Технологии платежных систем, основанные на смарт-картах - Виды банковских карт и их применение

Как показывает практика эффективность платежной системы зависит не только от правильно выбранных технических средств. В первую очередь она зависит от тщательно отлаженной технологии, от грамотной финансовой политики эмитента, от других факторов, которые могут свести все преимущества того или иного типа карт к нулю.

Сказанное относится и к наиболее перспективному платежному средству - смарт-карте.

Смарт-карта - это пластиковая карта со встроенной в нее микросхемой. Степень "интеллектуальности" микросхемы может быть самой разной от простейшего контроллера чтения, записи данных в электронную память карты, до микропроцессора, имеющего развитую систему команд, встроенную файловую систему и т. п.

Главное отличие смарт-карт от других видов пластиковых карт (с магнитной дорожкой, со штриховым кодом) - это именно ее "интеллектуальность". При платежах по магнитным картам применяется технология on-line. Разрешение на платеж дает, по существу, компьютер банка или процессингового центра при связи с точкой платежа. Главная проблема, которая возникает при этом, - обеспечение надежной, защищенной и недорогой связи (которую в наших условиях трудно решить).

В случае смарт-карт применяется иная технология - off-line, при которой разрешение на платеж дает сама карта (точнее, встроенная в нее микросхема) при "общении" с торговым терминалом непосредственно в торговой точке.

Накладные расходы по обеспечению платежей чрезвычайно малы, проблемы связи не играют особой роли. Вместо них на первый план выходит проблема безопасности - смарт-карта должна быть достаточно "интеллектуальной", чтобы самостоятельно принять решение о проведении платежа и при этом обладать достаточной защитой от несанкционированного использования.

В связи с этим первый вопрос, который возникает при выборе типа смарт-карты - какие из них обладают максимальной защитой от мошенников. Второй вопрос связан с проблемой реализации двух основных финансовых операций по карте - дебетование и кредитование счета в ее электронной памяти. Большинство из известных в настоящее время смарт-карт достаточно легко обеспечивают эти операции. И здесь вновь возникает проблема, связанная с возможностью несанкционированного использования. Надежно ли защищены эти операции для того, чтобы кроме законных владельцев, их не могли провести другие лица, пусть даже и не с преступными целями.

Рассмотрим в качестве примера рекомендации французской фирмы "Gemplus Card International", на долю которой приходится почти одна треть, выпускаемых в мире смарт-карт.

В стандартной технологии безналичных расчетов за товары и услуги с помощью пластиковых карт действуют три субъекта. Это банк-эмитент, его клиент и предприятие торговли или сервиса. Банк выдает клиенту карту, с которой связана определенная сумма. Эту сумму (либо за счет кредита банка, либо за счет собственных вкладов клиента) держатель карты может потратить в магазине. Операция записи такой суммы в память карты называется кредитованием карты.

Очевидно, кредитует карты только банк. Обратная операция - дебетование карты - означает списывание со счета в памяти карты. Дебетование происходит при проведении платежа по карте, к примеру, в магазине. Таким образом, дебитор карты - предприятие торговли или сервиса (если клиент получает наличные по карте, то дебитор карты банк).

Проведение платежей состоит в том, что при покупке по карте магазин записывает за клиентом долг в размере суммы платежа. А банк, получив от магазина, соответствующий документ, списывает со счета клиента эту сумму в счет магазина. Так, несколько схематично, описывается финансовая транзакция по карте.

Выше отмечалось, что существо проблемы в способе проведения платежа (on-line или off-line) состоит в том, насколько защищены платежные операции для всех трех субъектов платежной системы. Обработка транзакций тоже имеет свои проблемы, но они уже не зависят от типа смарт-карты.

Смарт-карта является идеальным средством платежа, поскольку обладает функциями "электронного кошелька". Последний хранит в своей памяти сумму денежных средств, которыми клиент банка может расплатиться за покупку. "Электронный кошелек" удобен клиенту, поскольку последний легко контролирует свои активы по карте и, при необходимости, может их пополнить, кредитуя карту в банке.

Память "электронного кошелька" защищена PIN - кодом (русская аббревиатура - ПИН-код), который клиент должен набрать на клавиатуре платежного терминала при проведении любой операции по карте. Таким образом, клиент может не опасаться использования смарт-карты без его санкции (если, разумеется, он хранит свой ПИН-код в тайне от других).

Не всякая смарт-карта может быть "электронным кошельком". Для того, чтобы выделить нужные категории смарт-карт, рассмотрим их типологию. В зависимости от внутреннего устройства и выполняемых функций смарт-карты можно разделить на три типа (по функциональному признаку):

    - карты счетчики; - карты с памятью; - микропроцессорные карты.

Практически любую из перечисленных карт можно использовать в качестве платежной. Однако лишь немногие из них будут удовлетворять всем требованиям, которым должна удовлетворять поистине массовая платежная смарт-карта: невысокой стоимостью, возможностью проводить любые (не только специфичные) платежи, хорошей защищенностью и необходимым уровнем "интеллекта" для обеспечения технологии off-line.

Виды смарт-карт.

1. Карты-счетчики

Данный тип карт применяется для такого типа расчетов, когда требуется вычитание фиксированной суммы за каждую платежную операцию. Такие карты еще называются картами с предварительно оплаченной суммой. Примером таких расчетов может быть плата за телефонный разговор. Обычно в телефонах-автоматах каждая единица времени разговора имеет фиксированную цену, ее абонент оплачивает монетками или специальными жетонами, которые подсчитывает соответствующее устройство телефона. При применении карт минимальной сумме платежа ставится в соответствие один бит памяти. В процессе разговора устанавливается связь между телефоном и картой, и за каждую единицу времени "пережигается" некоторое количество битов. Таким образом, карта заменяет монеты или жетоны.

После полного использования карты ее приходилось выбрасывать. Современные карты такого типа позволяют после полного использования "восстанавливать" содержимое счетчика. Восстановление содержимого может быть выполнено только при знании определенного кода, разрешающего это действие. Помимо этого, карты содержат область, в которую записываются идентификационные данные. Эти данные не могут быть изменены впоследствии. Карты, позволяющие перезаписывать информацию, относятся к типу карт с энергонезависимой перепрограммируемой памятью.

2. Карты с памятью

Название типа весьма условно -- строго говоря, все смарт-карты имеют память. Этот тип карт выделен как промежуточный при переходе от карт-счетчиков к микропроцессорным картам. Обычно карты такого промежуточного типа используются для хранения информации. Существуют два подтипа подобных карт: с незащищенной и с защищенной памятью. Карты второго подтипа отличаются от карт первого более высоким "интеллектом", направленным на предотвращение несанкционированного доступа к данным на карте. Однако той "интеллектуальности", которая характерна для карт с микропроцессорами, карты с защищенной памятью не имеют.

В картах с незащищенной памятью нет ограничений по чтению или записи данных. Иногда их называют картами с полнодоступной памятью; работа с ними (с точки зрения логической структуры данных) напоминает работу с бинарным файлом. Возможно произвольно структурировать карту на логическом уровне, рассматривая ее память как набор байтов, который можно скопировать в оперативную память или обновить специальными командами.

Карты с незащищенной памятью использовать в качестве платежных крайне опасно. Достаточно легально приобрести такую карту, скопировать ее память на диск, а дальше после каждой покупки восстанавливать ее память копированием начального состояния данных с диска, причем ничуть не интересуясь тем, какая информация хранится на карте (т. е. шифрование данных в памяти карты от мошенничества подобного рода не спасает). Такую операцию может проделать лишь квалифицированный программист, но практика показывает, что в России достаточно много грамотных людей, способных на такое занятие чисто из хакерских побуждений.

В картах с защищенной памятью используется специальный механизм для разрешения чтения/записи или стирания информации. Чтобы провести эти операции, надо предъявить карте специальный секретный код (а иногда и не один). Предъявление кода означает установление с ней связи и передачу кода "внутрь" карты -- сравнение кода с ключом защиты чтения/записи (стирания) данных проведет сама карта и "сообщит" об этом устройству чтения/записи смарт-карт. Чтение записанных в память карты ключей защиты или копирование памяти карты невозможно. В то же время, зная секретный код (коды), можно прочитать или записать данные, организованные наиболее приемлемым для платежной системы логическим образом. Таким образом, карты с защищенной памятью годятся для универсальных платежных применений, хорошо защищены и при этом недороги.

Как правило, карты с защищенной памятью содержат область, в которую записываются идентификационные данные. Эти данные не могут быть изменены впоследствии, что очень важно для обеспечения невозможности подлога карты. С этой целью идентификационные данные на карте "прожигаются".

Необходимо также, чтобы на платежной карте было по меньшей мере две защищенные области.

В технологии безналичных расчетов по картам участвуют, в общем случае, три юридически независимы лица: клиент, банк и магазин. Банк вносит деньги на карту (кредитуя ее), магазин снимает деньги с карты (дебетует ее), и все эти операции должны делаться с санкции клиента. Таким образом, доступ данным на карте и операции над ними надо разграничивать. Это достигается разбиением памяти карты на две защищенные разными ключами области -- дебетную и кредитную. Каждый участник операции имеет свой секретный ключ. У клиента это ПИН -- персональный идентификационный номер; правильное его предъявление открывает доступ к карте (по чтению данных), однако не должно менять информацию, которой распоряжается кредитор карты (банк) или ее дебитор (магазин). Ключ записи информации в кредитную область карты имеется только у банка; ключ записи информации в дебетную область -- у магазина. Только при предъявлении сразу двух ключей (ПИНа клиента и ключа банка при кредитовании, ПИН-кода клиента и ключа магазина при дебетовании) можно провести соответствующую финансовую операцию -- внести деньги либо списать сумму покупки с карты.

Если в качестве платежной используются карты с одной защищенной областью памяти, и банк, и магазин будут работать с одной и той же областью, применяя одинаковые ключи защиты. Если банк, как эмитент карты, может ее дебетовать (например, в банкоматах), то магазин права кредитовать карту не имеет. Однако такая возможность ему дана -- поскольку в силу необходимости дебетования карты при покупках он знает ключ стирания защищенной зоны. То обстоятельство, что и кредитор карты, и ее дебитор (в общем случае -- разные лица) пользуются одним ключом, нарушает сразу несколько основных принципов по защите информации (в частности, принципы разделения полномочий и минимальных полномочий). Это рано или поздно приведет к мошенничеству. Не спасают ситуацию и криптографические способы защиты информации.

Кроме того, важной особенностью карт с точки зрения их защищенности является наличие специальных средств, характерных для микропроцессорных карт. Так, некоторые карты необратимо блокируется по записи после предъявления неверного ПИН-кода более трех раз подряд, причем последовательное предъявление неверного ПИН-кода фиксируется картой и учитывается при ее блокировке. Таким образом, даже при относительно короткой длине ПИН-кода (например, из пяти цифр) "вскрыть" карту путем систематического подбора ее секретного ключа практически невозможно.

3. Микропроцессорные карты

Внешне микропроцессорные карты похожи на карты памяти, однако их микросхемы содержат микропроцессоры, что делает эти карты интеллектуальными, по-английски -- "smart".

Микропроцессорная карта, в дальнейшем - смарт-карта, в действительности представляет собой небольшой компьютер, способный выполнять расчеты подобно персональному компьютеру. Наиболее мощные современные смарт-карты имеют мощность, сопоставимую с мощностью персональных компьютеров начала восьмидесятых. Операционная система, хранящаяся в ПЗУ смарт-карты, принципиально ничем не отличается от операционной системы персонального компьютера. РПЗУ используется для хранения данных пользователя, которые могут считываться, записываться и модифицироваться, так же, как данные на жестком диске персонального компьютера.

Смарт-карты имеют различную емкость, однако типичная современная карта имеет ОЗУ объемом 128 байт, ПЗУ - 2-6 кбайт и РПЗУ - 1-2 кбайт. Некоторые смарт-карты также содержат магнитную полоску, что обеспечивает их совместимость с системами на базе магнитных карт. Смарт-карты дороже карт памяти, и так же, как в случае карт памяти, их стоимость определяется стоимостью микросхемы, которая прямо зависит от объема памяти. Смарт-карты обычно используются в приложениях, требующих высокой степени защиты информации, например, в финансовой практике.

Суперсмарт-карты. В дополнение ко всем возможностям - обычной смарт-карты, эта карта также имеет небольшой дисплей и вспомогательную клавиатуру для ввода данных. Эта карта объединяет в себе кредитную, дебетную и смешанную карты, а также выполняет функции часов, календаря, калькулятора, осуществляет конвертацию валюты, может служить записной книжкой и т. д. Из-за высокой стоимости суперсмарт-карты не имеют сегодня широкого распространения, но их использование будет, вероятно, расти, поскольку они являются весьма перспективными.

Обзор и анализ существующих пластиковых карт позволяет сделать следующие выводы:

    - пластиковые карточки успешно продвигаются на традиционных и новых рынках финансовых услуг; - масштабы эмиссии и оборотов пластиковых карт позволяют говорить о глобальном характере основных международных платежных систем, использующих пластиковые карты; - темпы роста объемов платежей с использованием пластиковых карт позволяют предположить, что безналичная форма расчетов может в обозримом будущем приобрести в некоторых регионах доминирующий характер; - отечественные системы расчетов с использованием пластиковых карт находятся, конечно, не на начальном этапе развития, но разница в масштабах, по сравнению с зарубежными - на несколько порядков; - отечественные системы развиваются с высокими темпами и предположительно по тем же внутренним законам, что и международные системы; - на Западе эти системы развивались четыре десятилетия, в то время, как в России этот процесс начался 5-6 лет тому назад; - сужение традиционных секторов деятельности банков требует привлечения дополнительных средств населения. Одним из путей решения этой проблемы является предоставление банком дополнительных услуг, в том числе выпуск собственной или присоединение к какой-либо из действующих систем пластиковых карт; - на рынке представлено множество типов карточек (золотая, стандартная, бизнес, с низким годовым процентом, без годового членского взноса и т. д.). Для каждого банка начинающего эмитировать карточку важнейшей проблемой является правильный выбор типа выпускаемой карты; - большое значение приобрели льготы держателям карточки. К числу карточек относятся, в частности, карточки так называемых дисконтных компаний, позволяющих их держателям получать скидки при оплате услуг; - современная стратегия поведения банка предполагает предложение таких стимулов и цен, которые с одной стороны, не разорили бы банк, а с другой не дали бы возможности клиентам использовать пластиковые карты банков-конкурентов; - цены в ряде случаев устанавливаются с учетом "поведения" держателей. Лучшие клиенты получают самые низкие процентные ставки и самые лучшие типы карточек; - на российском рынке продвижение карточек встретилось с рядом трудностей в отличии от Запада, где карточки были очередным платежным средством. У нас по существу открывается новая "глава". Население проявляет недоверие и непонимание возможностей этого средства. В значительно меньшей степени это относится к наиболее состоятельной части населения. Охотно включаются в сети обслуживания отечественных платежных систем только престижные магазины; - российские банки, по некоторым признакам, владеют ситуацией, и вопрос сводится к финансирования программ. Есть примеры одноэмитентных систем, важным элементом которых являются крупное предприятие, осуществляющее кассовое обслуживание своих сотрудников через банк-эмитент и свои банкоматы.

Развитие сети выдачи наличных должно увеличить число держателей, что окажет давление и на торговую сеть, поощряя ее к приему карточек. У банка при формировании концепции эмиссии есть широкие возможности для определения своей роли в системе, форм и условий взаимодействия с держателями, с точками обслуживания. Выбор связан с теми целями, которые ставятся банком.

    - наличие на сегодняшний момент нескольких уже достаточно развитых отечественных систем пластиковых карт позволяет говорить о том, что перед каждым из банков, решивших выпускать пластиковые карты стоит проблема: - присоединиться к одной из уже действующих платежных систем или - создать собственную систему пластиковых карт; - при принятии решения о создании собственной платежной системы банк должен, учитывать, что в настоящее время в основном применяются карты с магнитной полосой, которые дешевле и, одновременно, слабо защищены от подделок. Для повышения безопасности платежных систем, использующих такие карты применяется целый набор специальных методов.

Смарт-карты - это новый вид носителя информации, построенный на базе микропроцессора с достаточно большой памятью и предназначенный для хранения, обработки и защиты информации от несанкционированного доступа. Смарт-карты возможно использовать как пластиковые деньги, а также применении данного вида карт позволяет использовать их для организации межбанковских расчетов, записи конфиденциальной информации касающейся клиента и выполнения ряда других функций.

- Банк будет иметь экономический эффект от внедрения собственных пластиковых карт только при привлечении значительного числа клиентов;

Ознакомившись с проблемой "пластика" в России в глаза бросается, в частности, отождествление "карточных" программ с зарплатными проектами. Хотя количественные показатели внедрения карточек в России за последний год значительно выросли, значительно качественных изменений не произошло. Доля зарплатных проектов по-прежнему превышает 70% от общего объема. В том, что давно ожидаемого "карточного" взрыва в стране не происходит, нет ничего удивительного.

Ситуация только начинает меняться. Постепенное насыщение "зарплатного" рынка заставляет многие банки обратить взоры к такой области "карточного" бизнеса, как эквайринг, что позволяет надеяться на начало устойчивого роста инфраструктуры обслуживания карточек.

"Взрыва" на российском рынке пластиковых карточек ожидать не приходится, но на стабильный рост можно твердо рассчитывать.

Похожие статьи




Технологии платежных систем, основанные на смарт-картах - Виды банковских карт и их применение

Предыдущая | Следующая