Сравнительная характеристика SMART-карт и карт с магнитной полосой

В процессе подготовки к выпуску карта претерпевает персонализацию - графическую (нанесение логотипов банка), физическую (нанесение персональных данных держателя карты) и электрическую, при которой кодируется магнитная полоса. В соответствии с международным стандартом ISO 7813 на магнитную полосу наносится следующая информация:

- номер карты,

- фамилия и имя держателя

- срок окончания действия,

- сервис-код - код, определяющий допустимые типы операции.

После того, как карта выдана держателю, она привязывается к определенному карточному счету, на котором находится некоторая сумма денежных средств. Любая операция, совершенная с картой изменяет лимит на сумму операции.

Перед совершением операции с платежной картой осуществляется авторизация - получение разрешения на операцию. При использовании традиционной технологии минимально необходимыми данными для авторизации являются номер карты, срок действия и сумма операции. Авторизацию по поручению точки приема карты запрашивает банк эквайрер. Ответом на запрос авторизации, который дает эмитент являются либо положительный код авторизации или сообщение об отказе. В случае положительного ответа на запрос авторизации выполняется собственно сама операция с картой. Ее результатом является первичный документ: либо полностью заполненный и подписанный слип, либо чек электронного кассового устройства или платежного терминала, или банкомат. Основным видом авторизации является онлайновая авторизация, требующая связи кассира с центром авторизации.

1. Держатель карты совершает оплату товара/услуги или снятие наличных в точке приема карты

2. Авторизационный запрос из точки приема карты направляется в процессинговый центр банка-эквайрера- эмитента

3. Банк дает авторизацию, блокирует сумму операции на картсчете

4. Банк направляет ответ в точку приема карты

5. Держатель карты получает товар/услугу/наличные денежные средства

Операция совершается в международной платежной системе (МПС)

1. Держатель карты совершает оплату товара/услуги или снятие наличных в точке приема карты

2. Авторизационный запрос из точки приема карты направляется в процессинговый центр банка-эквайрера

3. Банк эквайрер направляет запрос в процессинговый центр МПС

4. Процессинговый центр МПС направляет запрос в банк-эмитент

5. Банк- эмитент дает авторизацию, блокирует сумму операции на картсчете

6. Банк- эмитент направляет ответ в процессинговый центр МПС

7. Процессинговый центр МПС направляет ответ в банка-эквайрер

8. Банк-эквайрер направляет ответ в точку приема карты

9. Держатель карты получает товар/услугу/наличные денежные средства

Первым способом авторизации являлась голосовая авторизацияё при которой кассир звонил в банк и сообщал номер и срок действия карты, сумму операции и номер точки приема. Оператор центра авторизации вводил запрос в систему и, получив от нее ответ, сообщал его кассиру.

Описанный способ авторизации является простейшим. Его достоинство - экономичность. К недостаткам можно отнести низкую эффективность и меньшую безопасность по сравнению с электронной авторизацией, о которой речь пойдет ниже. Эффективность низкая вследствие необходимости дозвониться в центр авторизации и получить по телефону ответ, риска дублирования ввода, естественных временных задержек на соединение, передачу данных и получение ответа.

Для сокращения времени проведения операций была введена офлайновая авторизация «долимитных» операций, при которой связь с центром авторизации для получения разрешения на операции с суммой ниже лимита авторизации (ftoor Limit), определенного для данной торговой точки, не осуществляется. Решение о проведении данной операции принимается кассиром самостоятельно (Проверяются следующие условия: сумма операции не превышает установленный лимит, срок действия карты не истек, номер карты не находится в стоп-листе.

Установление лимитов для разрешения офлайновой авторизации позволило оптимизировать процесс выполнения операций с точки зрения повышения его эффективности при условии поддержания определенного уровня безопасности совершения операций.

Более продвинутым является электронная авторизация. Электронная авторизация является и более безопасной - в авторизационный запрос включаются как минимум данные второй дорожки магнитной полосы. Авторизация, использующая данные, считываемые с магнитной полосы, позволяет кассиру раскрыть. несоответствие эмбоссированных и закодированных данных (мошенничества, заключающиеся в «наклеивании» эмбоссированных символов или перекодировании магнитной полосы).

Для электронной авторизации операций покупок используются электронные кассовые аппараты со встроенными картридерами или РОS-терминалы. Наиболее совершенной представляется технология, при которой кассир не дублирует ввод данных о платежной операции: авторизационный запрос формируется с использованием данных, прочитанных с магнитной полосы, и суммы, взятой из электронного образа чека кассового аппарата.

Технология совершения операций с электронной авторизацией может быть совмещена с механизмом выполнения долимитных операций. РОS-терминал в этом случае для операций с суммой, не превышающей установленный лимит, считывает магнитную полосу карты и проверяет следующие условия: корректен ли номер карты, не истек ли срок действия карты, отсутствует ли карта в стоп-листе, не требуется ли в соответствии с сервис-кодом онлайн-авторизация.

Комбинированная технология, сочетающая электронную онлайновую авторизацию и офлайновую авторизацию долимитных операций, достигает в определенном смысле оптимального соотношения между требованиями эффективности и безопасности совершения операций.

1.2 Преимущества и недостатки карт с магнитной полосой

Магнитные карточки нельзя считать идеальным платежным средством, так как они имеют множество недостатков:

· Плохие эксплуатационные характеристики (информацию на магнитном носителе легко разрушить).

· Отсутствует возможность надежного обновления информации, что не позволяет хранить на карточке информацию о состоянии счета клиента.

· Необходимость обслуживания карточки в режиме on-line. что повышает издержки эксплуатации подобной системы.

· Слабая защита от мошенничества (эти карточки легко подделать).

2. Смарт-карты

2.1 Принципы и технология работы

Более привлекательными для реализации идей офлайн-авторизации оказались чиповые карты или смарт-карты. Смарт-карта содержит микросхему, свойства которой и определяют функциональные возможности карты как технологического продукта.

В зависимости от встроенной микросхемы смарт- карты делятся на несколько типов, различающихся по выполняемым функциям:

· карты с интегральной схемой памяти (карты памяти);

· микропроцессорные карты;

· карты с криптографической логикой.

Карты памяти предназначены для хранения информации и представляют собой микросхему, позволяющую только читать и записывать данные. В зависимости от условий доступа к областям памяти карты памяти делятся на карты открытой и защищенной памяти. Карты открытой памяти практически непригодны для применения в качестве платежных. Чаще они используются в специальных областях (например, транспортные) - для переноса данных.

Карты защищенной памяти предполагают разделение памяти на области с различными свойствами перезаписи и условиями доступа. Карты этого типа использовались в середине 90-х гг. для платежных приложений, но в конце десятилетия отступили на второй план, уступив микропроцессорным картам.

Карты с криптографической логикой используются в системах защиты информации для принятия непосредственного участия в процессе шифрования данных или выработки криптографических ключей, электронных цифровых подписей и другой необходимой информации для работы системы.

Микропроцессорные карты в отличие карт памяти кроме функции хранения информации содержат микроконтроллер со специальной программой или операционной системой. Операционная система обеспечивает набор сервисных операций, поддерживает файловую систему, преобразовывает данные по указанному алгоритму, обеспечивает защиту информации. Микропроцессоры на этих картах характеризуются по следующим параметрам: тактовая частота, емкость ОЗУ, емкость ПЗУ и емкость перезаписываемой энергонезависимой памяти.

Разграничение доступа к информации, хранимой на карте, определяется операционной системой в различных режимах:

· режим доступа, разрешающий чтение/запись информации без секретных кодов;

· режим доступа по чтению, доступ по записи возможен после предоставления секретного кода;

· режим доступа по чтению и записи после предоставления специального кода;

· режим, запрещающий чтение и запись информации. Информация может быть доступна только для внутренних команд карты.

Микропроцессорные карты поддерживают гораздо более интеллектуальное взаимодействие с платежным терминалом за счет расширения системы команд, обрабатываемых встроенной в карту микросхемой. Развитые операционные системы для карт поддерживают файловые системы, криптографические команды и команды работы с ключами. Специализированные операционные системы для платежных карт поддерживают также такие продвинутые понятия, как кошельки, с поддержкой соответствующих свойств доступа и соответствующих смыслу кошельков операций.

Микропроцессорная карта сделана из пластика и содержит микросхему с микропроцессором и различными запоминающими устройствами: ПЗУ - для хранения операционной системы, ОЗУ - для выполнения команд, ЭСППЗУ - электрически стираемое программируемое постоянное запоминающее устройство, энергонезависимая память для хранения прикладной информации. ЭСППЗУ разбито на две области: секретную и пользовательскую. Секретная область недоступна для прикладных программ и предназначена только для хранения ключей. Пользовательская область организована аналогично памяти на гибких дисках.

В операционной системе микропроцессора предусмотрены следующие команды: предъявление ключа, чтение массива атрибутов файла из таблицы определения, чтение информации, запись информации, поиск файла, очищение карточки, запись определения файла в таблицу, задание ключей.

Ключи хранятся в секретной области, предусмотрены три типа ключей: ключ банка, ключ владельца карты и ключи приложений. Файлы могут быть защищены этими ключами по чтению/записи.

Международные платежные системы разработали стандарты банковского сектора на чиповую карту - спецификации EMV, которые включают спецификации:

· на чиповую карту,

· на приложение для чиповой карты,

· на терминал, работающий с чиповой картой.

Рассмотрим основные шаги процесса выполнения транзакции.

Прежде всего терминал осуществляет выбор приложения. Это ключевой момент для обеспечения совместимости приложений. Карта с реализованным на ней приложением должна корректно реагировать на выбор приложения.

После выбора приложения терминал инициализирует транзакцию, информируя карту о начале выполнения новой транзакции и передавая карте терминальную информацию о ней. Затем терминал получает с карты профайл и указатель записей файлов, содержащих данные. Затем терминал читает указанные записи линейных файлов, извлекая из них данные приложения. Далее терминал выполняет целый ряд действий с целью принятия решения по данной транзакции: отклонить ее в режиме офлайн, продолжить выполнение в режиме онлайн или принять в режиме офлайн. Эти действия выполняются на основе предписаний профайла. Каждое из них можно рассматривать как проверку некоторого свойства, завершающуюся ответом «да» или «нет».

На основе анализа всей совокупности проверок терминал примет решение о способе выполнения транзакции. Описанный принцип является ключевым моментом спецификаций. Принятие решения о способе выполнения транзакции, представляющим собой поиск компромисса между эффективностью и стоимостью (офлайн), с одной стороны, и безопасностью (онлайн), с другой стороны, осуществляется терминалом (по установкам эквайрера) на основе предписаний, содержащихся в профайле карты (определенном эмитентом).

В качестве первой «проверки» карты терминал выполняет ее аутентификацию.

Аутентификация предполагает использование криптографии с открытыми ключами и базируется на следующей идее. Существует назначенный платежными ассоциациями центр доверия (Certification Authoгity), осуществляющий в условиях высочайшей секретности подписывание открытых ключей эмитента. Всякий терминал содержит соответствующие открытые ключи, полученные из центра доверия и позволяющие распознать любое истинное приложение на карте.

Спецификации предусматривают два метода аутентификации статическую (эмитентом подписываются одни и те же данные) и динамическую (картой после выполнения транзакции генерируется подпись каждый раз разных данных). Кроме того, предусмотрена миграция от одних ключей к другим и одних конкретных методов дешифрации к другим, хотя и имеющим одну основу - алгоритм RSA.

После осуществления аутентификации терминал выполняет ряд проверок, определяет соответствие номера версии приложения в терминале и на карте. Также проверяет ограничения на географию, записанные на карте, и дату (начала) действия приложения и срок действия карты.

Далее осуществляется верификация держателя карты. На карте может присутствовать СVМ-список - список методов верификации держателя карты. Терминал обрабатывает каждое правило в том порядке, в котором они появляются в списке. Верификация завершается, когда один из методов успешно выполнится или список исчерпается. Обрабатываемые правила связаны со сравнением суммы транзакции с заданными в качестве параметров величинами. В зависимости от результата такого сравнения терминал осуществляет действия типа: «проверку ПИНа выполняет карта»; «шифрованный ПИН проверяется в режиме онлайн»; «проверку ПИНа выполняет карта + подпись» и т.п. Офлайн-проверка ПИНа завершается успешно только в одном случае - если карта вернет нормальный код возврата на команду VERIFY, выполняющую сравнение введенного держателем карты ПИНа и хранимого на карте ПИНа.

Затем терминал осуществляет так называемое терминальное управление рисками с целью защитить эквайрера, эмитента и платежную систему от мошенничества. Оно обеспечивает авторизацию эмитентом транзакций с высокой стоимостью и гарантирует, что все карты периодически выходят на онлайн-связь для защиты от угроз, которые могут быть необнаруженными при офлайн-обработке. Терминальное управление рисками включает:

- проверку доавторизованного лимита;

- случайный выбор транзакции для онлайн-выполнения;

- проверку частоты онлайновых операций.

Наконец, терминал выполняет анализ действий, принимая решение по вопросу выбора режима транзакции: онлайн/офлайн. Это решение принимается на основе анализа всех ответов и прочитанной в профайле маски. Таким образом обеспечивается влияние эмитента (записавшего на карту маску) на принятие решения и, следовательно, на риски при выполнении транзакции (то, что раньше полностью зависело от только эквайрера).

Далее, если терминал принимает решение выполнять транзакцию в режиме офлайн, он запрашивает у карты счетчик транзакций; если принимается решение о выполнении транзакции в режиме онлайн, терминал запрашивает у карты криптограмму авторизационного запроса.

Данная криптограмма включается в авторизационное сообщение и отправляется в соответствии с обычным протоколом хост-компьютеру.

2.2 Преимущества смарт-карт

Самое главное отличие смарт-карт от других видов пластиковых карт- это факт «интеллектуальности» карт с микросхемами. При платежах по магнитным или штриховым картам применяется режим «оnline». Разрешение на платеж дает, по- существу, компьютер банка или процессингового центра при связи с точкой платежа. Поэтому главная проблема, возникающая здесь, обеспечение надежной, защищенной и недорогой связи. В наших условиях хорошо решить эту проблему крайне трудно.

В случае смарт-карт применяется принципиально новый режим «offline» - разрешение на платеж дает сама карта (точнее - встроенная в нее микросхема) при взаимодействии с торговым терминалом непосредственно в торговой точке. Накладные расходы по обеспечению платежей чрезвычайно малы, проблемы связи не играют той роли, как в технологиях «оnline».

Другая важная особенность смарт-карт заключается в их надежности и безопасности. Смарт-карта должна быть достаточно «интелектуальна», чтобы самостоятельно принять решение о проведении платежа, и при этом обладать развитой системой защиты от не санкционированного использования.

При несанкционированной попытке использования смарт-карта способна самостоятельно на время или навсегда прекратить свою работу. Для восстановления работоспособности карты необходим ее возврат на место выдачи (обычно это-банк). Если карта утеряна или украдена, то ее владелец сообщает о случившемся в банк, и программа банка вносит карту в список недействительных карт рассылаемый на все терминалы продаж. Любая попытка использовать потерянную или краденную карту будет немедленно пресечена.

Еще одним преимуществом смарт-карт над другими пластиковыми картами является их многофункциональность. Обладая встроенными возможностями осуществлять многие математические и логические операции, и превосходя другие пластиковые карты по объему хранимой на них информации, одни и те же смарт-карты могут использоваться в различных приложениях.

Смарт-карты по сравнению с другими пластиковыми картами обладают высокими эксплуатационными характеристиками.

Платежные системы на основе смарт-карт обладают рядом преимуществ перед системами, использующими карты с магнитной полосой или со штриховым кодом.

Преимущества могут быть как общие, касающиеся всех пользователей системы, так и частные - для отдельных групп пользователей.

Общие преимущества:

· Все существующие операции с наличностью могут быть с легкостью заменены на операции со смарт-картами.

· Централизованный контроль за системой.

· Незначительная стоимость оборудования торгового терминала, отсутствие необходимости затрат на дополнительные средства коммуникации и независимость обслуживания системы от средств коммуникации.

· Отсутствие дополнительных затрат на эксплуатацию системы.

· Надежность использования. После занесения на смарт-карту всех данных владельца, связь с базой данных происходит немедленно по предъявлению карты, что очень важно для городов, в которых отсутствуют современные телекоммуникационные средства.

· Портативность и автономность торгового терминала, обеспечивающие его широкое применение, вплоть до мобильных пунктов обслуживания и торговых киосков.

· Возможность принимать оплату с карт в различного типа автоматических устройствах автоматы по продаже сигарет, прохладительных напитков, телефонные автоматы, автомобильные стоянки и мойки, автосервис и т д.

· Уменьшение административных расходов а каждом уровне и расходов на поддержание работы системы, осуществление транзакций, сокращение расходов на время обслуживания, линии связи.

· Улучшение и упрощение процедур взаиморасчетов.

· Существенное увеличение скорости всех операций.

· Существенное уменьшение расходов всех пользователей системы: владельцев карт, торгующих организаций, головной фирмы - эмитента смарт-карт.

· Система защищена на всех уровнях исключает целый ряд рисков, присущих другим системам платежей (наличным, талонам, магнитным картам).

· За счет более быстрой оборачиваемости денежных средств уменьшить инфляцию и сократить расходы на поддержание обращения наличности.

· Снизить уровень криминальности.

· Использовать платежные карты в других сферах (государственное страхование, медицинское обслуживание), как чисто идентификационные.