Применение POS-терминалов и банкоматов возможно при использовании некоторого носителя информации, к который мог бы идентифицировать пользователя и хранить определенные учетные данные. В качестве такого носителя выступают пластиковые карты.
Пластиковая карта представляет собой пластину стандартных размеров (85,6х53,9х0,76 мм), изготовленную из специальной устойчивой к механическим и техническим воздействиям пластмассы. Одна из основных функций пластиковой карты - обеспечение идентификации использующего ее лица как субъекта платежной системы. Для этого на пластиковую карту наносят логотипы банка-эмитента и платежной системы, обслуживающей эту карту, имя держателя карты, номер его счета, срок действия карты и т. п. Кроме того, на карте может присутствовать фотография держателя и его подпись. Алфавитно-цифровые данные - имя, номер счета и др. могут быть эмбоссированы, т.е. нанесены рельефным шрифтом. Это дает возможность при ручной обработке принимаемых к оплате карт быстро перенести данные на чек с помощью специального устройства - импринтера, осуществляющего "прокалывание" карты (аналогично получению второго экземпляра при использовании копировальной бумаги).
По принципу действия различают пассивные и активные пластиковые карты. Пассивные пластиковые карты всего лишь хранят информацию на том или ином носителе. К ним относятся пластиковые карты с магнитной полосой.
Карты с магнитной полосой являются на сегодняшний день наиболее распространенными - в обращении находится свыше двух миллиардов карт подобного типа. Магнитная полоса располагается на обратной стороне карты и, в соответствии со стандартом ISO 7811 , состоит из трех дорожек. Из них первые две предназначены для хранения идентификационных данных, а на третью дорожку можно записывать информацию (например, текущее значение лимита дебетовой карты). Однако из-за невысокой надежности многократно повторяемого процесса записи и считывания запись на магнитную полосу обычно не практикуется, и такие карты используются только в режиме считывания информации.
Карты с магнитной полосой относительно уязвимы для мошенничества. Например, в США в 1992 общий ущерб от махинаций с кредитными картами с магнитной полосой (без учета потерь с банкоматами) превысил один миллиард долларов. Тем не менее развитая инфраструктура существующих платежных систем, и в частности мировых лидеров в области "карточного" бизнеса - компаний Visa и MasterCard-Europay является причиной интенсивного использования карт с магнитной полосой и сегодня.
Для повышения защищенности своих карт системы Visa и MasterCad-Europay используют дополнительные графические средства защиты: голограммы и нестандартные шрифты для эмбоссирования.
Платежные системы с подобными картами требуют on-line авторизации в торговых точках и, как следствие, наличие разветвленных, высококачественных средств коммуникации (телефонных линий). Поэтому с технической точки зрения подобные системы имеют серьезные ограничения по их применению в странах с плохо развитыми системами связи.
Отличительная особенность активных пластиковых карт - наличие встроенной в нее электронной микросхемы. Принцип пластиковой карты с электронной микросхемой запатентовал в 1974 француз Ролан Марено. Стандарт ISO 7816 определяет основные требования к картам на интегральных микросхемах или чиповым картам. В недалеком будущем карты с микросхемой вытеснят карты с магнитной полоской. Поэтому остановимся более подробно на основных типах карт с микросхемой.
Карты с микросхемой можно классифицировать по нескольким признакам.
Первый признак - функциональные возможности карты. Здесь можно выделить следующие основные типы карт:
карты-счетчики;
карты с памятью;
карты с микропроцессором.
Второй признак- тип обмена со считывающим устройством.
карты с контактным считывателем;
карты с индивидуальным считывателем.
Карты-счетчики применяются как правило, в тех случаях, когда та или иная платежная операция требует уменьшения остатка на счете держателя карты на некоторую фиксированную сумму. Подобные карты используются в специализированных приложениях с предоплатой (плата за использование телефона-автомата, оплата автостоянки). Очевидно, что применение карт со счетчиком ограничено и не имеет перспективы.
Карты с памятью являются переходными между картами со счетчиком и картами с процессором. Карта с памятью - это в сущности перезаписываемая карта со счетчиком, в которой приняты меры, повышающие ее защищенность от атак злоумышленников. У простейших из существующих карт с памятью объем памяти может составлять от 32 байт до 16 килобайт. Эта память может быть реализована или в виде программируемого постоянного запоминающего устройства ППЗУ (EPROM), которое допускает однократную запись и многократное считывание, или в виде электрически стираемого программируемого постоянного запоминающего устройства ЭССППЗУ (EEPROM), допускающего многократную запись и многократное считывание.
Карты с памятью можно подразделить на два типа: с незащищенной (полнодоступной) и защищенной памятью.
В картах первого типа нет никаких ограничений на чтение и запись данных. Их нельзя использовать в качестве платежных средств, так как специалист средней квалификации может их достаточно просто взломать.
Карты второго типа имеют область идентификационных данных и одну или несколько прикладных областей. Идентификационная область карт допускает лишь однократную запись при персонализации и в дальнейшем доступна лишь для считывания. Доступ к прикладным областям регламентируется и осуществляется только при выполнении определенных операций, в частности при вводе секретного PIN-кода.
Уровень защиты карт с памятью выше, чем у магнитных карт, и они могут быть использованы в прикладных системах, в которых финансовые риски, связанные с мошенничеством, относительно невелики. В качестве платежного средства карты с памятью используются в транспорте, локальных платежных системах -(клубные карты). Карты с памятью применяются также в системах допуска в помещения и доступа к ресурсам компьютерных сетей - (идентификационные карты). Карты с памятью имеют более низкую стоимость по сравнению с картами с микропроцессорами.
Рис. 11.2 Архитектура смарт-карты
Карты с микропроцессорами называют также интеллектуальными картами или смарт-картами (smart cards). Карты с микропроцессором представляют собой по сути микрокомпьютеры и содержат все соответствующие основные аппаратные компоненты : центральный процессор (ЦП), оперативное запоминающее устройство (ОЗУ) , постоянное запоминающее устройство (ПЗУ) и электрически стираемое программное ПЗУ (ЭСППЗУ) (рис. 11.2).
В настоящее время в смарт-карты устанавливают:
микропроцессоры с тактовой частотой 5 Мгц;
оперативное ЗУ емкостью до 256 кбайт;
постоянное ЗУ емкостью до 10 кбайт;
энергонезависимое ЗУ емкостью до 8 кбайт.
В ПЗУ записан специальный набор программ, называемый операционной системой карты COS (Card Operation System). Операционная система поддерживает файловую систему, базирующуюся ЭСППЗУ (емкость которого обычно находится в диапазоне 1…8 кбайт, но может достигать и 64 кбайт) и обеспечивающую регламентацию доступа к данным. При этом часть данных может быть доступна только внутренним программам карточки.
Смарт-карта обеспечивает обширный набор функций:
разграничение полномочий доступа к внутренним ресурсам (благодаря работе с защищенной файловой системой);
шифрование данных с помощью различных алгоритмов;
формирование электронной цифровой подписи;
введение ключевой системы;
выполнение всех операций взаимодействия владельца карты банка и торговца.
Некоторые карты обеспечивают режим ''самоблокировки'' (невозможность дальнейшей работы с ней) при попытке несанкционированного доступа. Смарт-карты позволяют существенно упростить процедуру идентификации клиента. Для проверки PIN-кода применяется алгоритм, реализуемый микропроцессором на карте. Это позволяет отказаться от работы POS-терминала и банкомата в режиме реального времени и централизованной проверки PIN. Отмеченные выше особенности делают смарт-карту высокозащищенным платежным инструментом, который может быть использован в финансовых приложениях, предъявляющих повышенные требования к защите информации. Именно поэтому микропроцессорные смарт-карты рассматриваются в настоящее время как наиболее перспективный вид пластиковых карт.
По принципу взаимодействия со считывающим устройством различают карты двух типов:
карты с контактным считыванием;
карты с бесконтактным считыванием.
Карта с контактным считыванием имеет на своей поверхности 8…10 контактных пластин. Размещение контактных пластин, их количество и назначение выводов различны у различных производителей и естественно, что считыватели для карт данного типа различаются между собой.
В последние годы начали широко применяться карты с бесконтактным считыванием. В них обмен данными между картой и считывающим устройством производится индукционным способом. Очевидно, что такие карты надежнее и долговечнее.
Персонализация и авторизация карт являются важными этапами подготовки и применения пластиковых карт.
Персонализация карты осуществляется при выдаче карты клиенту. При этом на карту заносятся данные позволяющие идентифицировать карту и ее держателя, а также осуществить проверку платежеспособности карты при приеме ее к оплате или выдаче наличных денег
Под авторизацией понимают процесс утверждения продажи или выдачи наличных по карте. Для проведения авторизации точка обслуживания делает запрос платежной системе о подтверждении полномочий предъявителя карты и его финансовых возможностей. Технология авторизации зависит от типа карты, схемы платежной системы и технической оснащенности точки обслуживания.
Исторически сложилось так, что первоначальным способом персонализации карт было эмбоссирование.
Эмбоссирование - это процесс рельефного теснения данных на пластиковой основе карты. На картах банков-эмитентов эмбоссируются как правило следующие данные: номер карты; даты начала и окончания срока ее действия; фамилия и имя владельца.
Некоторые платежные системы, например Visa, требуют тиснения двух специальных символов, однозначно идентифицирующих принадлежность банка-эмитента к платежной системе. Эмбоссеры (устройства для тиснения рельефа на карте) выпускает ограниченный круг изготовителей. В ряде стран Запада законодательно запрещена свободная продажа эмбоссеров. Специальные символы, подтверждающие принадлежность карты к той или иной платежной системе, поставляются владельцу эмбоссера только с разрешения руководящего органа платежной системы. Эмбоссированная карта может служить средством платежа при использовании импринтера - устройства для прокатки слипа (чека), подтверждающего совершенную платежную операцию.
К персонализации карт относится также кодирование магнитной полосы либо программирование микросхемы.
Кодирование магнитной полосы производится, как правило, на том же оборудовании, что и эмбоссирование. При этом часть информации о карте, содержащая номер карты и период ее действия, одинаковая как на магнитной полосе, так и на рельефе. Однако бывают ситуации, когда после первичного кодирования требуется дополнительно занести информацию на магнитную дорожку. В этом случае применяются специальные устройства с функцией "чтение-запись". Это возможно, в частности, когда PIN-код для пользования картой не формируется специальной программой, а может быть выбран клиентом по своему усмотрению.
Программирование микросхемы не требует особых технологических приемов, зато оно имеет некоторые организационные особенности. В частности, для повышения безопасности и исключения возможных злоупотреблений операции по программированию различных областей микросхемы разнесены территориально и разграничены по правам различных сотрудников, участвующих в этом процессе.
Обычно эта процедура разбивается на три этапа:
на первом рабочем месте выполняется активизация карты (ввод ее в действие);
на втором рабочем месте выполняются операции, связанные с обеспечением безопасности;
на третьем рабочем месте производится собственно персонализация карты.
Традиционно процесс авторизации проводится либо "вручную", когда продавец или кассир передает запрос по телефону оператору (голосовая авторизация), либо автоматически, когда карта помещается в POS-терминал, данные считываются с карты, кассиром вводится сумма платежа, а владельцем карты со специальной клавиатуры - секретный PIN-код. После этого терминал осуществляет авторизацию, либо устанавливая связь с базой данных платежной системы (on-line режим), либо реализуя дополнительный обмен данными с самой картой (off-line авторизация). В случае выдачи наличных денег процесс носит аналогичный характер, с той лишь особенностью, что деньги в автоматическом режиме выдаются специальным устройством-банкоматом, который и проводит авторизацию.
Для защиты карт от подделки и последующего несанкционированного применения используются различные методы и способы. Например, для персонализации карт может применяться нанесение на пластиковую основу черно-белой или цветной фотографии владельца карты методом термопечати. На любой карте всегда существует специальная полоска с образцом подписи владельца карты. Для защиты карты, как таковой, различные платежные сообщества применяют специальные объемные изображения на лицевой или обратной стороне карты (голограммы)