Организация Работы пластиковыми картами и их учет. (на примере ОАО «БакайБанк»)

Для защиты областей данных от несанкционированного доступа предусматриваются  поля, контролирующие доступ к этим данным. Существуют три типа ключей:

• 1-Кеу - ключ банка;
• Р-Кеу - ключ владельца карточки - PIN-код;
• A-Keys - ключи торговых организаций или иных приложений. Использование этих ключей дает возможность доступа к чтению информации из соответствующей области или записи информации. Как правило, активизация одного ключа позволяет только читать информацию, а активизация сразу всех ключей ее - и записывать.

Правильное предъявление PIN-кода открывает доступ к карте (по чтению данных), однако не должно менять информацию, которой распоряжается  кредитор карты (банк) или ее дебитор (магазин). Ключ записи информации в  кредитную область карты имеется  только у банка; ключ записи информации в дебетную область - у магазина. Только при предъявлении сразу двух ключей (PIN-кода клиента и ключа  банка при кредитовании, PIN-кода клиента  и ключа магазина при дебетовании) можно провести соответствующую  финансовую операцию - внести деньги либо списать сумму покупки с карты.

Если в качестве платежной  используются карты с одной защищенной областью памяти, значит, банк и магазин  будут работать с одной и той  же областью, применяя одинаковые ключи  защиты. Если банк как эмитент карты  может ее дебетовать (например, в  банкоматах), то магазин права кредитовать  карту не имеет. Однако такая возможность  ему дана, поскольку в силу необходимости  дебетования карты при покупках он знает ключ стирания защищенной зоны. То обстоятельство, что и кредитор карты, и ее дебитор (обычно разные лица) пользуются одним ключом, нарушает сразу несколько основных принципов  защиты информации (в частности, принципы разделения полномочий и минимальных  полномочий). Это рано или поздно приведет к мошенничеству. Не спасают ситуацию и криптографические способы защиты информации.

Из известных карт с  защищенной памятью лишь упоминавшаяся  уже карта СРМ896 обладает двумя  защищенными областями памяти и  удовлетворяет требованиям по разграничению  доступа к информации, как со стороны  банка, так и со стороны магазина.

2. Микропроцессорные  карты. Они открывают принципиально новые возможности, поскольку имеют свою внутреннюю логику и фактически являются микрокомпьютерами.

В карту встраивается специализированная операционная система, обеспечивающая большой набор сервисных операций и средств безопасности.

Операционная система  карты поддерживает файловую систему, предусматривающую разграничение  доступа к информации. Для информации, хранимой в любой записи (файл, группа файлов, каталог), могут быть установлены  следующие режимы доступа:

• всегда доступна по чтению/записи. Этот режим разрешает чтение/запись информации без знания специальных секретных кодов;
• доступна по чтению, но требует специальных полномочий для записи. Этот режим разрешает свободное чтение информации, но разрешает запись только после предъявления специального секретного кода;
• специальные полномочия по чтению/записи. Этот режим разрешает доступ по чтению или записи после предъявления специального секретного кода, причем коды для чтения и записи могут быть различными;
• недоступна. Этот режим не разрешает читать или записывать информацию. Информация доступна только внутренним программам карточки. Обычно этот режим устанавливается для записей, содержащих криптографические ключи.

Как правило, в такие карточки встроены криптографические средства, обеспечивающие шифрование информации и выработку "цифровой" подписи. Традиционно в карточках для этих целей применяется криптографический алгоритм. Кроме того, в карточке имеются средства ведения ключевой системы.

Карты обеспечивают различный  спектр сервисных команд. Для банковских целей наиболее интересные из них - средства ведения электронных платежей.

К специальным средствам  относят возможность блокировки работы с карточкой. Различаются  два вида блокировки: при предъявлении неправильного транспортного кода и при несанкционированном доступе.

Суть транспортной блокировки состоит в том, что доступ к  карточке невозможен без предъявления специального "транспортного" кода. Этот механизм необходим для защиты от нелегального использования карточек при хищении во время пересылки  карточки от производителя к потребителю. Карточка может быть активизирована только при предъявлении правильного "транспортного" кода.

Суть блокировки при несанкционированном  доступе состоит в том, что  если при доступе к информации несколько раз неправильно был  предъявлен код доступа, то карта  вообще перестает быть работоспособной. При этом в зависимости от установленного режима карта может быть впоследствии либо активизирована при предъявлении специального кода, либо нет. В последнем  случае карточка становится непригодной  для дальнейшего использования.

Пластиковые карты с микросхемами имеют более высокую степень  защиты от мошенничества и подделок.

Несмотря на очевидные  преимущества, смарт-карточки до сих  пор имели ограниченное применение по той причине, что такая карточка на порядок дороже, чем карточка с магнитной полосой. Лишь в последние  годы, когда ущерб от мошенничества  с магнитными картами в международных  платежных системах стал пугающе  высоким и продолжает расти, банками  было принято решение о постепенном  переходе на смарт-карты.

Суперсмарт-карты. ¹²Примером может служить многоцелевая карта фирмы Toshiba, используемая в системе Visa. В дополнение ко всем возможностям обычной микропроцессорной карты эта карта также имеет небольшой дисплей и вспомогательную клавиатуру для ввода данных.. Эта карта объединяет в себе кредитную, дебетовую и предоплатную карты, а также выполняет функции часов, календаря, калькулятора, осуществляет конвертацию валюты, может служить записной книжкой и т. д. Из-за высокой стоимости суперсмарт-карты не имеют сегодня широкого распространения, но их использование будет, вероятно, расти.

В 1981 г. Дж. Дрекслером была изобретена оптическая карточка. Карты оптической памяти имеют большую емкость, чем карты памяти, но данные на них могут быть записаны только один раз. В таких картах используется WORM-технология (однократная запись - многократное чтение). Запись и считывание информации с такой карты производятся специальной аппаратурой с использованием лазера (откуда другое название - лазерная карта). Технология, применяемая в картах, подобна той, которая используется в лазерных дисках. Основное преимущество таких карточек - возможность хранения больших объемов информации. Такие карточки в банковских технологиях распространения пока не получили вследствие высокой стоимости как самих карточек, так и считывающего оборудования.

С точки зрения технических  возможностей пластиковые карточки можно классифицировать на магнитные  и микропроцессорные (или чиповые).

Магнитная банковская карточка - это только отражение банковского  счета владельца: ее магнитный индикатор  содержит лишь информацию об имени  владельца и номере его счета  в банке. Поэтому при расчетах с использованием этой карты каждый раз необходимо обращаться к центральному компьютеру для получения информации о наличии на счете необходимой для оплаты товаров (работ, услуг) суммы денег.

Помимо этого, при использовании  магнитной карты следует пройти процедуру персонификации - уточнения  того факта, что картой владеет именно ее предъявитель. Связь с системным  кассовым терминалом нужна для передачи команды на списание определенной суммы  денег, подлежащей оплате.

Чиповая карточка ¹³(smart-карта) предоставляет намного больше возможностей для манипуляций деньгами, находящимися на счете. Дело в том, что такая карточка содержит микропроцессор (чип), в памяти которого содержится вся информация о банковском счете ее владельца: о количестве денег на счете, максимальном размере суммы, которую можно снять со счета единовременно, об операциях, совершенных в течение дня. Иными словами, чиповая карточка - это одновременно и кошелек, и средство расчета, и банковский счет. И это все благодаря микропроцессору, главным достоинством которого является его высокая способность при постоянстве памяти надежно сохранять и использовать большие объемы информации.

Чиповая карточка не нуждается  в процедуре идентификации и  персонификации, а значит, способна работать в режиме off-line, что не требует  обращения при каждом необходимом  случае к банку или компании, где  открыт счет владельца карты.

Таким образом, чиповая карта - на порядок более совершенное  платежное средство, нежели магнитная. Благодаря своим техническим  характеристикам, а также наличию  у владельца личного кода, без  знания которого доступ к счету невозможен, чиповая карточка не только надежнее защищена от подделки, по и предполагает более широкий набор возможностей по оперированию счетом: помимо обналичивания  денег через банкомат ее владелец может перевести средства с карточного счета на депозитный или иной, однако в пределах того банка, который эмитировал карточку.

К числу неудобств, возникающих  при использовании smart-карты, можно  отнести, во-первых, отсутствие единой унифицированной системы обслуживания чиповых карт, в связи с чем  для "считывания" чиповых карточек разных банков необходимо наличие индивидуального  терминала, и, во-вторых, высокая себестоимость  производства микропроцессоров.

Нужно заметить, что из-за этих недостатков Центральный банк РФ скептически относится к перспективам широкомасштабного внедрения в  РФ чиповых карт. Несмотря на высокий  уровень их защиты от подделок и  несанкционированного доступа к  счету владельца карты, по мнению ЦБ, издержки банков на внедрение карточек с памятью на микросхеме очень  высоки. Это будет значительно  тормозить внедрение новых технологий.

Платежные карты: корпоративные и личные

Владельцем платежной  карты может быть как физическое лицо, имеющее в банке-эмитенте личный счет, так и юридическое лицо, которому открывается счет корпоративный.

Корпоративная карточка ¹⁴открывается юридическим лицам и предназначена для управления счетом юридического лица. Выдается она банком-эмитентом или организацией-распространителем отдельным сотрудникам фирмы, правомочным пользоваться ее средствами, а потому на корпоративной платежной карточке кроме названия фирмы выбивается имя пользователя, так что применять ее может только один человек, которому при оплате товаров, работ или услуг придется подтвердить свою личность.

Фирма может открывать  карточки для нескольких своих сотрудников, причем каждой карточке будет соответствовать  свой спецкартсчет. Ограничений на число открываемых карточек внутри одной фирмы не существует.

Нужно заметить, что приобретение "корпоративки" имеет ряд преимуществ. Прежде всего это более широкий  круг возможностей по оперированию счетом. Помимо командировочных расходов при  помощи такой карты можно оплачивать столь любимые представительские  расходы, услуги переводчиков, получать самые большие скидки в ресторанах, а иногда даже проплачивать контракты. Владелец корпоративной карточки может  стать участником самых разнообразных  программ своих платежных систем - от дорогостоящих медицинских страховок  до компенсационных выплат за задержки рейсов и потерю багажа. Помимо того стоит упомянуть тот факт, что  сумма денег, находящаяся на счете  и выдаваемая банкнотами налично, по корпоративной карточке гораздо  больше, чем по личной.

Ответственность за ненадлежащее использование корпоративной карты  перед банком несет юридическое  лицо - владелец, а физическое лицо-пользователь, в свою очередь, отчитывается перед  бухгалтерией фирмы за все расходы, произведенные по корпоративной  карте.

На российском рынке получили достаточно широкое распространение  так называемые "зарплатные" карточки. ¹⁵Сотрудник фирмы, оформивший такой тип карты, может получать заработную плату не наличными деньгами, а путем ее перечисления на спецкарточный счет.

Кроме того, у предприятия  появляется гораздо больше возможностей вовремя выдать деньги, поскольку  в случае возникновения временного денежного затруднения оно имеет  больше шансов получить в банке кредит, который пойдет на зарплату сотрудникам. Ведь банк, предоставляющий предприятию  услугу в виде выдачи "зарплатных карточек", не должен перечислять  выдаваемые деньги на счета других кредитных организаций. В расчете  на то, что часть средств будет  некоторое время храниться на карточных счетах сотрудников, банк может предоставить предприятию-клиенту  и более льготные условия получения  заемных средств.

2. Порядок учета пластиковых карт в банке.

1. Для выдачи наличных денег по пластиковым карточкам кредитные организации используют банкоматы, установленные как в здании кредитной организации, так и вне ее.¹⁶

Учет денежных средств, используемых через банкоматы, ведется на специально открытом счете "Денежные средства в банкоматах".