Смекни!
smekni.com

Оценка экономической эффективности системы пластиковых карт банка (стр. 9 из 10)

Главное отличие смарт-карт от других видов пластиковых карт (с магнитной дорожкой, со штриховым кодом) - это имен­но ее «интеллектуальность». При платежах по магнитным кар­там применяется технология on-line. Разрешение на платеж дает, по существу, компьютер банка или процессингового центра при связи с точкой платежа. Главная проблема, которая возникает при этом, - обеспечение надежной, защищенной и недорогой свя­зи (которую в наших условиях трудно решить).

В случае смарт-карт применяется иная технология - off-line, при которой разрешение на платеж дает сама карта (точнее, встроенная в нее микросхема) при «общении» с торговым тер­миналом непосредственно в торговой точке.

Накладные расходы по обеспечению платежей чрезвычай­но малы, проблемы связи не играют особой роли. Вместо них на первый план выходит проблема безопасности - смарт-карта дол­жна быть достаточно «интеллектуальной», чтобы самостоятель­но принять решение о проведении платежа и при этом обладать достаточной защитой от несанкционированного использования.

В связи с этим первый вопрос, который возникает при вы­боре типа смарт-карты - какие из них обладают максимальной защитой от мошенников. Второй вопрос связан с проблемой ре­ализации двух основных финансовых операций по карте - дебе-тование и кредитование счета в ее электронной памяти. Боль­шинство из известных в настоящее время смарт-карт достаточ­но легко обеспечивают эти операции. И здесь вновь возникает проблема, связанная с возможностью несанкционированного использования. Надежно ли защищены эти операции для того, чтобы кроме законных владельцев, их не могли провести другие лица, пусть даже и не с преступными целями.

К сожалению публикаций, которые могли бы четко отве­тить на два этих вопроса, крайне мало. Рассмотрим в качестве примера рекомендации французской фирмы «GemplusCardInternational», на долю которой приходится почти одна треть, выпускаемых в мире смарт-карт.

В стандартной технологии безналичных расчетов за това­ры и услуги с помощью пластиковых карт действуют три субъек­та. Это банк-эмитент, его клиент и предприятие торговли или сервиса. Банк выдает клиенту карту, с которой связана опреде­ленная сумма. Эту сумму (либо за счет кредита банка, либо за счет собственных вкладов клиента) держатель карты может по­тратить в магазине. Операция записи такой суммы в память кар­ты называется кредитованием карты.

Очевидно, кредитует карты только банк. Обратная опера­ция - дебетование карты - означает списывание со счета в памя­ти карты. Дебетование происходит при проведении платежа по карте, к примеру, в магазине. Таким образом, дебитор карты -предприятие торговли или сервиса (если клиент получает налич­ные по карте, то дебитор карты банк).

Проведение платежей состоит в том, что при покупке по карте магазин записывает за клиентом долг в размере суммы платежа. А банк, получив от магазина, соответствующий доку­мент, списывает со счета клиента эту сумму в счет магазина. Так, несколько схематично, описывается финансовая транзакция по карте.

Выше отмечалось, что существо проблемы в способе про­ведения платежа (on-line или off-line) состоит в том, насколько защищены платежные операции для всех трех субъектов платеж­ной системы. Обработка транзакций тоже имеет свои пробле­мы, но они уже не зависят от типа смарт-карты.

Смарт-карта является идеальным средством платежа, по­скольку обладает функциями «электронного кошелька». После­дний хранит в своей памяти сумму денежных средств, которыми клиент банка может расплатиться за покупку. «Электронный кошелек» удобен клиенту, поскольку последний легко контро­лирует свои активы по карте и, при необходимости, может их пополнить, кредитуя карту в банке.

Память «электронного кошелька» защищена PIN -кодом ( русская аббревиатура - ПИН-код), который клиент должен на­брать на клавиатуре платежного терминала при проведении любой операции по карте. Таким образом, клиент может не опа­саться использования смарт-карты без его санкции (если, разу­меется, он хранит свой ПИН-код в тайне от других).

Не всякая смарт-карта может быть «электронным кошель­ком». Для того, чтобы выделить нужные категории смарт-карт, рассмотрим их типологию. В зависимости от внутреннего уст­ройства и выполняемых функций смарт-карты можно разделить на три типа (по функциональному признаку):

- карты счетчики;

- карты с памятью;

- микропроцессорные карты.

Практически любую из перечисленных карт можно исполь­зовать в качестве платежной. Однако лишь немногие из них бу­дут удовлетворять всем требованиям, которым должна удовлет­ворять поистине массовая платежная смарт-карта: невысокой стоимостью, возможностью проводить любые (не только специ­фичные) платежи, хорошей защищенностью и необходимым уровнем «интеллекта» для обеспечения технологии off-line.

Технические средства

Карты-счетчики

Данный тип карт применяется для такого типа расчетов, когда требуется вычитание фиксированной суммы за каждую платежную операцию. Такие карты еще называются картами с предварительно оплаченной суммой. Примером таких расчетов может быть плата за телефонный разговор. Обычно в телефо­нах-автоматах каждая единица времени разговора имеет фикси­рованную цену, ее абонент оплачивает монетками или специаль­ными жетонами, которые подсчитывает соответствующее уст­ройство телефона. При применении карт минимальной сумме платежа ставится в соответствие один бит памяти. В процессе разговора устанавливается связь между телефоном и картой, и за каждую единицу времени «пережигается» некоторое количе­ство битов. Таким образом, карта заменяет монеты или жетоны.

Аналогичным образом карты-счетчики применяются при подписке на платное телевидение, при оплате за проезд, авто­стоянку и т.п. Первоначально использовались карты с однократ­но программируемой памятью (ППЗУ).

После полного использования карты ее приходилось выб­расывать. Современные карты такого типа позволяют после пол­ного использования «восстанавливать» содержимое счетчика. Восстановление содержимого может быть выполнено только при знании определенного кода, разрешающего это действие. Поми­мо этого, карты содержат область, в которую записываются иден­тификационные данные. Эти данные не могут быть изменены впоследствии. Карты, позволяющие перезаписывать информа­цию, относятся к типу карт с энергонезависимой перепрограм­мируемой памятью.

Карты с памятью

Название типа весьма условно — строго говоря, все смарт-карты имеют память. Этот тип карт выделен как промежуточ­ный при переходе от карт-счетчиков к микропроцессорным кар­там. Обычно карты такого промежуточного типа используются для хранения информации. Существуют два подтипа подобных карт: с незащищенной и с защищенной памятью. Карты второго подтипа отличаются от карт первого более высоким «интеллек­том», направленным на предотвращение несанкционированно­го доступа к данным на карте. Однако той «интеллектуальнос­ти», которая характерна для карт с микропроцессорами, карты с защищенной памятью не имеют.

В картах с незащищенной памятью нет ограничений по чте­нию или записи данных. Иногда их называют картами с полно­доступной памятью; работа с ними (с точки зрения логической структуры данных) напоминает работу с бинарным файлом. Мы можем произвольно структурировать карту на логическом уров­не, рассматривая ее память как набор байтов, который можно скопировать в оперативную память или обновить специальны­ми командами.

Карты с незащищенной памятью использовать в качестве платежных крайне опасно. Достаточно легально приобрести такую карту, скопировать ее память на диск, а дальше после каж­дой покупки восстанавливать ее память копированием началь­ного состояния данных с диска, причем ничуть не интересуясь тем, какая информация хранится на карте (т.е. шифрование дан­ных в памяти карты от мошенничества подобного рода не спа­сает). Разумеется, такую операцию может проделать лишь ква­лифицированный программист, но практика показывает, что в России достаточно много грамотных людей, способных на та­кое занятие чисто из хакерских побуждений.

В картах с защищенной памятью используется специальный механизм для разрешения чтения/записи или стирания инфор­мации. Чтобы провести эти операции, надо предъявить карте специальный секретный код (а иногда и не один). Предъявление кода означает установление с ней связи и передачу кода «внутрь» карты — сравнение кода с ключом защиты чтения/записи (сти­рания) данных проведет сама карта и «сообщит» об этом уст­ройству чтения/записи смарт-карт. Чтение записанных в память карты ключей защиты или копирование памяти карты невозмож­но. В то же время, зная секретный код (коды), можно прочитать или записать данные, организованные наиболее приемлемым для платежной системы логическим образом. Таким образом, кар­ты с защищенной памятью годятся для универсальных платежных применений, хорошо защищены и при этом недороги, их цена составляет не более 4 долларов для тиражей выше 5 тысяч.

Как правило, карты с защищенной памятью содержат об­ласть, в которую записываются идентификационные данные. Эти данные не могут быть изменены впоследствии, что очень важно для обеспечения невозможности подлога карты. С этой целью идентификационные данные на карте «прожигаются».

Необходимо также, чтобы на платежной карте было по меньшей мере две защищенные области. Остановимся на этом важно моменте подробнее.

Выше было сказано, что в технологии безналичных расче­тов по картам участвуют, в общем случае, три юридически неза­висимы лица: клиент, банк и магазин. Банк вносит деньги на карту (кредитуя ее), магазин снимает деньги с карты (дебетует ее), и все эти операции должны делаться с санкции клиента. Та­ким образом, доступ данным на карте и операции над ними надо разграничивать. Это достигается разбиением памяти карты на две защищенные разными ключами области — дебетную и кре­дитную. Каждый участник операции имеет свой секретный ключ. У клиента это ПИН — персональный идентификационный но­мер; правильное его предъявление открывает доступ к карте (по чтению данных), однако не должно менять информацию, кото­рой распоряжается кредитор карты (банк) или ее дебитор (мага­зин). Ключ записи информации в кредитную область карты име­ется только у банка; ключ записи информации в дебетную об­ласть — у магазина. Только при предъявлении сразу двух клю­чей (ПИНа клиента и ключа банка при кредитовании, ПИН-кода клиента и ключа магазина при дебетовании) можно провести соответствующую финансовую операцию — внести деньги либо списать сумму покупки с карты.