاي برنامه‌نويسي شي‌گرا مي‌توان قطعات مختلف كه تحت عنوان Activex است در كنار يكديگر قرار داد و برنامه كاربردي را ايجاد نمود. برنامه‌هاي كاربردي بانكداري الكترونيك با توجه به اينكه بايد در سطح اينترنت و يا اينترانت قابل اجرا باشند، مي‌بايست به زبانهاي HTML و يا DHTML و يا ASPباشند. عدم وابستگي برنامه‌هاي كاربردي به سخت‌افزار و نوع سيستم عامل (plateform) يكي از خصوصيات برنامه‌هاي تحت اينترنت و اينترانت محسوب مي‌شود.

در طراحي صفحات web بصورت پويا از زبانهاي اسكريپتمانند javascript و يا vbscript استفاده مي‌شود. اخيراً زبان برنامه‌نويسي جديدي تحت عنوان Visual.net توسط شركت مايكروسافت توليد شده است كه امكان طراحي تمامي برنامه‌هاي كاربردي تحت web با قابليتهاي فراوان از جمله طراحي برنامه‌هاي كاربردي جهت رديابي و امكان وصل شدن تلفن‌هاي همراه به اينترنت از اين طريق فراهم شده است. در طراحي برنامه‌هاي كاربردي بانكداري الكترونيك سعي شده است كه از اين زبانهاي برنامه‌نويسي استفاده شود. در اين قسمت نيز به نمونه‌هائي از برنامه‌هاي كاربردي مورد استفاده در بانكداري الكترونيك اشاره خواهد شد:

• ASP.NET: مایکروسافت با ارائه ASP و زبانهای قدیمی‌تر خود بصورت .NET در قرن بیست و یکم قدم مهمی به سوی برنامه نویسی کاملا حرفه‌ای Online برداشته است. ASP.NET که از VB.NET بهره میبرد، اکنون به برنامه ای کاملا کارآزموده و شی گرا برای تولید نرم افزارهای وب تبدیل شده و بهبودهای زیادی را موجب گردیده است. زبانهائی که از گذشته به ارث رسیده اند، نمی توانند به اندازه .NET ابتکار عملی داشته باشند ، به همین علت مایکروسافت زبان جدیدی تحت عنوان C# برای جارجوب .NET تهیه نمود.(ASP.NET Web Developer’s Guide,2002)
• Macromedia Cold Fusion Server: اين نرم‌افزار جهت انجام عمليات گزارش‌گيري، محاسبات و ديگر عمليات محاسباتي توسط Cold Fusion Script است. اين نرم‌افزار براساس كليد ويژه عملياتي مورد نياز در تجارت‌ الكترونيك و برنامه‌هاي كاربردي تحت Webرا مي‌تواند در اختيار قرار دهد و آنگاه با امنيت و سرعت بالا مي‌تواند عمل نمايد.
• درايور ODBCبراي IBM DB2: اين نرم‌افزار بر روي Web Serverنصب مي‌شود تا ارتباط بين Cold Fusionرا با بانك اطلاعاتي رايانه هاي بزرگ را فراهم نمايد. رايانه هاي شخصي مشتريان نيز مي بايست به نرم‌افزار LivePerson.Com نيز مجهز باشد.

بانكهاي اطلاعاتي
يكي از اركان مهم در توليد موفق برنامه‌هاي كاربردي بانكداري الكترونيك قابليتهاي بانك اطلاعاتي مي‌باشد. نوع بانك اطلاعاتي مورد استفاده در برنامه‌هاي كاربردي در سطح اينترنت و يا اينترانت بصورت بانك اطلاعاتي مبتني بر «سرويس دهنده»مي‌باشد، بطوريكه بانك اطلاعاتي در يك «سرويس دهنده» قرار مي‌گيرد و تمامي پرس و جوها از سوي «سرويس گيرنده‌ها» به سمت «سرويس دهنده» هدايت مي‌شود. و از طريق مديريت بانك اطلاعاتي عمليات پردازش شده و آخرين اطلاعات به بانك اطلاعاتي افزوده مي‌شود.

اين نوع از بانكهاي اطلاعاتي از نوع رابطه‌اي (RDBMS) مي‌باشند. يكي ديگر از ويژگيهاي اين نوع از بانكهاي اطلاعاتي مربوط است به يكپارچگي داده‌ها به نحويكه مانع از ذخيره سازي داده‌هاي تعريف نشدهدر آن مي‌شود. انواع بانكهاي اطلاعاتي مورد استفاده در طراحي سيستمهاي سرويس دهنده و سرويس گيرنده عبارتند از: informix, Db2, Oracle, SQL server
بانك اطلاعاتي SQL SERVER:
شيوه كاربرد عملي SQL بانك اطلاعاتي SQL SERVER يكي از قديمي‌ترين بانكهاي اطلاعاتي مي‌باشد كه امروزه در سطح دنيا بكار مي‌رود. اين بانك محصول شركت ميكروسافت مي‌باشد. بسياري از پروژه‌هايي كه در محيط ويندوز با استفاده از نرم‌افزارهاي ميكروسافت پياده سازي مي‌شوند و اطلاعات زيادي بايد نگهداري و بازيابي شوند معمولاً از اين بانك بعنوان محيطي امن و مناسب استفاده مي‌كنند. اين بانك براي كار در شبكه‌ها طراحي شده است بطوري كه براي هر بانك اطلاعاتي موجود در آن و يا هر جدول، view و… موجود در آن بانك و يا هر فيلد و ركورد خاص در جداول آن كاربرد خاصي تعريف و يا به كاربرهاي موجود اجازه‌هايي خاصي براي اعمال تغييرات از جمله اضافه، تغيير، حذف مي‌دهد. براي اين منظور مي‌توان هم از كاربرهاي تعريف شده در سطح سيستمهاي عامل NT و يا ويندوز ۲۰۰۰ استفاده كرد و يا از كاربرهايي كه درون خود محيط SQL SERVER ايجاد مي‌گردند استفاده كرد.

آخرين نسخه SQL SERVER نسخه ۲۰۰۰ مي‌باشد كه نسبت به نسخه قبلي آن يعني SQL SERVER بهينه شده است. نسخه ۶ و ۵ تنها بر روي سيستمهاي عامل NT برنامه سرويس دهنده آن قابل نصب بود بطوريكه نسخه ۷ آن بر روي سيستم عاملهاي ويندوز ۹۸ به بعد و Windows 2000 قابل نصب و اجرا مي‌باشد.
بانك اطلاعاتي SQL SERVER صرفاً يك محيط براي طراحي اجزاي مختلف بانك اطلاعاتي و مديريت آن مي‌باشد و براي ايجاد يك برنامه كاربردي با آن بايد رابط كاربر را با يك زبان برنامه‌سازي تحت ويندوز مانند ويژوال بيسيك، ويژوال C++، ويژوال J++، Visual interdev، دلفي، .NET و… ايجاد كرد و براي ارتباط با بانك اطلاعاتي از طريق اين زبانها از امكاناتي مانند ODBC و ADO استفاده كرد كه در ادامه اصطلاحات مورد نياز شرح داده خواهند شد و سپس اجزاي يك بانك اطلاعاتي در SQL SERVER بيان مي‌شوند.

نوع ارتباط بين رابط گرافيكي (GUI) و بانك اطلاعاتي به دو صورت امكان پذير مي‌باشند كه عبارتند از: رابط ODBC و رابط ADO .
رابط ODBC برقراري ارتباط بانكهاي اطلاعاتي راه دور (Back- end) را از طريق يك نرم‌افزار (front- end) فراهم مي‌كند. يك برنامه كاربردي توابع ODBC را فرا مي‌خواند و يك مدير نيز نرم‌افزار راه‌اندازي ODBC را بارگذاري مي‌كند. راه اندازي ODBC پردازش فراخواني را بر عهده مي‌گيرد و درخواست SQL را ارائه مي‌دهد و نتايج را از بانك اطلاعاتي برمي‌گرداند.
ODBC توسط محصولاتي چون power builder، فاكس پرو، ويژوال C++، ويژوال بيسيك، دلفي بورلند، Microsoft Access و محصولات ديگر مورد استفاده قرار مي‌گيرد.

رابط ADO
روش ADO براي ارتباط با انواع بانكهاي اطلاعاتي اعم از بانكهاي رابطه‌اي، شبكه‌اي، شي گرا و… بكار مي‌رود و نسبت به ODBC سريعتر و بهينه‌تر مي‌باشد و يادگيري آن آسانتر است و محدوديت ODBC را كه تنها مي‌توانست با بانكهاي رابطه‌اي ارتباط داشته باشد ندارد. ADO بعنوان استانداردي براي ارتباط با بانكهاي اطلاعاتي از طريق web و اينترنت نيز پذيرفته شده است.

سيستمهاي عامل (OS)
سيستم عامل (OS) بعنوان رابط بين برنامه‌هاي كاربردي و سخت‌افزار مي‌باشد و بعنوان اساسي‌ترين بخش در اجراي عمليات پردازش اطلاعات در رايانه محسوب مي‌شود. انتخاب نوع سيستم عامل (OS) و بررسي امنيت آن جهت اجراي بانكداري الكترونيك بسيار ضروري است. زيرا هسته مركزي در طراحي يك شبكه «سرويس دهنده» و «سرويس گيرنده» و همچنين نحوه تخصيص و مديريت منابع در اختيار سيستم عامل (OS) مي‌باشد.

از مهمترين سيستمهاي عامل كه مي‌توانند در محيط شبكه‌هاي اينترنت و اينترانت مورد استفاده قرار گيرند عبارتند از:
الف) سيستمهاي عامل Windows 2000 family
ب) سيستم عامل Linux
الف- سيستم عامل Windows 2000 family
انواع سيستمهاي عامل windows 2000 family كه محصول شركت ميكروسافت مي‌باشند عبارتند از:
۱-windows 2000 professional
2-windows 2000 server
3-windows 2000 advanced server
4-windows 2000 datacenter server
به استثناي windows 2000 professional كه در رايانه‌هاي «سرويس گيرنده»مورد استفاده قرار مي‌گيرد ساير محصولات فوق بعنوان سيستمهاي عاملي هستند كه در «سرويس دهنده» نصب مي‌شوند.

تفاوت هر‌كدام از اين سيستمهاي عامل در قابليتها و تواناييهاي آنها از نظر تعداد رايانه‌هاي تحت پوشش در شبكه و ميزان آدرس دهي فضاي ديسك سخت و همچنين تعداد پردازشگرهاي مركزي كه مي‌تواند بطور همزمان عمليات پردازش را انجام دهند، مي‌باشند. كه مي‌توان بر اساس اولويت در ميزان تواناييهاي آن به ترتيب advance server, datacenter server و server ياد كرد.
هر چند كه نحوه كار كردن با اين سيستمهاي عامل به دليل استفاده كردن از رابط گرافيكي (GUI) براي كاربران راحت (user friendly) وليكن از نظر امنيت و نفوذ پذيري اين نوع از سيستمهاي عامل با ترديد و شك مورد استفاده قرار مي‌گيرند.

ب- سيستم عامل Linux
اين سيستم عامل نگارش جديد سيستم عامل unix مي‌باشد. بدليل اينكه اين سيستم عامل مبتني بر دستورات مي‌باشد و هيچگونه رابط گرافيكي (GUI) در آن در نظر گرفته نشده است، لذا كاربران رغبت لازم براي كاركردن با اين سيستم عامل را ندارند و از سويي ديگر بدليل امنيت بالايي كه اين سيستم عامل داراست از اينرو در اكثر شبكه‌هاي اينترنت و اينترانت بخصوص زمانيكه امنيت اطلاعات براي صاحبان سازمان مهم مي‌باشد از اين نوع سيستم عامل استفاده مي‌شود.

مزیت این نوع سیستم عامل در این است که در انحصار هیچ شرکتی نبوده و بعبارت دیگر تولید کننده خاصی نداشته و این سیستم عامل تکامل یافته متخصصان مختلف می‌باشد و بدلیل دسترسی به source، برنامه قابل تغییر می‌باشد.