Internet dnes již zdaleka není pouze prostorem pro zveřejňování informací nejrůznějšího charakteru, ale v posledních letech se stává platformou pro vývoj obchodních informačních systémů nové generace.

Informační systémy provozované na Internetu dnes navíc neslouží jen ke komunikaci s koncovým zákazníkem (Business to customer - B2C), ale čím dál častěji jsou využívány k administraci obchodních procesů mezi samotnými obchodními společnostmi (Business to business - B2B). Při vývoji zmiňovaných informačních systémů musí tvůrci věnovat zvýšenou pozornost bezpečnostním hlediskům. Vzhledem k charakteru Internetu a nepřebernému množství způsobů neoprávněných průniků do internetových aplikací lze konstatovat, že bezpečnost systému je při vývoji a následném nasazování minimálně stejně klíčová jako vlastní funkčnost.

Jedním ze standardních prvků, které jsou dnes do B2B aplikací implementovány, je identifikace uživatelů pomocí klientských certifikátů a s tím spojené šifrování všech toků dat probíhajících mezi prohlížečem klienta a WWW serverem. Tento způsob bývá zpravidla kombinován s dalšími bezpečnostními prvky, jako je využití mobilního telefonu pro předání časově omezeného vstupního hesla či různými typy elektronických klíčů. Často se pak jedná o kombinaci virtuálního a fyzického zabezpečení.

Jedním ze standardních řešení, kterého bylo společností Unicorn využito při zabezpečení energetického obchodního portálu Damas, je využití čipových karet pro identifikaci uživatele.

Obchodní portál Damas slouží k automatizaci obchodních procesů v energetické soustavě České republiky a byl vytvořen pro společnost ČEPS, a. s. Tato společnost je stoprocentní dceřinou společností ČEZ, a. s. a je provozovatelem přenosové soustavy České republiky.

Původním záměrem systému Damas byla realizace denního trhu s podpůrnými službami. Protože společnost ČEPS získala pro rok 2000 úlohu dočasného operátora trhu, došlo na přelomu let 2000 a 2001 k rozšíření systému o funkčnost potřebnou k plnění této úlohy.

V průběhu nasazování systému vyvstal ze strany zákazníka požadavek na posílení bezpečnosti toků dat z důvodu potřeby jednoznačné a právně nezpochybnitelné identifikace původců veškerých operací, které jsou v systému prováděny. Protože uživateli systému jsou energetické společnosti s mnoha zaměstnanci, ukázalo se navíc jako potřebné doplnit do bezpečnostní architektury fyzický prvek vázaný na konkrétního uživatele.

Proto byl systém před časem doplněn o identifikaci uživatelů pomocí klientských certifikátů, které jsou uloženy na čipových kartách a takto distribuovány jednotlivým uživatelům, kteří jsou příslušnými společnostmi k užívání aplikace zmocněni.

Čipová karta, jejímž výrobcem je francouzská společnost GemPlus, je velikostí podobná kterékoliv kreditní kartě a má zabudovaný paměťový čip. Čip obsahuje elektronická data v podobě klientského certifikátu.

Uživatelé systému Damas mají na svých počítačích nainstalována čtecí zařízení čipových karet, která jsou dodávána v několika variantách (COM1-PS/2, USB nebo PCMCIA). Při přihlášení do systému si internetový prohlížeč vyžádá od uživatele vložení karty a po zadání PIN provede jeho identifikaci pomocí parametrů certifikátu, který je na kartě uložen.

Z čipové karty nelze s použitím standardních prostředků získat primární klíč certifikátu a certifikát tak použít na jiném počítači, čímž je zajištěno, že bez přítomnosti čipové karty ve čtecím zařízení není možné přihlášení uživatele provést. V případě pokusu o přihlášení bez karty či pomocí karty neplatné systém přihlášení odmítne a do databáze uloží informaci o pokusu o nepovolené přihlášení včetně IP adresy, z níž byl tento pokus učiněn.

Nasazením čipových karet do systému Damas se tak posiluje bezpečnost celého řešení, které je vzhledem k citlivosti a důvěrnosti přenášených dat zcela klíčovou záležitostí.