Захист системи електронних платежів

 

 

 

3.1.3. Платіжна система.

 

 

Платіжною системою називають сукупність методів які реалізують їх суб'єкти, що забезпечують в рамках системи умови для використання банківських пластикових карток, обумовленого стандарту як платіжного засобу. Одна з основних завдань, що вирішуються при створенні платіжної системи, полягає у виробленні та дотриманні загальних правил обслуговування карток що входять в систему емітентів, проведення взаєморозрахунків і платежів. Ці правила охоплюють як чисто технічні аспекти операцій з картками ‒ стандарти даних, процедури авторизації, специфікації на обладнання тощо, так і фінансові боку обслуговування карток - процедури розрахунків з підприємствами торгівлі та сервісу, що входять до складу приймальної мережі, правила взаєморозрахунків між банками , тарифи і т.д.

Таким чином, з організаційної точки зору ядром платіжної системи є заснована на договірних зобов'язаннях асоціація банків. До складу платіжної системи також входять підприємства торгівлі і сервісу, що утворюють мережу точок обслуговування. Для успішного функціонування платіжної системи необхідні і спеціалізовані нефінансові організації, що здійснюють технічну підтримку обслуговування карток: процесинговий і комунікаційні центри, центри технічного обслуговування і т.п.

Процесинговий центр ‒ спеціалізована сервісна організація, яка забезпечує обробку що надходять від еквайєрів (або безпосередньо з точок обслуговування) запитів на авторизацію та / або протоколів транзакцій - фіксованих даних про проведені за допомогою карток платежі і видачі готівки. Цей центр веде базу даних, яка, зокрема, містить дані про банках - членах платіжної системи і власників карток. Центр зберігає відомості про ліміти власників карток і виконує запити на авторизацію в тому випадку, якщо банк-емітент не веде власної бази (off-line банк). В іншому випадку (on-line банк), процесинговий центр пересилає отриманий запит в банк-емітент авторізуемой картки. Очевидно, що центр забезпечує і пересилання відповіді банку-еквайєру. Крім того, на підставі накопичених за день протоколів транзакцій процесинговий центр готує і розсилає підсумкові дані для проведення взаєморозрахунків між банками-учасниками платіжної системи, а також формує і розсилає банкам - еквайєром (а, можливо, і безпосередньо в точки обслуговування) стоп-листи. Процесинговий центр може також забезпечувати потреби банків-емітентів у нових картках, здійснюючи їх замовлення на заводах і подальшу персоналізацію. Слід зазначити, що розгалужена платіжна система може мати декілька процесингових центрів, роль яких на регіональному рівні можуть виконувати і банки - еквайєри.

Комунікаційні центри забезпечують суб'єктам платіжної системи доступ до мереж передачі даних. Використання спеціальних високопродуктивних ліній комунікації обумовлено необхідністю передачі великих обсягів даних між географічно розподіленими учасниками платіжної системи при авторизації карток у торговельних терміналах, при обслуговуванні карток у банкоматах, при проведенні взаєморозрахунків між учасниками системи та в інших випадках.

Прикладом такої комутаційної системи є мережа "РадіоТел-ЦТ"

Мережа "РадіоТел-ЦТ" є радіопакетной мережею передачі даних загального користування, побудованої по стільниковому принципом.

Мережа "РадіоТел-ЦТ" призначена для надання послуг передачі даних з пропускною здатністю 4800 біт / сек. З урахуванням цього послуги мережі "РадіоТел-ЦТ" доцільно використовувати для підключення низької термінального обладнання - банкоматів, POS-терміналів. Потенційними споживачами послуг мережі "РадіоТел-ЦТ" є банки, паливні компанії, торгово-сервісні підприємства. При цьому користувачі мережі "РадіоТел-ЦТ" можуть підключати і використовувати: настільні та персональні комп'ютери, касові апарати, банкомати, лотерейні термінали, апаратуру оповіщення і ряд інших пристроїв.

 

Мережа "РадіоТел-ЦТ

Рис.3.2.

Для підключення термінального обладнання до мережі "РадіоТел-ЦТ" використовується пристрій Radio PAD, яке має два асинхронних порту V24, що дозволяє забезпечити два дуплексних каналу зв'язку. Швидкість роботи по порту: 9600 біт / сек - при використанні одного порту, 4800 біт / сек - при одночасному використанні двох портів. Взаємодія термінального обладнання з пристроєм Radio PAD здійснюється по протоколу X.28. Швидкість виконання транзакції на POS-терміналах і банкоматах в мережі "РадіоТел-ЦТ" складає близько 8 - 12 секунд

 

 

3.2 Технічні засоби.

 

 

3.2.1. Способи ідентифікації пластикових карт.

Пластикова картка являє собою пластину стандартних розмірів (85.6 мм 53.9 мм 0.76 мм), виготовлену з спеціальної, стійкої до механічних і термічних дій, пластмаси.

Одна з основних функцій пластикової картки - забезпечення ідентифікації, використовуючи її власника як суб'єкта платіжної системи. Для цього на пластикову картку наносяться логотипи банка-емітента і платіжної системи, що обслуговує картку, ім'я власника картки, номер його рахунку, термін дії картки та ін.. Крім цього, на картці може бути фотографія власника і його підпис. Алфавітно-цифрові дані - ім'я, номер рахунку та ін - можуть бути ембосовані. Це дає можливість при ручній обробці, прийнятих до оплати карток, швидко перенести дані на чек з допомогою спеціального пристрою, імпринтера - здійснює "прокатування" картки (в точності так само, як виходить другий примірник при використанні копіювального паперу).

Графічні дані забезпечують можливість візуальної ідентифікації картки. Картки, обслуговування яких засновано на такому принципі, можуть з успіхом використовуватися в малих локальних системах - як клубні, магазинні картки і т.п. Однак для використання в банківській платіжній системі візуальної "обробки" виявляється явно недостатньо. Представляється доцільним зберігати дані на картці у вигляді, що забезпечує проведення процедури автоматичної авторизації. Це завдання може бути вирішена з використанням різних фізичних механізмів.

У картках зі штрих-кодом в якості ідентифікує елемент використовується штриховий код, аналогічний коду, що застосовується для маркування товарів. Зазвичай кодова смужка покрита непрозорим складом і зчитування коду відбувається в інфрачервоних променях. Картки зі штрих - кодом досить дешеві і, в порівнянні з іншими типами карт, відносно прості у виготовленні. Остання особливість зумовлює їх слабку захищеність від підробки і робить тому малопридатними для використання в платіжних системах.

Картки з магнітною смугою є на сьогоднішній день найбільш поширеними - в обігу знаходиться понад двох мільярдів карт такого типу.    Магнітна смуга розташовується на зворотній стороні картки і, відповідно до стандарту ISO 7811, складається з трьох доріжок. З них два призначені для зберігання ідентифікаційних даних, а на третю можна записувати інформацію (наприклад, поточне значення ліміту дебетової картки). Однак через невисоку надійності багаторазово повторюваного процесу запису / зчитування, запис на магнітну смугу, як правило, не практикується, і такі карти використовуються тільки в режимі зчитування інформації.

Як же влаштована карта? Принцип магнітного запису на карту нічим не відрізняється від прийнятого в звукозапису. Для його реалізації підходить звукова апаратура. Стирання можна робити постійним магнітом з пластиною ‒ концентратором магнітного потоку. Хоча при такому стиранні великий рівень шумів, для цифрового зчитування це не важливо. Запис проводять без підмагнічування постійним або ВЧ-струмом, так навіть досягаються більш різкі переходи намагніченості носія. Для виготовлення магнітної смужки саморобних карток підійде стара 5 "дискета на 360 Кб, що має шар з низькою коерцитивність. Кодування даних здійснюється загальноприйнятим методом" без повернення до нуля ", який виключає довгі ділянки постійної намагніченості, що полегшує синхронізацію при зчитуванні.

Принцип магнітного запису

Рис.3.3.

Посилений вихідний сигнал з читаючої головки проходить двухпороговий компаратор, формуючий ВИСОКИЙ і НИЗЬКИЙ логічні рівні (рис.3.3). Цифрові дані надходять на стандартний послідовний інтерфейс (типуRS-232), що передає дані на обробку комп'ютера.

Надходження цифрових даних

Рис.3.4.

На Рис.3.4. видно, що якщо у момент синхро-відліку рівень сигналу не змінюється, то він вважається рівним нулю, а якщо сигнал має перепад, то одиниці. Типове розташування доріжок на магнітній смузі банківської картки показано на малюнку Рис.3.5.

Фізичний стандарт запису.

Розташування доріжок на картці

Рис.3.5.

Якщо картку розташувати магнітною смужкою до себе, так, щоб смужка була знизу картки, то дані записані зліва направо.

Захищеність карт з магнітною смугою істотно вище, ніж у карт зі штрих-кодом. Однак і такий тип карт уразливий для шахрайства. Тим не менш, розвинена інфраструктура існуючих платіжних систем і, в першу чергу, світових лідерів "карткового" бізнесу - компаній MasterCard / Europay є причиною інтенсивного використання карток з магнітною смугою і сьогодні. Відзначимо, що для підвищення захищеності карток системи VISA та MasterCard / Europay використовуються додаткові графічні засоби захисту: голограми та нестандартні шрифти для ембосування.

На лицьовій стороні картки з магнітною смугою зазвичай вказується: логотип банку-емітента, логотип платіжної системи, номер картки (перші 6 цифр ‒ код банку, такі 9 ‒ банківський номер картки, остання цифра ‒ контрольна, останні чотири цифри нанесені на голограму), термін дії картки, ім'я власника картки; на зворотному боці - магнітна смуга, місце для підпису.

 

 

3.2.2. Особливості пристрою  смарт-карти.

 

 

Смарт-карта ‒ це карта, носієм інформації в якій є інтегральна мікросхема. Коли стандарти і технологія виробництва смарт-карт ще тільки розроблялися, їх надійності і високого ступеня захисту даних на них приділялася саме пильну увагу. У відношенні захисту даних смарт-карти мають цілу низку переваг порівняно з традиційними магнітними картками.

По-перше, оскільки процес створення смарт-карт досить складний і під силу лише великій промисловій компанії спроби "зламати" мікросхему в кустарних умовах неминуче призведуть до її руйнування.

По-друге, при виробництві карток в кожну мікросхему заноситься унікальний код. Завдяки цьому коду кодування даних неможливо ні для кого, крім виробника карт. Виробник, відправляючи партію смарт-карт на адресу організації, що випускає їх в обіг, посилає коди окремо, так що навіть у разі втрати всієї партії, карти виявляються непридатними для використання.

По-третє, при видачі картки користувачеві на неї заноситься один або кілька секретних кодів (паролів), так званих PIN-кодів, відомих лише власникові картки. Якщо карта загублена або вкрадена, її власник повідомляє про те, що трапилося в банк і програма банку вносить цю карту в список недійсних карт, що розсилається на всі термінали продажів. Будь-яка спроба використовувати втрачену або вкрадену картку буде негайно припинена.

Це дає можливість здійснювати авторизацію в режимі off-line, що дозволяє економити значні кошти і час на організацію процедури доступу до центрів авторизації. Говорячи про значну дешевизні самих магнітних карт, слід звернути увагу на вартість всієї системи, включаючи оренду каналів, чіткий устаткування і т. д.

Основна перевага смарт-карт полягає в тому, що вони є засобом, який, в першу чергу дозволяє збільшити і різноманітити пакет послуг, що надаються клієнтові. При цьому платіжній системі і банкам, які входять до неї, технологія на основі смарт-карт обійдеться дешевше за рахунок скорочення втрат від шахрайства та зниження витрат на авторизацію і зв'язок.

Є всі підстави припускати, що роботи з удосконалення та просування проектів смарт-карт в банківські технології Україна будуть інтенсифікуватися. Що спостерігається в даний момент подальше зниження цін на карти і периферію призводить до зниження собівартості проектів, заснованих на смарт-картах, а отже, до ще більш помітного зростання популярності смарт-технологій і подальшого розширення сфер їх застосування.

Смарт-карту можна вважати ідеальним засобом платежу, оскільки вона володіє функціями "електронного гаманця". Останній зберігає у своїй пам'яті суму грошових коштів, якими клієнт банку може розплатитися за покупку, і передбачає технологію off-line. "Електронний гаманець" зручний клієнтові, оскільки останній легко контролює свої активи на карті і при необхідності може їх поповнити, кредитуючи карту в банку. Пам'ять "електронного гаманця" захищена секретним паролем клієнта PIN-кодом, який клієнт повинен набрати на клавіатурі платіжного термінала при проведенні будь-якої операції по карті. Таким чином, клієнт може не побоюватися використання смарт-карти без його санкції.Не кожна смарт-карта може бути "електронним гаманцем".

Розглянемо типологію смарт-карт. У залежності від внутрішнього пристрою і виконуваних функцій смарт-карти можна розділити на три типи: -Карти-лічильники;  
-Карти з пам'яттю;

-Мікропроцесорні картки.

Практично будь-яку карту будь-якого типу можна використовувати в якості платіжної. Проте лише дуже обмежену кількість карт буде відповідати всім вимогам, які повинна мати масова платіжна смарт-карта: невисокою вартістю, можливістю проводити будь-які (а не тільки специфічні) платежі, гарною захищеністю і необхідним рівнем "інтелектуальності" для забезпечення технології off-line.

Карти-лічильники. Даний тип карток застосовується для такого типу розрахунків, коли потрібно віднімання фіксованої суми за кожну платіжну операцію. Подібні картки ще називаються картками з попередньо оплаченою сумою.