Возможность расширения карточного бизнеса

     Смарт-карты  имеют различную емкость,  объем  памяти обычной карты составляет приблизительно 256 байт, но существуют карты с объемом памяти от 32 байт до 8 Кбайт. Микросхемы  позволяют хранить в памяти такой карты, кроме  идентификационной информации, и стоимостные показатели.

     Рассмотрим  типологию смарт-карт. В зависимости  от внутреннего устройства и выполняемых  функций специалисты подразделяют смарт-карты на два вида:

     - карты с памятью;

     - микропроцессорные карты.

     Карты с памятью. Это название весьма условно, так как все смарт-карты имеют память. Обычно карты подобного типа используются для хранения информации. Существуют два подтипа подобных карт: с незащищенной и с защищенной памятью.

     В картах с незащищенной памятью нет  ограничений по чтению или записи данных. Иногда их называют картами с полнодоступной памятью. Можно произвольно структурировать карту на логическом уровне, рассматривая ее память как набор байтов, который можно скопировать в оперативную память или обновить специальными командами.

     Карты с незащищенной памятью использовать в качестве платежных крайне опасно. Достаточно легально приобрести такую карту, скопировать ее память на диск, а дальше после каждой покупки восстанавливать ее память копированием начального состояния данных с диска, т.е. шифрование данных в памяти карты от мошенничества подобного рода не спасает. Практика показывает, что в России людей, способных на такое занятие, достаточно.

     В карточках с защищенной памятью  используется специальный механизм для разрешения чтения/записи или стирания информации. Чтобы провести эти операции, надо предъявить карте специальный секретный код (а иногда и не один). Предъявление кода означает установление с ней связи и передачу кода «внутрь» карты. Сравнение кода с ключом защиты чтения/записи (стирания) данных проведет сама карта и «сообщит» об этом устройству чтения/записи смарт-карт. Чтение записанных в память карты ключей защиты или копирование памяти карты невозможно. В то же время, зная секретный код (коды), можно прочитать или записать данные, организованные наиболее приемлемым для платежной системы логическим образом. Таким образом, карты с защищенной памятью годятся для универсальных платежных применений, хорошо защищены, и при этом недороги. Так, цена карты СРМ896 составляет не более 4 долл. для тиражей выше 5 тыс. экз. [23, с. 90]

     Как правило, карты с защищенной памятью  содержат область, в которую записываются идентификационные данные. Эти данные не могут быть изменены впоследствии, что очень важно для обеспечения невозможности подлога карты. С этой целью идентификационные данные на карте «прожигаются».

     Необходимо  также, чтобы на платежной карте  были, по меньшей мере, две защищенные области. Уже отмечалось, что в  технологии безналичных расчетов по картам участвуют обычно три юридически независимых лица: клиент, банк и магазин. Банк вносит деньги на карту (кредитует ее), магазин снимает деньги с карты (дебетует ее), и все эти операции должны совершаться с санкции клиента. Таким образом, доступ к данным на карте и операции над ними надо разграничивать. Это достигается разбиением памяти карты на две защищенные разными ключами области - дебетовую и кредитную. Каждый участник операции имеет свой секретный ключ.

     Для защиты областей данных от несанкционированного доступа предусматриваются поля, контролирующие доступ к этим данным. Существуют три типа ключей:

     I-Кеу - ключ банка,

     Р-Кеу - ключ владельца карточки - PIN-код,

     А-Кеуs - ключи торговых организаций или иных приложений.

     Использование этих ключей дает возможность доступа  к чтению информации из соответствующей области или записи информации. Как правило, активизация одного ключа позволяет только читать информацию, а активизация сразу всех ключей ее - и записывать. [15, с. 116-117]

     Правильное  предъявление ПИН-кода открывает доступ к карте (по чтению данных), однако не должно менять информацию, которой распоряжается кредитор карты (банк) или ее дебитор (магазин). Ключ записи информации в кредитную область карты имеется только у банка; ключ записи информации в дебетную область - у магазина. Только при предъявлении сразу двух ключей (ПИН-кода клиента и ключа банка при кредитовании, ПИН-кода клиента и ключа магазина при дебетовании) можно провести соответствующую финансовую операцию - внести деньги либо списать сумму покупки с карты.

     Если  в качестве платежной используются карты с одной защищенной областью памяти, - значит, банк и магазин будут работать с одной и той же областью, применяя одинаковые ключи защиты. Если банк, как эмитент карты, может ее дебетовать (например, в банкоматах), то магазин права кредитовать карту не имеет. Однако такая возможность ему дана - поскольку, в силу необходимости дебетования карты при покупках, он знает ключ стирания защищенной зоны. То обстоятельство, что и кредитор карты, и ее дебитор (обычно разные лица) пользуются одним ключом, нарушает сразу несколько основных принципов защиты информации (в частности, принципы разделения полномочий и минимальных полномочий). Это рано или поздно приведет к мошенничеству. Не спасают ситуацию и криптографические способы защиты информации.

     Из  известных карт с защищенной памятью  лишь упоминавшаяся уже карта  СРМ896 обладает двумя защищенными  областями памяти и удовлетворяет  требованиям по разграничению доступа  к информации, как со стороны банка, так и со стороны магазина.

       Принципиально иные возможности  открывают настоящие микропроцессорные карты, поскольку они имеют свою внутреннюю логику и, фактически, являются микрокомпьютером.

     В карту встраивается специализированная операционная система, обеспечивающая большой набор сервисных операций и средств безопасности.

     Операционная  система карты поддерживает файловую систему, предусматривающую разграничение доступа к информации.

     В такие карточки встроены криптографические  средства, обеспечивающие шифрование информации и выработку «цифровой» подписи.

     Карты обеспечивают различный спектр сервисных  команд. Для банковских целей наиболее интересные из них - средства ведения электронных платежей.

     Пластиковые карты с микросхемами имеют более  высокую степень защиты от мошенничества и подделок.

     Несмотря  на очевидные преимущества, смарт-карточки до сих пор имели ограниченное применение, по той  причине, что  такая карточка на порядок дороже, чем карточка с магнитной полосой. Лишь в последние годы, когда ущерб  от мошенничества с магнитными картами в международных платежных системах стал пугающе высоким и продолжает расти, банками было принято решение о постепенном переходе на смарт-карты.  [23, с. 103]

     Суперсмарт-карты. Примером может служить многоцелевая карта фирмы Toshiba, используемая в системе VISA. В дополнение ко всем возможностям обычной микропроцессорной карты, эта карта также имеет небольшой дисплей и вспомогательную клавиатуру для ввода данных. Эта карта объединяет в себе кредитную, дебетовую и предоплатную карты, а также выполняет функции часов, календаря, калькулятора, осуществляет конвертацию валюты, может служить записной книжкой и т.д. Из-за высокой стоимости, суперсмарт-карты не имеют сегодня широкого распространения, но их использование будет, вероятно, расти.

     В 1981 году Дж. Дрекслером была изобретена оптическая карточка.  Карты оптической памяти имеют большую емкость, чем карты памяти, но данные на них могут быть записаны только один раз. В таких картах используется  WORM-технология (однократная запись - многократное чтение). Запись и считывание информации с такой карты производится специальной аппаратурой с использованием лазера (откуда другое название - лазерная карта). Технология, применяемая в картах, подобна той, которая используется в лазерных дисках.  Основное преимущество таких карточек - возможность хранения больших объемов информации. Такие карточки в банковских технологиях распространения пока не получили вследствие высокой стоимости как самих карточек, так и считывающего оборудования.

               

     2.4. Платежная система и ее участники

         

     Платежной системой будем называть совокупность методов и реализующих их субъектов, обеспечивающих в рамках системы  условия для использования банковских пластиковых карточек оговоренного стандарта в качестве платежного средства.

     Перед каждым банком, находящимся на этапе  выбора системы обслуживания клиентов на основе пластиковых карточек, возникает  комплекс технических и технологических  проблем. Одна из основных задач, решаемых при создании платежной системы, состоит в выработке и соблюдении общих правил обслуживания карточек, входящих в систему эмитентов, проведения взаиморасчетов и платежей. Правила информационного обмена влияют на выбор аппаратно-информационных средств, средств связи и коммуникаций, на систему обеспечения безопасности. Эти правила охватывают как чисто технические аспекты операций с карточками - стандарты данных, процедуры авторизации, спецификации на используемое оборудование и пр., так и финансовые стороны обслуживания карточек - процедуры расчетов с предприятиями торговли и сервиса, входящими в состав приемной сети, правила взаиморасчетов между банками, тарифы и т.д.

     Существующие  особенности и возможности пластиковых  карт не могут не сказаться на особенностях построения и функционирования платежных систем.

     В общем случае развитую платежную  систему составляют:

     - держатель карты;

     - банк-эмитент;

     - банк-эквайер;

     - расчетный банк;

     - магазины и другие точки обслуживания;

     - процессинговый центр и коммуникации.   

     Держатель пластиковой карты – это лицо, которому передается карта на основе подписанного договора с эмитентом [23, с. 77].

     Банк, который выпускает пластиковые  карточки и предоставляет их в  распоряжение клиентов, называется банк-эмитент.

     Банк-эквайер  - это банк, который осуществляет весь спектр операций по взаимодействию с точками обслуживания карточек

     Расчетный банк – это банк, который оперативно проводит расчеты между эквайерами и эмитентами. 

     2.4.1. Процессинговый центр и коммуникации 

     Использование дебетовой магнитной карточки приводит к необходимости on-line авторизации каждой сделки в любой точке обслуживания платежной системы. Для операций с кредитной карточкой авторизация необходима не во всех случаях, но, например, при получении денег в банкоматах она также проводится всегда.

     Процессинговый центр - специализированная сервисная организация - обеспечивает обработку поступающих от эквайеров (или непосредственно из точек обслуживания) запросов на авторизацию и/или протоколов транзакций - фиксируемых данных о произведенных посредством карточек платежах и выдачах наличных.  Для этого центр ведет базу данных, которая, в частности, содержит данные о банках - членах платежной системы и держателях карточек. Центр хранит сведения о лимитах держателей карточек и выполняет запросы на авторизацию в том случае, если банк-эмитент не ведет собственной базы (off-line банк). В противном случае (on-line банк) процессинговый центр пересылает полученный запрос в банк-эмитент авторизуемой карточки. Очевидно, что центр обеспечивает и пересылку ответа банку-эквайеру. Кроме того, на основании накопленных за день протоколов транзакций процессинговый центр готовит и рассылает итоговые данные для проведения взаиморасчетов между банками-участниками платежной системы, а также формирует и рассылает банкам-эквайерам (а, возможно, и непосредственно в точки обслуживания) стоп-листы. Процессинговый центр может также обеспечивать потребности банков-эмитентов в новых карточках, осуществляя их заказ на заводах и последующую персонализацию, а также иметь базу для технического сопровождения и ремонта POS-терминалов и банкоматов. Следует отметить, что разветвленная платежная система может иметь несколько процессинговых центров, роль которых на региональном уровне могут выполнять и банки-эквайеры.

     Еще один источник сообщений - электронные документы, которыми обмениваются банки-участники с расчетным банком, а, возможно, и друг с другом при регулярном проведении взаиморасчетов.

     Коммуникационные  центры обеспечивают субъектам платежной  системы доступ к сетям передачи данных. Использование специальных высокопроизводительных линий коммуникации обусловлено необходимостью передачи больших объемов данных между географически распределенными участниками платежной системы при авторизации карточек и в других случаях.

     Таким образом, схема карточных расчетов в основе  своей предполагает наличие трех отдельных контрактов:

     - между торговцем и предъявителем карты - о продаже товаров и услуг;