Безбедност на платниот систем со посебен осврт на платниот систем во Република Македонија

Transcription

1 УНИВЕРЗИТЕТ Св. КЛИМЕНТ ОХРИДСКИ - БИТОЛА Е К О Н О М С К И Ф А К У Л Т Е Т - П Р И Л Е П МАГИСТЕРСКИ ТРУД ТЕМА : Безбедност на платниот систем со посебен осврт на платниот систем во Република Македонија М Е Н Т О Р : И З Р А Б О Т И Л : проф. д-р Коста Сотироски Кире Стеваноски 133/09 ПРИЛЕП, 2015

2 СОДРЖИНА ВОВЕД... 5 Платни системи Видови платни системи Што е платен систем? Видови платни системи Готовина Чек Дебитна картичка Кредитна картичка Електронски пари (e-cash) Скалирана вредност Акумулиран биланс Електронски платни системи со посебен осврт на платежни картички Споредба на традиционалниот платен систем со електроснкиот платен систем Електронски платни системи Електронска трговија Дефинирање Класификација на електронската трговија Е-пазар Компоненти на Е-пазарот Предности и ограничувања на електронската трговија Платежни картички Видови платежни картички Кредитни картички Платен систем во Република Македонија Потсистеми на платниот систем во Република Македонија МИПС (Македонски Интербанкарски Платен Систем) Учесници и сметки во МИПС Членство во МИПС Правила за работа на МИПС Технички карактеристики на МИПС КИБС (Клириншки Интербанкарски Системи) Организациона шема КИБС КЛИРИНГ КИБС ЕРТС КИБС БЛОКАДИ КИБС ИНФО КИБС ИС Клучни правила КИБС пристап CaSys Технички ресурси Software решение

3 Hardware решение Безбедносни принципи на КаСис Безбедносни правила на КаСис Касис систем Стандардни услуги Интеграција на e-commerce трговците со cpay D безбедносниот модел зголемување на безбедноста на интернет плаќањата Плаќање на сметки преку АТМ Електронска трговија во Република Македонија Електронското банкарство Платежни картички во Македонија Кредитна картичка Безбедност на платните системи Сигурност на информациските системи Механизми на ПСИС за активна и превентивна имплементација на контроли со кои ќе се отстранат и намалат несаканите ефекти при појава на сигурносни инциденти Видови безбедносни закани Инциденти поврзани со штетен код (malware): Методи или начини на кои штетните апликации најчесто пристапуваат и др инсталираат на компјутерот на корисникот: Знаци дека компјутерот е инфициран со штетен софтвер Мерки кои треба да се превземат доколку се забележат некои од горепишаните симптоми на вашиот компјутер Препораки за сигурно користење на е-маил Практикување на интернет сигурност Социјален инженеринг добивање на доверливи податоци за работењето на Банката преку користење на довербата на вработените во Банката Штети кои можат да бидат предизвикани од инцидентите Безбедност на мрежните ресурси Кориснички одговорности Безбедност на мрежата Интернет пристап и негово прифатиливо користење Обврски на корисникот Безбедност на базите на податоци Проценка на ризик и Loging менаџмент Проценка на ризик Политика за Log Management Ревизорски траги Логирање Сигурност на ревизијата Ревизорски контроли и контроли за детекција на промени Сигурносни аларми Основен принцип Влијание

4 13. Статистичко истражување и анализа на податоците за безбедноста на платниот систем во Република Македонија и платежните картички Статистичко истражување на безбедноста на платниот систем во Република Македонија Статистичка анализа на податоците за безбедноста на платежните картички во Република Македонија Статистичко оценување и заклучување за безбедноста на платниот систем во Република Македонија и платежните картички SPSS Опис на променливите Анализа на добиените податоци Заклучок и препораки за идни истражувања: Користена литература: Додаток 1: Анкета

5 ВОВЕД Денес несомнено еден од најзначајните процеси кој ја определува положбата на секоја земја е достигнатото ниво на научно-техничкиот и технолошкиот развој и степенот на апликацијата на неговите достигнувања. Општа карактеристика на технолошкиот развој во глобални размери е навлегувањето во новата фаза на развојот позната како информатичко општество. Новата информатичка техника и технологија стануваат се поатрактивни поради фактот што имаат такви карактеристики кои им овозможуваат пенетрација во сите домени на економскиот и општествениот живот на земјата. Информационата технологија и нејзината структура и карактеристики овозможуваат глобализација на системите и нивното функционирање, со што се уриваат класичните форми на соработка и се отвораат нови хоризонти во односите помеѓу субјектите од сите видови. Во новата фаза на развојот, информационата технологија станува нервен систем на општествената организација на трудот. Интензивниот научно-технички и технолошки развој несомнено предизвикува промени во сите пори на општествениот живот, кои што многу тешко можат да се оценуваат еднострано или временски димензионирано. Според тоа најголема пречка за вклучување на повеќе земји во новите промени, во кои ја гледаме и нашата, ќе биде недостигот на современо управувачко и организациско знаење. Промените во моделот на потрошувачката во правец на индивидуализација на потребите, се овозможени од технологиите на флексибилен начин на производство. Примарен генератор на овие промени се високо развиените држави кои се базираат на моделот на масовна потрошувачка, односно создавање куповна моќ која ќе резултира во побарувачка, за што е потребно и производство. Примената на современата информационо - комуникациска технологија, доведе до револуција во работењето, обезбедувајќи многу повеќе од самиот 5

6 медиум преку кој организациите комуницираат во јавноста. Така, Интернетот претставува нова деловна средина, со сопствена дистрибуциона структура, која овозможува организацијата да му се приближи повеќе на купувачите. Користејќи го Интернетот, претпријатијата се во состојба да ја надминат физичката ограниченост на своите пазари и да направат виртуелна заедница во која ќе се натпреваруваат со своите конкуренти во cyber 1 просторот. Работењето на Интернет никако не значи само електронско тргување, односно продажба по пат на веб страна. Е - тргувањето се опишува како деловна трансформација која се јавува како експлоатација на предностите од здружувањето на претпријатијата (интеграција), процес на соработка (колаборација) и глобално мрежно поврзување - користењето на интернетот како медиум. Врските во соработката мораат прецизно да ги дефинираат концептите - синхронизација, оптимизација, брзина и како најважно концептот контрола. На тој начин се обезбедува управување на процесите низ целокупниот ланец на вредности. Слика број 1. Комуникација помеѓу два компјутери Во конкурентското окружување, секоја активност во серија или ланец мора да делува со цел максимално зголемување на вредноста на производот или 1 Syberspace виртуелен простор, замислен простор во кој што се одвива целата комуникација преку компјутерите, посебно преку Интернетот. 6

7 услугата која се нуди. Денешните менаџери брзо го согледаа ефикасното користење на информационо - комуникациската технологија како доста важно во процесот на зголемување на вредноста. Електронското тргување претставува деловна комункација и пренос на добра и услуги, преку мрежа и компјутери, како и пренос на капитал и користење на дигитална комуникација. Електронската трговија вклучува и останати деловни функции на претпријатието, како што се маркетингот, финансиите, производството, продажбата и административната функција, која е неопходна во процесот на тргување. Електронското тргување подразбира можност за плаќање со картички по Интернет. Електронското плаќање зазема се поголем дел во глобалното работење, ги смалува трошоците и овозможува некои нови начини на започнување, развој и пораст на работењето. Платните системи ја вклучуваат финансиската пазарна инфраструктура за плаќања, хартии од вредност и деривати и се главна компонента на финансискиот систем, заедно со пазарите и институциите. Во модерната економија платните системи треба да функционираат без проблеми, за економските агенти да можат да ги извршуваат трансакциите сигурно и ефикасно. Платниот систем е инфраструктура (составена од институции, инструменти, правила, процедури, стандарди и технички решенија) која овозможува трансфер на паричните средства помеѓу субјектите за извршување на нивните меѓусебни обврски. Платниот систем претставува основно средство за ефикасна имплементација на монетарната политика на централната банка. Меѓутоа, за да може банките и централната банка да обезбедат сигурно, безбедно, ефикасно и брзо извршување на трансакциите мора да имаат развиени платни инструменти, платна инфраструктура и соодветна институционална рамка, кои како целина го формираат националниот платен систем. Дизајнирањето на платниот систем во основа треба да ги задоволи спецификациите на конкретната земја. Тие зависат од голем број на заеднички фактори како што се: брзината на извршување на 7

8 плаќањата, сигурноста при порамнувањето, доверливоста и безбедноста. Неефикасен платен систем може да доведе до несоодветна алокација на финансиските средства и на ризикот помеѓу учесниците, фактичките трошоци и загубата за учесниците, а со тоа и губење на довербата во финансискиот систем и монетарната политика со далекусежни последици по целокупната економија. На врвот на платниот систем е централната банка, која ги води сметките на депозитните институции - банките. Централната банка во платниот систем има оперативна функција, развојна функција и функција на надгледување на другите платни системи во земјата. На следното ниво се банките кои ги водат сметките на останатите правни и физички лица. Сметките се водат децентрализирано - секоја банка за своите клиенти. За извршување и промптно порамнување на плаќањата со големи вредности и итните плаќања помеѓу банките се користи системот на централната банка. За пробивање на плаќањата со мали вредности се користи специјализирана институција - Клириншка куќа за мали плаќања, а резултатите од пребивањето подоцна се порамнуваат во системот на централната банка. Концептуалната структура на темата ќе биде поделена на четири делови, покрај воведниот дел и заклучните сознанија. Првата глава со наслов Платни системи го опфаќа нивното дефинирање и карактеристики, како и преглед на неколку видови на платни системи. Исто така се презентирани и електронските платни системи кои што се користат. Опишани се неколку типови на платни системи. Посебен акцент е ставен на платежните картички како средство за плаќање кои се најраспространета форма на електронско банкарство. Опишани се различните видови на платежни картички, како и краток опис на кредитните картички. Во втората глава фокусот е ставен врз платниот систем во Република Македонија. Даден е краток осврт на платниот систем коj што се користи во Република Македонија заедно со измените и реформите кои се воведени. 8

9 Накратко се опишани и потсистемите на платниот систем во Македонија и тоа: МИПС (Македонски Интербанкарски Платен Систем), Клириншки Интербанкарски Системи - КИБС и Интернационален Картичен Систем АД КаСис. CaSys - Интернационален Картичен Систем е прв сертифициран регионален центар за работа не само со националната платежна картичка туку и со MasterCard и VISA платежни картички со ЧИП. Даден е опис и на платежните картички кои што се користат. Објаснето е користењето на кредитна картичка и преглед на понудата на картично работење во Република Македонија. Електронските платежни системи се разработени во оваа глава, заедно со зачетоците на електронската трговија во Македонија. Третата глава ја опфаќа безбедноста на платежните системи. Даден е краток осврт на видовите на закани кои можат да го загрозат информативниот систем, како и на сигурноста на информативните системи кои што се користат. Мрежните ресурси кои што се користат се едни од клучните фактори кои што влијаат врз безбедноста на платните системи, па така и нивната безбедност е од високо значење. Проценката на ризикот е многу значајна за да се обезбеди стабилен, безбеден и сигурен платежен систем. Исто така и безбедноста на базите на податоци е од огромно значење. Овие безбедности аспекти исто така се разработени во овој дел. Четвртата глава со наслов Статистичко истражување и анализа на податоците за безбедноста на платниот систем во Република Македонија и платежните картички е посветена за емпириско истражување. На почетокот се претставени методите и инструментите кои се користат при ова истражување. Емпириското истражување е спроведено преку анкетни листови. Анализирани се детално сите прашања од анкетниот лист и резултатите се прикажани графички. На крај според добиените резултати се донесени крајни заклучоци. 9

10 Платни системи 1. Видови платни системи 1.1. Што е платен систем? Платниот систем е инфраструктура (составена од институции, инструменти, правила, процедури, стандарди и технички решенија) која овозможува трансфер на паричните средства помеѓу субјектите за извршување на нивните меѓусебни обврски. 2 Платниот систем е оперативна мрежа која што е регулирана со закони, правила и стандарди. Ги поврзува банкарските сметки и обезбедува функционалност за монетарна размена на банкарските депозити. 3 Платниот систем е оперативна мрежа - регулирана со закони, правила и стандарди, која ги поврзува банкарските сметки и обезбедува функционалност за монетарната размена со користење на банкарските депозити. Платниот систем е инфраструктура (се состои од институциите, инструменти, правила, процедури, стандарди и технички средства), основана да ја изврши исплатата на парични вредности. Неговата техничка ефикасност ја одредува ефективноста со која трансакциите се искористат во економијата и ризикот поврзан со неговата употреба. Во пракса, секое плаќање претставува комплексен процес на трансфер на пари од сметката на плаќачот кај една финансиска институција, на сметката на примачот во друга финансиска институција, најчесто банки, при што плаќачи и примачи на средствата, како клиенти на банките, можат да бидат други банки, небанкарски финансиски институции, не-финансиски компании и физички лица. Банките, обезбедувајќи им услуги на своите клиенти, се директни учесници во платниот систем и го формираат таканаречениот меѓу банкарски платен систем. 2 Народна Банка на Република Македонија 3 Payment Systems: Design, Governance and Oversight", edited by Bruce J. Summers, Central Banking Publications Ltd, London,

11 Институција преку која во најголем број земји се врши порамнување на плаќањата е централната банка кај која се водат сметките од банките, со што порамнувањето всушност се врши во рамките на паричната маса кај централната банка. Оттаму, сигурноста, стабилноста и ефикасноста на платниот систем е основа за непречен клиринг и порамнување на плаќањата, како и основа за непречено функционирање на пазарите на пари и капитал. Исто така, платниот систем претставува основно средство за ефикасна имплементација на монетарната политика на централната банка. Меѓутоа, за да може банките и централната банка да обезбедат сигурно, ефикасно и брзо извршување на трансакциите мора да имаат развиено платни инструменти, платна инфраструктура и соодветна институционална рамка, кои како целина го формираат националниот платен систем. Шематски приказ на ваквиот платен систем е даден на слика 2 4. Иако дизајнирањето на платниот систем во основа треба да ги задоволи спецификите на конкретната земја, искуствата посочуваат на голем број заеднички фактори од кои зависи ефикасноста на платниот систем, како што се: брзината на извршување на плаќањата, сигурноста при порамнувањето, доверливоста и безбедноста како и висината на трошоците. Неефикасен платен систем може да доведе до несоодветна алокација на финансиските средства и на ризикот помеѓу учесниците, фактички трошоци и загуба за учесниците, а со тоа и губење на довербата во финансискиот систем и монетарната политика со долгорочни последици по целокупната економија. 4 Народна Банка на Република Македонија 11

12 Слика број 2 Шематски приказ на национален платен систем Со прашањата за платниот систем најпрво почнаа да се занимаваат индустриски развиените земји во 70-тите и 80-тите години од минатиот век, кои паралелно со процесот на либерализација на националните економии и отворање на пазарите на странските инвеститори, особено внимание посветија на компаративните предности на сигурните и ефикасни платни системи и пазари на пари и капитал. На европско ниво, процесот на реформа и модернизација на платните системи го започна Европскиот монетарен институт (ЕМИ), претходник на 12

13 Европската Централна банка (ЕЦБ) и Европскиот систем на централни банки (ЕСЦБ) во 1994 година, со цел да се обезбеди сигурен и ефикасен платен систем за единствената европска валута во идната Европска Монетарна Унија (ЕМУ). Одлуката на експертскиот тим на (ЕМИ) за идниот платен систем беше да се изврши минимум хармонизација на националните платни системи од идните земји членки на ЕМУ со веќе развиениот и модернизиран платен систем на Велика Британија за бруто порамнување на платните трансакции во реално време (RTGS 5 ). До 1985 година само 3 централни банки го имаа воведено RTGS системот. На крајот од 2005 година користењето на RTGS системот се проширило на 90 централни банки. 6 Со овој таканаречен Trans European Automated Real Time Gross Settlement Express Transfer Systems (TARGET) се воспоставија задолжителни норми на платните системи на идните земји членки на ЕМУ. Денес, покрај ЕЦБ и ЕСЦБ на ова поле дејствува и Европскиот платен совет како координативно тело на европската банкарска индустрија во врска со плаќањата. Европскиот платен совет својата стратешка цел ја има насочено кон изградба на Единствена европска платежна област (SEPA), преку трансформирање на силно изразената фрагментирана инфраструктура за мали плаќања и платни инструменти во пан европска платежна инфраструктура. Како резултат на зголемениот меѓународен интерес за сигурноста и ефикасноста на платните системи и бројни активности на разни меѓународни тела и институции, денес се воспоставени бројни механизми за проценка на националните платни системи. Комитетот за платни системи и системи за порамнување (CPSS) на централните банки на земјите од групата Г10 7, во 2001 година ги донесе и објави Основните принципи за системски важни платни системи (SIPS) како норми за земјите од ЕУ и ги постави четирите основни 5 Real Time Gross Settlement RTGS Континуирано порамнување на плаќањата на индивидуална основа, без изедначување на задолжувањата со кредити. 6 Morten Bech, Bart Hobijn, "Technology Diffusion within Central Banking: The Case of Real-Time Gross Settlement", Staff Report nj. 260, Federal Reserve Bank of New York, Working Paper, September G10 Group of ten Група од земји кои се согласиле да учествуваат во GAB (General Arrangements to Borrow) 13

14 одговорности на централните банки за имплементација на Основните принципи неопходни при надгледувањето на платните системи. Секретаријатот на Комитетот е лоциран во Банката за меѓународни порамнувања (БИС). Комитетот претставува форум за мониторирање и анализа на развојот на домашните платни системи и системи за порамнување, клириншките системи, како и преку граничните и повеќе валутни порамнувачки шеми. Работата и публикациите на овој комитет се јавно достапни на официјалната страница на (БИС) 8. Исто така, BIS редовно изготвува извештаи за платните системи на одделните земји. Во 1999 година, Светската банка (WB) и Меѓународниот монетарен фонд (IMF), поставија програм за оценка на системски важните платни системи во земјите членки во рамките на заедничкиот Програм за оценка на Финансискиот сектор (FSAP), а во 2002 година го објавија првиот извештај. Покрај тоа, ММФ во своите извештаи на земјите често вклучува евалуација на домашниот платен систем. Исто така, приватните меѓународни рејтинг агенции при својата глобална оценка за рејтингот на земјата вклучуваат и анализа на стабилноста и ефикасноста на платниот систем. Финансиски Форум за Стабилност, (Financial Stability Forum meeting November 2005) на кој учествуваа претставници на властите од повеќето земји во светот, меѓународни финансиски институции и регулаторни тела, експерти од централни банки и Европската централна банка ги прифати Основните принципи на Комитетот за платни системи (SIPS) како еден од дванаесеттите основни меѓународни стандарди за зајакнување на финансиската стабилност. Денес, современите инвеститори во нивната глобална оценка за инвестицискиот ризик во земјата, скоро рутински ја вклучуваат и оценката за платниот систем. Притоа и приватните рејтинг агенции, но и меѓународните институции, во својата анализа за платниот систем на земјите најпрво се фокусираат на прашањето дали постои платната инфраструктура RTGS. Со поставувањето и прифаќањето на Основните принципи за системски важните платни системи како европски и меѓународни стандарди, централните банки и другите регулаторни тела на земјите во развој и земјите аспиранти за членство во ЕУ, со поддршка од меѓународните институции, се соочуваат со предизвикот за 8 Интернет страница на BIS со адреса: 14

15 имплементација на овие стандарди преку дизајнирање на соодветна платна инфраструктура, како и институционална и регулаторна рамка. Како резултат на тоа, во процесот на отварање на националната економија и приклучување кон светските глобализациони процеси, во услови на зголемена конкуренција за привлекување на странски инвеститори, за денешните земји во развој, сигурниот, стабилен и ефикасен платен систем претставува една од основните компаративни предности во нивните напори за привлекување на странски инвеститори и развој на економијата. 15

16 1.2. Видови платни системи Готовина Готовината претставува легална понуда дефинирана од национален авторитет за да претставува вредност, најчест облик на плаќање во поглед на бројот на трансакции 9. Предности: -лесно се трансформира во други облици на вредност без посредство на друга институција -лесна преносливост -едноставност за употреба -не се плаќа надомест за користење -се обезбедува анонимност -дозволува микро плаќања -повторно може да се искористи за други трансакции Недостатоци: -ограниченоста на помали трансакции -лесно може да се украде -постојат многу валути, а со тоа и трошоци при конверзија кои што најчесто се неповратни. 9 Лаудон К. Кенет, Травер Герсио Карол, Електронска трговија, 2010, стр

17 Чек Чек е наредба за пренос на средства од банката на праќачот на сметка на примателот. 10 Со користење на чекот се дава можност за одложено плаќање, односно помеѓу потпишувањето и реализирањето на чекот постои одреден временски период. Предности: кеш -Побезбедно е од кеш. Може да се исплати само на сметка на примачот на -Се препорачува за поголеми суми и поголем број на плаќања, за да се избегне да се носат многу пари примачот -Плаќачот може да го пополни чекот, а потоа само да го испрати до Недостатоци: -Може да потрае од 3 до 4 работни дена пред средствата да станат достапни за употреба -Чековите не се анонимни и бараат трето лице за нивно реализирање -Многу полесно се фалсификуваат од готовината -Имаат одреден ризик за примателот на чекот бидејќи доколку нема доволно средства на сметката, чекот може да биде стопиран или пак откажан. Во последниве години во нашата земја значително е намалена употребата на чековите на сметка на зголемената употреба на кредитни картички. 10 Financial Systems Development & Compliance Group, Reserve Bank of Fiji 17

18 Дебитна картичка Дебитна картичка е платежна картичка каде износот на транскацијата се одзема директно од банкарската сметка на носителот на картичката. 11 Предности: -Транскацијата ќе биде успешно извршена само ако носителот на картичката има доволно средства на неговата сметка -Може да се користи за on-line купување -Ризикот од кражба е намален со тоа што се користат пин кодови -Не му дозволуваат на корисникот да оди во долгови Недостатоци: -Се плаќа надомест на банката -Трансакцијата може да трае и неколку дена Кредитна картичка Кредитна картичка е платежна картичка издадена на корисниците како систем за плаќање. Му дозволува на сопственикот на картичката да плати за стоки и услуги, врз основа на ветување на сопственикот дека ќе плати за нив. 12 Бројот на платежните картички со текот на времето се повеќе се проширувал со развојот на електронското банкарство и електронските системи кои го овозможиле електронскиот трансфер на парите и развојот на електронските картички Jersey 13 Financial Systems Development & Compliance Group, Reserve Bank of Fiji Sullivan, Аrthur; Steven M. Sheffrin (2003). Economics: Principles in action. Upper Saddle River, New B. Krstić, Bankarstvo, Prosveta, Niš,

19 Предности: -загарантирана исплата до одреден лимит -може да се користи за on-line купувања Недостатоци: -се плаќа надомест на банката -високи каматни стапки -ризикот од кражба е поголем (ако е картичката украдена или се користи за купување на не безбеден сајт) Електронски пари (e-cash) Парите претставуваат информација за некоја вредност, па лесно е да се претворат во друг облик (електронски) кој е погоден за пренос низ компјутерската мрежа. Така со текот на времето традиционалната банкнота стана датотека, рачниот потпис се замени со дигитален, а идентификациониот документ е заменет со дигитален сертификат. Електронските пари постојат само во електронска форма, на пример, зачувани на магнетна лента, како електронски запис во дискот на компјутерот или во чипот на картичката. 14 Предности: -поевтини трансакции поради тоа што трошоците за трансфер на електронски пари преку интернет се значително помали од трошоците за трансфер на пари преку традиционалниот банкарски систем. 14 Горан Петревски, Управување со банките - второ издание, Скопје: Економски факултет 19

20 -претставуваат информација во компјутерот која може да се програмира. - Трговецот кој ги добил електронските пари може подоцна повторно да ги употреби за некоја трансакција или да ги размени во хартиени пари во банката која работи со електронски пари При користењето на електронските пари не се разменуваат информации за купувачот. Со тоа се зголемува сигурноста на трансакциите. 16 Недостатоци: -поради тоа што претставуваат збир од битови, може многу лесно да се копираат Скалирана вредност Сметките создадени со депонирање на средства за плаќање на сметката, кои што се исплаќаат или кои што се повлекуваат според потребите, се наречени системи за плаќање базирани врз концепт на складирана вредност. 17 Во одреден степен тие се слични на чековите кои исто така складираат средства, но не вклучуваат употреба на чек. Тука се вбројуваат дебитните картички, ваучерите, припејд картичките и паметните картички. Р2Р 18 системите за плаќање како PayPal, претставуваат варијации на концептот на складирана вредност. Р2Р системите не инсистираат на плаќање однапред, но бараат сметка со складирана вредност, чековна сметка или кредитна картичка со расположливи средства. PayPal често се именува како Р2Р платежен систем бидејќи им овозможува на малите трговци и индивидуални лица да прифаќаат плаќања без користење на банка или процесирање на трансакцијата. 15 B. J. Cohen, The Future of Money. Princeton: Princeton University Press, European Central Bank, Report on electronic money. European Central Bank, Kenneth C.Laudon,Carol Guercio Traver, E-Commerce:business,technology,society. 18 P2P (person to person)- плаќања преку мобилен телефон, адреса или некои on-line тргновци ( 20

21 Предности: - Безбедност на информациите: На пример доколку се користи PayPal сметка, корисникот ги внесува броевите на кредитните картички и банкарски сметки кои што сакате да ги користите само еднаш. После тоа, никогаш повеќе не мора да ги откривате податоците кога купува преку бројни сајтови. Информации остануваат заштитени. 19 картички -Флексибилнос: користење на повеќе банкарски сметки, кредитни и дебитни - Трансфер на пари: можат да праќаат пари ширум светот со само еден клик на маусот. Ова подразбира голема заштеда кога се во прашање таксите и провизиите кои ги наплаќаат другите сервиси за трансфер на пари. Недостататоци: -Продавачот не е во директен контакт со картичката. Ако некој одбие да плати, многу е тешко да се воспостави контрола слично. -Измами и ранливи системи: фишинг и спам измами, лажни информации и Акумулиран биланс Сметките кои што ги акумулираат трошоците и каде што потрошувачите вршат периодични плаќања се нарекуваат платежни системи со акумулиран биланс. 20 Традиционални примери за ова се јавните услуги, телефоните и Kenneth C.Laudon,Carol Guercio Traver, E-Commerce:business,technology,society 21

22 сметките на American Express 21, кои што акумулираат биланси (вообичаено на месечно ниво), а потоа се наплаќаат во целост на крајот на периодот. Предности: -Не се извршува целото плаќање наеднаш -Постојат многу парични награди за користење на услугата -Може да се плаќа сметка преку телефон 22 Недостатоци: -Високи годишни надоместоци -не е многу широко прифатен и употребуван -постои можност корисникот да биде одбиен На табела број 1 се прикажани неколку видови на платежни системи заедно со можностите кои што ги нудат истите. 21 American Express: Корпорација која што нуди финансиски услуги која што е специјализирана за издавање на кредитни картички на милион лица ширум светот

23 Табела број 1 Карактеристики на инструменти за плаќање Електронска трговија Кенет К.Лаудон, Карол Герсио Травер 23

24 2. Електронски платни системи со посебен осврт на платежни картички 2.1. Споредба на традиционалниот платен систем со електроснкиот платен систем Слика број 3 Традиционален платен систем Сликата прикажува поедноставен шематски приказ на трансакција која што вклучува готовина или плаќање со чекови. Купувачот плаќа за стоката или услугите добиени од продавачот со готовина. Готовината се добива со повлекување на пари од сметката на купувачот во Банка 2. Продавачот добивките од трансакцијата ги става како депозит на банкарската сметка во Банката 1. Слично е и плаќањето со чекови. Купувачот плаќа и се проверува чекот во Банка 1. Банката 1 поставува барање до Банката 2 за плаќање на чекот. Банката 2 и го исплаќа на Банката 1 износот од чекот, а го задолжува купувачот за таа сума. Кога Банката 1 добива исплата ја префрла сумата на сметката на продавачот, со тоа 24

25 трансакцијата е завршена. Информациите на банките за размена на сметките се нарекуваат нотни информации. Слика број 4 Електронски платен систем Плаќањето со посредник се разликува од банка до банка и зависи од инструментот на плаќање. Се издава од страна на посредник кој што гарантира исплата, а има договори со различни банки за обработка на трансакцијата. Во една трансакција на пример со кредитна картичка, продавачот ги зема кредитните информации за купувачот (број на картичка, рок на траење, лични информации) и преку посредникот проверува дали картичката е важечка и дали е во добра состојба. Посредникот врши обработка на информации за кредитната картичка и врши исплата на сметката на продавачот во Банката 1. Кога купувачот плаќа посредникот праќа барање за исплата до Банка 2. Кога средствата се префрлени на сметката на посредникот, процесот на трансакција е завршен, и посредникот ги известува купувачот и продавачот за успешно извршената трансакција. 25

26 2.2. Електронски платни системи Благодарение на зголемената употреба на Интернетот за купување на производи, електронските платни системи станаа многу популарни. Овие системи не само што вклучуваат Интернет трансакции, тие овозможуваат и електронски трансфер на пари. Со напредокот на технологија, употребата на готовина и чекови се намалува, додела опсегот на уреди и процеси кои се користат за електронски трансакции се зголемува. Главна предност е тоа што е многу полесно може да се изврши купување преку картичка или мобилен телефон, во споредба со носењето на готовина. Платежните картички се најчеста форма на електронско плаќање. Тука спаѓаат и Интернет плаќањата кои вклучуваат и трето лице за трансфер на парите, или за купување on-line. Купувачите имаат право на избор дали сакаат да ги префрлат парите директно од нивната банкарска сметка, до која многу лесно може да се пристапи преку Интернет, или сакаат да користат некаков тип на платежна картичка. Почесто се користи вториот тип на купување, купување со платежна картичка. Во пораст е и користењето на мобилни телефони за изведување на електронски трансакции. Во новите мобилни телефони има вградени чипови како софтверот кој овозможува лесни електронски трансакции. Терминот електронско плаќање најчесто се однесува на Е-трговија - исплата за купување и продавање на стоки или услуги понудени преку интернет, или во голема мерка на секој вид на електронски трансфер на средства Електронска трговија Интернетот претставува најголема светска мрежа која е составена од сите компјутерски мрежи во светот, кои се изградена врз заеднички стандарди. Интернетот е создаден пред крајот на 1960-тите за да поврзе мал број големи комјутери и нивните корисници. Тој ги поврзува заедно бизнисите, образовните институции, владините агенции и поединците. Интернетот обезбедува услуги за

27 корисниците како што се трансфер на документи, електронска пошта, истражување, разговори, групи за дискусија, купување, музика, видеозаписи и вести. Електронската трговија е појавување на Интернетот како главен канал на дистибуција на добра, услуги, па и на менаџерски и професионални работи. Тоа довело до длабинско менување на пазарите, економијата, индустриската структура, потрошувачката сегментација и однесување, производите и услугите и нивниот тек, работните пазари. Влијанието се чувствува во општеството и политиката, па дури и во начинот на кој го гледаме светот. Електронската трговија по дефиниција е процес на купување, продавање, пренос или размена на производи, услуги или информации преку компјутерски мрежи. На почетокот под поимот електронска трговија се подразбирало електронско олеснување на комерцијалните трансакции кое користело технологии како EDI и EFT. Овие технологии им дозволувале на бизнисите да праќаат трговски документи, на пример, нарачки по електронски пат. Други форми на електронската трговија се и зголеменото прифаќање на кредитните картички и телефонското банкарство. После 1990-те год., електронската трговија вклучува и планирање на ресурсите во претпријатијата, рударење по податоци и складирање на податоци. До 1991 год. трговското користење на Интернетот било забрането. Потребни биле 5 год. за изградба на сигурносни протоколи. До крајот на 2000 год. многу бизнис компании почнале да ги нудат нивните услуги преку WWW Дефинирање Електронската трговија е процес на купување, продавање, пренос или размена на производи, услуги или информации преку компјутерски мрежи, вклучувајќи го и Интернетот. Е-бизнисот опфаќа не само купување или продавање на добра и услуги, туку и услужување на купувачите, соработка со бизнис партнерите и.т.н. Електронската трговија може да се јави во три форми, зависно од степенот да дигиталност продуктот, процесот и добавувачкиот застапник. Сите три форми можат да бидат физички или дигитални. Според тоа имаме чиста,

28 односно делумна електронска трговија. Физичките организации продаваат физички производи преку физички застапници. Виртуелните организации ги извршуваат нивните активности исклучително online. Некои организации извршуваат некои активности од електронската трговија, но нивните примарни активности ги извршуваат во физичкиот свет (click-and-brick). Најголем дел од електронската трговија се извршува преку Интернет, но таа исто така може да се спроведе и преку приватни мрежи, како што се VAN s (value-added networks) и сочинуваат LAN s (local area networks). Скелетот на електронската трговија го 1. на самиот врв се апликациите на електронската трговија (директен маркетинг), барање работа, online банки, Е-влада, аукции, сервиси на потрошувачите; 2. сервиси за поддршка (луѓе, јавна политика, маркетинг и рекламирање, бизнис партнерство); 3. инфраструктура Класификација на електронската трговија Според природата на трансакциите или интеракциите ја имаме следната трговија класификација на електронската 1. бизнис-бизнис (business-to-business, B2B). Модел на електронска трговија каде сите учесници се од бизнис секторот или други организации. 2. бизнис-корисник (business-to-consumer, B2C). Модел на електронска трговија каде бизнисите продаваат на индивидуални купувачи. 3. бизнис-бизнис-корисник (business-to-business-to-consumer, B2B2C). Модел на електронска трговија каде бизнисот снабдува со некој производ или услуга свој клиент-бизнис, кој пак држи свои сопствени клиенти. 4. корисник-бизнис (consumer-to-business, C2B). Модел на електронска трговија каде индивидуалци го користат Интернетот со цел да продадат одредени производи или услуги на организации или бизниси. 5. корисник-корисник (consumer-to-consumer, C2C). Модел на електронска трговија каде купувачите директно им продаваат на други купувачи. 28

29 6. мобилна трговија (mobile commerce, m-commerce). Активности и трансакции на електронска трговија спроведени во безжично опкружување. 7. размена-размена (exchange-to-exchange, E2E). Формален систем кој поврзува две или повеќе размени. 8. бизнис-вработени (business-to-employees, B2E). Модел на електронска трговија каде организацијата испорачува производи, услуги, или информации до нејзините индивидуални вработени. 9. бизнис-влада (business-to-government, B2G). Модел на електронска трговија каде имаме јавни набавки на владата, плаќање царини и даноци од страна на компаниите по електронски пат. 10. влада-корисник (government-to-consumer, G2C). Модел на електронска трговија каде имаме јавни услуги насочени кон индивидуалните корисници по електронски пат Е-пазар Пазарите играат централна улога во економијата. Тие ја олеснуваат размената на информации, добра, услуги и плаќања. Во самиот тој процес тие создават економска вредност за купувачите, продавачите, пазарните посредувачи и за општеството во целина. Пазарите имаат три главни функции: 1. Средба на купувачите и продавачите; 2. Олеснување на размената на добра, услуги и плаќања; 3. Овозможува институционална инфараструктура, која пак, овозможува ефикасно функционирање на пазарот. Е-пазар е пазар каде што купувачите и продавачите разменуваат добра и услуги за пари, но тоа го извршуваат по електронски пат. 26 Efraim Turban, Electronic commerce: A Managerial Perspective 4/E, Prentice Hall,

30 Компоненти на Е-пазарот 1. Купувачи сите луѓе кои сурфаат на Интернет се потенцијални купувачи на добра и услуги кои се нудат. Овие купувачи бараат попусти, колекционерски производи, забава и.т.н. 2. Продавачи на Интернет се рекламираат милион продавачи кои нудат голем број на различни производи. 3. Добра и услуги на двата пазари - физичкиот и виртуелниот пазар се нудат физички производи, но на виртуелниот пазар може да се сретнат дигитални производи. 4. Инфраструктура електронски мрежи, хардвер, софтвер, и др. 5. Front end претставува дел од бизнис процесот на е-продавачот, преку него купувачите соработуваат, тука се вклучени и порталот на продавачот, електронски каталози, купувачки картички и наплатната порта. 6. Back end преставуваат активности кои ги поддржуваат online нарачките, како што се иновативен менаџмент, купување од набавувачите, процес на плаќање, пакување и испорака. 7. Посредници се трета страна која посредува меѓу купувачите и продавачите. 8. Други бизнис партнери неколку видови на партнери, кои го користат Интернетот за да соработуваат, најчесто преку веригата на набавка Предности и ограничувања на електронската трговија Електронската трговија на бизнисите и потрошувачите им дозволува да комуницираат меѓу нив и да соработуваат. Има доста предности и недостатоци кај бизнис ваквиот начин на воспоставување организациите Предности за - глобално богатство; - намалување на трошоците; - подобрувања кај веригата на набавка; 30

31 - проширување на работното време (24/7/365); - костумизација; - нови бизнис модели; - специјализација на потрошувашите; - други користи (подобар имиџ, подобри услуги за купувачите, полесно наоѓање на бизнис партнери, полесен пристап до корисна информација, пониски транспортни трошоци, помалку работа со документи, и.т.н). купувачите Предности за - побогат избор на производи и услуги; - можност за купување 24 часа на ден, од било која локација; - костумизирани производи и услуги; - поефтини производи и услуги; - инстант добавување; - располагање со многу информации; Предности за општеството: - помалку сообраќајна гужва, а со тоа и помалку загаден воздух; - повисок стандард на живеење; - домашна сигурност; - надеж за посиромашните; - лесен пристап до јавните услуги. Лимитации и бариери на електронската трговија: топ 10-те бариери на електронската трговија се: сигурност, доверба и ризик, недостаток на квалификуван персонал, недостаток на бизнис модели, култура, недостаток на јавна клучна инфраструктура, организација, измама, старата навигација на Интернетот и легални проблеми. 31

32 2.4. Платежни картички Платежна картичка претставува средство за плаќање кое се издава од страна на банкарска или друга финансиска институција. Таа содржи електронски податоци за лица и електронски генерирани броеви со кои се овозможува вршење финансиски трансакции. Платежните картички се електронски средства за плаќање и тие содржат информации за паричните средства на имателот на картичката, или пак се поврзани со компјутерскиот центар во банката. Најраспространетата форма на електронско банкарство се платежните картички. Како најголеми издавачи на платежните картички се банките, но можи да се издаваат и од страна на самостојни оператори, но и од нефинансиски трговски друштва. Поимот платежна картичка за првпат бил употребен во 1887 година во футуристичкиот роман на американскиот писател Едвард Белами. Писателот прогнозирал дека во 2000 година ќе постои и картичка која ќе служи за безготовинско плаќање. Првите платежни картички се појавиле во САД во 1894 година. Тие прво биле употребени во хотелот Credit Letter Company. Во 1950 година американскиот бизнисмен - Франк Макнамара заедно со двајца пријатели ја основале фирмата под името Diners Club. Во 1949 година дошле до идејата за формирањето на ваква фирма и тоа за време на една вечера на Макнамара со пријателите каде тој не можел да ја плати вечерата бидејќи го заборавил новчаникот дома. Тоа заборавање не му било за прв пат, па така Макнамара си ветил дека ќе изнајде практично решение за тој проблем. Оттука, Дајнерс клуб ја издал првата универзална платежна картичкаи со тоа во 1959 година го сторил и туристичкиот концерн American Express. Првиот банкарски систем го иницирала банката на Америка во 1959 година. Кон крајот на 1960-тите се направил пресврт со тоа што се појавиле двата големи меѓународни системи на кредитни картички: Visa и MasterCard. Во Франција во 1974 година, биле измислени т.н. паметни картички (smart cards) од страна на Роланд Морено. Бројот на платежните 32

33 картички со текот на времето се повеќе се зголемувал со развојот на електронското банкарство и електронските системи. 27 Денес се користат голем број електронски картички, кои вообичаено се изведени од обичните празни картички (кои се изработени од половинил хлорид или половинил хлорид ацетат) со разни додатоци, и со стандардни големини од 86 х 54 мм и дебелина 0,76 ± 0,08 мм. Според локацијата и примената, картичките се делат на: национални и интернационални. Според технологијата на изработката и функционирањето, тие се делат на: магнетни, интелигентни и ласерски, односно оптички картички. Магнетните картички се пластични картички со магнетна лента, обично една, но може и повеќе, со три патеки на кои се врши запишувањето на податоците. Оптичката или ласерската картичка ја применува техниката на оптичко меморирање. Таа е измислена од страна на корпорацијата Drexler од САД. Капацитет на картичките е од 2,66 до 6,6 MB, што значи дека еднаш запишаните картички не можат да се менуваат Видови платежни картички Постојат три типа на платежни картички Дебитните картички на своите сопственици им овозможуваат да вршат плаќања, само ако имаат доволно пари на банкарските сметки. Сепак, повеќето банки даваат можност за одредено пречекорување на сметката, односно им овозможуваат на сопствениците на овие картички да плаќаат иако немаат пари на сметката (да влегуваат во минус, т.е. во црвено ), со што тие, всушност, користат кредит од банката. - Кредитни картички кои што ќе бидат објаснети подолу - Картичките со претплата и паметните картички (smart cards). Кај првите, однапред се уплатува одреден износ пари, а потоа при секоја нивна употреба, од претплатениот износ се одзема вредноста на поединечните B. Krstić, Bankarstvo, Prosveta, Niš, 1996 M. Ćirović, Bankarski menadžment, Beograd, 1995 Горан Петревски, Управување со банките - второ издание, Скопје: Економски факултет,

34 трансакции, сè додека не се исцрпи износот наведен на картичката. Овие картички се широко распространети. Тука спаѓаат телефонските картички, дневните или месечните билети во јавниот превоз итн. Паметните картички поседуваат вграден микрочип којшто овозможува зачувување бројни финансиски информации за сопственикот на картичката. Секоја уплата или исплата се бележи на самиот чип, а овие картички може ја содржат дури и целата финансиска историја на нивните сопственици. 30 Издавањето картички е привлечна активност за секоја банка, поради две основни причини: - прво, преку нив, банките привлекуваат клиенти, коишто потоа користат и други банкарски производи и, - второ, картичките претставуваат значаен извор на приходи. На некои картички, банките наплаќаат годишна членарина во одреден износ што зависи од прометот направен со помош на картичката. Понатаму им наплаќаат на трговците одреден надомест од вредноста на прометот направен со употреба на картичките. Како дел од приход се јавува и провизијата што банките ја наплаќаат при повлекувањето готови пари од банкоматите, како и каматата на искористените кредити врз основа на картичките Кредитни картички Кредитните картички се средство за плаќање со чисто кредитни карактеристики. Тие не се поврзани со тековните сметки на луѓето, туку со нивната употреба. Сопствениците на картичките веднаш користат кредит од банката. Потрошувачот, кај овие картички, има отворена кредитна линија на определен износ којашто постојано се продолжува. Тој има на располагање одреден износ за позајмување и штом го отплати долгот (делумно или целосно), Горан Петревски, Управување со банките - второ издание, Скопје: Економски факултет, 2011 Горан Петревски, Управување со банките - второ издание, Скопје: Економски факултет,

35 кредитот повторно му се обновува. Сопствениците на кредитните картички имаат голема флексибилност во отплатата на долгот, односно можат наеднаш да го отплатат целиот искористен износ на кредитот или пак да платат само определен процент од кредитот. Притоа, тие плаќаат камата само на искористениот кредит. Корисникот на картичката има на располагање одреден дополнителен период најчесто од 10 до 15 дена во кој може наеднаш да го плати целиот долг и тогаш не плаќа никаква камата. Кредитните картички на овај начин овозможуваат користење бескаматен кредит со рочност до 40 до 45 дена. Постои и можност за отплата на определен минимален износ од долгот, но тогаш банката пресметува и наплаќа камата од денот на извршената трансакција. 35

36 3. Платен систем во Република Македонија Платниот систем во Република Македонија може да се претстави шематски на следниот начин: Македонија Слика број 5 Шематски приказ на платниот систем во Република На врвот на платниот систем е централната банка, која ги води сметките на депозитните институции - банките. Централната банка во платниот систем има оперативна функција, развојна функција и функција на надгледување на другите платни системи во земјата. На следното ниво се банките кои ги водат сметките на останатите правни и физички лица. Сметките се водат децентрализирано - секоја банка за своите клиенти. За извршување и промптно порамнување на плаќањата со големи вредности и итните плаќања помеѓу банките се користи системот на централната банка. За пребивање на плаќањата со мали вредности се користи специјализирана институција - Клириншка куќа за мали плаќања, а резултатите од пребивањето подоцна се порамнуваат во системот на централната банка Народна Банка на Република Македонија 36

37 4. Потсистеми на платниот систем во Република Македонија Платниот систем во Република Македонија е составен од следните подсистеми: 33 - МИПС (Македонски Интербанкарски Платен Систем) - Систем за бруто порамнување во реално време (РТГС) за обработка на плаќањата со голема вредност и итните меѓубанкарски плаќања. - Клириншки Интербанкарски Системи - КИБС - Систем за одложено нето порамнување (ДНС) за обработка на плаќањата со мала вредност. - Интернационален Картичен Систем АД КаСис - Систем за одложено нето порамнување (ДНС) за обработка на плаќањата со картички. - Интерните платни системи на банките за плаќања помеѓу клиентите депоненти во рамките на една иста банка. Тука се оние плаќања кои не предизвикуваат промена на состојбата на сметката на банката во Народна банка на Република Македонија. Овие подсистеми се функционално поврзни и сите нивни активности се одвиваат со однапред дефинирани начини на функционирање и по строго утврден термински план МИПС (Македонски Интербанкарски Платен Систем) Македонски Интербанкарски Платен Систем (МИПС) е систем на Народна банка на Република Македонија преку кој се вршат сите меѓубанкарски плаќања. Работи по т.н. RTGS принцип, што значи дека плаќањата се извршуваат во реално време, т.е. веднаш. Преку овој систем се процесираат големите плаќања и итните плаќања во домашниот платен промет, во македонски денари. 34 Македонскиот Интербанкарски Платен Систем на Народна банка на Република Народна Банка на Република Македонија Народна Банка на Република Македонија 37

38 Македонија е на располагање на овластените учесници во текот на секој работен ден. Ова е прв систем во Македонија кој користи електронски потпишани документи и беше предвесник на широкото прифаќање на информационата технологија во банкарството во Македонија. Започна со работа на година. Учесници во системот се Народна банка, деловните банки, брокерските куќи, министерството за финансии, клириншката куќа КИБС, Централниот Депозитар за хартии од вредност, картичниот центар КаСис, Мастеркард и други. Системот работи со употреба на SWIFT стандардите за електронски потпишани налози за плаќање. Системот работи од 07:30 до 16:30 за плаќања на клиентите на банките и до 17:00 за меѓубанкарски плаќања. Секој ден преку овој систем се порамнуваат просечно по околу 6.5 милијарди денари. МИПС системот е информационен систем со сложени технички карактеристики. Тоа е првиот систем во Република Македонија во кој се започнаа да се применуваат документи во електронски облик - потпишани со електронски потпис. Самиот систем се базира на модерен информационен систем со голем број на вградени опции. Некои од опциите се: водење на повеќе сметки за еден учесник, извршување на налози во стандарден SWIFT формат, работење со повеќе мрежи при што се имплементира "V" шема, итн. 35 Во овој момент се користат три начини на приклучување: Начин на пренесување на пораки во МИПС број 1, 2 и 3. МИПС системот ги процесира налозите кои се во SWIFT формат во согласност со Стандард за намената и форматот на пораките во МИПС. 35 Народна Банка на Република Македонија 38

39 Учесници и сметки во МИПС Учесници во МИПС може да бидат: 1. Народна банка на Република Македонија. 2. Носителите на платен промет. 3. Клириншките системи: - Клириншката куќа и - Централниот депозитар на хартии од вредност. 4. Трезорскиот систем со Единствената Трезорска Сметка. 5. Останати институции согласно прописите. Секој Учесник во МИПС има своја адреса која се нарекува BIC код. Сите Учесници во МИПС се водат во посебен Список на Учесници во МИПС. Зачленувањето во МИПС е многу едноставно, по однапред пропишана процедура. За учество во МИПС не е неопходно да се има отворено сметка во Народна банка на Република Македонија. Отворањето на сметка во Народна банка на Република Македонија се регулира со посебен Договор помеѓу Народна банка на Република Македонија и Учесникот. Сите сметки на учесникот отворени во Народна банка на Република Македонија му се достапни преку МИПС. Учесникот може да овласти и други учесници во МИПС да ги задолжуваат неговите сметки, со пополнување на образецот ОВЛАСТУВАЊЕ за задолжување на сметка од друг Учесник. Истотака, други сопственици на сметки во Народна банка на Република Македонија може да овластат Учесник во МИПС да ги извршува работите во платниот промет за нивната сметка преку МИПС, со пополнување на образецот ОВЛАСТУВАЊЕ за сервисирање на подносителот во НБРМ од страна на Учесник во МИПС. 39

40 НБРМ отвора сметки на носителите на платен промет. За таа цел носителот поднесува Барање за отворање на сметка со кое ја приложува потребната документација наведена во самото барање и приложува Пријава на овластени потписници како и Договор за отворање на сметка. Сите сметки на учесникот му се достапни по електронски пат со учество во МИПС системот. Учесникот може да ја затвори сметката во НБРМ со поднесување на Барање за затворање на сметка. Исто така затворање на сметка на учесник може да се изврши врз основа на судско решение или по налог на надлежен орган. Сметката на учесникот во платниот промет не може да се затвори доколку на истата се евидентирани неизвршени налози и основи за наплата, а истите не се пренесени на правен следбеник Членство во МИПС Членството во МИПС се остварува со поднесување на Барање за учество во МИПС. По разгледување на барањето, НБРМ на кандидатот - учесник му издава Договор за учество во МИПС и соодветни обрасци. Учесникот го потпишува Договорот и го доставува до Народна банка на Република Македонија. По ова, во интерно пропишана процедура се одобрува членството, што се манифестира со потпишување на Договорот за учество од страна на овластено лице во Народна банка на Република Македонија. По добивањето на Договорот за учество, Учесникот треба да ги пополни обрасците и да ги достави до Народна банка на Република Македонија, по што може да почне да го користи МИПС системот. Согласно со Договорот за учество, Учесникот е обврзан да ги почитува Правилата за работа на МИПС. Овие правила се јавно достапни на Интернет страната на Народна банка на Република Македонија, а сите нивни измени се најавуваат најмалку 15 дена однапред. По исклучок, Народна банка на Република 40

41 Македонија може да воведе и промена во пократок рок, ако сите Учесници се сложат со промената Правила за работа на МИПС Правилата за работа на МИПС системот овозможуваат ефикасно комуницирање помеѓу Учесниците и МИПС, како и помеѓу самите Учесници. Овие правила се јавно достапни на Интернет страната на Народна банка на Република Македонија, а сите нивни измени се најавуваат најмалку 15 дена однапред. По исклучок, Народна банка на Република Македонија може да воведе и промена во пократок рок, ако сите Учесници се сложат со промената. Во следната табела е прикажано времето на важење на верзиите на МИПС. Од До Верзија последна верзија Табела број 2 Време на важење на верзиите на МИПС Технички карактеристики на МИПС МИПС е изграден врз современа информатичка технологија. Опремата која се користи е производство на компанијата Hewlett Packard на принципот клуч на рака. Опремата се состои од хардверска опрема, системски софтвер и апликативни решенија. Целокупната опрeма е набавена со заеднички вложувања од ЕУ преку ФАРЕ програмата и Народна Банка на Република Македонија. Хардверската опрема е производство на Hewlett Packard и Cisco. Компјутерите кои се користат како терминали за работа во системот се произведени од Hewlett Packard и Compaq. Главниот серверски систем се состои од два пара на компјутери кои работат независно еден од друг и се надополнуваат 41

42 еден на друг во случај било кој дел да откаже. Покрај ова, МИПС има и систем кој работи на оддалечена локација со истата функција како главниот систем. Се користат оперативните системи Microsoft Windows 2000 Server i Microsoft Windows 2000 Advanced server. За поголема доверливост на системот се користи кластер технологијата која ја подржува Microsoft Windows 2000 Advanced server. МИПС системот поседува два независни складови на дискови и користи Raid 10 технологија за мирорирање на дискови, така што секоја информација ја има на две места паралелно. За поврзување со учесниците во системот МИПС користи неколку начини: - SWIFT меѓународна мрежа - Frame Relay мрежата на Македонски телекомуникации - Директна врска преку локална мрежа (LAN) линија. За начините 2 и 3 постои и резервна можност за приклучување, преку ISDN Апликативните решенија се изработени од шведската фирма CMA small systems. Покрај серверските компоненти, овие решенија вклучуваат и работни места за: креирање на пораки, верификување на пораки, авторизација на пораки, контрола над работата на системот (и од оддалечена локација), анализа на примени пораки и пребарување на примените и пратените пораки. За заштита и авторизација на пораките кои се пренесуваат преку горенаведените мрежи се користи PKI технологија КИБС (Клириншки Интербанкарски Системи) Во 2001 година, во текот на реформата на платниот систем во Република Македонија, банките од Република Македонија ја основаа Клириншката куќа Клириншки интербанкарски системи АД Скопје (КИБС) како акционерско друштво. КИБС се регистрира како правен субјект во мај 2001 година со уписот во 42

43 Единствениот трговски регистар на Централниот регистар на Република Македонија. Основната цел за која е основана КИБС е вршење на клиринг на мали меѓубанкарски плаќања. КИБС, согласно Законот за платен промет, како оператор на платен систем зазема централно место во клирингот и порамнувањето на меѓубанкарските платни трансакции на мали износи во Република Македонија. 36 Во своето досегашно работење успешно ја извршува дејноста на автоматизирана клириншка куќа, а според статистистичките показатели, од своето основање до денес, обемот на работа покажува тенденција на постојан пораст. Согласно Законот за платен промет, а по одобрување од Министерството за финансии, КИБС го води Единствениот регистар на трансакциски сметки (ЕРТС), врши размена на информации за блокади на сметки, како и врши размена на други информации кои се од интерес за нејзините членки. Користејќи ја современата информатичка технологија и расположливата кадровска структура, КИБС изработи сопствени апликативни решенија за сервисите кои ги врши како законска обврска, но и за оние кои се по барање и во договор со своите клиенти. КИБС од јуни 2006 година е издавач на дигитални сертификати Верба и е регистриран во Единствениот регистар на издавачи на сертификати, кој го води Министерството за финансии. Од 2010 година КИБС е застапник и продавач на широка палета на SSL (серверски) сертификати кои ги издаваат најпознатите издавачи на овој вид сертификати, VeriSign, GeoTrust и Thawte. Кон крајот на 2008 година КИБС го основа Македонското кредитно биро, прво приватно кредитно биро во Република Македонија, со основна функција да врши целосно или делумно собирање и обработка на податоци за обврските на субјектите, други податоци согласно Законот за кредитно биро како и изработка на 36 Клириншка куќа Клириншки интербанкарски системи АД Скопје (kibs.com.mk) 43

44 извештаи за задолженоста и редовноста во исполнувањето на обврските на субјектот на податоците Организациона шема Слика број 6 Организациона шема на КИБС КИБС КЛИРИНГ Клирингот на меѓубанкарските плаќања на мали износи е основниот сервис со кој управува и раководи КИБС. Овој процес се изведува во еден клириншки ден кој претставува временски период во кој се реализираат сите трансакции означени со датум на валута од тековниот работен ден. Во рамките на еден клириншки ден можат да се извршат еден или повеќе циклуси на порамнување. КИБС изведува еден циклус. 44

45 Клирингот како дел од платниот систем во Република Македонија претставува процес кој се изведува секој работен ден според Календарот на (не) работни денови на релација: банки - КИБС - Македонски интербанкарски платен систем (МИПС) и обратно. Овие активности КИБС ги изведува согласно Правилникот за работа на КИБС, Терминскиот план за работа на КИБС, и другите акти на КИБС кои ги уредуваат постапките и процедурите за работење кои се во согласност со Законот за платен промет и Базичните принципи за системски значајните платни системи. Процесот започнува со прием на пакети од банките кои содржат податоци од инструментите за плаќање издадени од клиентите на банките и од банките по основ на разни должничко доверителски односи. КИБС утврдува кумулативна состојба за секоја банка посебно и по принцип на мултилатерално пребивање (клириншка пресметка) утврдува нето состојба за секоја банка, учесник во клирингот. Овие состојби ги порамнува во Македонскиот интербанкарски платен систем (МИПС), а детален извештај доставува до секоја банка, учесник во клирингот КИБС ЕРТС Како законска обврска која е уредена со Законот за платен промет, а по одредување од Министерствтото за финансии, КИБС го води Единствениот регистар на трансакциски сметки (ЕРТС). Содржината на регистарот и начинот на водење е според Одлуката за начинот на водењето и содржината на Единствениот регистар на трансакциски сметки, донесена од НБРМ. ЕРТС претставува обединет регистар на ниво на Република Македонија и од регистрите на трансакциски сметки кои ги води НБРМ и поединечните регистри кои ги водат носителите на платниот промет. Конструкцијата на сметките се според IBAN, односно Одлуката за пропишување на стандард за конструкција на сметките на учесниците во платниот промет и доделување на водечки број на носителите на платниот промет донесена од НБРМ. Процесот се одвива на релација: носител на платен промет-кибс- 45

46 Народната банка на Република Македонија и Централниот регистар на Република Македонија. Со примена на принципот на реципроцитет, КИБС доставува известување за промените во ЕРТС до сите носители на платниот промет кои дале согласност за разменување на податоци за трансакциските сметки. КИБС овозможува, по избор на носителот на платен промет кој доставува податоци за промени во ЕРТС, ажурирањето на ЕРТС, да го врши во реално време, веднаш по нивниот прием или на крајот од денот, а промените да се користат од наредниот клириншки ден. Податоците од ЕРТС се користат согласно законските прописи и од страна на овластените институции: НБРМ, Трезорот при Министерството за финансии, Трезорот на Фондот за здравствено осигурување на Република Македонија и Централниот Регистар на Република Македонија КИБС БЛОКАДИ Согласно Законот за платен промет, доколку на трансакциската сметка на учесникот во платниот промет нема доволно средства за извршување на решение за присилна наплата носителот на платен промет кај кого се води трансакциската сметка ја блокира сметката и ги известува сите останати носители на платен промет да ги блокираат сметките кои се водат за истиот учесник и од истите не смеат да вршат плаќања. Известувањето се врши преку сервисот КИБС БЛОКАДИ кој го води КИБС. Основ за блокада на трансакциска сметка може да биде судско решение, решение од надлежен орган (Управата за јавни приходи, Царина на Република Македонија, Министерството за финансии, локалната самоуправа, Фондот за води) или налог за извршување од извршител. Учесници во сервисот КИБС БЛОКАДИ се носителите на платниот промет. Процесот на сервисот КИБС БЛОКАДИ се однесува на прием на податоци за блокирана/деблокирана трансакциска сметка од носител на платен промет и 46

47 доставува во истиот момент на известувањето за блокада до сите носители на платен промет. Корисници на КИБС БЛОКАДИ се сите носители на платен промет КИБС ИНФО Во рамките на сервисот КИБС ИНФО се вршат повеќе сервиси на размена на податоци помеѓу доставувачите на податоците и нивните корисници кои произлегуваат како законска обрвска или пак врз основа на договор Размена на податоци за новорегистрираните субјекти и нивните промени на релација Централен Регистар на Република Макеоднија (ЦР) КИБС - носители на платниот промет и обратно Согласно Законот за едношалтерскиот систем и за водење на трговскиот регистар и регистар на други правни лица, ЦР користејќи го КИБС ИНФО, доставува податоци и документи за субјектите на упис, со барање банката, која ја одредил субјектот, да достави број на трансакциска сметка која е прва на ново регистрираниот субјект. Банката во рок од 24 часа по приемот одговора на барањето и преку КИБС ги доставува бараните податоци на ЦР. За останатите транскциски сметки кои може да ги отвори ученикот во платниот промет во една или повеќе банки не се користи овој сервис. Учесници во овој сервис се носителите на платниот промет, КИБС и ЦР. 37 Клириншка куќа Клириншки интербанкарски системи АД Скопје (kibs.com.mk) 47

48 Слика број 7 Размена на податоци во КИБС 2. Размена на податоци за блокирана трансакциска сметка на учесник во платниот промет непрекинато над 45 дена Согласно Законот за платен промет носителот на платен промет преку ЕРТС електронски доставува податоци за учесниците во платниот промет чии трансакциски сметки непрекинато се блокирани повеќе од 45 дена. Процесот се одвива на релација: носител на платен промет КИБС ЦР. Учесници во овој сервис се носителите на платниот промет, КИБС и ЦР. 3. Размена на податоци за стечајна постапка ЦР, користејќи го сервисот КИБС ИНФО, електронски доставува податоци за отворен стечај на учесник во платниот промет или за отворена стечајна сметка или податоци за запрен стечај. Процедурата на овој сервис се врши на релација ЦР КИБС - носители на платниот промет. 4. Доставување податоци и информации за поседување на трансакциска сметка по барање на извршител. Овој сервис КИБС го врши согласно Законот за извршување. Според пропишаната процедура КИБС од извршителите прима барања за добивање на податоци и информации за поседување на трансакциски 48

49 сметки со цел извршителот правилно да го насочи извршното решение кон соодветна банка во Република Македонија. Барањето, а соодветно на него и одговорот може да биде електронски или во хартиен облик. Учесници во овој сервис се извршителите и КИБС. 5. Размена на податоци за платните трансакции издадени по пресметка на бруто плата КИБС е дел од националниот систем за бруто плати кој има за цел пресметка и исплата во целост и истовремено на нето платата и придонесите за секој вработен, во кој се вклучени Управата за јавни приходи, банките и правните лица. Системот овозможува целосна електронска обработка на податоците во врска со пресметка, одобрување, плаќање, известување од почеток до крај. Овој сервис КИБС го врши согласно Меморандумот за соработка и договорот склучен помеѓу Министерството за финансии и КИБС. КИБС овозможува прием на податоците од Управата за јавни приходи од платните трансакции издадени по пресметка на бруто плата на правните лица и ставање на располагање на носителите на платен промет при реализација на платните трансакции доставени од своите клиенти по наведениот основ. Учесници во овој сервис се Управата за јавни приходи, КИБС и носителите на платниот промет (банките). 6. Процесирање на платни информации од масовни плаќања. Овој сервис КИБС го врши за правните субјекти кои се примачи на масовни уплати. Зависно од барањето, услугата може да се користи при приемот на платната трансакција пред извршувањето или по нивното извршување. 7. Проверка на податоци од платните трансакции. КИБС го нуди овој сервис на правните субјекти кои бараат да го проверат постоењето и точноста на одредени поврзани податоци кои се дел од содржината на платните трансакции. Овој сервис се врши по договор. Учесници во овој сервис се правните лица корисници на сервисот и КИБС. 8. Размена на податоци за промени во Регистарот на правни лица кој го води Централниот регистар на Република Македонија со цел информирање на банките и други заинтересирани субјекти за новите субјекти запишани во 49

50 регистарот на трговски друштва со ЦР, како и информирање за измените кај субјектите и бришење на истите во регистарот. Со размената на податоци за промени во Регистарот на правни лица се врши достава на тековни состојби на правни лица од ЦР преку КИБС до корисниците на услугата. Корисници на услугата се банките. Со користење на услугата, банката - корисник ќе добива нови тековни состојби за своите комитенти со ажурирани податоци односно: со изменети податоци или пак избришани субјекти во ЦР. Банката ќе добива податоци и за тековната состојба на субјект кој не е клиент на банката. При функционирањето на услугата важат актите на КИБС со кој се регулира размената на податоци и тоа Правилникот за работа на КИБС, Упатството за видот, формата и начинот на размена на податоци, Техничкото упатство за поврзување со КИБС како и останатите акти на КИБС КИБС ИС КИБС од јуни 2006 година е првиот регистриран Издавач на сертификати (ИС) во Единствениот Регистар на издавачи на сертификати кој го води Министерството за финансии. КИБС издава персонални квалификувани сертификати со заштитено име Верба на физички лица за користење во приватни цели (Верба К1 и Верба К2) и на физички лица во службени цели (Верба Про1 и Верба Про2). Во рамките на овој сервис КИБС нуди широка палета на SSL (серверски) сертификати од реномирани издавачи на овој вид сертификати: VeriSign, GeoTrust и Thawte Клириншка куќа Клириншки интербанкарски системи АД Скопје (kibs.com.mk) 50

51 Клучни правила 1. Правилникот за работа на Клириншката куќа. Клириншки интербанкарски системи АД, Скопје ги дефинира правилата по кои КИБС ги врши своите сервиси, ги уредува условите за зачленување/исклучување од членство, заштитата на информациите, времето на извршувањето на сервисите, надоместокот за извршените услуги, како и правилата за телекомуникациски пристап. 2. Со Политиката за сигурност на информациониот систем се поставуваат темелните цели и начела за воспоставување на систем за управување со сигурноста на информативниот систем, усогласен со барањата на стандардите. 3. Со Политиката за квалитет КИБС го нагласува значењето за ефикасно и сигурно извршување на клирингот на мали меѓубанкарски плаќања, за извршувањето своите обврски, како и партнерски однос спрема сите учесници во сервисите, за учеството во одржувањето и развојот на меѓубанкарскиот систем, обезбедувајќи висок степен на доверливост и безбедност. 4. Правилник за технички и организациски мерки за обезбедување тајност и заштита на лични податоци во КИБС. Со Правилникот за технички и организациски мерки за обезбедување тајност и заштита на обработката на лични податоци во КИБС, се пропишуваат техничките и организациските мерки за обезбедување тајност и заштита на обработката на личните податоци што ги применува контролорот, односно обработувачот на збирка на лични податоци. Според дејноста и предметот на работа КИБС претставува контролор и обработувач на збирка на лични податоци согласно Законот за заштита на личните податоци КИБС пристап Телекомуникациското поврзување на членките на КИБС се извршува преку: Телекомуникациската мрежа чиј што администратор е КИБС (КИБС-ФиНет); 39 Клириншка куќа Клириншки интербанкарски системи АД Скопје (kibs.com.mk) 51

52 - Бирана (Dial-up) врска; - Интернет; - Други мрежи. КИБС-ФиНет е телекомуникациска мрежа на затворена група корисници за размена на податоци со КИБС, изнајмена од телеком оператори. Начинот на поврзување на учесникот во КИБС-ФиНет е опишан во Техничкото упатство за поврзување со КИБС. Aдминистратор на мрежата е КИБС-ФиНет која: - Ја дефинира и одржува адресната структура на мрежата; - Посредува при склучување на договор за соодветно сервисно ниво на услуги помеѓу учесниците и корисниците и телеком операторот/операторите; - Врши проценка на подготвеноста на учесниците и корисниците за приклучување кон КИБС-ФиНет. Врз основа на Договорот за одржување, кој го склучува поединечно со секоја членка, КИБС како администраторот на КИБС-ФиНет може кај членките да ја конфигурира и да ја следи работата на опремата која е интерфејс кон КИБС- ФиНет. Заштита на мрежата на страната на членката е одговорност на членката. Администраторот на КИБС-ФиНет може да изврши измена на техничките услови за работа со мрежата за што е должен да ги извести членките најдоцна 3 месеци пред влегувањето во сила на измената. Сервисите со отворен пристап се организираат и извршуваат преку Интернет. При извршувањето на сервисите со ограничен пристап комуникацијата е со вградени механизми на заштита и со авторизиран пристап на корисникот кој се најавува со примена на електронски сертификат. 52

53 Во 2013 година во клирингот на мали меѓубанкарски трансакции учествуваа 15 банки, НБРМ, Трезорот на Министерството за финансии и Фондот за здравствено осигурување со сметки во НБРМ. Слика број 8 Број на платни трансакции Слика број 9 Вредност на платни трансакции 53

54 Слика број 10 Нето и бруто вредност Слика број 11 Единствeн регистар на трансакциски сметки (ЕРТС) 54

55 5. CaSys CaSys, како национален оператор за платежни картички е формиран во 2001 година. Во годините што следеа се сертифицира како Master Card Member Service Provider, Visa Third Party Processor и се стекна со сертификатите ISO 9001:2000 и ISO 27001:2005. Касис, денес е независен регионален процесинг центар кој ги нуди своите услуги за електронско плаќање со платежни картички на деловните банки и финансиски институции. Во моментот Касис преку својот портал ексклузивно го нуди сервисот електронска трговија (ecommerce), продажба/плаќање преку Интернет со платежни картички. 40 Касис е модерна компанија, во доминантна сопственост на физички лица, деловни банки, финансиски институции и Владата на Р.Македонија, чиј основен принцип во работењето е овозмозможување на своите клиенти-деловните банки и финансиските институции, безбедна, високософистицирана, раширена меѓународна компатибилна мрежа за платежни картички, во која корисникот на платежна картичка-физичките и правните лица ќе ги исползуваат сите предности кои ги овозможува електронското плаќање. Со ваквиот пристап на Касис од една страна, на клиентите на Касисделовните банки и финансиските институции им се овозможуваат повеќекратни придобивки, зголемување на квантитетот и квалитетот на електронското плаќање со платежни картички, намалување на иницијалниот трошок и тековните издатоци во работењето со меѓународните картични организации, минимални инвестиции во техничките решенија за време на работата со меѓународните картични мрежи, оптимизирање на бројот на вработените, интензивирање на релациите на банката со нејзините клиенти, од друга страна и на корисниците на платежните картички-физичките и правните лица им се овозможуваат повеќекратни придобивки. Во моментов сервисите на Касис ги користат 12 домашни банки и неколку деловни банки во регионот. Заклучно со септември 2008 година Касис 40 e-biznisi.net 55

56 процесира четири милиони трансакции месечно. 41 Во изминатиот период како центар за процесирање е насочен кон развојот на теканаречениот основен сет на услуги, од типот на поддршка при сертификација пред меѓународни картични организации, давање на комлетни решенија за EMV издавање на дебитни и кредитни картички со chip и магнетна лента, авторизација, свичинг и процесирање на трансакции, ATM/POS на менаџмент, риск-менаџмент, дежурен центар 24 часа во денот, 365 дена во годината. Развојниот тим на Касис во изминатата година развил апликативен софтвер cpay Payment Portal. Овој портал за плаќање 42 овозможува да се извршува плаќање/продажба преку Интернет со платежна картичка, во реално време, безбедно, а истовремено брзо и едноставно. Потенцијални корисници на оваа услуга се клиентите на деловните банки, правни лица, кои преку своите webпродавници ќе можат да ги нудат своите производи и услуги на неограничениот пазар на продажба. Купувањето од web-продавница, може да се направи со платежни картички за кои деловната банка, во која трговецот има сметка за неговата web продавница, поседува сертификат за опслужување на дотичниот бренд на картичка преку Интернет. Кога станува збор за меѓународно брендирани картички, такви сертификати деловната банка треба да ги обезбеди од меѓународните картични организации. Електронската трговија - плаќање преку Интернет како сервис на Касис е сертифициран од страна на MasterCard и Visa а воедно е и компатибилен со PCI DSS стандардите. Степенот на безбедност е дополнително зголемен со имплементација на безбедносниот 3D Secure протокол: MasterCard Secure ode и Verified by Visa. Картично работење има во сите 17 банки, од кои 14 работат со меѓународни платежни картички (Visa/MasterCard/American Express). Домашни картички издаваат 8 банки, а истите се прифаќаат кај 13 банки. Покрај овие картички во Македонија постојат и Diners картичките. Услуги на процесори користат сите 17 банки, додека 2 банки покрај користење на услугите на процесорите имаат in house картични решенија Интернационален Картичен Систем- CaSys ( 56

57 Процесори кои ги користат банките се: Касис Македонија, First Data Словачка, Quipu Германија и First Data Hellas. Заклучно со мај 2010 година на пазарот во Македонија во оптег се картички, направени се трансакции во износ од ,50 денари, инсталирани се вкупно терминал од кои ПОС терминали и импритери кај трговци и 849 АТМ терминали. Вкупниот број на остварени трансакции на терминалите е , а нивниот износ е ,50 денари. 43 Споредбено декември 2005 со декември 2009 година бројот на картички во циркулација е зголемен за 723%, бројот на трансакции е зголемен за 812%, прометот од трансакции е зголемен 822%, бројот на инсталирани АТМ терминали е зголемен за 530%, бројот на инсталирани ПОС терминали зголемен за 1140%, бројот на трансакции на терминалите е зголемен за 779% и прометот на терминалите е зголемен за 628%. 43 Интернационален Картичен Систем- CaSys ( 57

58 Слика број 12 Споредба на различни банки 58

59 Слика 13 Вкупен број на картички во циркулација Слика 14 Број на остварени трансакции

60 Слика 15 Вредност на остварени трансакции Слика 16 Вкупен број на трговци кои прифаќаат платежни картички

61 Слика 17 Пос терминали Слика 18 АТМ терминали

62 Визијата на КаСис е да ја задржи водечката позиција на регионалниот пазар и да стане потполно неутрален и пазарно ориентиран провајдер на процесинг сервиси во областа на безготовински платежни системи. Во моментов КаСис опслужува 17 банки во 3 држави. 44 Касис Бугарија е резервен центар на Касис со кој се обезбедува непреченост и континуитет во обезбедување сервиси на клиентите. Банки кои ки користат сервисите на КаСис: НЛБ Тутунска Банка Скопје Извозна и Кредитна Банка Скопје СТАТЕР Банка Куманово Поштенска Банка Скопје Еуростандард Банка Скопје Шпаркасе Банка Македонија Стопанска Банка Битола Стопанска Банка Скопје Централна Кооперативна Банка ТТК Банка Скопје УНИ Банка Скопје Капитал Банка Скопје Комерцијална Банка Скопје ЗИРААТ Банка Прва Инвестициона Банка Софија Бугарија Прва Инвестициона Банка Албанија КредиБул Софија 44 Интернационален Картичен Систем- CaSys ( 62

63 5.1. Технички ресурси Software решение Постојат две софтверски решенија: ACI Base 24 заfront Office ACI CMS for BackOffice Hardware решение Постојат две хардверски решенија: HP/Tandem machine, HSM Thaless, CIM машина за персонализација, и P3 Thaless за чип персонализација 5.2. Безбедносни принципи на КаСис КаСис системот има неколку безбедносни принципи и тоа: Доверливост, заштита на чувствителни информации од неовластено откривање или нивно пресретнување Интегритет, зачувување на точноста, комплетноста и навременоста на информациите, ИТ системите (авторизација, менаџмент на картички и персонализација) и компјутерскиот софтвер (вклучувајќи ја и способноста да врши ревизија) Достапност, сигурност дека информациите и услугите од витално значење се достапни на клиентите кога е потребно. Сертификати - Master Card MSP certificate - VISA TPP certificate - ISO9001: Standard of quality - PCI DSS Payment Card Industry Data Security Systems 63

64 - ISO/IEC Information Security Management System - ISO/IEC : IT Service Management processes 5.3. Безбедносни правила на КаСис КаСис системот има неколку безбедносни правила и тоа: Firewalls, IDS, IPS SSL технологија Промена на лозинки и безбедносни кодови Криптирање на податоците на платежните картички кои се пренесуваат преку интернет и други јавни мрежи Anti-virus software Оперативните системи се безбедни и ажурни Пристапот на вработените до податоците е на база need-to-know Секој вработен има единствено ID Ограничен физички пристап до податоците за платежните картички (hardcopy) Сите сервери во обезбедени простории Безбедност на пораките Редовно тестирање на сигурносните системи 64

65 5.4. Касис систем Слика 19 Шема на Casys систем Стандардни услуги КаСис системот има неколку стандардни услуги и тоа: Switching, авторизација и процесирање на трансакции Персонализација на картички и генерирање на PIN Клиринг и порамнување на трансакции од домашни картички Процесирање на спорни трансакции 65

66 Key management Управување и мониторинг на ATM/POS мрежата Повеќејазичен центар за подршка на корисници, 24 часа дневно, 365 дена во годината Дополнителни услуги Продажба/купување преку интернет со платежни картички Нови платежни канали покрај интернет: SMS, IVR, ATM, POS Плаќање на сметки и дополна на pre-paid сметки за мобилни телефони преку новите канали Состојба на сметка преку новите канали SMS notifications Money transfer Loyalty schemes Installment programs M-banking (Плаќање преку мобилна телефонија) 66

67 Слика 20 cpay систем 5.5. Интеграција на e-commerce трговците со cpay Брза интеграција на web страната на трговецот со cpay платежниот портал SSL пренасочување од web страната на трговецот до cpay за on-line купување Основни параметри на SSL пренасочувањето: Идентификација на трговецот и износот на трансакцијата Купувачот ги внесува податоците за платежната картичка на сигурна cpay страна без да ги открие податоците за платежната картичка на трговецот По извршената on-line трансакција параметрите за успешност на трансакцијата се праќаат до страната на трговецот. 67

68 Чувствителните податоци за платежната картичка и за имателот на картичката се прикажуваат маскирано и со рестрикции D безбедносниот модел зголемување на безбедноста на интернет плаќањата 3-D безбедносниот модел овозможува автентикација на имателот на платежната картичка при on-line купувањето преку интернет. Интероперабилноста е воспоставена помеѓу банката издавач и банката опслужувач преку воспоставување на заеднички протокол и интероперабилност на услуги. Casys ги поддржува и двете 3D решенија, MasterCard SecureCode и Verified by Visa. 3D моделот значително го намалува, до 20 пати, бројот на злоупотреби при интернет купувањето. Слика 21 3D безбедносен модел 68

69 5.7. Плаќање на сметки преку АТМ 45 Имателите на платежни картички имаат можност за плаќање на сметки на комунални услуги на АТМ терминал. Имателот на платежна картичка ги избира давателот на услуги и типот на услугата и ја внесува својата корисничка идентификација. АТМ терминалот комуницира со cpay за извршување на уплатата кон давателот на услуги и извршување на финансиската трансакција. Слика 22 Плаќање на сметки преку АТМ 45 АТМ - automated teller machine, Банкомат 69

70 Слика 23 Плаќање на сметки преку АТМ 70

71 Слика 24 Плаќање на сметки преку АТМ 71

72 6. Електронска трговија во Република Македонија Во Македонија, за жал, Интернет трговијата е се уште слабо развиена. Кај нас постојат модели на електронска трговија кои се применуваат во мал обем без дефинирани услови за безбедност и сигурност кај корисниците. Од пред неколку години можеме да пазаруваме преку Интернет со кредитна картичка, но кај компаниите речиси и да не се применува. Малку фирми нудат можности да продаваат преку Интернет. Бизнисмените од информатичката комора велат дека банките се најголем виновник за неразвиеноста на електронската трговија, бидејќи сакаат голем дел од заработувачката и земаат огромни провизии. За да се изгради довербата кај потрошувачите, потребно е да постои правната рамка која ќе обезбеди електронските документи да имаат исто значење како и пишаните документи. Со ова се наметнува потребата од донесување на соодветна регулатива за електронската трговија преку која ќе се дефинираат условите за безбедност и сигурност при вршењето на веќе постоечките електронски услуги во областа на е-трговијата. Банките треба да направат големи вложувања за да можат технички и лиценцно да се опремат, што претставува проблем. Кредитните картички кои тие ги застапуваат во Македонија (на пр. Мастеркард, Виза), бараат доста големи средства за да им дозволат издавање на т.н. POS-ови, односно извршување на трансакции со уплати преку Интернет. Тука се поставува и прашањето за техничката опременост на банките, можноста нивните авторизирани опслужувачи да работат и со барања доставени преку Интернет и слично. 46 Според податоците на Заводот за статистика, во периодот година, бројот на корисниците на Интернет во Македонија кои извршиле купување на стоки и услуги преку интернет се движел меѓу 5,4% и 15,2%. Тоа е далеку под просекот во Европската унија, каде што во 2013 година дури 60% од корисниците на Интернет купувале on-line. Според статистичките податоци Македонците преку Интернет најмногу купувале облека и спортска опрема (48,5%), електронска 46 Efraim Turban, Electronic commerce: A Managerial Perspective 4/E, Prentice Hall,

73 опрема (9,9%), резервации за туристички патувања (9,6), производи за домаќинството (6,9%), резервации за хотелско сместување и одмор (6,7%), лекови (5,6%), софтвер (5,2%), филм и музика (4,3%) итн. Најголем дел од корисниците во електронската трговија (41,9%) купувале производи и услуги од Европската унија, додека 35,7% го користеле интернетот за купување од продавачи во Македонија. Дури 60,3% од нив, плаќањето го вршеле со картичка, 23% преку електронско банкарство, 23% од нарачките преку интернет биле платени во готово или со обичен банкарски налог, а 10% со припејд-сметка Електронското банкарство Во последните две години, Електронското банкарство во Македонија бележи континуиран развој. Се поголем број луѓе го користат како единствен начин за плаќање на своите обврски. Тоа е голема предност наместо чекањето редици во банките. Се што треба да се направи е трансакционата сметка од соодветната банка да ја пријавиме за Интернет плаќање, за да добиеме соодветен медиум за користење на услугата, добар Интернет и компјутер. Користењето на електронско банкарство е и поефтин начин за плаќање. Наместо да плаќате поголема провизија, од својот удобен дом плаќањето може да биде бесплатно. Секако, секоја банка промовира свој начин на плаќање со различни можности и цени на услугата Интернет користат 70 отсто од домаќинствата, Дневник, година XVIII, број 5614, вторник, 11 ноември

74 7. Платежни картички во Македонија Употребата на платежните картички во Македонија драстично се зголеми во поново време. Во тој поглед, особено значење за подемот на платежните картички имала одлуката на владата за исплата на платите на јавната администрација преку сметките поврзани со банкарски картички. Оттогаш, неколку години по ред, бројот на издадени картички бележи исклучително високи стапки на растеж и веќе во декември 2010 година во употреба биле над 1,4 милиони платежни картички. Од нив, околу биле дебитни картички, кредитни картички, а остатокот отпаѓал на картички што служат само за повлекување готови пари и комбинирани картички. Исто така, употребата на картичките е олеснета од мрежата на речиси трговци кои прифаќаат картички и над терминали и банкомати. Притоа, во декември 2010 година биле остварени речиси три милиони трансакции со платежни картички во вредност од речиси 10 милијарди денари. Сепак, треба да се забележи дека картичките најчесто се користат за повлекување готовина од банкоматите и од шалтерите на банките, а во помал обем за плаќање на производите во трговските дуќани. Во Македонија, повеќе се распространети картичките кои содржат магнетна лента и при извршување на плаќањето, информациите директно се пренесуваат од уредот за читање до компјутерскиот центар на банката, така што веднаш се намалува состојбата на сметката. Сепак, во поново време, банките почнаа да нудат картички со вграден микрочип, во кој се сочувани сите информации за состојбата и промените на сметката. Притоа, повеќето банки ги нудат познатите меѓународни картички, како што се Виза и Мастеркард, додека некои помали банки издаваат сопствени картички коишто се прифатени само во ограничени размери, и тоа само во Македонија. Инаку, како корисници на платежните картички претежно се јавува населението, макар што постојат и картички што се наменети за претпријатијата. 74

75 7.1. Кредитна картичка Денес, за разлика од пред неколку години, имањето кредитна картичка е секојдневна потреба. Пред неколку години кредитни картички поседуваа само дел од граѓаните кои реално имаа потреба и можеа да си дозволат. Денес банките даваат одредени поволности само да се одлучите да ја користите кредитната картичка. Иако провизиите што ги наплаќаат од трговците реално ги зголемуваат цените, односно провизиите се вкалкулирани во цената сепак предноста да не носите многу пари во паричникот е голема. Можете да си купите нешто иако не носите доволно кеш за тоа. Одењето на патување надвор од Македонија сега е незамисливо без кредитна картичка. Немате потреба да се грижите дали имате доволно евра или долари. Уште повеќе ако е потребно да ги промените еврата или доларите во друга валута, барањето соодветна менувачница може да биде навистина кошмар. Нашите банки работат со реномирани и светски признаени и потврдени картички кои се прифаќаат во било кој дел од светот. Во продолжение следи преглед на понудата на картичното работење во нашата држава: УНИ БАНКА Кредитни картички кои се издаваат: Master и Visa - Годишна членарина: Еур годшино во денарска противвредност - Бескаматен период до 40 календарски дена - Каматна стапка од 1,19% месечно - Месечен минимум за плаќање: 4% од износот на долгот плус трошоци или минимум 300денари - Подигање готовина од АТМ на банката : 3Еур + 3% 75

76 - Подигање готовина од АТМ на друга банка: 4Еур + 3% 49 АЛФА БАНКА Кредитна картичка: American Express - Годишна членарина: без членарина за првата година и за секоја наредна година околку се направи промет над 100,000 денари во спротивно 1500 денари годишно - Бескаматен период до 50 календарски дена - Каматна стапка од 13% годишно - Месечен минимум за плаќање: 5 % - Подигање готовина од АТМ на банката: без провизија - Подигање готовина од АТМ на друга банка: 3% (минимум 150 ден.) 50 НЛБ Тутунска Банка Master - Годишна членарина: 1500денари годишно - Бескаматен период до 45 календарски дена - Каматна стапка од 12 % годишно за плаќање на рати, активна каматна стапка 16% годишно - Месечен минимум за плаќање: 0% - Подигање готовина од АТМ на банката: 2% (минимум 2Еур) - Подигање готовина од АТМ на друга банка: 3% (минимум 3Еур.) Visa - Годишна членарина: 1500 денари годишно (900) - Бескаматен период до 45 календарски дена - Каматна стапка од 15% годишно

77 - Месечен минимум за плаќање: 5 % - Подигање готовина од АТМ на банката: 2% (мин 2 Еур) - Подигање готовина од АТМ на друга банка: 3% (мин 3 Еур) Diners Club International - Еднократна уписнина од 930 денари и годишна членарина: 150 денари месечно 51 Прокредит Банка MASTER CARD - Годишна членарина: 1200 денари или 20 Еур - Бескаматен период: 45 дена - Каматна стапка за револвинг картичка: 1,55% месечно - Месечен минимум за плаќање: 0% - Подигање готовина од АТМ на банката: 2%, мин 2,5Еур - Подигање готовина од АТМ на друга банка: 2% (минимум 2,5Еур) Visa Classic - Годишна членарина: 1200 денари или 20 Еур - Бескаматен период: 45 дена - Каматна стапка за револвинг картичка: 1,55% месечно - Месечен минимум за плаќање: 10% само кај револвинг картичката - Подигање готовина од АТМ на банката: 2% + 3 Eур - Подигање готовина од АТМ на друга банка: 2% +3 Eур

78 Стопанска Банка Visa Star - Годишна членарина: 1500 денари со можност за намалување на членарината до 100% во зависност од годишниот промет - Бескаматен период: 40 дена - Каматна стапка: 12,5 14,5% годишно - Месечен минимум за плаќање: 5% - Подигање готовина од АТМ на банката: 2% денари - Подигање готовина од АТМ на друга банка: 3% денари Visa & Vero - Годишна членарина: 1500 денари со можност за намалување на членарината до 100% во зависност од годишниот промет - Бескаматен период: 40 дена - Каматна стапка: 12,5 14,5% годишно - Месечен минимум за плаќање: 5% - Подигање готовина од АТМ на банката: 2% денари - Подигање готовина од АТМ на друга банка: 3% денари 53 ИК Банка Кредитна картичка што се издава: Visa - Годишна членарина: Бесплатна за првата година. Трошоци за издавање: 600 денари - Бескаматен период: 40 дена - Каматна стапка: 12% годишно - Месечен минимум за плаќање: 8% плус останатите трошоци - Подигање готовина од АТМ на банката: 1,5% + 60 денари

79 - Подигање готовина од АТМ на друга банка: 2% денари Безбедност на платните системи 8.1. Сигурност на информациските системи Целта на политиката на сигурност на информативниот систем (ПСИС) е заштита на информативните средства на Банката од сите видови закани, намерни или ненамерни, од надворешна или внатрешна природа, како и обезбедување на континуитет во работењето и минимизирање на штетите предизвикани од можни сигурностни инциденти. Информацијата е средство во кое се содржани податоци за работењето на Банката и кое може да биде во усна, печатена или електронска форма. Како информативни средства на Банката ги дефинираме сите носители на информации кои Банката треба да ги заштити, како што се: Човечки фактор Електронска документација Пишана документација Софтверски средства Физички средства и Сервиси Информативен систем е систем во кој на организиран начин информативните средства комуницираат помеѓу себе со цел навремена и точна размена на информации

80 ПСИС треба да обезбеди: 1. Доверливост на информацијата Информацијата да им биде достапна само на оние кои имаат овластен пристап до неа. Доверливоста на информацијата треба да се постигне преку мерки за контрола на пристапот до системот, заштита на пристапот до информацијата, обезбедување на заштита на мрежните сервиси, откривање на неавторизиран достап и активности. 2. Интегритет на информацијата - Заштита на точноста и комплетноста на информацијата и на методите за обработка. Заштитата се обезбедува преку мерки за намалување на ризик од човечка грешка, кражба, злоупотреба и несоодветна употреба, запознавање на вработените со политиката за сигурност на информативниот систем, воспоставување на техники и системи за интерни контроли на сервисите. 3. Расположливост на информацијата - При деловна потреба овластените корисници да имаат пристап до информацијата и придружните средства потребни за нејзина презентација. Да се минимизира ризикот од испади на делови на информативниот систем. 4. Усогласеност со регулаторните органи - Активностите при спроведување на политиката за сигурност на информативниот систем да се усогласени со правната регулатива на постојното законодавство на Република Македонија. 80

81 8.2. Механизми на ПСИС за активна и превентивна имплементација на контроли со кои ќе се отстранат и намалат несаканите ефекти при појава на сигурносни инциденти ПСИС ги користи следните механизми на контроли за намалување на несаканите ефекти од несакани сигурносни инциденти: 1. Класификација на информацијата рангирање на информациите спрема степенот на чувствителност. 2. Проценка на ризик градење на континуиран процес за идентификација на слабостите и заканите кон своите информативни системи. 3. Воспоставување на административни, физички и технички контроли заштита на сигурноста на информацискиот систем А) Административни контроли Банката изготвува упатства и процедури со цел да се овозможи потребна авторизација на вработените за извршување на своите деловни процеси. Б) Физички контроли Ревидирање на постојната состојба и адекватноста на средствата кои се применуваат за контрола на физичкиот пристап, како и усовршување на постојните средства со цел зголемување на безбедноста. В) Технички контроли Проверка на адекватноста на техничките контроли и дефинирање на инсталираните технички контроли за спречување и откривање на неавторизиран пристап до информативните средства на Банката. Усовршување на средствата со цел зголемување на безбедноста. 81

82 4. Тестирање на сигурноста воспоставување на процес на професионално, независно и објективно тестирање на ефикасноста и адекватноста на имплементираните контроли. 5. Набљудување и надградба континуирано прибирање и анализа на информации од аспект на новите закани и слабости. 6. Утврдување на улогата на Службата за внатрешна ревизија и надворешна ревизија Ревизијата во Банката обезбедува независна оценка на расположливоста, доверливоста и интегритетот на информативниот систем на Банката и ефикасноста на имплементираните контроли. Банката по потреба ангажира независен и квалификуван тим на ИТ Ревизори на кои преку писмо за ангажирање го дефинира делокругот на ревизијата, целите кои треба да се постигнат, кои ресурси се потребни, временскиот рок на ревизијата и извештаите кои треба да се изготват. 7. Пропишување и имплементирање на План за континуитет во работењето (ПКР) изработка на ПКР на сите деловни функции на Банката со кој ќе се постават основите за воспоставување на деловните операции во случај на нивен неочекуван прекин. Овај план се базира на повеќе сценарија и треба да овозможи оперативност во случај на тежок прекин на деловните процеси, со цел да се намалат негативните ефекти врз деловните процеси на Банката. При развој на ПКР треба да се имаат предвид следните цели: Планирањето за континуитет служи за одржување, продолжување и реставрација на целиот банкарски провес, а не само за реставрација на технологијата Планирањето за континуитет да биде на ниво на цела банка, а не само за информатичкиот дел Темелна анализа на заканите и проценка на ризиците 82

83 Ефикасноста на планот континуирано да се верифицира со тестирање Планот и резултатите од тестот да бидат предмет на независна контрола, а резултатите да бидат разгледувани од Надзорниот одбор на Банката Измена на планот во зависност од настанатите промени во Банката и кај обезбедувачите на сервиси за Банката 8. Управување со обезбедувачите на ИТ Сервиси и опрема Односот со обезбедувачите на ИТ сервиси и опрема може да се регулира преку писмени рамковни договори и купопродажни договори кои треба да содржат податоци за: Оптималните перформанси на сервисот, неговата сигурност и доверливост (Договор за ниво на сервисна услуга SLA) Обврската за доставување на финансиски извештаи по барање на Банката Обврските кои треба да ги исполни обезбедувачот на ИТ сервиси и опрема, со цел Банката да биде усогласена со прописите и процедурите за обезбедување на информативна сигурност Начинот на комуникација и известување помеѓу Банката и обезбедувачот на ИТ сервиси и опрема 9. Обука на вработените во однос на правилно користење на информативниот систем на Банката Заради намалување на оперативниот ризик во работењето и оптималното користење на можностите на информативниот систем треба да се спроведе и обука за врсботените за користење на информативниот систем на Банката, во зависност од работното место и пристапот на информавии кој го имаат. Политиката за информативна сигурност треба да се дистрибуира до сите вработени кои имаат пристап и деловна потреба од информативниот систем. 83

84 Вработените ќе имаат обврска да потпишат изјава дека ја прочитале и разбрале ПСИС. ПСИС предвидува изготвување на детални упатства и процедури кои ја поддржуваат наведената Политика за информативна сигурност и се нејзин составен дел. Надзорниот одбор ја донесува оваа политика и е одговорен за следење нса имплементацијата и развојот на истата. Одговорен за Сигурноста на Информативниот Систем ОСИС, е назначено лице со одлука на Надзорниот одбор кое се грижи за имплементирање на политиката за сигурност на информативниот систем во Банката, дава насоки во нејзиното усовршување и за своето работење директно одговара пред Надзорниот одбор. Одговорните во дирекциите во рамките на своите овластувања се одговорни да ја имплементираат ПСИС и заедно со останатите вработени да се придржуваат кон одредбите од истата, Надзорниот одбор ја утврдува ПСИС и врши нејзино унапредување најмалку еднаш годишно. 9. Видови безбедносни закани Со еволуцијата на Интернетот, како и зголемувањето на можностите за пребарување на содржини од секој вид, се зголемува и опасноста по компјутерскиот систем од инсталирањето на најразлични апликации. Тие се направени со цел да ги искористуваат ресурсите на компјутерот, преку прикажување на најразлични рекламни пораки па дури и преку шпионирање на сопственикот и контролирање или менување на системските сетинзи во интернет пребарувачот или самиот оперативен систем. 84

85 9.1. Инциденти поврзани со штетен код (malware): Malware штетен софтвер, кој се однесува на програми како: вируси, црви, тројански коњи и др. Кои можат да го загрозат и оштетат оперативниот систем Вируси тоа се штетни програми кои можат автоматски да се размножуваат. Вирусот може да оштети или избрише податоци на компјутерот, да користи е-маил програма за да се рашири и на други компјутери, па дури и да ги избрише сите податоци кои се наоѓаат на хард дискот. Компјутерските вируси најлесно се шират преку прикачени фајлови во е-маил пораки или во instant messaging пораки (пр. Skype, Yahoo Messenger, MSN Messenger и сл.) 55 Хибриден вирус вирус кој содржи компоненти од повеќе штетни програми, а може да вклучува карактеристики на тројански коњ, црв, spyware и карактеристики на друг софтвер. 56 Црв (worm) тоа е програма дизајнирана со способност да се копира самата себе од еден компјутер на друг, без човечка интеракција. За разлика од вирусот, црвот може да се копира самиот себе автоматски. Црвите може да се реплицираат во огромни количини. На пример, еден црв може да прати свои копии до секој контакт во вашиот е-маил, а потоа да испрати копии до сите контакти кои се наоѓаат во е-маилот на вашите контакти. 57 Тројански коњ вид на штетен софтвер, програм или датотека која корисникот ја зачувува на својот компјутер верувајќи дека е корисен софтвер. Тие најчесто овозможуваат влезна точка за напад однадвор и се предходница на иден напад со штетни апликации

86 Spyware поим кој се користи за опишување на софтвер кој врши одредени акции, најчесто без ваша согласност како што се: рекламирање, прибирање на лични информации и менување на конфигурацијата на вашиот компјутер. 59 Backdoor претставува метод на заобиколување на нормалната автентикација, со што се обезбедува пристап од далечина до компјутерот, се обезбедува пристап до обичен текст и.т.н., притоа избегнувајќи детекција. Backdoor от може да биде инсталирана програма или може да претставува модификација на веќе постоечка програма или хардверски уред. Денешните корисници на Интернетот се под секојдневна опасност од овие штетни и непожелни апликации кои најчесто се инсталирани без дозвола од корисникот. Тие можат да преземаат повеќе активности, почнувајќи од непристојни и досадни пораки, прикриено следење на навиките во интернет пребарувачот и прикажување на непосакувани реклами, па се до потенцијално штетни активности, како реконфигурирање на оперативниот систем или интернет пребарувачот, следење на е-маил пораките, логирање и препраќање на притискањето на копчината на тастстурата (вклучувајќи ги тука лозинките и броевите на кредитните картички) и компромитирање на пристапот до доверливи податоци (DOS) Методи или начини на кои штетните апликации најчесто пристапуваат и др инсталираат на компјутерот на корисникот: Е-маил пораки кои се носители на ваков вирус, со отворање на прикачената датотека на пораката вирусот се активира, и со препраќање на пораката до други корисници на е-маил, вирусот се шири низ системот на Банката Автоматско веб-базирано симнување на скрипти (drive-by download) Во зависност од сигурносните подесувања на интернет пребарувачот

87 на вработениот, самата посета на страна која е инфицирана со штетни апликации, може да предизвика автоматско инстслирање на истите на копјутерот без знаење на корисникот Прикриено инсталирање покрај некоја посакувана апликација. Штетните програми можат да навлезат во организацијата кога корисниците ќе отворат пожелни или непожелни е-маил додатоци или преку симнување и инсталирање на привидно легални апликации од Интернет. Програмите за размена на фајлови како KaZaA, Grokster, Limewareи BearShare најчесто содржат штетни апликации како дел од инсталациониот програм. Други злонамерни програми нелегално инсталираат недокументирани штетни апликации чие присуство не е обелоденето во лиценцираниот договор. Дополнително, тие можат да ја компромитираат сигурноста на податоците и интегритетот на корисничкиот систем или на компанијата во целина Намерна штетна инсталација. Поединци кои сакаат да ја оштетат компанијата или да профитираат од нелегално стекнување со доверливи податоци можат да искористат мноштво на интерни и екстерни слабости и недостатоци, за да ги инсталираат штетните апликации, како на пример Хакерски алатки, пробивачи на лозинки и многу други Знаци дека компјутерот е инфициран со штетен софтвер Иако не го користите вашиот компјутер за да пристапите на Интернет, вашиот показател на мрежен или модем трансфер укажува на огромни количества информации кои се пренесени преку врската. Во вашата телефонска сметка забележувате дека сте вртеле меѓународни повици на броеви кои не ви се познати. Од вашата кредитна картичка има извршени плаќања кои не ви се познати. Кога се обидувате нешто да барате преку Search во Internet Explorer различен пребарувач се појавува за да го изврши пребарувањето. 87

88 Кога и да го отворите Internet Explorer нов тоолбар се појавува во неговите поставки. Нешто необјаснето се појавува во вашата Favourites листа, дури и кога ќе го пребришете, повторно се појавува кога ќе го отворите вашиот Интернет пребарувач. Вашиот систем е мрзлив и значително побавен од вообичаено. Бомбардирани сте од pop-up рекламни пораки без никаква причина. Кога ќе го вклучите Интернет пребарувачот гледате дека вашата почетна страна е променета, а на нејзиното место е некоја непозната која првпат ја гледате. Иако ги користите сите превентивни системи на заштита системот едноставно не работи како што треба, а понекогаш воопшто и не функционира. Ова се само дел од симптомите кои може да ги има компјутер кој е инфициран со некој вид на штетен софтвер. Посериозните симптоми вклучуваат: Често рестартирање на компјутерот без никаква причина. Замрзнување на екранот и неможност да се работи со тастатурата. Неможност да се пристапи на Интернет, кон било која друга страна освен онаа на која ви се нуди определен програм или производ. Компјутерот не може да го стартува системот воопшто. Анти-вирус програмата е оневозможена без причина. Дополнително анти-вирус програмата не може да се рестартира. Анти-вирус програмата не може да се инсталира на компјутерот или анти-вирус програмата воопшто не работи. Вирусот не само што може да го уништи системот на примачот на пораката, туку може да влијае и врз репутацијата на Банката. 88

89 9.4. Мерки кои треба да се превземат доколку се забележат некои од горепишаните симптоми на вашиот компјутер. Ваквите инциденти треба веднаш да се пријават од Одговорниот за сигурност на информативниот систем, согласно Процедура за известување и справување со инциденти. Се опишуваат симптомите кои сте ги забележале на Вашиот компјутер и секоја порака која се појавува на екранот. Компјутерот да се изолира и да престане да се употребува. Преносните медиуми, како Дискети, CD, USB и други преносни медиуми кои се употребувале на тој компјутер, не треба да се употребуваат на други компјутери Препораки за сигурно користење на е-маил Е-маилот да се користи исклучиво за бизнис потреби. Преку е-маил да не се испраќаат документи кои се класифицирани како строго доверливи. Испраќањето на копии од одредени документи на колегите, преку е- маил, создава дупликати и го загрозува интегритетот на оригиналниот документ. Примање на е-маил преку јавни линии (Интернет) може да ја загрози доверливоста и интегритетот на содржината на е-маил пораката. При препраќање на е-маил потребно е испраќачот да се осигура дека адресите се точни и дека маилот ќе се прати на личности кои можат да имаат пристап до информацијата во е-маил пораката. Никогаш не ги отварајте неочекуваните и непоскауваните додатоци во е-маил пораките. Секогаш прегледајте ги вашите пораки без разлика дали користите некој софтвер за тоа или не и оние кои се покажале како спам (пораки со маркетиншка содржина кои не сме барале да ги добиеме) 89

90 блокирајте ги, сместете ги во посебна папка (фолдер) или пребришете ги. Никогаш не одговарајте на испратените спам пораки. Не ги испраќајте вашите е-маил адреси како линкови. Не го дистрибуирајте вашиот е-маил на најразлични Интернет сервиси и newsletter-и. Не придонесувајте за ширење на пораките кои содржат невистините податоци (hoaxes - лажни извештаи за непостоечки вируси, често тврдат дека прават невозможни нешта 60 ) или пораки кои заплашуваат (spofs). Бидете внимателни околу е-маил пораките кои лажно се претставуваат како некој легитимен ентитет (phishing) со цел да се здобијат со доверливи информации како кориснички имиња, лозинки, броеви на кредитни картички и сл. Никогаш не одговарајте на барања поврзани со пари или сигурности информации по пат на е-маил. Никогаш не инсталирајте надоградби на софтвер кои се испорачуваат по пат на е-маил Практикување на интернет сигурност Internet Explorer сигурносни поставки: Зони во кои е дозволен пристапот: Internet, Local Internet, Trusted sites, Custom. Сетирање на други напредни поставки од страна на администраторот. Вклучете ги ActiveX, Java и JavaScript поставките само за Интернет страници од групата Trusted sites, заради сигурност бидејќи преку овие сервиси најчесто се пренесуваат штетни апликации

91 Не прифаќајте cookies (пакетчиња) кои се дистрибуираат кога ќе пристапите кон некоја Интернет страна, од Интернет страни во кои немате доверба. Бришете ги почесто. Задолжително внимавајте да има 128 битна или повисока енкрипција на страните каде ги внесувате податоците од вашата кредитна картичка. Секогаш нанесувајте ги новите сигурносни надоградби за да ја подобрите сигурноста. Интернет треба да се употребува исклучиво за бизнис цели, неавторизирано и незаштитено користење на содржини на Интернет може да му овозможи на хакерот можност да пристапи до Вашите податоци. Држете се подалеку од ризичните download-и. Кога се двоумите, секогаш прво мислете на сигурноста. Нека сигурноста биде дел од вашата секојдневна рутина Социјален инженеринг добивање на доверливи податоци за работењето на Банката преку користење на довербата на вработените во Банката Оваа проблематика опфаќа ситуации во кои вработените не се придржуваат до сопствените административни проведури за работа. Односно надворешни лица ја користат довербата на вработените за да дојдат до информации за кои ја немаат потребната авторизација. На ваков начин се загрозува Доверливоста на информациите на Банката и клиентите на Банката. Доставувањето на информации на неавторизирани лица може да влијае врз репутацијата на Банката, како и да предизвика материјална штета на Банката. Оваа проблематика е уредена со Закон за Банки 61 Член 83 и 84 кои гласат: 61 Закон за банки Службен весник на РМ бр. 63/00, 103/00, 37/02,.51/03, 85/03 91

92 Лицата со посебни права и одговорности, вработените во Банката, како и други лица им е овозможен пристап до работењето на Банката не смеат да ги откријат податоците и инфромациите кои се со статутот и други акти на Банката утврдени како деловна тајна на Банката. Податоците за штедните влогови и за сите депозити во Банката на физички и правни лица, како и податоците за работењето на физичките лица преку жиро сметки и тековни сметки и работењето на правните лица преку жиро сметки, се деловна тајна на Банката. Секое постапување на вработените спротивно од овие одредби Банката ќе го санкционира. Вработените со своето однесување потребно е да се стремат кон заштита на податоците на своите клиенти и на Банката Штети кои можат да бидат предизвикани од инцидентите Сите горенаведени инциденти можат да предизвикаат големи последици по работењето на Банката. Следуваат некој од позначајните последици и штети кои можат да бидат предизвикани: Уништување на хардверот на Банката како резултат на преоптоварување на ресурсите со Denial of service DoS напад. Нефункционирање на хардверот или неможност истиот да се врати во првобитна состојба. Оштетување или уништување на софтверските апликации. Губење на податоците од базите на податоци или пораките од серверите за електронски пораки поради преоптовареност на системот. Неможност за комуникација помеѓу серверот и компјутерските станици во мрежата, неможност да се одвива вообичаената работа. 92

93 Успорување на работата на серверот и станиците како резултат на присуство на штетен софтвер што доведува до намалување на учинокот на вработените. Компромитирање на доверливи информации или губење на истите. Нарушување на интегритетот и доверливоста на целата мрежа поради присуство на штетен софтвер или хакерски напад. Финансиски загуби како резултат на тоа што напаѓачот ќе се стекне со доверливи податоци и истите ќе ги искористи за стекнување со финансиска корист. Компромитирање на трговски тајни и нанесување штета на корпоративната репутација. 10. Безбедност на мрежните ресурси Секоја банка е одговорна да обзбеди заштита на својот мрежен и компјутерски систем на разумен и економски исплатлив начин против навторизиран пристап или злоупотреба, а во исто време да го направи достапен за авторизирани и легитимни корисници. Оваа одговорност вклучува и навремено информирањ накорисниците за стандардите кои треба да се почитуваат при користење на мрежните ресурси на Банката, со цел да не ги нарушат заради неинформираност. Секој обид да се нарушат одредбите на оваа политика ќе резултира со дисциплински мерки, кои можат да вклучат и укинување на корисничките имиња Кориснички одговорности Корисниците на мрежните ресурси на Банката се одговорни за почитување на државните и меѓународните прописи. Секој обид да се прекршат овие прописи преку користење на мрежата ќе резултира со санции против нарушувачот од стана на властите. Доколку се случи ваков настан Банката треба целосно да соработува со властите со цел да ги обезбеди сите информации кои се потребни во истрагата. 93

94 Кога корисникот ќе добие корисничко име кое му овозможува пристап до мрежата и компјутерскиот систем на таа мрежа, тој е целосно одговоренза сите активности кои се извршени додека го користи тоа кориничко име. За да се намали можноста за злоупотреба на корисничкото име на вработените потребно е да се почитуваат следните одредби: Корисниците се одговорни за својата употреба на мрежата и компјутерската опрема и за заштита на своето корисничко име и лозинка. На секој корисник му се издава единствено корисничко име и лозинка што му овозможува пристап до мрежните ресурси, , Интернет и.т.н. Одговорност е на секој корисник да пријави секаква злоупотреба на своето корисничко име или лозинката на ОСИС. Неавторизирано користење на мрежните ресурси или не пријавување на било каква злоупотреба ќе се смета како нарушување на ПСИС. Забрането е да се соопштува корисничкото име или лозинката на друго лице. Доколку го соопштите Вашето корисничкоиме или лозинка на друго лице, самостојно сте одговорни за постапките на тоа лице. Забрането е бришење, промена или копирање на документи или податоци кои припаѓаатна друго лице без негова претходна согласност. Забрането е користење на информативните средства и сервиси на Банката за стекнување на индивидуална материјала корист. Секоја неавторизирана и намерна постапка која гооштетува компјутерскиот систем, односно го оневозможува неговото нормално функционирање се смета како нарушување на сигурноста на информативниот систем на Банката Безбедност на мрежата Како корисници на мрежните ресурси на Банката, на вработените може да им се дозволи пристап до други мрежи и компјутерски системи поврзани со овие мрежи. 94

95 Потребно е да се почитуваат следните одредби: Забрането е искористувањето на мрежните ресурси за неавторизиран пристап до оддалечените системи (Remote Systems). Забрането е копирање на системски фајлови, разоткривање и промена на лозинките или сигурносните подесувања во сопственост на Банката. Корисниците не смеат да бараат, користат или дистрибуираат информации во врска со мрежната архитектура, хардверски и софтверски компоненти, бази на податоци, компјутерска опрема и сигурносни компоненти во сопственост на Банката за кои не се авторизирани. Секој обид на поедници да се оневозможи нормалната функција на мрежниот систем или прогами е казнив со дисциплински мерки. Секој неавторизиран обид да се обезбеди повисоко ниво на привилегии во системот на Банката ќе резултира со губење на привилегиите во системот. Намерно инсталирање на вируси или други штетни програми во мрежата на Банката е забрането Системот за електронска пошта е инфрмативно средство кое Банката го овозможува на своите вработени со цел да им помогне за ефикасно извршување на своите работни обврски. Ова информативно средство е сопственост на Банката и треба да се користи за бизнис цели во корист на Банката. Препораки: 1. Секој вработен е одговорен за сите пораки кои се испратени од неовото поштенско сандаче. секој обид да се чита, брише, копира или менува електронската пошта на други кориснии е забранет 95

96 забрането е испраќање на верижни писма кои не се во функција на бизнис цели во корист на Банката, пропагандни пораки и други шеми кои можат да предизвикуваат зголемен е-маил сообраќај фалсификување на електронските е-маил пораки е строго забрането во следните специјални околности е-маил системот може да биде достапен од трето лице: - Истрага за злоупотреба, повреда на авторски права, верижни писма, неавторизирани комерцијални или политички активности кои ги повредуваат политиките на Банката или државните закони. - Степенот на доверливост кој го нуди мрежниот софтвер и хардвер да биде загрзен од багов и хакери. - Сите други околности под кои Банката може да пристапи до е- маил на вработените поради усогласување со законските одредби. 2. Електронската пошта се смета за официјален начин на комуникација во Банката. Банката го задржува правото да влегува во е-маил системот со цел да направи увид, да избрише или копира некоја порака, да ја покаже оваа порака на други лица и да ја искористи оваа порака како основа да започне дисципинска постапка. Електронската пошта може да се третира како јавен податок во кој случај Банката има право да ја испита пораката. Од тука произлегува дека вработените не треба да сметаат дека е-маил пораките се доверливи. Доколку комуникацијата треба да е приватна, или доверлива не го користите е-маил системот на Банката Интернет пристап и негово прифатиливо користење Интернет пристапот се овозможува на вработените на Банката како средство кое се користи за добивање на различни информации кои се потребни во текновото работење на Банката. 96

97 Со правилник се регулира начинот на користење на интернет од страна на вработените на Банката преку употреба на опрема и техника која е во сопственост на Банката. Правилникот се однесува на пристапот на Интернет. Не ги покрива барањата, стандардите и процедурите за равивање и имплементирање на интернет страниците на Банката. Сите вработени, независно дали се на неопределено или определено време вработени во Банката се опфатени со правилникот. Се однесува само на пристапот на интернет кој се врши со употреба на опрема и техника на Банката и со користење на интернет адреси и domain names кои се регистирани на Банката. Доколку директорот на дирекцијата смета дека интернет пристапот на вработените на дирекцијата е во интерес на Банката, на вработените ќе им биде овозможено да користат интернет, со ограничувањата кои ќе се наведат подолу. Вработените на кои не им е овозможен интернет пристап, како дел на нивните официјални задолженија, нема да се во можност да користат интернет под ниту едни околности. Се очекува дека интернет пристапот на вработените ќе им овозможи поквалитетно да ги извршуваат своите работни обврски како и да пристапат до информации кои се поврзани со тековната работа. Се советуваат вработените да не го користат интернет пристапот за цели со кои можат да влијаат негативно врз Банката или нејзините вработени. Со зголемените можности за електронска форма на комуникацијата, Банката мора да осигура дека вработените се запознаени со начинот на користење на овие можности и со околностите вокоои овие начини на комуникација се дозволени за употреба. Потребно е да се следат следните интернет процедури: 97

98 Интернет и е-маил привилегиите, како и компјутерскиот сстеми мрежа, се сметаат за ресурси на Банката и се наменети за користење за бизнис цели. Начинот на кој вработените ги користат овие ресурси може да се надгледува од страна на Банката доколку се приметат невообичаени или недозволени активности. Банката го поседува е-маил системот и информациите кои се пренесуваат, односно чуваат во него. Вработените не треба да очекуваат дека нивните е-маил пораки се третираат како доверливи или лични податоци. Е-маил пораките може да се набљудуваат поради безбедносни причини во секое време. Дистрибуција на било каква информацијана интернет преку е-маил системот е предмет на надзор од страна на рабптодавецот. Банката го задржува правото да ја испита соодветноста на оваа информација. Под никакви околности информациите за клиентите, кои можат да овозможат идентификација на клиентот, не смеат да се испраќаат преку несигурни канали на комуникација. Материјалите кои се во сопственост на Банката не смеат да се користат или испраќаат по интернет без писмено одобрение од надлежните лица на Банката. Игри, screen saver, програми, содржини од забавен карактер (музика, филмови и сл.) не смеат да се симнуваат од интернет со користење на опрема на Банката. Користењето на компјутерите на Банката за потреби кои не се поврзани со работното место треба да се лимитираат на ниво на користење во часовите после работното време или за време на паузата. Банката ќе избере обезбедувач на услуга од областа на интернетот, преку кој ќе се врши пристап до интернет на сите корисници. Користење на интернет со употреба на опрема од Банката не се дозволува во следните случаи: 98

99 Свесно да се посетуваат страници на интернет кои содржат вулгарни или други непристони материјали, да се примаат или испраќаат метеријали, преку е-маил, говорна пошта, меморандум или говорна комуникација, кој е со навредлива или дискриминаторна содржина или има цел да навреди, злоупотреби или вознемири друго лице. Вклучување во секакви незаконски активности или други активности кои на некој начин ќе ја дискредитираат Банката. Вршење на лични комерцијални актвности на интерет, вклучително нудење на сервиси или стоки за продажба или вршење нарачки за услуги или стоки од фирмите кои вршат продажба преку интернет. Вклучување во сите активности во кои ќе се компромитира сигурноста на било кој компјутер кој е во сопственост на Банката. Користење на Интернет или е-маил за нелегални цели. Симнување на софтвер или електронски фајлови без примена на мерките за заштита од вирус, кои се одобрени од Банката. Да се презентира свое мислење како мислење на Банката, за одредена проблематика а не сте овластени за тоа. Изработка или испраќање на непристојни понуди или материјали. Намерно да се влијае на нормалното работење на мрежата, вклучувајќи и намерно имплементирање на компјутерски вируси и предизвикување на долготраен високо фреквентен мрежен сообраќај, кој значително ги спречува другите да ја користат мрежата од Банката. Да се откриваат или публикуваат доверливи или информации на Банката кои вклучуваат, но не се ограничени на: финансиски информации, доверливи информации на клиентите, маркетинг стратегии и планови, бази на податоци и сите информации кои внатре се содржат, листи на клиенти, изворни кодови на компјутерскиот софтвер, кодови за пристап и бизнис врски. Да се изведуваат секакви други дејствија со мрежните ресурси на Банката кои се дефинирани како несоодветни. 99

100 Да се користи опремата на Банката или другите извори за било каква намена различна од онаа за што е наменета од страна на менаџментот на Банката. Корисниците да се идентификуваат себеси на било каков друг начин кој не може да се дефинира како чесен, точен и комплетен додека се учествува во меѓусебни chats или newsgroups Обврски на корисникот Користењето на компјутерската опрема и интернет пристапот за да се исполнат работните обврски секогаш треба да има приоритет над личната употреба. Со цел да се избегнат проблеми со капацитетот и да се редуцира чувствителноста наредурсите наинформационата технологија на Банката од компјутерски вируси, интернет корисниците ќе ги почитуваат следните одредби: Следење на постоечките безбедносни политики и процедури при користење на интернет сервисот. Запознавање со интернет етиката, обичаи, вклучително и процедурите и упатствата кои треба да се следат кога се користи лап топ компјутер и кога се трансферираат фајлови од други компјутери. Да се запонаат со сите специјални барања за пристап, заштита и употреба на податоците. Да се однесуваат на начин кој се одразува позитивно врз банката бидејќи тие се регистрираат како вработени на Банката на интернет дури и кога го користат интернетот за лични причина. Корисниците ко ќе ги нарушат одредбите во овај правилник ќе претставуваат предмет на дисциплински мерки вклучително писмени опомени и одземање на привилеги за пристап. 100

101 11. Безбедност на базите на податоци Сите администратори на апликативен софтвер вработени во секторот за софтвер имаат ограничен пристап (read привилегија) до продукциските бази на податоци. Како предуслов за непречена работа и развој, обзбедена е адекватна тест и развојна околина накоја овозможено креирање и промна на објекти. Развојната околина ќе биде фрагмент од продукциските бази и ќе се користи за интензивен развој што подразбира и голема динамика на промени во шемата (структурата) на објектите. Сите промени пред да се аплицираат на тест околина, а потоа и на продукција треба да бидат иницијално проверени/тестирани од самите извршители. Промните треба да се скриптираат пред да се аплицираат на тест околината. Тест околината ќе биде база која редовно со договорена динамика ќе се реставрира од продукцискиот Backup. По иницијалните тестирања од самите ивршители и отстранувањето на баговите на равојната околина, се скриптираат промените и се аплицираат на тест базата. На тој начин се оспособува околина до која им се овозможува пристап на вработенитеод организационите единици во Банката задолжени за тестирање на аплкации во развој, апликативни подсистеми, модули и сл. На тест околината ќе се дозволи и ad-hoc креирање на објекти доколку станува збор за тестрање на извештаи кои е невозможно да се проверат на развојната околина. По завршените тестирања од организационите единици во Банката и поврда пратена по mail дека истите може да се вградат во продукција, извршителот по mail ја испраќа скриптата до администраторот на бази на податоци кои истата ја извршуваат во продукција. 101

102 Заради поедноставна контрола и следење на интервенциите, содржината на mail-от треба да подлежи на неколку правила: 1. Во називот треба да стои опис на наредбата (S:+краток опис доколку се работи за откриен софтверски проблем, SP:+краток опис доколку се иницира промена на сторед процдура или табела во базата на податоци) 2. За интервенции што бараат посложени наредби или пак произлгуваат од откриен проблем, потребно е во содржината накратко да се опише бараната промена 3. Пораката треба да ги содржи базата и верифицираните наредби што администраторот на база на податоци треба да ги изврши. Доколку станува збор за серија од повеќе наредби, наредбите мораат да бидат приложени во фајл како додаток на пораката По звршување на интервенција, администраторот на бази на податоци треба да го потврди извршувањето нанаредбитедо лицето од кое е испратено барањето. Во вонредни случаи (викенд или празник) кога инцидентно има потреба администраторот на апликативен софтвер да дојде и итн да направи интервенција на продукциска база, а нема присутен или не може да обезбеди присуство на администратор на бази на податоци, го користи пликот кој е запечатен и оставен на договорено место, во кој се наоѓа важечки корисничко име и лозинка со привилегија за менување на продукциската база. По искористување на корисничкото име/лозинката за промена во продукциска база, извршителот е должен за истото да го извести раководителот на секторот за софтвер, директорот на ИТ, ОСИС и адмнистраторите на база. Првиот работен ден по искористувањето на корисничкото име, администраторот на база треба да го промени и повторно да го запише и запечати во затворен плик на определеното место за тоа. 102

103 12. Проценка на ризик и Loging менаџмент Проценка на ризик Сигурноста на инормативниот систем се дефинира како обезбеедување на: а) Доверливост на информативниот систем информацијата им е достапна само на оние коишто имаат овластен пристап до неа. б) Интегритет на информативниот систем заштита на точнота и комплетноста на информацијата. в) Расположливост на информативниот систем овластените корисници имаат пристап до информацијата и до другите придружни средства потребни за нејзина презентација, кога за тоа има деловна потреба. Процесот на информативна сигурност е процес кој е составен од неколку фази: 1. Проценка на ризик 2. Креирање на Политика за сигурност на информативен систем 3. Имплементација на сигурносни контроли 4. Тестирање на сигурноста 5. Набљудување надоградба I. Проценка на ризик Проценката на ризик кон сиурноста на информативниот систем е чекор поблиску до идентификацијата на ризиците за доверливоста, интегритетот и расположливоста на информативните системи. Проценка на ризик се врши со цел да се: - идентификуваат информативните средства кои се од највисоко значење за функционирањето на Банката. 103

104 - утврдат начините за заштита кои се користат за соодветните информативни средства (дали се доволни да се спречат заканите потоа информативно средство). - имплементираат нови контролни механизми. Проценката на ризик се спроведува еднаш годишно на предлог на ОСИС до Управниот Одбор на Банката, при што се наведува и рокот вокј потребно да се спроведе анализата. Управниот Одбор на Банката со налог-меморандум дава задолжение до директорите на дирекциите за спроведување упатство. Директорот на секоја дирекција е одговорен за навремено спроведување на анализата во рамките на неговата дирекција. Резултатите од анализата се доставуваат до ОСИС. При самата проценка се зема ажурна информативна книга која се дополнува со нови информативни средства, доколку се идентификуваат такви. Проценката наризик наинформативните средства кои се универзални за сите дирекции се спроведува до дирекцијата ИТ, во зависност одобврската за одржување на средството. Проценката на ризик се прави со пополнување формулар во електронска форма кој се доставува од ОСИС до директорите на дирекции. Пополнетиот формулар се доставува до Одговорниот за сигурност на информативниот систем на Банката, кој ги сублимира и креира нва ажурна информативна книга. Се анализираат резултатите на извешената анализа од страна на ОСИС и се издвојуваат оние информативни средства кај кои е проценето највисоко ниво на ризик. ОСИС во соработка со директорот на дирекцијата во чиј обем наработа влегува соодветното информативно средство, предлагаат соодветна заштита со која ќе може да се одговори на заканата и да се намали штетата. Притоа се води сметка предложените контроли: 104

105 - да се ефективни - да се во согласност со законската регулатива и политиката на Банката - да имаат позитивно влијание врз оперативноста во работењето Резултатите од проценката на ризик, заедно со акционен план се сублимираат во извештај. Во акциониот план се предлагаат заштитни мерки во рамките на постоечиот информативен систем, лица кои се задолени за имплементација на корективната мерка, како и временски период во кој заштитната мера треба да се имплементира. Приоритет за имплементација на контролни механизми во рамките на акциониот план имаат оние информативни средства кои согласно извршената проценка на ризик се оценети со нависок степен на ризик поинформативниот систем на Банката, односно во моментот немаат имплементирано никаква конторола по соодветната закана. Извештајот заедно со акционот план се доставува до Управниот Одбор на Банкатасо цел негово усвојување. Откако акциониот план ќе се усвои од Управниот Одбор на Банката се доставува до лицата определени за негово спроведување. Проценката на ризик Банката ќе ја изведе преку неколку чекори: а) Идентификација на средствата на информативниот систем Се идентификуваат сите средства на информатицниот систем, односно сите носители на информации кои се важни за текот на деловните процеси на Банката. Идентификација на средствата на информативниот систем ќе се врши по дирекции во Банката, при што ќе се категориираат на: 105

106 - Електронска Документација - Пишана Документација - Софтверски средства - Човечки фактор - Сервиси Идентификацијата се спроведува преку: - попис на сите средства на информативниот систем на Банката, врз основа на кој се изготвува Информативната книга на Банката, секое средство на информативниот систем на Банката треба да е јасно идентификувано, а неговата припадност дефинирана. - се наведува каде се чуваат, во колку примероци, како и во која форма (електронска, пишана) б) Класификација на средствата на информативниот систем доделување на вредности Сите идентификувани средства на информативниот систем, по дирекции на Банката, ќе се класифицираат спрема нивното значење за успешно извршување на деловните процеси на Банката, спрема чувствителноста на информацијата која ја содржат, како и можната штета која би с предизвикала доколку чувствителната информација не се чувала на адекваен начин. Клаификацијата на средствата на информативниот систем кои треба да се заштитени се врши според степенот на чувствителност на информацијата која ја содржат, при што се користат следните категории: - строго доверливи сите информации кои доколку станат неавториизирано достапни ќе предизвикуваат правна или финансиска, вистинска или потенцијална штета за Банката. 106

107 - доверливи секоја информација која не трба да се дистрибуира слободно. - интерни документи од рутинска природа. - јавни сите документи кои се достапни на јавноста, или кои Банката има и обврска да ги дистрибуира на јавноста. Вреднувањето на средствата според нивното значње за успешно извршување на операциите на Банката, е со цел да се доби информација за висината на штетата која би ја претрпла Банката доколку настане некоја неочекувана закана. Вредноста на средствата ќе ја изразиме преку описна скала на вредности при што ќе се користат следните вредности: - мала, - средна и - висока. При определување на вредноста на средствата, треба да се има предвид трошокот од набавка и одржување на средството. Преку вредносна скала ќе се определи ударот врз Банката доколку информативните средства се компромитирани од аспект на секој од трите критериуми Доверливост, Интегритет и Расположливост. Извршената класификацијана информативните срдства на Банката ќе претставува основа за определување на начинот на третирањена документите в) Идентификација на потенцијалните слабости на Банката преку кои заканите можат да предизвикуваат штета на Банката Потенцијални слабости: Слабости во имплементираните контроли на информативниот систем, политиката и практиката на организацијата преку кои заканите може да предизвикуваат штета на Банката. 107

108 Во овај чекор ќе се идентификуваат слабостите во постојната структура на информативниот систем на Банката. г) Анализа на ризик Анализара на ризик претставува процес на идентификување на заканите кон сигурноста на инфромативниот систем, определување на веројатноста занивно случување, висината на штета која ќе ја предизвикаат и контролите кои треба да с имплемнтираат за намалување на штетата. Закана: можен несакан настан кој може да нанесе штета на информативниот систем, а со тоа и на работењето на Банката. Оперативен ризик: претставува ризик од директна и индиректна загуба на Банката од неадекватни или загрозени процеси, луѓе и системи или од надворешни настани. слабости. Превентива: Превентивата претставуваконтра мерка на потенцијалните Постојат два вида на превентивни механизми: 1. За спречување ја намалуваат веројатноста на случување на соодветната закана. 2. Корективни го намалуваат негативниотефект по случување на нападот. Концентрацијата треба да е насочена кон поставување на ефикасна превентива, како адекватен одговор на заканите по системот, со што последователно ќе се намали можноста за нивна појава, ќе се намали веројатноста а случување на нападот, ранливоста на системот со што како краен ефект ќе се минимизира штетата. Овие елементи и нивното меѓусебно влијание може да се претстават преку едноставен модел: 108

109 Слика број 25 Модел на безбедност При анализа на оперативните ризици врз своето работење Банката употребува квалитативен метод на анализа предложен од National Institute of Standards and Technology, Technology administration U.S. Department of Commerce. Анализата на веројатноста, одредена закана да се поврзе со одредено информативно средство и можните штети кои може да ги има Банкатаќе се врши во вид на сценарија. Оние информативни средства кои се универзални за сите дирекции на Банката посебно ќе се обработат, додека тие информативни средства кои се карактеристични само за одредена дирекција ќе се обработуваат во рамките на постојната дирекција во вид на сценарија на појава на одредени закани по информативните средства. показатели: Анализата на ризикот ќе се врши преку вреднување на следните 109

110 а) Вреднување на веројатноста настанот да се случи и настан. б) Вреднување на загубата, односно штетата на Банката од соодветниот Вреднувањето ќе се врши преку подготвување на нумеричка скала на вредности, од која вредностите ќе се доелуваат врз основа на проценка на тимот која ја врши анализата. Веројатност на настанот Неверојатно Веројатно Многу веројатно Опис Заканата не е доволно мотивирана или постојат контролни механизми кои ќе ја спречат заканата Заканата е мотивирана и способна да предизвика штета но постојат контроли кои можат да ја намалат штетата Заканата е мотивирана и способна да предизвика штета, не постојат контроли или имплементираните контроли се неефикасни Оценка Табела број 3 Вреднување на веројатноста настанот да се случи Штета Опис Оценка Ниска Може да резултира во оштетувања на некои информативни средства или извори, незначајно да ја загрози репутацијата и интересот на Банката 10 Средна Може да резултира во оштетувања на значајни информативни средства или извори, значајно да ја загрози репутацијата и интересот на Банката, да резултира во

111 Висока човечки повреди Може да резултира во високи оштетувања и загуба назначајни информативни средства или извори, значајно да ја загрози репутацијата на Банката, да резултира во човечки жртви и сериозни повреди 100 Табела број 4 Вреднување на загубата Ваквите вреднувања понатаму се користат како основа за проценка на ризикот. Врз основа на овие податоци се определува голмината на ризикот по информативното средство, како функција од веројатноста настанот да се случи и штетата која би ја претрпела Банката. Веројатност Штета Штета Штета заканата да се појави Ниска (10) Средна (50) Висока (100) Висока (1,0) Низок Среден Висок 10х1,0=10 50х1,0=50 100х1,0=100 Средна (0,5) Низок Среден Среден 10х0,5=5 50х0,5=25 100х0,5=50 Ниска (0,1) Низок Низок Низок 10х0,1=1 50х0,1=5 100х0,1=10 Скала на ризик: Висок (>50-100), Среден (>10-50), Низок (1-10) Табела број 5 Матрица на ниво на ризик Оваа матрица на ризик, со своите нивоа-низок, среден и висок, го прикажува нивото на ризик на кој информативното средство ќе биде изложено доколку одредена закана се поврзе со потенцијална слабост на Банката. 111

112 Скалата на ризик исто така дава и податоци за корективна акција која Банката треба да ја превземе за секој степен на ризик. Ниво на ризик Опис Оценка Низок Се бара стручно мислење дали треба да се превземат корективни активности, или ќе се одлучи да се прифати ризикот 1-10 Среден Корективни активности се потребни и треба да се изработи план за намалување на ризикот во определен временски период >10-50 Потребно е итно да се превземат корективни акции, постоечкиот систем може да Висок продолжи да егзистира, но корективни мерки мора да се превземат во што е можно пократок временски период > Табела број 6 Корективни активности при проценка на ризик Политика за Log Management Целта на политиката за управување со ревизорски траги е да детектира и спречи пенетрација на било кои компјутерски системи на Банката и да открие злоупотреба на истите. Ревизиите може да се вршат за да се: Обезбеди интегритетот (модификација или уништување на податоците кои се наоѓаат на серверите или за време на нивниот транспорт низ мрежата), доверливоста и расположливоста (спречување на Denial of Service напади,и.т.н) преку разгледување и одржување на ревизорските логови. Истражат можни сигурносни инциденти и да се осигури почитување на Политиката за сигурност на информативниот систем на Банката. Осигури дека системските логови се создаваат и одржуваат кога се пристапува кон доверливи информации како што се критичните системи и соодветните апарати. 112

113 Осигури дека пристапот до ревизорските логови е ограничен и дека поделбата на должности се спроведува. Осигура дека работењето со доверливи информации се врши од страна на авторизиран персонал. Осигури дека Ревизорските траги се разгледуваат на редовна база и постои можност да се врши селективна ревизија на информацијата. Осигури дека ревизирските логови се архивирани за некои идни потреби. Оваа Политика ги опфаќа сите индивидуи одговорни за заштита на доверливи информациски компјутерски системи и комуникациски уреди во сопственост и управувани од страна на Банката. Оваа Политика исто така ги опфаќа и сите компјутери и комуникациски уреди кои се присутни во просториите на Банката, но не мора да се во сопственост или управувани од страна на Банката. Процесот на ревизија на еден сигурен систем се состои од прибирање, испитување и разгледување на некои или сите релевантни сигурносни активности во системот за да се проценат ризиците од загуба, компромитирање или оштетување на доверливите информации Ревизорски траги Банката ги чува податоците од ревизорските траги во согласнот со разните регулаторни закони, правила и препораки. Оваа Политика овозможува внатрешните контроли и ревизорските побарувања да вклучуваат: индивидуална одговорност, реконструкција на настани, набљудување на проблеми како и алатки за детекција на напад кои ќе се користат за набљудување на чувствителните системи Логирање Целиот пристап кон мрежните систми треба да е логиран. Податоците за логирање се класифицирани како доверливи. Пристапот до овие логови е јасно дефиниран со процедури, а периодот за нивно чување е во согласнот со периодите одредени за ревизорски цели, правни цели и за повраток на податоци. 113

114 Сигурност на ревизијата Софтверот за ревизорски траги, како и ревизорските траги и подесувања треба да се заштитени со доверлива компјутерска основа и треба да се подложни на строги управувачки, операциони и технички контроли на пристап. Сигурносните побарувања за еден ревизорски механизам се следниве: 1. Event recording механизмот треба да биде дел од доверливата компјутерска основа и ќе биде строго контролиран за случаи на негова неавториирана модификација или заобиколување. 2. Информациите за ревизорските траги ќе се чуваат како доверливи информации од страна на доверлива компјутерска основа против неавторизиран пристап (пример, пристап за читање на ревизорските податоци ќе биде забранет, освен за оние корисници или авторизиран персонал на кои им е доделен експлицитен притап за читање). Поделба на должностите ќе биде изршена така што авторизираниот корисник кој ги разгледува ревизорските траги, ќе ја нема можноста истите и да ги менува. 3. Механизмот за овозможување/оневозможувње на ревизиски настани треба да биде дел од доверива компјутерска основа и треба да биде недостапен за неавторизирани корисници. Податоците од ревизорската трага треба да се сметаат за доверливи и самата ревизорска трага треба да се смета како строго доверлива. Кога медиумот кој ја содржи ревизорската трага физички ќе се извади од доверливата компјутерска платформа, медиумот треба да се третира со иста физичка заштита која е потреба за стого доверливите податоци кои се содржат во системот Ревизорски контроли и контроли за детекција на промени Ревизорските контроли и контролите за детекција на промени треба да овозможат независно разгледување на податоците и активностите за да се провери адекватноста на системските и апликависките контроли и да се детектира/реагира по сите отстапувања од постоечките политики, правила и 114

115 процедури. Детекцијата на промени вклучува употреба на системски логови и ревизорскит траги. За една апликација, детекцијата на промени ги проверува неправилностите во корисничкото однесување или во системот, како што се бројот и типот на трансакциите, пристап надвор од работното време и други отстапувања од стандардниот профил на активности. Овие прегледи може да овозможат рана етекција на обиди за неавторизиран пристап до некој систем или апликација како и детекција на контаминиран софтвер (злонамерни програми или компјутерски вируси). Постојат два основни типа на прегледи кои спаѓаат во оваа категорија на контроли системски ревизии и сигурносно набљудување: 1. Системските ревизии претставуваат снимки анализи на апликации во точно одреден временски период. Самостојно управувачки системски прегледи се вршат на повторувачка основа во текот на годината и се извршуваат од страна на внетрешен персонал. Прегледите треба да бидат документирани за да овозможат проценка на методологијата, потребното време и резултатите од страна на независни ревизори. 2. Сигурносно набљудување е константна активност чија што цел е да идентификува ранливости, отстапувања од постоечките сигурносни процедури и други сигурносни проблеми. Набљудувањето е слично со системскиот преглед во тоа штосе користат многу од истите аналитички процедури. Меѓутоа системското набљудување се врши почесто и има поголеми шанси да идентификува помали или привремени настани кои може да бидат показатели за потенцијални натрапници, закани или слабости во системот. Алатките за системско набљудување типично се користат за да им помогнат на алатките за сигурносно набљудување за анализи во вистинско време (real time). Типот на системско набљудување, резултатите, фреквенцијата и алатките кои се употребуваат треба да бидат документирани за преглед од независни ревизии. 115

116 Сите системи кои процесираат доверливи информации или се сметаат за ритични за работењето на Банката мора да дозволат за слдниве ревизорски контролнии функционалности. Функцијата ревизорска контрола треба да може да генерира ревизорски запис за следните ревизорски настани: 1. Вклучување и исклучување на ревизорските функции. 2. Сите ревизорски настани за нивото на ревизија побарано од Ревизорот. 3. Ревизорската контролна функција како минимум ќе ги снима во секој ревизорски запис датата и времето на настанот, типот на настанот, идентитетот на субјектот, идентитетотна целта и резултатот (упех или неуспехот) на настанот. 4. Ревизорската контролна функција треба да дозволи споредба на потписите на настаните и секвенците на настаните со записите од системската активности. 5. Ревизорската контролна функција треба да биде способна да создаде сет од правила за набљудување на настаните кои се под ревизија и врз основа на тие правила да даде индикација за потенцијалните неправилности. 6. Ревизорската контролна функција треба да овозможи пристап за читање на ревизорските записи на сите корисници освен на оние корисници на кои експлицитно им е овозможен пристап за читање. 7. Ревизорската контролна функција треба да ги овозможи ревизорските записи на начин соодветен за корисникот да ја разбере информацијата. 8. Ревизорската контролна функција треба да ја овозможи способноста да се вршат пребарувања во ревизорката база на податоци на критериуми со логички функции. 9. Ревизорската контролна функција треба да биде способна да вклучува или исклучува настани кои може да бидат ревидирани, од групата н ревидирани настани, врз основа на идентитетот на објектот, идентитетот на корисникот, идентитетот на субјектот и идентитетот на хостот. 116

117 10. Ревизорската контролна функција треба да ги заштити зачуваните ревизорски податоци од неавторизирано бришење. 11. Ревизорската контролна функција треба да биде во можност да спречи модификација на ревизорските податоци. 12. Ревизорската контролна функција треба да осигури дека ревизорските податоци ќе се одржуваат кога просторот за чување на истите ќе е потроши, падне или пак кога ќе случи напад. 13. На овие авторизирани корисници, кои имаат улоги на администратор на мрежен уред, оперативен систем или сигурносен софтвер како што е firewall, Систем за детекција на напад (Intrusion Detection System), и.т.н., ќе им се логираат сите настани Сигурносни аларми Управниот одбор ќе определи личност на која ќе и биде доделена одговорноста да развие листа на акции кои се најмалку проблематични кои ќе се превземаат во случај на детекција на потенцијална сигурносна неправилност. Овие акции ќе бидат документирани и ќе се користат како помош при приавување на сигурносни инциденти Основен принцип Ревизијата е контрола која функционира на тој начин што ја прегледува и проценува адекватноста и ефективноста на друите контроли распространети низ критичната инфраструктура на Банката со цел да се спречи загуба, промена или злоупотреба на корисничките податоци во апликациските системи. Соодветните контроли и ревизорски траги или логови на активностите треба да се дизајнирани во апликциските системи, вклучувајќи и апликации напишани од страна на корисниците. Тие треба да ја вклучуваат потврдата на влезните податоци, внатрешното процесирање и излезните податоци. Податоците треба да бидат категоризирани во податочни типови, трансакциски логови, ревизорски логови и операциони процедури, секој од детали за време на чување и вид на медиум на кој ќе се чуваат, на пример, хартија, магнетен, оптички, трака и.т.н. Сите 117

118 криптографски клучеви поврзани со енкриптирани архиви или дигитални потписи, треба да се чуваат на сигурно место и да бидат достапни на авторизирани лица кога тоа ќе биде потребно Влијание Корисници Оваа Политика ќе има влијание врз сите корисници кои имаат пристап до доверливи податоци и дава до знаење дека секој таков пристап ќе биде регистриран и го држи индивидуалниот корисник како одговорно лице за секој неавторизиран пристап. Сопственици на податоци Оваа Политика им помага на сопствениците на податоци така што обезбедува дека само авторизирани корисници имаат притап до податоци и дека секој неавторизиран пристап ќе биде откриен и спречен кога тоа е можно. Управен одбор Оваа Политика ќе овозможи да се превземат соодветни мерки кон оние вработени кои извршиле неавторизиран пристап до доверливи информации. Мрежа Треба да се осигура дека ревизорските логови се одржуваат, разгледуваат и архивираат на сите мрежни уреди, firewall-и и.т.н. Хардвер Оваа Политика може да има влијание на хардверските ресурси како што се мрежни уреди (на пример, зголемен сообраќај), помоќни сервери, дополнителен диск простор и поголемо процесорско искористување. 118

119 13. Статистичко истражување и анализа на податоците за безбедноста на платниот систем во Република Македонија и платежните картички Статистичко истражување на безбедноста на платниот систем во Република Македонија За целите на овај магистерски труд беше поставена анкета 62. Оваа анкета беше поставена на Интернет и до неа имаа пристап поголем број на испитаници од различен пол и возраст. Анкетата беше распространета на Интернет мрежата преку е-маил пораки и преку користење на социјалните мрежи. На оваа анкета одговор дадоа 53 испитаници. Испитувани се повеќе обележја и тоа: пол, возраст, занимање, дали поседува платежна картичка, дали ја користи платежната картичка, дали ја користи за плаќање во продавница, за on-line плаќање, за плаќање во странство, колку мисли дека е безбедно и дали е побезбедно купување на Интернет или преку пос-терминал. За анализа на податоците кои што беа добиени преку оваа анкета се користеа неколку различни пристапи. Најпрво преку користење на Google Forms е направена сумаризација на резултатите од анкетата. Резултатите се графички прикажани. Исто така тие се зачувуваат и во Excel документ. Користена е и програмата SPSS Statistics за да се направи подетална анализа на податоците и да се направи поврзување помеѓу две или повеќе различни обележја. Резултатите добиени од анкетата во форма на Excel табела се импортирани во програмата SPSS Statistics и е направена нивна анализа. 62 Анкетата е приложена во Додаток 1 119

120 13.2. Статистичка анализа на податоците за безбедноста на платежните картички во Република Македонија Статистика е наука која се занимава со проучување на голем број на елементи, кои што имаат една или повеќе заеднички особини. Популација претставува множеството на елементите кои ги испитуваме или на елементите за кои сакаме да добиеме некоја информација со помош на статистички пресметки. Обележје претставува својството кое што се испитува кај елементите. Примерок претставуваа издвоен дел од популацијата кој што се проучува. Примерокот со конечен број на елементи се нарекува реализиран примерок. Во анкетата за безбедноста на платежните картички во Република Македонија беа поставени 14 прашања. Во продолжение ќе бидат детално разгледани сите прашањата поединечно, како и анализа на комбинација на две или повеќе прашања. 1. Пол Првото прашање се однесува на полот на испитаниците. Од вкупно 53 испитаници кои што ја пополнија оваа анкета на првото прашање одговор дале 52 од испитаниците, што значи дека само еден од нив не го одговорил прашањето. Од испитаниците кои одговориле 24 се машки, што претставува 45% од испитаниците. Останатите 53%, односно 28 испитаници се женски. Испитаникот кој што не одговорил на анкетата претставува 2%. 120

121 Слика број 26 Пита графикон за полот на испитаници кои го одговориле прашалникот 2. Возраст Второто прашање се однесува за возраста на испитаниците. На ова прашање одговор дале 96% од испитаниците, односно 51 испитаник. Од нив на возраст помала од 25 години се 14 испитаници или 26%. На возраст помеѓу 25 и 35 години се 16 испитаници односно 30%. 21% или 11 испитаници се на возраст од 35 до 45 години и останатите 19% или 10 испитаници се на возраст повеќе од 45 години. Слика број 27 Пита графикон за возраста на испитаниците кои го пополниле прашалникот 121

122 3. Вие сте 50 испитаници или 95% дале одговор на третото прашање. Од нив најголем број или 24 испитаници се вработени, што претставува 45%. 12 испитаници се студенти а 19% или 10 испитаници невработени лица. Интересно е и тоа што помеѓу испитаниците имаме и четворица пензионери. Слика број 28 Пита графикон за статус на испитаниците кои го пополниле прашалникот 4. Дали поседувате платежна картичка? На прашањето дали поседувате платежна картичка поголемиот број од испитаниците или вкупно 91% одговориле дека поседуваат платежна картичка, а само тројца или 6% одговориле дека не поседуваат платежна картичка. Двајца од испитаниците не дале одговор на ова прашање, односно вкупниот процент на испитаници кои одговориле е 97%. 122

123 Слика број 29 Пита графикон на испитаници кои поседуваат или не поседуваат платежна картичка 5. Дали ја користите вашата платежна картичка? Резултатите за ова прашање се многу слични со резултатите добиени за претходното прашање. 46 испитаници одговориле дека ја користат картичката, а само тројца не ја користат. Слика број 30 Пита графикон за испитаници кои користењето на платежната картичка 123

124 6. Кој тип на платежна картичка го користите? На ова прашање корисниците преку користење на текст поле можеа да го внесат одговорот за тоа кој тип на платежна картичка го користат. Најчест одговор на ова прашање е Visa, па MasterCard, VisaElektron, како и Maestro картичка и дебитна картичка. 30 испитаници користат Visa кредитна картичка, 12 MasterCard и 5 Maestro картички 7. Дали ја користите платежната картичка за плаќање во продавници? На ова прашање одговор дале 43 испитаници, што претставува 91% од популацијата. Од нив најголем дел или 49% ја користат платежната картичка за плаќање в продавница. Бројот на испитаници кои што не ја користат платежната картичка или ја користат само во безбедни продавници е ист и изнесува 11 испитаници односно 21% од вкупниот број. Слика број 31 Пита графикон за испитаници за користењето на платежната картичка во продавници 8. Дали ја користите платежната картичка надвор од земјата? Ова прашање го одговориле 87% од испитаниците. Од нив најголемиот дел или 62% не ја користат нивната платежна картичка за плаќање во странство. 11 испитаници сметаат дека е безбедно плаќањето во странство и ја користат нивната картичка, а двајца испитаници ја користат нивната картичка само во одредени земји. 124

125 Слика број 32 Пита графикон за испитаници за користењето на платежната картичка надвор од земјата 9. Дали ја користите платежната картичка за on-line купување? Од вкупно 46 испитаници кои што дале одговор на ова прашање 27 не ја користат нивната картичка за on-line купување. Процентот на оние кои што ја користат е 36% или вкупно 19 испитаници. Слика број 33 Пита графикон за испитаници за користењето на платежната картичка за on-line купување 10. Дали е безбедно да купувате on-line? На ова прашање позитивен одговор дале 55% од испитаниците или 29 испитаници. 9 од испитаниците сметаат дека on-line купувањето не е безбедно а 12 испитаници сметаат дека безбеднста на on-line купувањето зависи од продавницата од која што се купува. 125

126 Слика број 34 Пита графикон за тоа дали испитаниците сметаат дека е безбедно да се купува on-line 11. Дали имате слушнато за електронско банкарство? 39 испитаници или 74% имаат слушнато за постоењето на електронско банкарство. Од вкупно 50 испитаници кои што дале одговор на ова прашање 11 немаат слушнато за поимот електронско банкарство. Слика број 35 Пита графикон за тоа дали испитаниците имаат слушнато за електронско банкарство 12. Дали имате плаќано сметки преку Интернет? Доколку имате колку сметате дека е тоа безбедно? На ова прашање одговор дале 49 испитаници. Од нив 28 или 53% немаат плаќано сметки преку Интернет. 21 од испитаниците имаат плаќано сметки преку Интернет. Од нив двајца или 4% сметаат дека не е многу безбедно, 11 испитаници 126

127 сметаат дека е безбедно, додека пак станатите 8 испитаници или 15% сметаат дека плаќањето на сметки преку Интернет е сосема безбедно. Слика број 36 Пита графикон за тоа дали испитаниците имаат плаќано сметки преку интернет и дали сметаат дека тоа е безбедно 13. Дали сметате дека плаќањето на пос-терминал е побезбедно од плаќањето на Интернет? Ова прашање го одговориле 91% од испитаниците или вкупно 48 испитаници. Од нив 57 проценти или 30 испитаници сметаат дека плаќањето на пос-терминал е побезбедно од плаќањето на Интернет. Останатите 18 испитаници односно 34% го мислат обратното, дека плаќањето на Интернет е побезбедно од плаќањето на пос-терминал. Слика број 37 Пита графикон за тоа дали испитаниците сметаат дека плаќањето на пос-терминал е побезбедно од плаќањето на интернет 127

128 14. Дали имате да додадете нешто во врска со платежните картички и безбедноста за нивно користење? На ова прашање одговор не дал никој од испитаниците. 14. Статистичко оценување и заклучување за безбедноста на платниот SPSS систем во Република Македонија и платежните картички SPSS Statistics всушност е софтверски пакет кој што се користи за анализа на податоци. Претставува кратена за: Статистички пакет за социјални науки. Овај програм е развиен од IBM во 2009 година. Официјалната верзија која што се користи во моментот, а е користена и за потребите на овој магистерски труд е IBM SPSS STATISTICS Денес овој софтвер е многу распространет и се користи во многу полиња во секојдневниот живот како што се медицински истражувања, владини истражувања, рударење на податоци, маркетиншки организации, истражувања во образованието и слично. Статистичките пресметки на овој софтвер вклучуваат дескриптивни статистики, фреквенции, средни вредности, ANOVA тестови, т-тест, корелации, линеарни регресии, анализа на фактори, дискриминанти и слично. Графичкиот кориснички интерфејс вклучува два прозорци кои што се менуваат преку клик на табовите што се наоѓаат во долниот лев агол на прозорецот. Погледот на податоците прикажува табеларен приказ на случаите (редови) и на променливите (колони). Податоците во ќелиите можат да бидат текст или броеви. Прегледот на променливи вклучува метадата репрезентација на променливите и ги прикажува името на променливата, лабелата на променливата, ширината, единицата мерка и слично. Ќелиите и во двата случаи можат да бидат рачно променети. Големите множества на променливи кои што се анализираат најчесто се приготвуваат во друг софтвер за собирање на податоци, а потоа се импортираат во програмата

129 Изгледот на програмата е даден на следната слика: Слика број 38 Изглед на програмата SPSS Има два типови на приказ: приказ на податоци и приказ на променливи. Во приказот на променливи е даден описот на променливите. Во продолжение ќе дадеме детален опис за променливите кои што се користат Опис на променливите Слика број 39 Опис на променливите 129

130 1. За првото обележје, односно првото прашање Пол возможни се два одговори: машки и женски. Нека бројот 1 означува припадник на машки пол, додека пак 2 означува припадник на женски пол. Слика број 40 Вредности за првото прашање 2. За второто прашање можни се 4 одговори. Првиот одговор помалку од 25 години ќе го означиме со бројот 1. Вториот одговор, од 25 со 35 години ќе биде со бројот 2, третиот одговор: од 35 до 45 со бројот 4 и последниот одговор, над 45 години со бројот 4. Слика број 41 Вредности за второто прашање 130

131 3. И за третото прашање можни се 4 одговори. Студент ќе биде означено со 1, вработен со 2, невработен со 3 и пензионер со 4. Слика број 42 Вредности за третото прашање 4. На прашањето дали поседувате платежна картичка можни се два одговори. Од нив да ќе биде означено со 1, додека па не ќе биде означено со 2. Слика број 43 Вредности за прашањето број 5 131

132 5. Слично како претходното, и прашањето дали ја користите вашата платежна картичка има два понудени одговори кои ќе бидат означено со 1 (да) и 2 (не). 6. Во полето кој тип на платежна картичка го користите беше овозможено корисникот сам да внесе одговор. Дадени се повеќе одговори кои ќе бидат означени со 1- Visa, 2-Master Card, 3- Maestro 4-Друг тип Слика број 44 Вредности за прашањето број шест 7. Прашањето дали ја користите платежната картичка за плаќање во продавници има опции: 1-Да, 2-Не и 3- зависи од продавницата 132

133 Слика број 45 Вредности за прашањето број седум 8. На прашањето дали ја користите платежната картичка надвор од земјата можни беа 3 одговори. Да ќе го означиме со 1, не со 2 и зависи со бројот 3. Слика број 46 Вредности за прашањето број осум 133

134 9. На деветтото прашање: Дали ја користите платежната картичка за online купување беа понудени два одговори. Да ќе биде означено со бројот 1, а не со бројот 2. Слика број 47 Вредности за прашањето број девет 10. За прашањето дали сметате дека е безбедно да се купува on-line одговорот да беше означен со 1, одговорот не со 2, а одговорот зависи со На 11 прашање дали имаат слушнат за електронско банкарство понудени одговори беа да и не кои беа означени со 1 и 2 соодветно. 12. Прашањето дали имаат плаќано сметки преку Интернет, и докулку имаат дали сметаат дека е тоа безбедно има повеќе понудени одговори. Со бројот 1 е означен одговорот не, 2-Да, не е многу безбедно, 3-Да, безбедно е и со 4- Да, сосема е безбедно. 134

135 Слика број 48 Вредности за прашањето број дванаесет 13. За прашањето дали сметате дека плаќањето на пос-терминал е поезбедн од плаќањето на Интернет одговорот да беше означен со 1 и одговорот не со 2. Потоа податоците добиени преку Анкетата кои ги имаме во Excel документот ги прилагодуваме според описот на променливите кои ги имаме и ги импортираме во SPSS програмата. Во поглед на податоци табот можеме да ги видиме сите податоци. Тоа изгледа вака: 135

136 Слика број 49 Податоци импортирани од Excel во SPSS Анализа на добиените податоци Откако податоците се прилагодени за работа со SPSS програмата и истите се прилагодени кон истата, пристапуваме на анализа на добиените податоци преку анализирање на неколку прашања. 1. Колкава е просечната возраст на испитаниците? За да дадеме одговор на прашањето колкава е просечната возраст на испитаниците треба да испитаме треба да пресметаме аритметичка средина за облежјет возраст. Добиените резултати од пресметката се дадени на следната слика. 136

137 Табела број 7 Податоци за просечната вредност на испитаниците Има 50 валидни одговори, 3 недостигаат. Средната вредност е 2,36 што значи дека просечната возраст на испитаниците е помеѓу 25 и 45 години. 2. Кој тип на картичка најчесто се користи? За да добиеме одговор на второто прашање, кој тип на картичка најчесто се користи треба да најдеме мода за обележјето Тип на платежна картичка. Резултетите се дадени во продолжение. 137

138 Табела број 8 Податоци за тоа кој тип на картичка најчесто се користи Модата е 1 што значи дека најчесто употребувана картичка е тип Visa картичката. 3. Колку студенти поседуваат платежна картичка? Формираме нова променлива која има вредност 1 ако студентот поседува платежна картичка и 2 ако студентот не поседува. Преку if услов утврдуваме дали е ова исполнето или не. Во првата табела е дадено колку студенти поседуваат платежна картичка, а во втората табела каква е распределбара на испитаниците според нивната професија. 138

139 Слика број 50 Правење на променливи за прашањето Колку студенти поседуваат платежна картичка 139

140 Табела број 9 Податоци за тоа колку студенти поседуваат платежна картичка Од вкупно 12 студенти 11 поседуваат кредитна картичка 4. Кој пол повеќе користи платежни картички? За да го најдеме одговорот на ова прашање креираме ново обележје со име коористипк. Ова обележје има вредност 1 доколку корисникот користи платежна картичка и вредност 0 доколку корисникот не користи платежна картичка. Потоа одредуваме колку машки користат кредитна картилчка, а колку женски. 140

141 Табела број 10 Податоци за тоа кој пол повеќе користи платежна картичка Значи од вкупно 24 машки сите користат кредитна картичка. Вкупно има 23 женски ипитаници, од нив 20 користат кредитна картичка, а 3 женски не користат. 141

142 Слика број 51 Графикон за прашањето кој пол повеќе користи платежна картичка 5. Која возраст најмногу купува на Интернет? Слично како и кај претходното прашање и кај ова прашање правиме ново обележје КористиОнЛине кое има вредност 1 кога испитаникот одговорил дека ја користи неговата картичка за On-line плаќања. 142

143 Табела број 11 Податоци за тоа која возраст најмногу купува на интернет Од анализата на добиените резултати може да заклучиме дека најмногу ги кристат картичките за on-line плаќање младите лица на возраст помалку од 25 години, потоа е следната група од 25 до 35 години, па постарите лица од 35 до 45 години. Лицата постари од 45 години не ја користат картичката за on-line плаќање. 143

144 Слика број 52 Графикон за тоа која возраст најмногу купува на интернет 6. Колку од тие што купуваат он-лине плаќаат сметки на Интернет? Слично како и претходно се користи If условот за да се одреди дали испитаникот купува on-line, а во исто време и плаќа сметки преку Интернет. 144

145 Слика број 53 Правење променлива за прашањето Колку од тие што купуваат он-лине плаќаат сметки на Интернет Табела број 12 Податоци за прашањето Колку од тие што купуваат он-лине плаќаат сметки на Интернет Од резултатите може да забележиме дека 19 испитаници што купуваат online плаќаат сметки преку Интернет. Или со други зборови тоа би значело дека сите што купуваат on-line сметаат дека е безбедно да се плаќа на Интернет. 145

146 7. Кое занимање најмногу купува во продавница со платежна картичка? Правиме ново обележје ПродавницаПК кое има вредност 1 кога испитаникот купува во продавница со платежна картичка. Правиме споредба на новото обележје со обележјето Занимање. Табела број 13 Податоци за тоа кое занимање најмногу купува во продавница со платежна картичка Од резултатите можеме да забележиме дека најмногу во продавница со платежна картичка купуваат вработените лица. Пензионерите воопшто не кристат картичка за купување во продавница. Студентитите и невработените лица купуваат често во продавница со платежна картичка, но зависи многу и од тоа во која продавница купуваат. 146

147 Слика број 54 Графикон за тоа кое занимање најмногу купува во продавница со платежна картичка 8. Колку од луѓето што се помеѓу 25 и 45 години и се врабтени сметаат дека пос-терминал е побезбеден од on-line купување? Коористиме If услов за да го добиеме бројот на вработени испитаници на возраст помеѓу 25 и 45 години кои што сметаат дека пос-терминалот е побезбеден од on-line купувањето. 147

148 Слика број 55 Правење на услов за прашањето Колку од луѓето што се помеѓу 25 и 45 години и се врабтени сметаат дека пос-терминал е побезбеден од online купување 148

149 Табела број 14 Податоци за прашањето Колку од луѓето што се помеѓу 25 и 45 години и се врабтени сметаат дека пос-терминал е побезбеден од on-line купување Од вкупно 53 испитаници има 11 кои што се на возраст помеѓу 25 и 45 години кои што сметаат дека пос-терминалот е побезбеден од on-line купувањето. 9. Колку женски купуваат во странство? Прво ги бараме сите испитаници кои што се од женски пол а купуваат во странство со платежна картичка преку If услов. 149

150 Слика број 56 Правење на услов за прашањето Колку женски купуваат во странство Табела број 15 Податоци за прашањето Колку женски купуваат во странство 150

151 Вкупно 6 женски, што претставува 11,3 проценти од вкупнит број на испитаници користат платежна картичка за купување во странство. 10. Колку пензионери а колку студенти имаат слушнато за електронско банкарство? Колку од нив плаќаат сметки онлине? Бараме однос помеѓу обележјата Занимање и Електронско Банкарство. Табела број 16 Податоци за односот помеѓу обележјата Занимање и Електронско Банкарство Од вкупно 12, 11 студенти имаат слушнато за електронско банкарство, додека пак само еден студент нема слушнато. Кај пензинерите имаме обратен случај, само еден пензионер има слушнато за електронско банкарство, а останатите тројца испитаници немаат. Следно преку If услов одредуваме колку студенти кои имаат слушнато за електронско банкарство плаќаат сметки on-line. 151

152 Слика број 57 Услов за одредување колку студенти кои имаат слушнато за електронско банкарство плаќаат сметки on-line Табела број 17 Податоци за тоа колку студенти кои имаат слушнато за електронско банкарство плаќаат сметки on-line Постојат четворица студенти кои имаат слушнато за електронско банкарство и плаќаат сметки on-line. Потоа на истиот начин испитуваме и за пензионерите. 152

153 Слика број 58 Услов за тоа колку пензионери кои имаат слушнато за електронско банкарство плаќаат сметки on-line Табела број 18 Податоци за тоа колку пензионери кои имаат слушнато за електронско банкарство плаќаат сметки on-line Не постојат пензионери кои што плаќаат сметки преку Интернет. Од добиените резултати на разгледаните прашања можеме да дојдеме до заклучок дека младите лица се повеќе запознаени со користењето на Интернетот, а со тоа и со електронското банкарство и со електронската трговија. Тие ги знаат 153