Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Микропроцессорные и пластиковые карты
Пластиковые или магнитные карты — широко используемое платежное средство традиционной экономики. Технология карточных платежей была разработана несколько десятилетий назад. Карты бывают дебетовыми (когда сумма списывается со счета плательщика сразу) или кредитными (когда он оплачивает одним чеком все покупки, сделанные в течение предшествующего, обычно месячного, периода). Пластиковая карта — это персонализированный платежный инструмент, предоставляющий его владельцу возможность безналичной оплаты товаров и/или услуг, а также получения наличных средств в отделениях банков-участников платежной системы и банкоматах. Принимающие карту предприятия торговли и отделения банков образуют сеть точек обслуживания карты. Особенность продаж и выдач наличных денег по пластиковым картам состоит в том, что эти операции осуществляются в долг. Товары и наличные деньги предоставляются клиентам сразу, а средства в их возмещение поступают на счета продавцов через некоторое время. Гарантом выполнения платежных обязательств, возникающих в процессе обслуживания пластиковых карт, является выпустивший их банк-эмитент. Поэтому карты на протяжении всего срока действия остаются собственностью банка, а держатели карт получают их лишь в пользование. Характер гарантий банка-эмитента зависит от платежных полномочий, предоставляемых клиенту и фиксируемых классом карты. При выдаче карты клиенту осуществляется ее персонализация. Персонализация — это процесс занесения на пластиковую карту данных, которые позволяют идентифицировать карту и ее держателя, а также осуществить проверку платежеспособности карты при приеме ее к оплате или выдаче наличных денег. Процесс утверждения продажи или выдачи наличных по карте называется авторизацией. Для проведения этой операции точка обслуживания делает запрос платежной системе о подтверждении полномочий предъявителя карточки и об ограничениях его кредитоспособности. Технология авторизации зависит от платежной системы, типа карты и технической оснащенности точки обслуживания. Авторизация может проводиться в неавтоматическом варианте, когда продавец передает запрос по телефону оператору (голосовая авторизация). Но обычно данная процедура производится автоматически, для чего карта помещается в специализированное устройство — считыватель карт (cardreader). Авторизация в автоматическом режиме может осуществляться двумя способами. Первый способ (авторизация on-line) предусматривает установление связи с платежной системой и проведение необходимых процедур, обычно управляемых процессинговым центром. Второй способ (авторизация off-line) состоит в осуществлении необходимого обмена данными между специализированным устройством, с которым взаимодействует карта, и самой картой. Обычно такое устройство называют POS-терминал (POS — Point of Sale, пункт обслуживания). Выдача наличных денег осуществляется специализированными устройствами — банкоматами, которые выполняют авторизацию по одному из описанных способов. Для осуществления расчетов с держателем карты используются варианты двух основных сценариев. Держатель дебетовой карты должен заранее внести на свой счет в банке-эмитенте некоторую сумму. Ее размер определяет ограничение на использование средств. При осуществлении расчетов с использованием карты синхронно уменьшается и остаток на счету. Контроль остатка на счету производится в процессе авторизации, которая всегда обязательна при использовании дебетовой карты. Для увеличения средств, ассоциированных с картой, ее держателю необходимо пополнить соответствующий банковский счет. При оплате посредством кредитной карты ее держатель должен получить в банке-эмитенте кредит. В этом случае держатель карты может расходовать средства в объеме предоставленного кредита. Кредит может быть как однократным, так и возобновляемым. Возобновление кредита в зависимости от договора с держателем карты происходит после погашения всей суммы задолженности либо некоторой ее части. Пластиковая карта представляет собой пластину стандартных размеров (85, 6 мм X 53, 9 мм х 0, 76 мм), изготовленную из специальной, устойчивой к механическим и термическим воздействиям пластмассы. Некоторая часть данных, идентифицирующих владельца карты (имя, номер счета и др.), может быть эмбоссирована, то есть нанесена рельефным шрифтом. При ручной обработке карт копия необходимых данных переносится на чек с помощью специального устройства — импринтера, которое осуществляет прокатывание карты с целью получения оттиска на специальной копировальной бумаге. Для идентификации держателя карты как субъекта платежной системы на карту наносятся логотипы банка-эмитента и платежной системы, обслуживающей карту, имя ее держателя, номер его счета, срок действия карты. Кроме этого, на карте может присутствовать фотография держателя и его подпись. Такая технология используется, например, в системе СБЕРКАРТ. Наличие фотографии и подписи обеспечивает возможность визуальной идентификации карты. Для ее использования в автоматизированной платежной системе визуальной идентификации недостаточно. На карте целесообразно хранить данные, обеспечивающие проведение процедуры автоматической авторизации. Эта задача может быть решена путем использования различных физических механизмов. У карт со штрих-кодом идентифицирующим элементом служит штриховой код, аналогичный коду, применяемому для маркировки товаров. Обычно кодовая полоска покрыта непрозрачным материалом, и считывание кода происходит в инфракрасных лучах. Карточки со штрих-кодом весьма дешевы, поскольку их изготовление обходится недорого. В то же время простота изготовления идентичных копий карт обусловливает их слабую защищенность от подделки и делает карты малопригодными для использования в платежных системах. Магнитные карты, или карты с магнитной полосой, на сегодняшний день наиболее распространены на мировом рынке. В обращении находится свыше двух миллиардов карт подобного типа. Рынок магнитных карт сформировался в большинстве развитых стран, поэтому соответствующие технологии расчетов будут использоваться в определенных экономических нишах еще достаточно долго. В России, например, магнитные карты как элементы платежной системы, ориентированной на оплату транспортных услуг, успешно применяются в Московском метрополитене. Магнитная полоса располагается на обратной стороне карты и, в соответствии со стандартом ISO 7811, состоит из трех дорожек. Две дорожки предназначены для хранения идентификационных данных, а на третью можно записывать информацию (например, текущее значение остатка на счету дебетовой карточки). Чаще всего проводится однократный процесс записи информации на магнитную карту — в дальнейшем карты используются только в режиме считывания данных. Защищенность карт с магнитной полосой существенно выше, чем у карт со штрих-кодом. Однако и такой тип карт достаточно уязвим для мошенничества. Тем не менее развитая инфраструктура существующих платежных систем и, в первую очередь, мировых лидеров платежных карточных систем Visa, MasterCard, AmEx служит причиной интенсивного применения карт с магнитной полосой сегодня. Подобные системы, впрочем, ориентированы на определенный социальный слой и места использования. Для повышения защищенности магнитных карт, используемых в платежных системах, предназначены дополнительные графические средства защиты: голограммы и нестандартные шрифты для эмбоссирования. На лицевой стороне карточки с магнитной полосой обычно указываются логотип банка-эмитента, логотип платежной системы, номер карточки (первые шесть цифр — код банка, следующие девять — банковский номер карточки, последняя цифра — контрольная, последние четыре цифры обычно нанесены на голограмму), срок действия карточки, имя держателя карточки; на оборотной стороне располагается магнитная полоса, предусмотрено место для подписи. В микропроцессорных картах (смарт-картах, интеллектуальных картах) носителем информации является микросхема. Карты с памятью (memory cards) — это простейшие микропроцессорные карты, имеющие микросхему памяти в качестве запоминающего устройства. Объем памяти такой карты — от 32 байт до 16 Кб. Память может быть реализована в двух видах: · ППЗУ (EPROM) — программируемое постоянное запоминающее устройство, которое допускает однократную запись и многократное считывание; · ЭСППЗУ (EEPROM) — электронно стираемое программируемое запоминающее устройство, допускающее и многократное считывание, и многократную запись. Платежные системы, реализованные на картах с памятью, обладают значительно большей защищенностью, чем могут обеспечить карты с магнитной полосой. На картах с памятью возможно построение платежных систем, способных производить обслуживание без оперативной связи с процессинговым центром (в режиме off-line). Карты памяти подразделяются на два типа: с незащищенной (полнодоступной) и защищенной памятью. В картах с полнодоступной памятью отсутствуют ограничения на чтение и запись данных. Незащищенность памяти удешевляет карту и упрощает управление данными, но создает серьезные проблемы безопасности. Карты с защищенной памятью имеют специальную идентификационную область данных и одну или несколько прикладных областей. Идентификационная область карт допускает лишь однократную запись, которая выполняется при персонализации карты, и в дальнейшем подлежит только считыванию. Доступ к прикладным областям регламентируется и осуществляется по предъявлении соответствующего ключа. Карты с памятью дороже, чем магнитные карты. Однако в последнее время цены на них значительно снизились в связи с усовершенствованием технологии и ростом объемов производства. Стоимость карты памяти непосредственно зависит от стоимости микросхемы. Стоимость микросхемы памяти в основном определяется объемом памяти. Разновидность карт с памятью — карты-счетчики, у которых значение, хранимое в памяти, может изменяться лишь на фиксированную величину. Подобные карты используются в специализированных приложениях с предоплатой, например для оплаты услуг связи в телефоне-автомате. Карты с памятью не позволяют выполнять какие-либо алгоритмические действия непосредственно в микросхеме. Операции по проверке паролей и иных критических данных могут выполняться только во внешних устройствах, имеющих микропроцессор. По внешнему запросу карта с памятью должна передавать ключи, пароли и иную критическую информацию во внешнее устройство. Следовательно, в данной технологии присутствует принципиально неустранимая угроза перехвата критически важной информации во внешнем устройстве. Компрометация внешнего устройства приводит к компрометации системы в целом. Создание первой пластиковой карты с магнитной полосой привело к революции безналичных расчетов в платежных системах. Однако большой недостаток пластиковых карт с магнитной полосой — слабая их защищенность от подделок и мошенничества. Еще одну существенную проблему представляет отсутствие информации о текущем значении остатка на счете клиента. На магнитной полосе нет места для записи баланса или финансовых транзакций. Единственный способ уменьшить потери, связанные с возможным мошенничеством при использовании магнитных карт, — оперативная авторизация в процессинговом центре и проверка PIN-кода в каждой торговой точке. Последние десять лет банки во всем мире инвестировали многие миллионы долларов в развитие телекоммуникаций. Как следствие, практически все банкоматы сегодня работают в режиме оперативной авторизации. Смарт-карты с микропроцессором представляют собой микрокомпьютеры и содержат все соответствующие основные аппаратные компоненты: центральный процессор и многоуровневую систему памяти. Параметры наиболее мощных современных микропроцессорных карт сопоставимы с характеристиками персональных компьютеров девяностых годов XX века. Микропроцессорная карта содержит микроконтроллер, центральный процессор которого обладает рядом функциональных характеристик: · тактовой частотой до 5 МГц; · емкостью ОЗУ (операционное запоминающее устройство) до 256 байт; · емкостью ПЗУ (постоянное запоминающее устройство) до 10 Кбайт; · емкостью перезаписываемой энергонезависимой памяти до 8 Кбайт. Микропроцессорная смарт-карта оснащена встроенной операционной системой, выполняющей набор необходимых сервисных операций и оснащенной всеми средствами безопасности. Вся информация представлена в виде многоуровневой структуры (каталог - группа файлов - файл), разделенной на блоки и разграничивающей доступ к информации. Для каждого уровня информации устанавливаются различные режимы доступа: · постоянный доступ для чтения/записи без введения специальных кодов. · доступ к чтению/ ограничение доступа для записи. Этот режим разрешает свободное чтение информации, но изменение записи допускается только после предъявления специального секретного кода. · ограничение полномочий для чтения/ записи. Доступ к редактированию разрешается только после введения секретного кода (или нескольких кодов). · чтение/запись недоступны. Этот режим запрещает доступ к информации, и устанавливается для записей, содержащих криптографические ключи. В карты такого типа встраивается традиционный криптографический алгоритм DES, обеспечивающий шифрование информации и запрос “цифровой” подписи. Кроме того, карты могут выполнять различный спектр сервисных функций. Для проведения банковских операций, например, предусмотрены специальные средства ведения электронных платежей с возможностью блокировки работы с карточкой при возникновении угрозы защите информации. Различают два вида блокировки: при введении неверного транспортного кода и при несанкционированном доступе. В первом случае блокировка необходима для защиты от нелегального использования карточек, которые были украдены во время транспортировки карточки от производителя к потребителю. Карта активизируется только при предъявлении верного «транспортного» кода. При несанкционированном доступе карта вообще перестает быть работоспособной, если при попытке доступа к информации в течение несколько раз был предъявлен неверный код доступа. Впоследствии карта либо может быть вновь активирована при введении специального команд, либо становится непригодной для дальнейшего использования. Операционная система, хранящаяся в ПЗУ микропроцессорной карты, принципиально ничем не отличается от операционной системы ПК и предоставляет набор сервисных функций и средств безопасности. Операционная система поддерживает файловую систему, обеспечивающую поддержку доступа к данным. При этом часть данных может быть доступна только внутренним программам карты, что наряду со встроенными криптографическими средствами позволяет считать микропроцессорную карту высокозащищенным инструментом. Конструкция и архитектура смарт-карт продуманы таким образом, что механическое считывание информации путем механического спиливания кристалла по слоям или сканирования в некотором диапазоне электромагнитных излучений исключено. Поэтому смарт-карты могут быть рекомендованы для использования в финансовых приложениях, предъявляющих повышенные требования к защищенности платежной системы. Микропроцессорные смарт-карты рассматриваются в настоящее время как наиболее перспективная технологическая основа создания платежных систем. Вычислительные возможности смарт-карт позволяют использовать одну и ту же карту как в операциях с оперативной авторизацией, так и в качестве электронного кошелька, ориентированного на взаимодействие с торговым терминалом при условии отсроченной обработки транзакций. Соотношение «стоимость / эффективность» Основные количественные параметры эффективности платежа (помимо надежности) — его скорость и стоимость. Скорость осуществления платежа в основном зависит от характеристик канала связи с процессинговым центром. Стоимость одного карточного платежа составляет десятки центов и определяется главным образом необходимостью идентификации, аутентификации и авторизации плательщика. Поддержание банка данных аутентифицирующей информации, а также банка информации о платежной и кредитной истории клиентов требует единовременных затрат и затрат на сопровождение. Участники платежных систем вынуждены содержать штат сотрудников для сбора и обработки информации о клиентах, для поддержания постоянного контакта с клиентами, который невозможно полностью автоматизировать. Ошибки при аутентификации или при работе с данными, неплатежи по кредитам вынуждают участников платежной системы тратить значительные средства на страхование и защиту, в том числе юридическую. Существенно более высокая стоимость карточных транзакций по сравнению с расчетом наличными деньгами обусловлена выполнением операций отождествления субъектов сделки. Расчет наличными в большинстве случаев может быть анонимен. Стоимость защиты денежных знаков ниже стоимости создания и поддержки инфраструктуры карточных платежных систем. Денежные знаки нужно защищать один раз. Любая обезличенная платежная система всегда дешевле системы с идентификацией и аутентификацией. Карточные платежи в Internet оказываются еще дороже, чем традиционные платежи с использованием карт. Основная причина этого явления заключается в наличии дополнительных издержек, связанных либо с дополнительными мерами защиты, либо с покрытием убытков от мошенничества. Известны случаи, когда участники карточных систем требовали от магазинов, использующих платежи на основе инфраструктуры Internet, страхования их от рисков мошенничества или же настаивали на внесении депозитов, не возвращаемых в случае, если криминальные нарушения при переводах на счета магазина превышают некоторый процент. Отмеченные проблемы и существенные ограничения сдерживают вхождение новых видов экономической деятельности в электронный бизнес. Поиски простых технологий снижения накладных расходов платежных систем (наподобие объединения нескольких платежей в одну проводку) пока не привели к эффективным решениям. Высокая стоимость платежей в Internet с использованием традиционных пластиковых карт накладывает качественное ограничение на тип сделок и на категории товаров и услуг, продаваемых таким образом. Бессмысленно продавать товары и услуги, цены которых сопоставимы с издержками на платежную транзакцию. В последние годы широко обсуждаются технологии, допускающие возможность микроплатежей в Internet. Подобные технологии могут быть востребованы при покупке конкретной справочной или мультимедийной информации, покупке услуг по обработке данных, имеющихся у пользователя, с помощью программы, которая работает на каком-либо сервере. Все эти услуги могут предоставляться без участия человека, что обуславливает их потенциально невысокую стоимость. Значимые, ощутимые в масштабах экономики предложение и спрос на подобные услуги уже существуют. В тех странах и регионах, где телекоммуникационные системы развиты слабо, а расчеты осуществляются главным образом с помощью наличных средств, оправдано применение в качестве платежных средств микропроцессорных карт. При отсутствии ранее сделанных существенных инвестиций в магнитные карты изначальная ориентация на микропроцессорные платежные системы — предпочтительное решение для создания современной системы электронных безналичных расчетов. POS -терминалы POS-терминалы, или торговые терминалы, предназначены для обработки транзакций при финансовых расчетах, в которых используются пластиковые карты с магнитной полосой или смарт-карты. Использование POS-терминалов позволяет автоматизировать операции по обслуживанию карты и существенно уменьшить время обслуживания. Возможности и комплектация POS-терминалов варьируются в широких пределах. Типичный современный терминал комплектуется следующими подсистемами: · устройством чтения смарт-карт и карт с магнитной полосой; · энергонезависимой памятью; · встроенной специализированной клавиатурой (клавиатурой для набора PIN-кода) или разъемами для ее подключения; · специализированным принтером; · интерфейсом для соединения с персональным компьютером или с электронным кассовым аппаратом. Кроме того, обычно POS-терминал оснащен модемом с возможностью автодозвона. POS-терминал обладает «интеллектуальными» возможностями — его можно программировать. В качестве языков программирования используются ассемблер, а также диалекты языков высокого уровня. Возможность программирования терминала позволяет проводить не только оперативную авторизацию карт с магнитной полосой и смарт-карт, но и задействовать при работе со смарт-картами режим отсроченной авторизации с накоплением протоколов транзакций. Протоколы транзакций во время сеансов связи передаются в процессинговый центр. Во время сеанса связи POS-терминал может также принимать и обрабатывать информацию, передаваемую из процессингового центра, в частности осуществлять операции по модификации стоп-листов. Популярное:
|
Последнее изменение этой страницы: 2016-04-10; Просмотров: 824; Нарушение авторского права страницы