Захист системи електронних платежів

Магнітна стрічка читається і зберігається в буфері банкомату.

2. Клієнт вводить свій ПІН

ПІН вводиться в захищений від зміни пад. Збережений ПІН заноситься в захисний апаратний модуль.

3. Клієнт запитує готівку

Повідомлення створюється в ATM. ПІН шифрується ключем Терміналу.

Повідомлення надсилається хосту, зашифроване апаратно.

Після отримання хостом, апаратне повідомлення дешифрується. Обчислюється CVV і порівнюється зі значенням на магнітній стрічці. ПІН, зашифрований ключем терміналу дешифрує. Обчислюється зсув ПІН або PVV. PVV порівнюється із записом в базі даних PVV.

4. Транзакція підтверджена, готівкові видані

Всі функції шифрування хоста зазвичай відбуваються в захищеному модулі. Ніякі значення в чистому вигляді не передаються прикладним програмам або поза захищеного оточення.

 

 

4.1.7. Інші програми шифрування у фінансах.

Так само як і звичайні використання шифрування, міжбанківські мережі (наприклад SWIFT) історично були активними користувачами шифрувальних технік.

Безліч нових способів доставки і ще більш широке поширення прогресивних технологій збільшило інтерес і використання шифрування. У випадках коли криптографія потрібно для широкого розповсюдження серед суспільства (наприклад домашній банкінг за допомогою PC), звичайний DES занадто складний для безпечного управління. У такі системи впроваджені більш підходящі і безпечні алгоритми, такі як RSA (система шифрування з відкритим ключем).

Деякі корпоративні додатки використовують добре захищений DES, комбінуючи з іншими алгоритмами ‒ MAC (Код автентифікації Повідомлення, Розмір MAC визначений у ISO8583 як 16 байт.), Фізична шифрування, обмін динамічним ключем і т.д.

 

 

4.2. Пристрої обслуговування електронних платежів.

 

 

4.2.1. Використання POS-терміналів.

POS-термінали, або торгові термінали, призначені для обробки транзакцій  при фінансових розрахунках з  використанням пластикових карток  з магнітною смугою і смарт-карт. Використання POS-терміналів дозволяє автоматизувати операції з обслуговування картки та істотно зменшити час обслуговування. Можливості та комплектація POS-терміналів варіюються в широких межах, проте типовий сучасний термінал оснащений пристроями читання як смарт-карт, так і карт із магнітною смугою, незалежною пам'яттю, портами для підключення ПІН - клавіатури (клавіатури для набору ПІН - коду), принтера, з'єднання з ПК чи з електронним касовим апаратом.

Крім того, зазвичай POS-термінал буває оснащений модемом з можливістю автодозвону. POS-термінал має "інтелектуальними" можливостями - його можна програмувати. В якості мов програмування використовуються асемблер, а також діалекти C і Basic'а. Все це дозволяє проводити не тільки on-line авторизацію карток із магнітною смугою і смарт-карт, але і використовувати при роботі зі смарт-картами режим off-line з накопиченням протоколів транзакцій. Останні під час сеансів зв'язку передаються в процесинговий центр. Під час сеансу зв'язку POS-термінал може також приймати і запам'ятовувати інформацію, передану ЕОМ процесингового центру. В основному це бувають стоп - листи, але подібним же чином може здійснюватися і перепрограмування POS-терміналів.

Вартість POS-терміналів в залежності від комплектації, можливостей, фірми-виробника може змінюватися від декількох сотень до декількох тисяч доларів, проте зазвичай не перевищує півтора - дві тисячі. Розміри і вага POS-термінала порівняти з аналогічними параметрами телефонного апарату, а часто бувають і менше.

Основні характеристики POS-терміналів:

- Займає мало місця на прилавку  завдяки компактному та інтеграційного  дизайну;

- Приймає всі основні типи  кредитних, дебетових і локально-корпоративних  карт;

- Завдяки наявності зручного  вбудованого рулонного принтера швидко друкує чеки та звіти

- Розширює ваші можливості по  роботі з великими аплікаціями, зберігає великі файли даних  і транзакцій.

Платіжний термінал TRANZ 460

 

Рис.4.3.

Виробник:VeriFone

- 64 КB, EPROM-пам'яті і 256KB, 512 КB, або 1 МB, оперативної RAM-пам'яті, підтримуваної резервними батареями;

- швидкість передачі даних 300, 1200 або 2400 бод з протоколами: CCITT V.21/V.22/V.22 bis ;

-16-ти символьний флуоресціюючий  дисплей, включаючи десяткову точку  і кому ;

- трековий зчитувач магнітних  карт ;

- матричний рулонний принтер, 24 колонки серійний комунікаційний  порт RS-232 для прямого з'єднання з персональним комп'ютером, електронним касовим апаратом або зовнішнім принтером швидкість обміну даними для роботи з PIN PAD-му, зчитувач смарт-карт або зчитувачем штрих-кодів до 9600 бод

Платіжний термінал TMS

Рис.4.4.

 

Виробник:  Bull (Франція)

-16-розрядний мікропроцесор NEC V25

- зчитувач смарт-карт (ISO-7816) + зчитувач магнітної смуги (ISO 1 / 2)  
- 128 Кб RAM,

- 512 Кб Flash пам'ять

- клавіатура (24 клавіші)

- графічний дисплей (2 * 16 символів)

- вбудований принтер (48 символів  на рядку, швидкість 1 лінія / сек)  
- джерело живлення 220v/50Hz .

 

 

2. Використання банкоматів.

Банкомати ‒ банківські автомати для видачі та інкасування готівки при операціях з пластиковими картками. Крім цього, банкомат дозволяє користувачу картки отримувати інформацію про поточний стан рахунку, проводити операції з перерахування коштів з одного рахунку на інший.    Банкомат забезпечений пристроєм для читання карти, а для інтерактивної взаємодії з власником картки також дисплеєм і клавіатурою. Банкомат оснащений персональної ЕОМ, яка забезпечує управління банкоматом і контроль його стану. Останнє дуже важливо, оскільки банкомат є сховищем готівкових грошей. На сьогоднішній день більшість моделей розраховано на роботу в on-line режимі з картками з магнітною смугою, однак з'явилися й пристрої, здатні працювати зі смарт-картами і в off-line режимі. Для забезпечення комунікаційних функцій банкомати оснащуються платами X.25.

Грошові купюри в банкоматі розміщуються в касетах, які, у свою чергу, знаходяться в спеціальному сейфі. Кількість касет визначає кількість номіналів купюр, які видаються банкоматом. Розміри касет регулюються, що дає можливість заряджати банкомат практично будь-якими купюрами. Банкомати можуть розміщуватися як в приміщеннях, так і безпосередньо на вулиці і працювати цілодобово. Приклад банкомату, а також його технічні характеристики:

Банкомат Diebold 1064ix (внутрішній)

Основні характеристики:

 

 

Рис. 4.5.

Призначений для видачі готівкових грошей, обробки запитів про стан рахунків, переказ грошей з одного рахунку на інший і роздруківки міні-виписок.

Середній час експлуатації - 15 років .

• Висока надійність .
• Можливість видачі в одній пачці до 50 купюр.
• Велика ємність касет (до 3000 купюр).
• Монітор 15 "(дозвіл 640х480х256 кольорів).
• Процесор Pentium 166, пам'ять 16 Мб.
• Безшумний чековий термопринтер 2 або 4 касети для завантаження купюр. [10]

 

 

3. Висновки по розділу

В рамках цього розділу було розглянуто основні аспекти безпеки використання карт із магнітною смугою.  Описані такі застосування криптографії  для цих карт: просте шифрування, обмін динамічним ключем, обробка ПІН, обробка VCC, робота з ключами, шифрування в закритому пристрої та інші програми шифрування у фінансах.

Потім було розглянуто пристрої обслуговування електронних платежів, POS-термінали та використання банкоматів.

Картки з магнітною смугою характеризуються тим, що інформація, необхідна для використання її в банкоматах та в електронних платіжних терміналах, записана на магнітній смузі, розміщеній на звороті картки. Важливим елементом цієї інформації є персональний ідентифікаційний номер (PIN). Картки з магнітною смугою широко використовуються в банківських платіжних системах, транспортних системах та в системах ідентифікації і безпеки.

Магнітний запис є одним з найпоширеніших на сьогоднішній день способів нанесення інформації на пластикові картки, але він не забезпечує необхідного рівня захисту від підробок.

 

ВИСНОВКИ

 

 

В першому розділі дипломної роботі  були  розглянуті загальні відомості про систему електронних платежів, основні Закони України, на яких базується система електронних платежів, міжнародні стандарти електронних платежів,  опис класифікації електронних систем, перелік вимог до платіжних систем, класифікація цифрових грошей, також  розглянуті схеми розрахунків платіжних систем.

Другий розділ включив в себе основні аспекти захисту системи електронних платежів. Спочатку був огляд складових системи електронних, потім описувались канали передачі даних в СЕП. Далі розгляд класифікації моделей порушників, були описані етапи створення захисту платіжних систем.

В третьому розділі було викладено основні поняття і принципи використання пластикових карток. Спершу розглянуто існуючі види платіжних карток, і  поняття пластикової картки. Потім проведено аналіз класифікації пластикових карток, розглядались способи ідентифікацій пластикових карт, також був опис особливостей  пристрою смарт-карти. 

Четвертий, останній розділ,  складався з огляду основних аспектів безпеки використання карт із магнітною смугою.  Описані такі застосування криптографії  для цих карт: просте шифрування, обмін динамічним ключем, обробка ПІН, обробка VCC, робота з ключами, шифрування в закритому пристрої та інші програми шифрування у фінансах. Потім було розглянуто пристрої обслуговування електронних платежів, POS- термінали та використання банкоматів.

Проблема, пов'язана з безпекою системи, полягає в можливості шахрайського використання картки, якщо вдасться все ж таки "пробити" складну систему захисту інформації, що забезпечується застосуванням мікропроцесорних карток.

Безумовно, використання механізмів аутентифікації і криптозахисту підвищує стійкість системи на порядки. Тим не менше багато фахівців вважають, що освоєння мікропроцесорних технологій шахраями - справа часу.

У той час як вводяться інші, більш захищені методи шифрування, магнітна карта набагато дешевша ніж інші альтернативи і карти з магнітною смугою - найпоширеніший тип карт. Методи захисту магнітних карт повільно, але вірно поліпшуються, і при правильному застосуванні можуть надати відмінний захист для фінансових транзакцій при низькій вартості.

Найпоширеніше використання криптографії це забезпечення ПІНу, для використання магнітної картки в місцях, де не можна здійснити контроль за правомірністю доступу, наприклад в ATM (банкоматах), або в якихось інших ситуаціях, де здійснити надання звичайного паперового підпису неможливо.На сьогоднішній день не так багато грошових карт, у яких не було б наявності ПІН.

Друге за поширеністю використання криптографії це надання механізмів контролю за оригінальністю магнітної стрічки. Призначення полягає в попередженні створення карт шахрайським шляхом, коли на стрічку записується значення, яке не може бути отримане з видимої інформації, що міститься на карті. Коли карта перевіряється в режимі on-line, це значення може бути підтверджено для того щоб підтвердити справжність картки. Для цього існує кілька різних стандартів, найбільш використовувані це Visa Card Verification Value (CVV) або, аналог для Мастеркард, CVC.  
Інші варіанти використання криптографії безпосередньо не відносяться до карт, зазвичай вони відносяться до шифрування ПІН та повідомленнями, переданим у фінансовому оточенні, щоб запобігти їх перехоплення або підробку.

Отже, в Україні пластикові карти як платіжний інструмент переживають період стрімкого розвитку. Виразні тенденції розвитку пластикових карток є їх інтелектуалізацією на базі сучасних досягнень мікропроцесорної техніки та електронних комунікацій. Найбільш перспективним напрямком розвитку пластикових карток у великих містах України є створення локальних систем дрібних платежів. Одночасно слід очікувати широкого освоєння технології інтелектуальних карток і стандартів їх застосування.

 

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ ТА ЛІТЕРАТУРИ

 

 

1. Задірака В.К., О.С.Олексюк М.О., Недашковський «МЕТОДИ ЗАХИСТУ БАНКІВСЬКОЇ ІНФОРМАЦІЇ».
2. Закон України «Про банки і банківську діяльність»( Відомості Верховної Ради України (ВВР), 2001.
3. Закон України «Про електронний цифровий підпис»
4. Закон України «Про захист інформації в автоматизованих системах» (Відомості Верховної Ради (ВВР), 1994.
5. Закон України «Про захист інформації в інформаційно-телекомунікаційних системах».
6. Закон України «Про платіжні системи та переказ коштів в Україні».
7. Нікітін А.В. Маркетинг у банку: Навчальний посібник/ А.В. Нікітін, Г.П. Бортніков, А.В. Федорченко. - К.: КНЕУ, 2006.
8. Офіційний Інтернет-сайт Асоціації банків України – HTTP:// WWW.AUB.COM.UA
9. Офіційний Інтернет-сайт НБУ – HTTP://www.bank.gov.ua.
10. Пиріг С.О «Платіжні системи», Навч. пос. – К.: Центр учбової літератури, 2008.
11. Політюк Л.Г, Малкова, О.І., Особливості системи електронних платежів нового покоління в Україні // Науково-технічний збірник Східноукраїнського національний університету ім. В.Даля. – 2009
12. Положення про захист інформації в Національній системі масових електронних платежів // Національний банк України, Платіжна організація Національної системи електронних масових платежів - протокол Ради Платіжної організації Національної системи масових електронних платежів від 2 червня 2008 р.
13. Про затвердження Інструкції про міжбанківський переказ коштів в Україні в національній валюті // Постанова Правління Національного банку України від 16 серпня 2006 року N 320 ( Із змінами і доповненнями, внесеними постановами Правління Національного банку України станом від 5 червня 2008 року N 165)
14. Рибченко М.Ф. Оптимізація системи безготівкових розрахунків// Держава і регіони. Серія: Економіка і підприємництво. – 2009.
15. Щибиволок З.І. Аналіз банківської діяльності: Навчальний посібник/ З.І. Щибиволок; Відп. за вип. С.І. Шкарабан. - К.: Знання, 2006.