Карты с магнитной полосой И Смарт-карты

Микропроцессорные карты  поддерживают гораздо более интеллектуальное взаимодействие с платежным терминалом за счет расширения системы команд, обрабатываемых встроенной в карту микросхемой. Развитые операционные системы для карт поддерживают файловые системы, криптографические команды и команды работы с ключами. Специализированные операционные системы для платежных карт поддерживают также такие продвинутые понятия, как кошельки, с поддержкой соответствующих свойств доступа и соответствующих смыслу кошельков операций.

Микропроцессорная карта  сделана из пластика и содержит микросхему с микропроцессором и различными запоминающими устройствами: ПЗУ - для хранения операционной системы, ОЗУ - для выполнения команд, ЭСППЗУ - электрически стираемое программируемое постоянное запоминающее устройство, энергонезависимая память для хранения прикладной информации. ЭСППЗУ разбито на две области: секретную и пользовательскую. Секретная область недоступна для прикладных программ и предназначена только для хранения ключей. Пользовательская область организована аналогично памяти на гибких дисках.

В операционной системе  микропроцессора предусмотрены следующие команды: предъявление ключа, чтение массива атрибутов файла из таблицы определения, чтение информации, запись информации, поиск файла, очищение карточки, запись определения файла в таблицу, задание ключей.

Ключи хранятся в секретной  области, предусмотрены три типа ключей: ключ банка, ключ владельца карты и ключи приложений. Файлы могут быть защищены этими ключами по чтению/записи.

Международные платежные  системы разработали стандарты  банковского сектора на чиповую  карту - спецификации EMV, которые включают спецификации:

• на чиповую карту,
• на приложение для чиповой карты,
• на терминал, работающий с чиповой картой .

Рассмотрим основные шаги процесса выполнения транзакции.

Прежде всего терминал осуществляет выбор приложения. Это ключевой момент для обеспечения совместимости приложений. Карта с реализованным на ней приложением должна корректно реагировать на выбор приложения.

После выбора приложения терминал инициализирует транзакцию, информируя карту о начале выполнения новой транзакции и передавая  карте терминальную информацию о ней. Затем терминал получает с карты профайл и указатель записей файлов, содержащих данные. Затем терминал читает указанные записи линейных файлов, извлекая из них данные приложения. Далее терминал выполняет целый ряд действий с целью принятия решения по данной транзакции: отклонить ее в режиме офлайн, продолжить выполнение в режиме онлайн или принять в режиме офлайн. Эти действия выполняются на основе предписаний профайла. Каждое из них можно рассматривать как проверку некоторого свойства, завершающуюся ответом «да» или «нет».

На основе анализа всей совокупности проверок терминал примет решение о  способе выполнения транзакции. Описанный  принцип является ключевым моментом спецификаций. Принятие решения о  способе выполнения транзакции, представляющим собой поиск компромисса между эффективностью и стоимостью (офлайн), с одной стороны, и безопасностью (онлайн), с другой стороны, осуществляется терминалом (по установкам эквайрера) на основе предписаний, содержащихся в профайле карты (определенном эмитентом).

В качестве первой «проверки» карты  терминал выполняет ее аутентификацию.

Аутентификация предполагает использование криптографии с открытыми  ключами и базируется на следующей  идее. Существует назначенный платежными ассоциациями центр доверия (Certification Authoгity), осуществляющий в условиях высочайшей секретности подписывание открытых ключей эмитента. Всякий терминал содержит соответствующие открытые ключи, полученные из центра доверия и позволяющие распознать любое истинное приложение на карте.

Спецификации предусматривают  два метода аутентификации статическую (эмитентом подписываются одни и те же данные) и динамическую (картой после выполнения транзакции генерируется подпись каждый раз разных данных). Кроме того, предусмотрена миграция от одних ключей к другим и одних конкретных методов дешифрации к другим, хотя и имеющим одну основу - алгоритм RSA.

После осуществления  аутентификации терминал выполняет  ряд проверок, определяет соответствие номера версии приложения в терминале  и на карте. Также проверяет ограничения  на географию, записанные на карте, и дату (начала) действия приложения и срок действия карты.

Далее осуществляется верификация  держателя карты. На карте может  присутствовать СVМ-список - список методов  верификации держателя карты. Терминал обрабатывает каждое правило в том порядке, в котором они появляются в списке. Верификация завершается, когда один из методов успешно выполнится или список исчерпается. Обрабатываемые правила связаны со сравнением суммы транзакции с заданными в качестве параметров величинами. В зависимости от результата такого сравнения терминал осуществляет действия типа: «проверку ПИНа выполняет карта»; «шифрованный ПИН проверяется в режиме онлайн»; «проверку ПИНа выполняет карта + подпись» и т.п. Офлайн-проверка ПИНа завершается успешно только в одном случае - если карта вернет нормальный код возврата на команду VERIFY, выполняющую сравнение введенного держателем карты ПИНа и хранимого на карте ПИНа.

Затем терминал осуществляет так называемое терминальное управление рисками с целью защитить эквайрера, эмитента и платежную систему от мошенничества. Оно обеспечивает авторизацию эмитентом транзакций с высокой стоимостью и гарантирует, что все карты периодически выходят на онлайн-связь для защиты от угроз, которые могут быть необнаруженными при офлайн-обработке. Терминальное управление рисками включает:

- проверку доавторизованного  лимита;

- случайный выбор транзакции  для онлайн-выполнения;

- проверку частоты  онлайновых операций.

Наконец, терминал выполняет  анализ действий, принимая решение  по вопросу выбора режима транзакции: онлайн/офлайн. Это решение принимается на основе анализа всех ответов и прочитанной в профайле маски. Таким образом обеспечивается влияние эмитента (записавшего на карту маску) на принятие решения и, следовательно, на риски при выполнении транзакции (то, что раньше полностью зависело от только эквайрера).

Далее, если терминал принимает  решение выполнять транзакцию в  режиме офлайн, он запрашивает у  карты счетчик транзакций; если принимается  решение о выполнении транзакции в режиме онлайн, терминал запрашивает у карты криптограмму авторизационного запроса.

Данная криптограмма включается в авторизационное сообщение  и отправляется в соответствии с  обычным протоколом хост-компьютеру.

2.2 Преимущества  смарт-карт

Самое главное отличие  смарт-карт от других видов пластиковых карт- это факт «интеллектуальности» карт с микросхемами. При платежах по магнитным или штриховым картам применяется режим «оnline». Разрешение на платеж дает, по- существу, компьютер банка или процессингового центра при связи с точкой платежа. Поэтому главная проблема, возникающая здесь, обеспечение надежной, защищенной и недорогой связи. В наших условиях хорошо решить эту проблему крайне трудно.

В случае смарт-карт применяется  принципиально новый режим «offline» - разрешение на платеж дает сама карта (точнее - встроенная в нее микросхема) при взаимодействии с торговым терминалом непосредственно в торговой точке. Накладные расходы по обеспечению платежей чрезвычайно малы, проблемы связи не играют той роли, как в технологиях «оnline».

Другая важная особенность  смарт-карт заключается в их надежности и безопасности. Смарт-карта должна быть достаточно «интелектуальна», чтобы  самостоятельно принять решение  о проведении платежа, и при этом обладать развитой системой защиты от не санкционированного использования.

При несанкционированной  попытке использования смарт-карта  способна самостоятельно на время или  навсегда прекратить свою работу. Для  восстановления работоспособности  карты необходим ее возврат на место выдачи (обычно это-банк). Если карта утеряна или украдена, то ее владелец сообщает о случившемся в банк, и программа банка вносит карту в список недействительных карт рассылаемый на все терминалы продаж. Любая попытка использовать потерянную или краденную карту будет немедленно пресечена.

Еще одним преимуществом  смарт-карт над другими пластиковыми картами является их многофункциональность. Обладая встроенными возможностями  осуществлять многие математические и  логические операции, и превосходя другие пластиковые карты по объему хранимой на них информации, одни и те же смарт-карты могут использоваться в различных приложениях.

Смарт-карты по сравнению  с другими пластиковыми картами  обладают высокими эксплуатационными  характеристиками.

Платежные системы на основе смарт-карт обладают рядом преимуществ перед системами, использующими карты с магнитной полосой или со штриховым кодом.

Преимущества могут  быть как общие, касающиеся всех пользователей  системы, так и частные - для отдельных  групп пользователей.

Общие преимущества:

• Все существующие операции с наличностью могут быть с легкостью заменены на операции со смарт-картами.
• Централизованный контроль за системой.
• Незначительная стоимость оборудования торгового терминала, отсутствие необходимости затрат на дополнительные средства коммуникации и независимость обслуживания системы от средств коммуникации.
• Отсутствие дополнительных затрат на эксплуатацию системы.
• Надежность использования. После занесения на смарт-карту всех данных владельца, связь с базой данных происходит немедленно по предъявлению карты, что очень важно для городов, в которых отсутствуют современные телекоммуникационные средства.
• Портативность и автономность торгового терминала, обеспечивающие его широкое применение, вплоть до мобильных пунктов обслуживания и торговых киосков.
• Возможность принимать оплату с карт в различного типа автоматических устройствах автоматы по продаже сигарет, прохладительных напитков, телефонные автоматы, автомобильные стоянки и мойки, автосервис и т д.
• Уменьшение административных расходов а каждом уровне и расходов на поддержание работы системы, осуществление транзакций, сокращение расходов на время обслуживания, линии связи.
• Улучшение и упрощение процедур взаиморасчетов.
• Существенное увеличение скорости всех операций.
• Существенное уменьшение расходов всех пользователей системы: владельцев карт, торгующих организаций, головной фирмы - эмитента смарт-карт.
• Система защищена на всех уровнях исключает целый ряд рисков, присущих другим системам платежей (наличным, талонам, магнитным картам).
• За счет более быстрой оборачиваемости денежных средств уменьшить инфляцию и сократить расходы на поддержание обращения  наличности .
• Снизить уровень криминальности.
• Использовать платежные карты в других сферах (государственное страхование, медицинское обслуживание), как чисто идентификационные.
• Защита карты. Смарт-карта может быть произведена только промышленным путем и содержит уникальный код производителя. Если на вторую карту будут нанесены те же данные, что и на оригинале, но различие во внутренних номерах дает возможность системе отличить одну карту от другой.

Заключение

Быстрое распространение банковских кредитных карточек, их превращение в 
массовый инструмент расчетов, неуклонный рост их популярности среди 
широких групп населения служит наглядным свидетельством того, что эта 
форма расчетов выгодна основным категориям участников системы. 
Необходимо учитывать и то, что расчеты с помощью пластиковой карточки 
могут позволить более строго контролировать ваш бюджет. Обычно в семьях 
очень приблизительно знают, сколько в среднем денег в месяц тратится на 
продукты питания, одежду и т.п. Соответственно и планирование бюджета 
оказывается затруднительным.  
К преимуществам использования вместо наличных денег пластиковой карточки можно отнести также тот акт, что при утере последней вам достаточно лишь сообщить в выдавший ее банк о случившемся. Все расчеты по этой карточке будут заблокированы, и ваш счет не пострадает от вашей забывчивости.  
Пока мы говорили только о выгодах, которые клиент получает при расчетах 
с помощью карточки, однако, разумеется, ему придется пойти и на 
определенные затраты. Во-первых, он отдает свои деньги сразу, а 
расходует их в течение какого-то времени. На внесенные деньги могут 
начисляться проценты (как правило, на средний остаток выше какой-то 
заранее определенной суммы). Но ведь карточка – это все же инструмент 
расчетов, а не накопления. И не имеет смысла таким образом омертвлять 
свои средства. Гораздо зффективнее рассчитать средний расход и внести 
минимально возможную сумму, затем пополняя ее.  
И, во-вторых, за удобства, предоставляемые расчетами с помощью карточки, 
приходится платить. Обычно банки взимают определенный процент за каждую трансакцию, совершаемую по карточке (покупка, обналичивание). Но, с другой стороны, борясь за клиента, банки сегодня снижают взимаемые ими комиссии. И клиент получает возможность выбрать карточку такого банка, чьи финансовые условия предпочтительнее. В случае выбора платежных карточек международных платежных систем сюда не примешивается подсчет точек, принимающих эти карточки к оплате, что приходится учитывать при выборе карточек российских систем или индивидуальных банковских. В случае выбора карточек VISA или Mastercard к услугам клиента не только тысячи магазинов по России, но и огромная сеть по всему миру.

Понимая преимущества, предоставляемые смарт картами по сравнению с магнитными картами, многие банки России планируют либо полностью, либо частично заменить магнитные карты на смарт-карты. Так как в России практически отсутствует инфраструктура, поддерживающая магнитные карты, то затраты на разработку такой инфраструктуры безусловно более оправданы для технологии смарт-карт, чем для отживающих свой век технологии магнитных карт.