Анотація.
У даному рефераті було зроблено огляд сучасних засобів електронних платежів - як перспективного сучасного обороту нематеріальних грошей, розглянуто принцип криптографічного захисту інформації на магнітній картці, а також перспективи подальшого розвитку систем електронних платежів.
Зміст
Вступ. 3
1. Основні поняття і принципи використання карток. 5
1.1. Види платіжних карт, основні поняття. 5
1.2. Класифікація пластикових карток. 6
1.3. Платіжна система. 7
2. Технічні засоби. 9
2.1. Способи ідентифікації пластикових карт. 9
2.2. Особливості пристрою смарт-карти. 11
3.Застосування криптографії для карт із магнітною смугою. 16
3.1. Просте шифрування. 17
3.2.Обмен динамічним ключем. 18
3.3. Обробка СІН. 18
3.4. Обробка VCC. 19
3.5.Работа з ключами. 19
3.6.Фізіческое додаток. 20
3.7. Інші програми шифрування у фінансах. 21
4. Пристрої обслуговування електронних платежів. 21
4.1. Використання POS-терміналів. 21
4.2. Використання банкоматів. 22
5. Стандарти електронних розрахунків. 23
5.1. Стандарт SET. 23
5.2. Концепція Cyber Cash. 23
5.3. Платежі без кодування - система First Virtual. 23
5.4. Система Digital Cash. 24
6. Висновки .. 25
- Національна система масових електронних платежів НСМЕП;
- Міжнародна платіжна система VISA International;
- Міжнародна платіжна система EURO PAY (MASTER CARD) International;
- Платіжні системи AMEX, Diner's Club.JCB;
- Внутрішні міжбанківські платіжні системи (ОНІКС, ОБЕНІКС);
- Локальні внутрішні монобанковскіе платіжні системи (СБОН, МЕТАКАРТ, ПІБ).
Проект НСМЕП розроблений НБУ разом з низкою вітчизняних постачальників програмно - технічних засобів, заснований на чіп - картах і широкому використанні off-line технологій. Особливістю проекту є використання власних операційних систем, системи безпеки і фінансових додатків чіп - картки, що дозволяють впровадити два основних платіжних інструменту - електронний гаманець та електронний чек, що реалізують дебетові схеми здійснення платежів.
Міжнародні платіжні системи VISA International та EURO PAY (MASTER CARD) International присутні на Україну з 1995 р. і реально почали працювати з 1997 р., коли українські банки стали повноправними членами цих систем. Емітовано понад 800 тисяч карток (лідерами є ПРИВАТБАНК, ПУМБ, АВАЛЬ).
Створенню системи електронних платежів в Україні, сприяло ряд причин:
- Розрахунки з використанням готівкових грошей надзвичайно дорого обходяться державним і комерційним фінансовим структурам (випуск в обіг нових купюр, обмін старих, утримання великого персоналу);
- Близько 10 .. 12% вартості кожної купюри іде на підтримку її власного ж звернення;
- Досить зручний засіб для розрахунків у магазинах;
- Зручний засіб для перекладу або виклику грошей за кордон (не дивлячись на те, що картки приймаються не скрізь, ліміт на зняття готівки, комісійний збір т.д. як показує практика це набагато вигідніше, ніж носити при собі велику кількість готівки).
- Міжнародна картка дає можливість оплачувати товари через Інтернет.
З історії картки слід зазначити, що перша кредитна карта була випущена в 1914 році відомою американською фірмою Mobil Oil (раніше фірма називалася General Petroleum Corporation of California). Випущені цією компанією карти використовувалися при оплаті торгових операцій по нафтопродуктах. Перші картки були картонні, дані на них були або написані, або видавлені. В1928 році Бостонської компанією Farrington Manufacturing були випущені перші металеві пластинки, на яких видавлювався (ембосувати) адреса і які кредитоспроможним клієнтам. Продавець вкладав цю пластину в імпринтер і букви, видавлені на ній, віддруковувалися на торговому чеку. Відповідний матеріал для картки був знайдений лише в 60-ті роки, було знайдено прийнятне рішення - пластикова каточках з магнітною смугою. У 1975 році Ролан Моренно винайшов і запатентована електронну карту пам'яті. Через кілька років компанія Bell (Франція) розробила і запатентована смарт-карту з вбудованим мікропроцесором.
В даний час розширилося використання комп'ютерних мереж, зокрема глобальної мережі Інтернет, по яких передається великі обсяги інформації державного, комерційного і приватного характеру. За цим гостро стоїть проблема захист інформації від сторонніх осіб. Проблемою захисту інформації шляхом її перетворення займається кріптологія (kr y p to s - таємний, lo g o s - наука). Криптологія поділяється на два напрямки - криптографію і криптоаналіз. Мета цих напрямків прямо протилежні.
Криптографія займається пошуком і дослідженням математичних методів перетворення інформації.
Сфера інтересів криптоаналізу - дослідження можливості розшифровування інформації без знання ключів.
Основні напрямки використання криптографічних методів - передача конфіденційної інформації з каналів зв'язку (наприклад, електронна пошта), встановлення автентичності переданих повідомлень, зберігання інформації (документів, баз даних) на носіях у зашифрованому вигляді.
Особливістю продажу та видачі готівки по картках є те, що ці операції здійснюються магазинами і, відповідно, банками "в борг" - товари та готівкові надаються клієнтам відразу, а кошти на їх відшкодування надходять на рахунки обслуговуючих підприємств найчастіше через деякий час (не більше декількох днів). Гарантом виконання платіжних зобов'язань, що виникають у процесі обслуговування пластикових карток, є випустив їх банк-емітент. Тому картки протягом усього терміну дії залишаються власністю банку, а клієнти (держателі карток) отримують їх лише у користування. Характер гарантій банка-емітента залежить від платіжних повноважень, наданих клієнту і фіксуються класом картки.
При видачі картки клієнту здійснюється його персоналізація - на неї заносяться дані, що дозволяють ідентифікувати картку і її власника, а також здійснити перевірку платоспроможності картки при прийомі її до оплати або видачі готівкових грошей. Процес затвердження продажу або видачі готівки по картці називається авторизацією. Для її проведення точка обслуговування робить запит платіжній системі про підтвердження повноважень пред'явника картки і його фінансових можливостей. Технологія авторизації залежить від схеми платіжної системи, типу картки і технічної оснащеності точки обслуговування. Традиційно авторизація проводиться "вручну", коли продавець або касир передає запит по телефону оператору (голосова авторизація), або автоматично, картка поміщається в POS-термінал або торговий термінал (POS - Point Of Sale), дані зчитуються з картки, касиром вводиться сума платежу , а власником картки зі спеціальної клавіатури - секретний ПІН-код (ПІН - Персональний Ідентифікаційний Номер). Після цього термінал здійснює авторизацію або встановлюючи зв'язок з базою даних платіжної системи (on-line режим), або здійснюючи додатковий обмін даними з самою карткою (off-line авторизація). У разі видачі готівки процедура носить аналогічний характер з тією лише особливістю, що гроші в автоматичному режимі видаються спеціальним пристроєм - банкоматом, який і проводить авторизацію.
При здійсненні розрахунків власник картки обмежений поруч лімітів. Характер лімітів і умови їх використання можуть бути досить різноманітними. Однак в загальних рисах все зводиться до двох основних сценаріїв.
Тримач дебетової картки повинен заздалегідь внести на свій рахунок у банку-емітенті деяку суму. Її розмір і визначає ліміт доступних коштів. При здійсненні розрахунків з використанням картки синхронно зменшується і ліміт. Контроль ліміту здійснюється при проведенні авторизації, яка при використанні дебетової картки є обов'язковою завжди. Для відновлення (або збільшення) ліміту власникові картки необхідно знову внести кошти на свій рахунок.
Для забезпечення платежів власник картки може не вносити попередньо кошти, а отримати в банку-емітенті кредит. Подібна схема реалізується при оплаті за допомогою кредитної картки. У цьому випадку ліміт пов'язаний з величиною наданого кредиту, в рамках якого власник картки може витрачати кошти. Кредит може бути як одноразовим, так і поновлюваним. Поновлення кредиту в залежності від договору з власником картки відбувається після погашення або всієї суми заборгованості, або певної її частини.
- Кредитні картки, дає власнику користуватися кредитом при купівлі товарів при отриманні касових суд;
- Дебетові картки, призначені для отримання готівки в банківських автоматах або для розрахунків за товари і послуги через електронні термінали. При цьому кошти списуються з рахунку власника картки в банку. Дебетові картки не дозволяють оплачувати покупки при відсутності грошей на рахунку. Перевага дебетової картки перед кредитною полягає в відсутність ліміту платежу.
За способом запису інформації на картку:
- Графічний;
- Ембосування;
- Штрихкодування;
- Кодування на магнітній смузі;
- Чіп;
- Лазерна запис (оптичні картки).
Графічна запис - найбільш проста форма запису інформації на картку. Графічним методом наноситься фотографічне зображення власника картки і лазерний зразок підпису.
Ембосування (emboss) нанесення даних на карту у вигляді рельєфних знаків - дозволило швидше оформляти операції оплати карткою, роблячи відбиток сліпа. З метою боротьби з шахрайством використовуються сліпи без копіювального шару, але спосіб інформації залишився тим самим - механічний тиск.
Штрих-кодування - спосіб запису на карту застосовувався до винаходу магнітної смуги і в платіжних системах розповсюдження не отримав.
Магнітні картки - пластикові картки з магнітною смугою, яка містить обсяг інформаційної пам'яті близько 100MB, яка зчитується спеціальним пристроєм. Інформація, що міститься на магнітній смузі, збігається з записами на передній стороні картки: ім'я, номер рахунку власника і дата закінчення дії картки.
В даний час магнітна запис є найпоширеніший спосіб нанесення інформації на пластикові картки. Проте магнітна смуга не забезпечує необхідного рівня захисту від підробок.
Карти пам'яті (смарт-карти) - пластикова картка з вбудованою мікросхемою, яка містить запам'ятовуючий пристрій. Рівень захисту карти пам'яті досить не високий, і вони використовуються для оплати телефонних розмов та інших операцій, що не вимагають високого рівня захисту інформації. Смарт-карта зовні схожі на карти пам'яті, проте мікросхема смарт-карти є мікропроцесор. Назва смарт-карта (smart-розумний, розумна) пов'язано з можливістю виконувати складні операції з обробки інформації. Мікросхеми смарт-карти є повні мікроконтролери, здатні виконувати розрахунки. Виготовлення смарт-карт дорожче інших видів пластикових карток: вартість залежить від обсягу пам'яті і рівня захисту вбудованої мікросхеми.
Карти оптичної пам'яті - мають велику ємність, запис і зчитування проводиться спеціальною апаратурою. Великого поширення в банківських технологіях не знайшла у зв'язку з високою вартістю карт так і зчитує обладнання.
За приналежності до установи-емітенту:
- Банківські картки (емітент банк або консорціум банків);
- Комерційні картки (емітент нефінансова установа).
За сферою використання:
- Універсальні картки - для оплати будь-яких товарів і послуг;
- Приватні комерційні карти - для оплати спеціальних послуг (карти готельних мереж, автозаправних станцій, супермаркетів).
За територіальну приналежність:
- Міжнародні;
- Національні;
- Локальні;
- Карти, що діють в одній установі.
За часом використання:
- Обмежені тимчасовим проміжком;
- Необмежені (безстрокові).
Банківські та інші карти, що використовуються для розрахунків:
- Автономний «електронний гаманець» (працює в режимі off-line);
- Ключ до рахунку - засіб ідентифікації.
Більшість сучасних карток, є ідентифікаторами, а не електронними гаманцями.
Таким чином, з організаційної точки зору ядром платіжної системи є заснована на договірних зобов'язаннях асоціація банків. До складу платіжної системи також входять підприємства торгівлі і сервісу, що утворюють мережу точок обслуговування. Для успішного функціонування платіжної системи необхідні і спеціалізовані нефінансові організації, що здійснюють технічну підтримку обслуговування карток: процесинговий і комунікаційні центри, центри технічного обслуговування і т.п.
Процесинговий центр - спеціалізована сервісна організація - забезпечує обробку що надходять від еквайєрів (або безпосередньо з точок обслуговування) запитів на авторизацію та / або протоколів транзакцій - фіксованих даних про проведені за допомогою карток платежі і видачі готівки. Цей центр веде базу даних, яка, зокрема, містить дані про банках - членах платіжної системи і власників карток. Центр зберігає відомості про ліміти власників карток і виконує запити на авторизацію в тому випадку, якщо банк-емітент не веде власної бази (off-line банк). В іншому випадку (on-line банк), процесинговий центр пересилає отриманий запит в банк-емітент авторізуемой картки. Очевидно, що центр забезпечує і пересилання відповіді банку - еквайєру. Крім того, на підставі накопичених за день протоколів транзакцій процесинговий центр готує і розсилає підсумкові дані для проведення взаєморозрахунків між банками-учасниками платіжної системи, а також формує і розсилає банкам - еквайєром (а, можливо, і безпосередньо в точки обслуговування) стоп - листи. Процесинговий центр може також забезпечувати потреби банків-емітентів у нових картках, здійснюючи їх замовлення на заводах і подальшу персоналізацію. Слід зазначити, що розгалужена платіжна система може мати декілька процесингових центрів, роль яких на регіональному рівні можуть виконувати і банки - еквайєри.
Комунікаційні центри забезпечують суб'єктам платіжної системи доступ до мереж передачі даних. Використання спеціальних високопродуктивних ліній комунікації обумовлено необхідністю передачі великих обсягів даних між географічно розподіленими учасниками платіжної системи при авторизації карток у торговельних терміналах, при обслуговуванні карток у банкоматах, при проведенні взаєморозрахунків між учасниками системи та в інших випадках.
Прикладом такої комутаційної системи є мережа "РадіоТел-ЦТ" У даному рефераті було зроблено огляд сучасних засобів електронних платежів - як перспективного сучасного обороту нематеріальних грошей, розглянуто принцип криптографічного захисту інформації на магнітній картці, а також перспективи подальшого розвитку систем електронних платежів.
Зміст
Вступ. 3
1. Основні поняття і принципи використання карток. 5
1.1. Види платіжних карт, основні поняття. 5
1.2. Класифікація пластикових карток. 6
1.3. Платіжна система. 7
2. Технічні засоби. 9
2.1. Способи ідентифікації пластикових карт. 9
2.2. Особливості пристрою смарт-карти. 11
3.Застосування криптографії для карт із магнітною смугою. 16
3.1. Просте шифрування. 17
3.2.Обмен динамічним ключем. 18
3.3. Обробка СІН. 18
3.4. Обробка VCC. 19
3.5.Работа з ключами. 19
3.6.Фізіческое додаток. 20
3.7. Інші програми шифрування у фінансах. 21
4. Пристрої обслуговування електронних платежів. 21
4.1. Використання POS-терміналів. 21
4.2. Використання банкоматів. 22
5. Стандарти електронних розрахунків. 23
5.1. Стандарт SET. 23
5.2. Концепція Cyber Cash. 23
5.3. Платежі без кодування - система First Virtual. 23
5.4. Система Digital Cash. 24
6. Висновки .. 25
Вступ.
Існуючі в даний час в Україні системи розрахунків за операціями з платіжними картами класифікують наступним чином:- Національна система масових електронних платежів НСМЕП;
- Міжнародна платіжна система VISA International;
- Міжнародна платіжна система EURO PAY (MASTER CARD) International;
- Платіжні системи AMEX, Diner's Club.JCB;
- Внутрішні міжбанківські платіжні системи (ОНІКС, ОБЕНІКС);
- Локальні внутрішні монобанковскіе платіжні системи (СБОН, МЕТАКАРТ, ПІБ).
Проект НСМЕП розроблений НБУ разом з низкою вітчизняних постачальників програмно - технічних засобів, заснований на чіп - картах і широкому використанні off-line технологій. Особливістю проекту є використання власних операційних систем, системи безпеки і фінансових додатків чіп - картки, що дозволяють впровадити два основних платіжних інструменту - електронний гаманець та електронний чек, що реалізують дебетові схеми здійснення платежів.
Міжнародні платіжні системи VISA International та EURO PAY (MASTER CARD) International присутні на Україну з 1995 р. і реально почали працювати з 1997 р., коли українські банки стали повноправними членами цих систем. Емітовано понад 800 тисяч карток (лідерами є ПРИВАТБАНК, ПУМБ, АВАЛЬ).
Створенню системи електронних платежів в Україні, сприяло ряд причин:
- Розрахунки з використанням готівкових грошей надзвичайно дорого обходяться державним і комерційним фінансовим структурам (випуск в обіг нових купюр, обмін старих, утримання великого персоналу);
- Близько 10 .. 12% вартості кожної купюри іде на підтримку її власного ж звернення;
- Досить зручний засіб для розрахунків у магазинах;
- Зручний засіб для перекладу або виклику грошей за кордон (не дивлячись на те, що картки приймаються не скрізь, ліміт на зняття готівки, комісійний збір т.д. як показує практика це набагато вигідніше, ніж носити при собі велику кількість готівки).
- Міжнародна картка дає можливість оплачувати товари через Інтернет.
З історії картки слід зазначити, що перша кредитна карта була випущена в 1914 році відомою американською фірмою Mobil Oil (раніше фірма називалася General Petroleum Corporation of California). Випущені цією компанією карти використовувалися при оплаті торгових операцій по нафтопродуктах. Перші картки були картонні, дані на них були або написані, або видавлені. В1928 році Бостонської компанією Farrington Manufacturing були випущені перші металеві пластинки, на яких видавлювався (ембосувати) адреса і які кредитоспроможним клієнтам. Продавець вкладав цю пластину в імпринтер і букви, видавлені на ній, віддруковувалися на торговому чеку. Відповідний матеріал для картки був знайдений лише в 60-ті роки, було знайдено прийнятне рішення - пластикова каточках з магнітною смугою. У 1975 році Ролан Моренно винайшов і запатентована електронну карту пам'яті. Через кілька років компанія Bell (Франція) розробила і запатентована смарт-карту з вбудованим мікропроцесором.
В даний час розширилося використання комп'ютерних мереж, зокрема глобальної мережі Інтернет, по яких передається великі обсяги інформації державного, комерційного і приватного характеру. За цим гостро стоїть проблема захист інформації від сторонніх осіб. Проблемою захисту інформації шляхом її перетворення займається кріптологія (kr y p to s - таємний, lo g o s - наука). Криптологія поділяється на два напрямки - криптографію і криптоаналіз. Мета цих напрямків прямо протилежні.
Криптографія займається пошуком і дослідженням математичних методів перетворення інформації.
Сфера інтересів криптоаналізу - дослідження можливості розшифровування інформації без знання ключів.
Основні напрямки використання криптографічних методів - передача конфіденційної інформації з каналів зв'язку (наприклад, електронна пошта), встановлення автентичності переданих повідомлень, зберігання інформації (документів, баз даних) на носіях у зашифрованому вигляді.
1. Основні поняття і принципи використання карток.
1.1. Види платіжних карт, основні поняття.
Пластикова картка - це персоніфікований платіжний інструмент, що надає має карткою особі можливість безготівкової оплати товарів і / або послуг, а також отримання готівкових коштів у відділеннях (філіях) банків та банківських автоматах (банкоматах). Приймаючи картку підприємства торгівлі / сервісу та відділення банків утворюють мережу точок обслуговування картки (або прийомну мережу).Особливістю продажу та видачі готівки по картках є те, що ці операції здійснюються магазинами і, відповідно, банками "в борг" - товари та готівкові надаються клієнтам відразу, а кошти на їх відшкодування надходять на рахунки обслуговуючих підприємств найчастіше через деякий час (не більше декількох днів). Гарантом виконання платіжних зобов'язань, що виникають у процесі обслуговування пластикових карток, є випустив їх банк-емітент. Тому картки протягом усього терміну дії залишаються власністю банку, а клієнти (держателі карток) отримують їх лише у користування. Характер гарантій банка-емітента залежить від платіжних повноважень, наданих клієнту і фіксуються класом картки.
При видачі картки клієнту здійснюється його персоналізація - на неї заносяться дані, що дозволяють ідентифікувати картку і її власника, а також здійснити перевірку платоспроможності картки при прийомі її до оплати або видачі готівкових грошей. Процес затвердження продажу або видачі готівки по картці називається авторизацією. Для її проведення точка обслуговування робить запит платіжній системі про підтвердження повноважень пред'явника картки і його фінансових можливостей. Технологія авторизації залежить від схеми платіжної системи, типу картки і технічної оснащеності точки обслуговування. Традиційно авторизація проводиться "вручну", коли продавець або касир передає запит по телефону оператору (голосова авторизація), або автоматично, картка поміщається в POS-термінал або торговий термінал (POS - Point Of Sale), дані зчитуються з картки, касиром вводиться сума платежу , а власником картки зі спеціальної клавіатури - секретний ПІН-код (ПІН - Персональний Ідентифікаційний Номер). Після цього термінал здійснює авторизацію або встановлюючи зв'язок з базою даних платіжної системи (on-line режим), або здійснюючи додатковий обмін даними з самою карткою (off-line авторизація). У разі видачі готівки процедура носить аналогічний характер з тією лише особливістю, що гроші в автоматичному режимі видаються спеціальним пристроєм - банкоматом, який і проводить авторизацію.
При здійсненні розрахунків власник картки обмежений поруч лімітів. Характер лімітів і умови їх використання можуть бути досить різноманітними. Однак в загальних рисах все зводиться до двох основних сценаріїв.
Тримач дебетової картки повинен заздалегідь внести на свій рахунок у банку-емітенті деяку суму. Її розмір і визначає ліміт доступних коштів. При здійсненні розрахунків з використанням картки синхронно зменшується і ліміт. Контроль ліміту здійснюється при проведенні авторизації, яка при використанні дебетової картки є обов'язковою завжди. Для відновлення (або збільшення) ліміту власникові картки необхідно знову внести кошти на свій рахунок.
Для забезпечення платежів власник картки може не вносити попередньо кошти, а отримати в банку-емітенті кредит. Подібна схема реалізується при оплаті за допомогою кредитної картки. У цьому випадку ліміт пов'язаний з величиною наданого кредиту, в рамках якого власник картки може витрачати кошти. Кредит може бути як одноразовим, так і поновлюваним. Поновлення кредиту в залежності від договору з власником картки відбувається після погашення або всієї суми заборгованості, або певної її частини.
1.2. Класифікація пластикових карток.
За способом розрахунків:- Кредитні картки, дає власнику користуватися кредитом при купівлі товарів при отриманні касових суд;
- Дебетові картки, призначені для отримання готівки в банківських автоматах або для розрахунків за товари і послуги через електронні термінали. При цьому кошти списуються з рахунку власника картки в банку. Дебетові картки не дозволяють оплачувати покупки при відсутності грошей на рахунку. Перевага дебетової картки перед кредитною полягає в відсутність ліміту платежу.
За способом запису інформації на картку:
- Графічний;
- Ембосування;
- Штрихкодування;
- Кодування на магнітній смузі;
- Чіп;
- Лазерна запис (оптичні картки).
Графічна запис - найбільш проста форма запису інформації на картку. Графічним методом наноситься фотографічне зображення власника картки і лазерний зразок підпису.
Ембосування (emboss) нанесення даних на карту у вигляді рельєфних знаків - дозволило швидше оформляти операції оплати карткою, роблячи відбиток сліпа. З метою боротьби з шахрайством використовуються сліпи без копіювального шару, але спосіб інформації залишився тим самим - механічний тиск.
Штрих-кодування - спосіб запису на карту застосовувався до винаходу магнітної смуги і в платіжних системах розповсюдження не отримав.
Магнітні картки - пластикові картки з магнітною смугою, яка містить обсяг інформаційної пам'яті близько 100MB, яка зчитується спеціальним пристроєм. Інформація, що міститься на магнітній смузі, збігається з записами на передній стороні картки: ім'я, номер рахунку власника і дата закінчення дії картки.
В даний час магнітна запис є найпоширеніший спосіб нанесення інформації на пластикові картки. Проте магнітна смуга не забезпечує необхідного рівня захисту від підробок.
Карти пам'яті (смарт-карти) - пластикова картка з вбудованою мікросхемою, яка містить запам'ятовуючий пристрій. Рівень захисту карти пам'яті досить не високий, і вони використовуються для оплати телефонних розмов та інших операцій, що не вимагають високого рівня захисту інформації. Смарт-карта зовні схожі на карти пам'яті, проте мікросхема смарт-карти є мікропроцесор. Назва смарт-карта (smart-розумний, розумна) пов'язано з можливістю виконувати складні операції з обробки інформації. Мікросхеми смарт-карти є повні мікроконтролери, здатні виконувати розрахунки. Виготовлення смарт-карт дорожче інших видів пластикових карток: вартість залежить від обсягу пам'яті і рівня захисту вбудованої мікросхеми.
Карти оптичної пам'яті - мають велику ємність, запис і зчитування проводиться спеціальною апаратурою. Великого поширення в банківських технологіях не знайшла у зв'язку з високою вартістю карт так і зчитує обладнання.
За приналежності до установи-емітенту:
- Банківські картки (емітент банк або консорціум банків);
- Комерційні картки (емітент нефінансова установа).
За сферою використання:
- Універсальні картки - для оплати будь-яких товарів і послуг;
- Приватні комерційні карти - для оплати спеціальних послуг (карти готельних мереж, автозаправних станцій, супермаркетів).
За територіальну приналежність:
- Міжнародні;
- Національні;
- Локальні;
- Карти, що діють в одній установі.
За часом використання:
- Обмежені тимчасовим проміжком;
- Необмежені (безстрокові).
Банківські та інші карти, що використовуються для розрахунків:
- Автономний «електронний гаманець» (працює в режимі off-line);
- Ключ до рахунку - засіб ідентифікації.
Більшість сучасних карток, є ідентифікаторами, а не електронними гаманцями.
1.3. Платіжна система.
Платіжною системою будемо називати сукупність методів і реалізують їх суб'єктів, що забезпечують в рамках системи умови для використання банківських пластикових карток обумовленого стандарту як платіжного засобу. Одна з основних завдань, що вирішуються при створенні платіжної системи, полягає у виробленні та дотриманні загальних правил обслуговування карток входять в систему емітентів, проведення взаєморозрахунків і платежів. Ці правила охоплюють як чисто технічні аспекти операцій з картками - стандарти даних, процедури авторизації, специфікації на обладнання тощо, так і фінансові боку обслуговування карток - процедури розрахунків з підприємствами торгівлі та сервісу, що входять до складу приймальної мережі, правила взаєморозрахунків між банками , тарифи і т.д.Таким чином, з організаційної точки зору ядром платіжної системи є заснована на договірних зобов'язаннях асоціація банків. До складу платіжної системи також входять підприємства торгівлі і сервісу, що утворюють мережу точок обслуговування. Для успішного функціонування платіжної системи необхідні і спеціалізовані нефінансові організації, що здійснюють технічну підтримку обслуговування карток: процесинговий і комунікаційні центри, центри технічного обслуговування і т.п.
Процесинговий центр - спеціалізована сервісна організація - забезпечує обробку що надходять від еквайєрів (або безпосередньо з точок обслуговування) запитів на авторизацію та / або протоколів транзакцій - фіксованих даних про проведені за допомогою карток платежі і видачі готівки. Цей центр веде базу даних, яка, зокрема, містить дані про банках - членах платіжної системи і власників карток. Центр зберігає відомості про ліміти власників карток і виконує запити на авторизацію в тому випадку, якщо банк-емітент не веде власної бази (off-line банк). В іншому випадку (on-line банк), процесинговий центр пересилає отриманий запит в банк-емітент авторізуемой картки. Очевидно, що центр забезпечує і пересилання відповіді банку - еквайєру. Крім того, на підставі накопичених за день протоколів транзакцій процесинговий центр готує і розсилає підсумкові дані для проведення взаєморозрахунків між банками-учасниками платіжної системи, а також формує і розсилає банкам - еквайєром (а, можливо, і безпосередньо в точки обслуговування) стоп - листи. Процесинговий центр може також забезпечувати потреби банків-емітентів у нових картках, здійснюючи їх замовлення на заводах і подальшу персоналізацію. Слід зазначити, що розгалужена платіжна система може мати декілька процесингових центрів, роль яких на регіональному рівні можуть виконувати і банки - еквайєри.
Комунікаційні центри забезпечують суб'єктам платіжної системи доступ до мереж передачі даних. Використання спеціальних високопродуктивних ліній комунікації обумовлено необхідністю передачі великих обсягів даних між географічно розподіленими учасниками платіжної системи при авторизації карток у торговельних терміналах, при обслуговуванні карток у банкоматах, при проведенні взаєморозрахунків між учасниками системи та в інших випадках.
Мережа "РадіоТел-ЦТ" є радіопакетной мережею передачі даних загального користування, побудованої по стільниковому принципом.
Мережа "РадіоТел-ЦТ" призначена для надання послуг передачі даних з пропускною здатністю 4800 біт / сек. З урахуванням цього послуги мережі "РадіоТел-ЦТ" доцільно використовувати для підключення низької термінального обладнання - банкоматів, POS-терміналів. Потенційними споживачами послуг мережі "РадіоТел-ЦТ" є банки, паливні компанії, торгово-сервісні підприємства. При цьому користувачі мережі "РадіоТел-ЦТ" можуть підключати і використовувати: настільні та персональні комп'ютери, касові апарати, банкомати, лотерейні термінали, апаратуру оповіщення і ряд інших пристроїв.
Для підключення термінального обладнання до мережі "РадіоТел-ЦТ" використовується пристрій Radio PAD, яке має два асинхронних порту V24, що дозволяє забезпечити два дуплексних каналу зв'язку. Швидкість роботи по порту: 9600 біт / сек - при використанні одного порту, 4800 біт / сек - при одночасному використанні двох портів. Взаємодія термінального обладнання з пристроєм Radio PAD здійснюється по протоколу X.28. Швидкість виконання транзакції на POS-терміналах і банкоматах в мережі "РадіоТел-ЦТ" складає близько 8 - 12 секунд
2. Технічні засоби.
2.1. Способи ідентифікації пластикових карт.
Пластикова картка являє собою пластину стандартних розмірів (85.6 мм 53.9 мм 0.76 мм), виготовлену з спеціальної, стійкої до механічних і термічних дій, пластмаси.
Одна з основних функцій пластикової картки - забезпечення ідентифікації використовує її особи як суб'єкта платіжної системи. Для цього на пластикову картку наносяться логотипи банка-емітента і платіжної системи, що обслуговує картку, ім'я власника картки, номер його рахунку, термін дії картки і ін Крім цього, на картці може бути фотографія власника і його підпис. Алфавітно-цифрові дані - ім'я, номер рахунку та ін - можуть бути ембосовані. Це дає можливість при ручній обробці прийнятих до оплати карток швидко перенести дані на чек з допомогою спеціального пристрою, імпринтера, здійснює "прокатування" картки (в точності так само, як виходить другий примірник при використанні копіювального паперу).
Графічні дані забезпечують можливість візуальної ідентифікації картки. Картки, обслуговування яких засновано на такому принципі, можуть з успіхом використовуватися в малих локальних системах - як клубні, магазинні картки і т.п. Однак для використання в банківській платіжній системі візуальної "обробки" виявляється явно недостатньо. Представляється доцільним зберігати дані на картці у вигляді, що забезпечує проведення процедури автоматичної авторизації. Це завдання може бути вирішена з використанням різних фізичних механізмів.
У картках зі штрих - кодом в якості ідентифікує елемент використовується штриховий код, аналогічний коду, що застосовується для маркування товарів. Зазвичай кодова смужка покрита непрозорим складом і зчитування коду відбувається в інфрачервоних променях. Картки зі штрих - кодом досить дешеві і, в порівнянні з іншими типами карт, відносно прості у виготовленні. Остання особливість зумовлює їх слабку захищеність від підробки і робить тому малопридатними для використання в платіжних системах.
Картки з магнітною смугою є на сьогоднішній день найбільш поширеними - в обігу знаходиться понад двох мільярдів карт такого типу. Магнітна смуга розташовується на зворотній стороні картки і, відповідно до стандарту ISO 7811, складається з трьох доріжок. З них два призначені для зберігання ідентифікаційних даних, а на третю можна записувати інформацію (наприклад, поточне значення ліміту дебетової картки). Однак через невисоку надійності багаторазово повторюваного процесу запису / зчитування, запис на магнітну смугу, як правило, не практикується, і такі карти використовуються тільки в режимі зчитування інформації.
Як же влаштована карта? Принцип магнітного запису на карту нічим не відрізняється від прийнятого в звукозапису. Для його реалізації підходить звукова апаратура. Стирання можна робити постійним магнітом з пластиною - концентратором магнітного потоку. Хоча при такому стирання великий рівень шумів, для цифрового зчитування це не важливо. Запис проводять без підмагнічування постійним або ВЧ-струмом, так навіть досягаються більш різкі переходи намагніченості носія. Для виготовлення магнітної смужки саморобних карток підійде стара 5 "дискета на 360 Кб, що має шар з низькою коерцитивність. Кодування даних здійснюється загальноприйнятим методом" без повернення до нуля ", який виключає довгі ділянки постійної намагніченості, що полегшує синхронізацію при зчитуванні.
Посилений вихідний сигнал з читаючої головки проходить двухпороговий компаратор, формуючий ВИСОКИЙ і НИЗЬКИЙ логічні рівні. Цифрові дані надходять на стандартний послідовний інтерфейс (типу RS-232), що передає дані на обробку комп'ютера.
На рис. видно, що якщо у момент синхро-відліку рівень сигналу не змінюється, то він вважається рівним нулю, а якщо сигнал має перепад, то одиниці. Типове розташування доріжок на магнітній смузі банківської картки показано на малюнку.
Фізичний стандарт запису.
Розташування доріжок на картці показує малюнок.
Якщо картка розташувати магнітною смужкою до себе, так, щоб смужка була знизу картки, то дані записані зліва направо.
Захищеність карт з магнітною смугою істотно вище, ніж у карт зі штрих - кодом. Однак і такий тип карт щодо уразливий для шахрайства. Тим не менш, розвинена інфраструктура існуючих платіжних систем і, в першу чергу, світових лідерів "карткового" бізнесу - компаній MasterCard / Europay є причиною інтенсивного використання карток з магнітною смугою і сьогодні. Відзначимо, що для підвищення захищеності карток системи VISA та MasterCard / Europay використовуються додаткові графічні засоби захисту: голограми та нестандартні шрифти для ембосування.
На лицьовій стороні картки з магнітною смугою зазвичай вказується: логотип банку-емітента, логотип платіжної системи, номер картки (перші 6 цифр - код банку, такі 9 - банківський номер картки, остання цифра - контрольна, останні чотири цифри нанесені на голограму), термін дії картки, ім'я власника картки; на зворотному боці - магнітна смуга, місце для підпису.
2.2. Особливості пристрою смарт-карти.
Смарт-карта - це карта, носієм інформації в якій є інтегральна мікросхема. Коли стандарти і технологія виробництва смарт-карт ще тільки розроблялися, їх надійності і високого ступеня захисту даних на них приділялася саме пильну увагу. У відношенні захисту даних смарт-карти мають цілу низку переваг порівняно з традиційними магнітними картками.По-перше, оскільки процес створення смарт-карт досить складний і під силу лише великій промисловій компанії спроби "зламати" мікросхему в кустарних умовах неминуче призведуть до її руйнування.
По-друге, при виробництві карток в кожну мікросхему заноситься унікальний код. Завдяки цьому коду кодування даних неможливо ні для кого, крім виробника карт. Виробник, відправляючи партію смарт-карт на адресу організації, що випускає їх в обіг, посилає коди окремо, так що навіть у разі втрати всієї партії, карти виявляються непридатними для використання.
По-третє, при видачі картки користувачеві на неї заноситься один або кілька секретних кодів (паролів), так званих PIN-кодів, відомих лише власникові картки. Якщо карта загублена або вкрадена, її власник повідомляє про те, що трапилося в банк і програма банку вносить цю карту в список недійсних карт, що розсилається на всі термінали продажів. Будь-яка спроба використовувати втрачену або вкрадену картку буде негайно припинена.
Це дає можливість здійснювати авторизацію в режимі off-line, що дозволяє економити значні кошти і час на організацію процедури доступу до центрів авторизації. Говорячи про значну дешевизні самих магнітних карт, слід звернути увагу на вартість всієї системи, включаючи оренду каналів, чіткий устаткування і т. д.
Основна перевага смарт-карт полягає в тому, що вони є засобом, який, в першу чергу дозволяє збільшити і різноманітити пакет послуг, що надаються клієнтові. При цьому платіжній системі і банкам, які входять до неї, технологія на основі смарт-карт обійдеться дешевше за рахунок скорочення втрат від шахрайства та зниження витрат на авторизацію і зв'язок.
Є всі підстави припускати, що роботи з удосконалення та просування проектів смарт-карт в банківські технології Україна будуть інтенсифікуватися. Що спостерігається в даний момент подальше зниження цін на карти і периферію призводить до зниження собівартості проектів, заснованих на смарт-картах, а отже, до ще більш помітного зростання популярності смарт-технологій і подальшого розширення сфер їх застосування.
Смарт-карту можна вважати ідеальним засобом платежу, оскільки вона володіє функціями "електронного гаманця". Останній зберігає у своїй пам'яті суму грошових коштів, якими клієнт банку може розплатитися за покупку, і передбачає технологію off-line. "Електронний гаманець" зручний клієнтові, оскільки останній легко контролює свої активи на карті і при необхідності може їх поповнити, кредитуючи карту в банку. Пам'ять "електронного гаманця" захищена секретним паролем клієнта PIN-кодом, який клієнт повинен набрати на клавіатурі платіжного термінала при проведенні будь-якої операції по карті. Таким чином, клієнт може не побоюватися використання смарт-карти без його санкції.
Не всяка смарт-карта може бути "електронним гаманцем".
Розглянемо типологію смарт-карт. У залежності від внутрішнього пристрою і виконуваних функцій смарт-карти можна розділити на три типи:
- Карти-лічильники;
- Карти з пам'яттю;
- Мікропроцесорні картки.
Практично будь-яку карту будь-якого типу можна використовувати в якості платіжної. Проте лише дуже обмежену кількість карт буде відповідати всім вимогам, які повинна мати масова платіжна смарт-карта: невисокою вартістю, можливістю проводити будь-які (а не тільки специфічні) платежі, гарною захищеністю і необхідним рівнем "інтелектуальності" для забезпечення технології off-line.
Карти-лічильники. Даний тип карток застосовується для такого типу розрахунків, коли потрібно віднімання фіксованої суми за кожну платіжну операцію. Подібні картки ще називаються картками з попередньо оплаченою сумою.
Прикладом таких розрахунків може бути плата за телефонну розмову. Звичайно в телефонах-автоматах одиниця часу розмови має фіксовану ціну. Абонент оплачує час розмови монетками або спеціальними жетонами, які підраховує відповідний пристрій телефону. При застосуванні карток мінімальній сумі платежу ставиться у відповідність один біт пам'яті карти. У процесі розмови встановлюється зв'язок між телефоном і картою, і за кожну одиницю часу "перепалюється" деяку кількість біт. Таким чином, карта заміняє монети або жетони.
Аналогічним чином карти-лічильники застосовуються при підписці на платне телебачення, при оплаті за проїзд, автостоянку і т. п.
Спочатку використовувалися карти з однократно програмованою пам'яттю. Після повного використання карти доводилося викидати. Сучасні карти такого типу дозволяють після повного використання "відновлювати" вміст лічильника. Відновлення вмісту може бути виконано тільки при знанні визначеного коду, що дозволяє ця дія. Крім цього, картки містять область, у яку записуються ідентифікаційні дані. Ці дані не можуть бути змінені згодом. Карти, що дозволяють перезаписувати інформацію, відносяться до типу карток з енергонезалежною перепрограммируемой пам'яттю.
Карти з пам'яттю. Ця назва досить умовно, тому що всі смарт-карти мають пам'ять. Цей тип карт виділений як проміжний при переході від карт-лічильників до мікропроцесорних карток.
Зазвичай карти подібного типу використовуються для зберігання інформації. Існують два підтипи подібних карток: з незахищеною і з захищеною пам'яттю. Карти другого підтипу відрізняються від карток першого більш високим "інтелектом", спрямованим на запобігання несанкціонованого доступу до даних на карті. Однак тієї "інтелектуальності", яка характерна для карток із мікропроцесорами, картки з захищеною пам'яттю не мають.
У картах з незахищеною пам'яттю немає обмежень по читанню або запису даних. Іноді їх називають картами з повнодоступна пам'яттю; робота з ними нагадує роботу з бінарним файлом. Можна довільно структурувати картку на логічному рівні, розглядаючи її пам'ять як набір байтів, який можна скопіювати в оперативну пам'ять або обновити спеціальними командами.
Карти з незахищеною пам'яттю використовувати в якості платіжних украй небезпечно. Досить легально придбати таку картку, скопіювати її пам'ять на диск, а далі після кожної покупки відновлювати її пам'ять копіюванням початкового стану даних з диска, нітрохи не цікавлячись тим, яка інформація зберігається на карті (тобто шифрування даних у пам'яті картки від шахрайства подібного роду не рятує).
У картках із захищеною пам'яттю використовується спеціальний механізм для дозволу читання / запису або стирання інформації. Щоб провести ці операції, треба пред'явити картці спеціальний секретний код (а іноді і не один). Пред'явлення коду означає встановлення з нею зв'язку і передачу коду "всередину" карти.
Порівняння коду з ключем захисту читання / запису (стирання) даних проведе сама картка і "повідомить" про це пристрою читання / запису смарт-карт. Читання записаних у пам'ять картки ключів захисту або копіювання пам'яті карти неможливо. У той же час, знаючи секретний код (коди), можна прочитати або записати дані, організовані найбільш прийнятним для платіжної системи логічним чином. Таким чином, картки з захищеною пам'яттю підходять для універсальних платіжних застосувань, добре захищені, і при цьому недорогі. Так, ціна карти GPM896 становить не більше 4 $ для тиражів вище 5 тис. примірників.
Як правило, карти із захищеною пам'яттю містять область, у яку записуються ідентифікаційні дані. Ці дані не можуть бути змінені згодом, що дуже важливо для забезпечення неможливості підробки карти. З цією метою ідентифікаційні дані на карті "пропалює".
Необхідно також, щоб на платіжній картці були щонайменше дві захищені області. У технології безготівкових розрахунків по картках беруть участь зазвичай три юридично незалежних особи: клієнт, банк і магазин. Банк вносить гроші на картку (кредитує її), магазин знімає гроші з карти (дебетує її), і всі ці операції повинні відбуватися з санкції клієнта. Таким чином, доступ до даних на картці й операції над ними треба розмежовувати. Це досягається розбивкою пам'яті карти на дві захищені різними ключами області - дебетову і кредитну.
Кожен учасник операції має свій секретний ключ. У клієнта це PIN-КОД. Його правильне пред'явлення відкриває доступ до карти (з читання даних), однак не повинно змінювати інформацію, якою розпоряджається кредитор картки (банк) або її дебітор (магазин).
Ключ запису інформації в кредитну область карти є тільки в банку; ключ запису інформації в дебетну область - у магазина. Тільки при пред'явленні відразу двох ключів (PIN-коду клієнта і ключа банку при кредитуванні, PIN-коду клієнта і ключа магазина при дебетування) можна провести відповідну фінансову операцію - внести гроші або списати суму покупки з карти.
Якщо в якості платіжної використовуються картки з одного захищеної областю пам'яті, - значить, банк і магазин будуть працювати з однією і тією ж областю, застосовуючи однакові ключі захисту. Якщо банк, як емітент картки, може її дебетувати (наприклад, в банкоматах), то магазин права кредитувати картку не має. Однак така можливість йому дана - оскільки, в силу необхідності дебетування картки при покупках, він знає ключ стирання захищеної зони.
Та обставина, що і кредитор картки, і її дебітор (зазвичай різні особи) користуються одним ключем, порушує відразу кілька основних принципів захисту інформації (зокрема, принципи поділу повноважень і мінімальних повноважень). Це рано чи пізно призведе до шахрайства. Не рятують ситуацію і криптографічні способи захисту інформації.
З відомих карт із захищеною пам'яттю лише згадувана вже карта GPM896 володіє двома захищеними областями пам'яті і задовольняє вимогам по розмежуванню доступу до інформації, як з боку банку, так і з боку магазину.
Мікропроцесорні карти. Ці карти являють собою останні досягнення в області смарт-карт. Їх застосування досить велике.
Мікропроцесори, встановлені на цих картах, володіють наступними основними характеристиками:
- Тактовою частотою до 5 МГц;
- Ємністю ОЗУ до 256 байт;
- Ємністю ПЗУ до 10 Кбайт;
- Ємністю перезаписувати енергонезалежній пам'яті до 8 Кбайт.
У карту вбудовується спеціалізована операційна система, що забезпечує великий набір сервісних операцій і засобів безпеки.
Операційна система карти підтримує файлову систему, що передбачає розмежування доступу до інформації. Для інформації, що зберігається в будь-якому записі (файл, група файлів, каталог), можуть бути встановлені наступні режими доступу:
- Завжди доступна з читання / запису. Цей режим дозволяє читання / запис інформації без знання спеціальних секретних кодів;
- Доступна по читанню, але вимагає спеціальних повноважень для запису. Цей режим дозволяє вільне читання інформації, але дозволяє запис тільки після пред'явлення спеціального секретного коду;
- Спеціальні повноваження з читання / запису. Цей режим дозволяє доступ з читання або запису після пред'явлення спеціального секретного коду, причому коди для читання і запису можуть бути різними;
- Недоступна. Цей режим не дозволяє читати або записувати інформацію. Інформація доступна тільки внутрішнім програмам картки. Зазвичай цей режим встановлюється для записів, що містять криптографічні ключі.
Як правило, в такі картки вбудовані криптографічні засоби, що забезпечують шифрування інформації і вироблення "цифровий" підпису. Традиційно в картках для цих цілей застосовується криптографічний алгоритм DES. Крім того, у картці є кошти ведення ключової системи.
Карти забезпечують різний спектр сервісних команд. Для банківських цілей найбільш цікаві з них - засоби ведення електронних платежів.
До спеціальних засобів належать можливість блокування роботи з карткою. Розрізняються два види блокування: при пред'явленні неправильного транспортного коду і при несанкціонованому доступі.
Суть транспортної блокування полягає в тому, що доступ до картки неможливий без пред'явлення спеціального транспортного коду. Цей механізм необхідний для захисту від нелегального використання карток при розкраданні під час пересилання картки від виробника до споживача. Картка може бути активізована тільки при пред'явленні правильного "транспортного" коду.
Суть блокування при несанкціонованому доступі полягає в тому, що якщо при доступі до інформації кілька разів неправильно був пред'явлений код доступу, то карта взагалі перестає бути працездатної. При цьому, залежно від встановленого режиму карта може бути згодом або активізована при пред'явленні спеціального коду, або ні. В останньому випадку картка стає непридатною для подальшого використання.
Переваги використання смарт-карт Головна відмінність смарт-карт від інших видів пластикових карт - інтелектуальність карт з мікросхемами.
При платежах по магнітних картах застосовується режим on-line. Дозвіл на платіж дає, по суті, комп'ютер банку або процесингового центру при зв'язку з точкою платежу.
Тому основна проблема, що виникає тут, - забезпечення надійного, захищеного і недорогий зв'язку.
При платежах за смарт-картками застосовується принципово новий режим off-line - дозвіл на платіж дає сама картка (точніше, убудована в неї мікросхема) при спілкуванні з торговим терміналом безпосередньо в торговельній точці. Накладні витрати по забезпеченню платежів надзвичайно малі, проблеми зв'язку не відіграють тієї ролі, як в технологіях on-line.
Інша важлива особливість смарт-карт полягає в їх надійності та безпеки. Смарт-карта повинна бути досить "інтелектуальна", щоб самостійно прийняти рішення про проведення платежу і при цьому мати розвинену систему захисту від її несанкціонованого використання.
Під час виробництва і ініціалізації карт електронні запобіжники в мікросхемі можуть бути зруйновані, тим самим запобігаючи небажане втручання в збережену інформацію.
Копіювання даних, окрім як їх виробниками, неможливо завдяки унікальному внутрішньому коду, записаного на кожній карті. Навіть якщо дані, записані на карту, хто-небудь зможе продублювати, унікальний внутрішній код запобігти використанню карти. При відправці карт виробником на адресу організації, що випускає карти в обіг, коди надсилаються окремо, так що навіть у разі втрати всієї партії карти залишаться непридатними для використання. Поки цей код не буде представлений карті, останню використовувати неможливо. Як тільки карта проініціалізувати і в ній записані дані (або сума грошей), доступ до них захищається кодованим паролем (або PIN-КОДОМ), відомим тільки господареві карти. Дані, записані на карті, можуть бути також зашифровані. Все це робить смарт-карту однієї з найбільш надійних форм зберігання даних.
Смарт-картки у порівнянні з іншими пластиковими картами володіють високими експлуатаційними характеристиками. Наприклад, смарт-карти фірми GemPlus Card International - лідера в галузі виробництва карт - володіють наступними основними характеристиками: час зберігання інформації - 10 років; мінімальне число перезаписів - 10 000 разів; час запису одного байта інформації - не більше 10 мс, температура зберігання - від -20 до +55 С; робоча температура-від 0 до +50 ° С.
Смарт-карти стійкі до зовнішніх впливів.
Платіжні системи на основі смарт-карт мають ряд переваг перед системами, що використовують карти з магнітною смугою або зі штрих-кодом.
Переваги можуть бути як загальні, що стосуються всіх користувачів системи, так і приватні - для окремих груп користувачів.
Загальні переваги зводяться до наступного:
-Усі існуючі операції з готівкою можуть бути з легкістю замінені на операції зі смарт-картами.
-Централізований контроль за системою і фінансовими трансакціями для всіх елементів системи.
-Незначна вартість обладнання торгового терміналу, відсутність необхідності витрат на додаткові засоби комунікації і незалежність обслуговування системи від засобів комунікації.
-Відсутність додаткових витрат на експлуатацію системи.
-Надійність використання. Після занесення на смарт-карту всіх даних власника зв'язок з базою даних відбувається негайно після пред'явлення картки, що дуже важливо для міст, в яких відсутні сучасні телекомунікаційні засоби.
-Портативність і автономність торгового терміналу, що забезпечують його широке застосування, аж до мобільних пунктів обслуговування і торгових кіосків.
-Можливість приймати оплату з карт у різного типу автоматичних пристроях: автомати з продажу сигарет, прохолодних напоїв, телефонні автомати, автомобільні стоянки і мийки, автосервіс і т. д.
-Зменшення адміністративних витрат на кожному рівні і витрат на підтримку роботи системи, здійснення транзакцій, скорочення витрат на час обслуговування, лінії зв'язку.
-Поліпшення та спрощення процедур взаєморозрахунків.
-Істотне збільшення швидкості всіх операцій.
-Істотне зменшення витрат усіх користувачів системи: власників карт, торгуючих організацій, головної фірми емітента смарт-карт.
-Система захищена на всіх рівнях і виключає цілий ряд ризиків, властивих іншим системам платежів (готівковим, талонами, магнітним картками).
-За рахунок більш швидкої оборотності грошових коштів зменшується інфляція, і скорочуються витрати на підтримання обігу готівки.
-Знижується рівень кримінальності.
-З'являється можливість використання платіжних карток в інших сферах (державне страхування, медичне обслуговування) як чисто ідентифікаційних.
3.Застосування криптографії для карт із магнітною смугою
У той час як вводяться інші, більш захищені методи шифрування, магнітна карта набагато дешевше ніж інші альтернативи і карти з магнітною смугою - найпоширеніший тип карт. Методи захисту магнітних карт повільно, але вірно поліпшуються, і при правильному застосуванні можуть надати відмінний захист для фінансових транзакцій при низькій вартості.Найпоширеніше використання криптографії це забезпечення ПІНу, для використання магнітної картки в місцях, де не можна здійснити контроль за правомірністю доступу, наприклад в ATM (банкоматах), або в якихось інших ситуаціях, де здійснити надання звичайної паперової підпису неможливо. Все це поширюється на кредитні, дебетові і ATM-карти. На сьогоднішній день не так багато грошових карт, у яких не було б наявності ПІН.
Друге за поширеністю використання криптографії це надання механізмів контролю за оригінальністю магнітної стрічки. Призначення полягає в попередженні створення карт шахрайським шляхом, коли на стрічку записується значення, яке не може бути отримане з видимої інформації, що міститься на карті. Коли карта перевіряється в режимі on-line, це значення може бути підтверджено для того щоб підтвердити справжність картки. Для цього існує кілька різних стандартів, найбільш використовувані це Visa Card Verification Value (CVV) або, аналог для Мастеркард, CVC.
Інші варіанти використання криптографії безпосередньо не відносяться до карт, зазвичай вони відносяться до шифрування СІН та повідомленнями, переданим у фінансовому оточенні, щоб запобігти їх перехоплення або підробку.
3.1. Просте шифрування.
Більшість шифрувань магнітних карт базується на Алгоритми шифрування даних (DEA), званим DES або Стандарт Шифрування Даних. Ідея що лежить в цьому алгоритмі полягає в тому що оригінальне (нешифровані) значення, передається алгоритмом DES, який може бути випонен як в програмному, так і в апаратному вигляді. Потім DES шифрує чисте значення, використовуючи ключ (секретний, 64-бітний), і на виході видає зашифроване значення.Візьмемо до уваги наступне:
- Алгоритм DES не є секретним. Він доступний для широкого використання. Однак КЛЮЧ є секретним.
- Цей процес є реверсивним. Функцію DES «decipher», використовуючи той же самий ключ, переробить шифровану інформацію у відкриту (оригінальну).
Безпека та цілісність всього процесу шифрации залежить від таємності використовуваного ключа. Ключ це випадкове значення, яке дуже жорстко захищено. Більшість складностей, пов'язаних з шифрувальними системами DES пов'язані із захистом, зберіганням і передачею ключів, і ці дії називаються "key management" - операції з ключами.
Також потрібно зауважити що операція шифрування "encipher", як описано вище не зовсім надійна. Теоретично, велика кількість паралельних процесів можуть підібрати ключ у кілька днів. Ця особливість активно обговорюється в дискусіях на тему покращення безпеки, однак додаткові методи можуть обмежити застосування даного алгоритму.
Простий приклад для демонстрації: паролі на вході комп'ютерних систем.
Паролі, що використовуються в комп'ютерних системах часто шифруються, після того як вони були встановлені, і зберігаються у файлі в зашифрованому вигляді. Коли користувач входить в систему, пароль вводиться в прихованому полі, чистим текстом. Важливо розуміти, що це значення не порівнюється зі значенням, яке розшифровується з файлу пароля. Чистий текст зашифровується тим же ключем і порівнюється з шифрованим значенням, яке знаходиться у файлі паролів. Чистий текст, зашифрований аналогічним ключем, завжди дасть той же самий результат і практично всі криптографічні системи порівнюють зашифрований текст із зашифрованим, щоб уникнути доступу до чистих значенням в комп'ютерних системах, оскільки ті можуть бути скомпрометовані дампом пам'яті, зломом і т.д.
Однак у цій ситуації користувач пароля завжди може пред'явити претензію, що його пароль може бути розкритий розшифруванням зашифрованого значення, і це непідвладне користувачеві - це правда.
3.2.Обмен динамічним ключем.
Багато фінансових систем впроваджують обмін динамічним ключем. У той час як це прямо не відноситься до магнітних карт, це досить актуально, для того щоб звернути на це увагу.В обміні динамічним ключем 2 сторони обмінюються ключами «на льоту» для того щоб один ключ не використовувався тривалий час зважаючи на ризик його розшифровки. Зазвичай це використовується у фінансовому оточенні, коли дві сторони обмінюються фінансовими авторизаційними (підтверджують) повідомленнями - наприклад банк одержувача і банк відправника. Коли банк одержувача передає ПІН банку відправника для підтвердження, це повідомлення має бути зашифрованим. Банку відправника буде потрібен доступ до ключа, яким шифрувати ПІН, щоб розшифрувати повідомлення при отриманні. Сторони попередньо домовилися про ці ключах та ключі можуть бути змінені шляхом динамічного обміну ключів, коли ключі надаються (зашифровані старими шифрувальними ключами) і змінюються в реальному часі для додаткової безпеки.
3.3. Обробка СІН.
Принцип ПІН заснований на тому факті, що ніхто крім легального власника карти його не знає. Тому, коли ПІН надається клієнту:- ПІН не повинен зберігається ніде у відкритому вигляді
- ПІН не повинен бути реверсувати на підставі інформації на магнітній стрічці
або бази даних.
Зазвичай, ПІН це 4-значне число.
Коли випускається ПІН, черговість подій така:
- Генерується 4-значне число - це ПІН;
- ПІН комбінується з іншою інформацією, наприклад з номером рахунку, щоб створити блок даних для процесу шифрування;
- Вхідний блок тричі шифрується, використовую робочі ключі ПІН;
- Вибираються цифри з зашифрованого результату. Вони стає Pin Verification Value (Число Перевірки СІН) або Pin Offset (Зсув СІН);
- Зсув ПІН зберігається;
- Друкується конверт із ПІН;
- Пам'ять очищається нулями, щоб приховати всі сліди присутності чистого СІН.
На цьому етапі єдине місце де знаходиться значення ПІН це конверт. ПІН не може бути отриманий на підставі зміщення СІН.
Коли картка використовується і вводиться ПІН, зсув ПІН обчислюється на підставі введеного ПІН, використовуючи робочі ключі ПІН, і порівнюється зі збереженим зміщенням ПІН, щоб визначити правильність введення ПІН. Це означає, що коли ПІН перевіряється, що перевіряє системі потрібен доступ до робочих ключів ПІН, використовуваного при форміровке ПІН або його зміни.
Ще раз потрібно наголосити, що зміщення включає в себе цифри, вибрані з шифрованих даних. Зазвичай це 4-6 цифр. Неможливо відтворити ключі або ПІН використовуючи це значення.
3.4. Обробка VCC.
Швидко стало зрозуміло що поширення грошових карт призвело до ризику фінансових інститутів з боку шахраїв. У світі кредитних карт це до виробництва карт з або без магнітної смуги, підроблюючи імена та логотипи. На арені ATM карт, зловмисники спостерігали за введенням ПІН «через плече», зіставляли Піни з інформацією на квитанціях і створювали свої магнітні стрічки на болванках для карт.Ці та інші загрози підвели до введення Card Verification Value, неможливою для отримання послідовності цифр, створюваної процесом шифрування та записаної на магнітну стрічку карти. Це означає що електронний збір інформації про транзакції (ATM або POS) ефективно захищений від шахраїв.
Комбінація статичних даних як, наприклад, номер рахунку тричі шифрується, використовуючи спеціальну пару ключів Card Verification. Вибрані з результату цифри використовуються для створення CVV і пишуться на магнітну стрічку.
До CVV відноситься все те ж саме, що й до Pin Offset. Оскільки CVV складається з кількох цифр, і використовується потрійна шифрация, ключі CVV і значення добре захищені та наявність CVV дає додатковий рівень підтвердження що картка не є підробленою.
Потрібно відмітити що CVV просто додатковий метод захисту, він так само не 100%-але надійний. Він, наприклад не захищає від шахрайського збору інформації з магнітних карт, наприклад на фальшивих ATM (банкоматах).
Подальший розвиток CVV, CVV2, використовується для авторизації по телефону. Приблизно така ж схема розрахунків як і для CVV, вибрані з результату цифри друкуються на звороті картки. Ці цифри можуть бути запитані, щоб підтвердити правомірність угоди. Знову ж таки, це всього лише додаткова перевірка.
У хороших системах робочі ключі ніколи не зберігаються в незашифрованому форматі. Навіть коли вони створюються, часто це відбувається автоматично, так що ключі ніколи не відомі людям.
Коли створюються ініціалізаційний ключі, 64 біта діляться між двома або більше людьми, які «кидають монетку» для кожного біта. Так як кожен працює з одним із сегментів ключа, цілий ключ невідомий нікому, так зазвичай робиться початкове створення майстер-ключа.
Незважаючи на просту концепцію, управління ключами може стати досить складним на практиці.
У простій ATM мережі наприклад, майстер-ключ терміналу використовується для шифрування робочих ключів при передачі. Майстер-ключ терміналу (МКТ) генерується для кожного терміналу, ділиться на 2 частини і друкується (або іноді шифрується на спеціальною магнітною карті). Кожен ТМК потім інсталюється в банкомат.
Система потім закачає робочі ключі терміналу, зашифровані майстер ключем терміналів на кожен банкомат. Потім робочі ключі терміналу використовується для шифрування даних ПІН при передачі хосту під час процесингу. Якщо буде потрібно, робочий ключ терміналу може бути змінений через деякі інтервали, або динамічно, однак цей процес вимагає особливої пильності і підходу
Потрібно зауважити, що обмін ключами - це найслабше місце DES систем, тому потрібно особливо ретельно продумувати систему управління ключами.
Є компанії, що спеціалізуються на виділених шифрувальних об'єктах, як наприклад Racal і Atalla. Зазвичай вони називаються HSM (Захищений Модуль Хоста), однак Racal вирішує як назвати об'єкт.
Використовуючи ці пристрої, вся шифровка / дешифрування відбувається в закритому пристрої, і ключі в чистому вигляді ніколи його не покидають.
Фізично HSM захищені від розтину і зазвичай встановлюються в захищених комп'ютерних відділах. Спроби відкрити їх приведуть до знищення ключів знаходяться у пристрої.
Деякі додаток використовують фізичну телекомунікаційну лінію для додаткової безпеки, і є багато постачальників пристроїв такого типу. Вони являють собою «чорний ящик» і не вимагають спеціальних знань.
Приклад.
Шифрування при видачі грошей у банкоматі.
Звичайна АТМ - транзакція
- Клієнт вводить карту в банкомат;
- Клієнт вводить свій ПІН;
- Клієнт запитує готівку;
- Транзакція підтверджена, готівкові видані.
У цей процес залучено дуже багато шифровок.
1. Клієнт вводить карту в банкомат
Магнітна стрічка читається і зберігається в буфері банкомату.
2. Клієнт вводить свій ПІН
ПІН вводиться в захищений від зміни пад. Збережено ПІН заноситься в захисний апаратний модуль.
3. Клієнт запитує готівку
Повідомлення створюється в ATM. ПІН шифрується ключем Терміналу.
Повідомлення надсилається хосту, зашифроване апаратно.
Після отримання хостом, апаратне повідомлення дешифрується. Обчислюється CVV і порівнюється зі значенням на магнітній стрічці. СІН, зашифрований ключем Терміналу дешифрує. Обчислюється зсув ПІН або PVV. PVV порівнюється із записом в базі даних PVV.
4. Транзакція підтверджена, готівкові видані
Зауваження: всі функції шифрування хоста зазвичай відбуваються в захищеному модулі. Ніякі значення в чистому вигляді не передаються прикладним програмам або поза захищеного оточення.
Безліч нових способів доставки і ще більш широке поширення прогресивних технологій збільшило інтерес і використання шифрування.
У випадках коли криптографія потрібно для широкого розповсюдження серед суспільства (наприклад домашній банкінг за допомогою PC), звичайний DES занадто складний для безпечного управління. У такі системи впроваджені більш підходящі і безпечні алгоритми, такі як RSA (система шифрування з відкритим ключем).
Деякі корпоративні додатки використовують добре захищений DES, комбінуючи з іншими алгоритмами - MAC (Код автентифікації Повідомлення, Розмір MAC визначений у ISO8583 як 16 байт.), Фізична шифрування, обмін динамічним ключем і т.д.
Крім того, зазвичай POS-термінал буває оснащений модемом з можливістю автодозвону. POS-термінал має "інтелектуальними" можливостями - його можна програмувати. В якості мов програмування використовуються асемблер, а також діалекти C і Basic'а. Все це дозволяє проводити не тільки on-line авторизацію карток із магнітною смугою і смарт-карт, але і використовувати при роботі зі смарт-картами режим off-line з накопиченням протоколів транзакцій. Останні під час сеансів зв'язку передаються в процесинговий центр. Під час сеансу зв'язку POS-термінал може також приймати і запам'ятовувати інформацію, передану ЕОМ процесингового центру. В основному це бувають стоп - листи, але подібним же чином може здійснюватися і перепрограмування POS-терміналів.
Вартість POS-терміналів в залежності від комплектації, можливостей, фірми-виробника може змінюватися від декількох сотень до декількох тисяч доларів, проте зазвичай не перевищує півтора - дві тисячі. Розміри і вага POS-термінала порівняти з аналогічними параметрами телефонного апарату, а часто бувають і менше.
Основні характеристики POS-терміналів:
- Займає мало місця на прилавку завдяки компактному та інтеграційного дизайну;
- Приймає всі основні типи кредитних, дебетових і локально-корпоративних карт;
- Завдяки наявності зручного вбудованого рулонного принтера швидко друкує чеки та звіти;
- Розширює ваші можливості по роботі з великими аплікаціями, зберігає великі файли даних і транзакцій.
64 КB, EPROM-пам'яті і 256KB, 512 КB, або 1 МB, оперативної RAM-пам'яті, підтримуваної резервними батареями
швидкість передачі даних 300, 1200 або 2400 бод з протоколами: CCITT V.21/V.22/V.22 bis
16-ти символьний флуоресціюючий дисплей, включаючи десяткову точку і кому
трековий зчитувач магнітних карт
матричний рулонний принтер, 24 колонки серійний комунікаційний порт RS-232 для прямого з'єднання з персональним комп'ютером, електронним касовим апаратом або зовнішнім принтером швидкість обміну даними для роботи з PIN PAD-му, зчитувач смарт-карт або зчитувачем штрих-кодів до 9600 бод
Платіжний термінал TMS
Виробник Bull (Франція)
16-розрядний мікропроцесор NEC V25
зчитувач смарт-карт (ISO-7816) + зчитувач магнітної смуги (ISO 1 / 2)
128 Кб RAM, 512 Кб Flash пам'ять
RS232 + RS232 I / O
Dallas Security module
клавіатура (24 клавіші)
графічний дисплей (2 * 16 символів)
вбудований принтер (48 символів на рядку, швидкість 1 лінія / сек)
джерело живлення 220v/50Hz
Грошові купюри в банкоматі розміщуються в касетах, які, у свою чергу, знаходяться в спеціальному сейфі. Кількість касет визначає кількість номіналів купюр, які видаються банкоматом. Розміри касет регулюються, що дає можливість заряджати банкомат практично будь-якими купюрами. Банкомати можуть розміщуватися як в приміщеннях, так і безпосередньо на вулиці і працювати цілодобово.
Приклад банкомату, а також його технічні характеристики:
Банкомат Diebold 1064ix (внутрішній)
Основні характеристики:
Призначений для видачі готівкових грошей, обробки запитів про стан рахунків, переказ грошей з одного рахунку на інший і роздруківки міні-виписок.
Середній час експлуатації - 15 років
Висока надійність
Можливість видачі в одній пачці до 50 купюр
Велика ємність касет (до 3000 купюр)
Монітор 15 "(дозвіл 640х480х256 кольорів)
Процесор Pentium 166, пам'ять 16 Мб.
Безшумний чековий термопринтер 2 або 4 касети для завантаження купюр.
Висота 1360мм
Ширина 470мм
Довжина 835мм
Вага 488кг
ПАРАМЕТРИ НАВКОЛИШНЬОГО СЕРЕДОВИЩА
Робоча температура від 10 ° до 38 ° C
Робоча вологість 20-80%, без конденсації
Для того щоб зробити транзакцію відповідно до стандарту SET, обидві що у угоді сторони - покупець і торгуюча організація (постачальник) - повинні мати рахунки в банку (або іншої фінансової установи), що використовує стандарт SET, а також розташовувати сумісним з SET програмним забезпеченням. У такій якості можуть, наприклад, виступати Web-броузер для покупця і Web-сервер для продавця - обидва, очевидно, з підтримкою SET.
Поряд з очевидними перевагами картки є невирішені завдання.
Картка, а точніше, записані на неї кошти вважаються електронними готівкою, тобто засобом платежу. Однак традиційно емітентом готівкових грошей може бути тільки центральний банк країни. У даному ж випадку емісія електронних грошей як би довіряється комерційному банку.
Ще одна проблема, пов'язана з безпекою системи, полягає в можливості шахрайського використання картки, якщо вдасться все ж таки "пробити" складну систему захисту інформації, що забезпечується застосуванням мікропроцесорних карток.
Безумовно, використання механізмів аутентифікації і криптозахисту підвищує стійкість системи на порядки. Тим не менше багато фахівців вважають, що освоєння мікропроцесорних технологій шахраями - справа часу.
Таким чином, прирівнювання запису на картці до грошей ставить суспільство в занадто жорстку залежність від забезпечення безпеки платіжної системи як на організаційному, так і на технологічному рівні.
3.5.Работа з ключами.
Робота з ключами передбачає собою зберігання, захист і передачу ключів. В одній фінансової організації може бути безліч DES ключів, і вони вимагають належного управління. Одне з найгірших випадків налагодження комп'ютерних помилок - це налагодження програм пов'язаних з шифруванням даних, так як дампи пам'яті не несуть ніякого сенсу, і може бути дуже складно виявити, що використовується невірний шифрувальний ключ.У хороших системах робочі ключі ніколи не зберігаються в незашифрованому форматі. Навіть коли вони створюються, часто це відбувається автоматично, так що ключі ніколи не відомі людям.
Коли створюються ініціалізаційний ключі, 64 біта діляться між двома або більше людьми, які «кидають монетку» для кожного біта. Так як кожен працює з одним із сегментів ключа, цілий ключ невідомий нікому, так зазвичай робиться початкове створення майстер-ключа.
Незважаючи на просту концепцію, управління ключами може стати досить складним на практиці.
У простій ATM мережі наприклад, майстер-ключ терміналу використовується для шифрування робочих ключів при передачі. Майстер-ключ терміналу (МКТ) генерується для кожного терміналу, ділиться на 2 частини і друкується (або іноді шифрується на спеціальною магнітною карті). Кожен ТМК потім інсталюється в банкомат.
Система потім закачає робочі ключі терміналу, зашифровані майстер ключем терміналів на кожен банкомат. Потім робочі ключі терміналу використовується для шифрування даних ПІН при передачі хосту під час процесингу. Якщо буде потрібно, робочий ключ терміналу може бути змінений через деякі інтервали, або динамічно, однак цей процес вимагає особливої пильності і підходу
Потрібно зауважити, що обмін ключами - це найслабше місце DES систем, тому потрібно особливо ретельно продумувати систему управління ключами.
3.6.Фізіческое додаток.
Зашифрований процесинг і керування ключами зазвичай проводиться на спеціалізованому захищеному обладнанні. DES може бути вбудований і в програмне забезпечення (використовуючи такі продукти як наприклад IBM's PCF), але це менш безпечно, до того ж алгоритм DES може посилено використовувати ресурси процесора.Є компанії, що спеціалізуються на виділених шифрувальних об'єктах, як наприклад Racal і Atalla. Зазвичай вони називаються HSM (Захищений Модуль Хоста), однак Racal вирішує як назвати об'єкт.
Використовуючи ці пристрої, вся шифровка / дешифрування відбувається в закритому пристрої, і ключі в чистому вигляді ніколи його не покидають.
Фізично HSM захищені від розтину і зазвичай встановлюються в захищених комп'ютерних відділах. Спроби відкрити їх приведуть до знищення ключів знаходяться у пристрої.
Деякі додаток використовують фізичну телекомунікаційну лінію для додаткової безпеки, і є багато постачальників пристроїв такого типу. Вони являють собою «чорний ящик» і не вимагають спеціальних знань.
Приклад.
Шифрування при видачі грошей у банкоматі.
Звичайна АТМ - транзакція
- Клієнт вводить карту в банкомат;
- Клієнт вводить свій ПІН;
- Клієнт запитує готівку;
- Транзакція підтверджена, готівкові видані.
У цей процес залучено дуже багато шифровок.
1. Клієнт вводить карту в банкомат
Магнітна стрічка читається і зберігається в буфері банкомату.
2. Клієнт вводить свій ПІН
ПІН вводиться в захищений від зміни пад. Збережено ПІН заноситься в захисний апаратний модуль.
3. Клієнт запитує готівку
Повідомлення створюється в ATM. ПІН шифрується ключем Терміналу.
Повідомлення надсилається хосту, зашифроване апаратно.
Після отримання хостом, апаратне повідомлення дешифрується. Обчислюється CVV і порівнюється зі значенням на магнітній стрічці. СІН, зашифрований ключем Терміналу дешифрує. Обчислюється зсув ПІН або PVV. PVV порівнюється із записом в базі даних PVV.
4. Транзакція підтверджена, готівкові видані
Зауваження: всі функції шифрування хоста зазвичай відбуваються в захищеному модулі. Ніякі значення в чистому вигляді не передаються прикладним програмам або поза захищеного оточення.
3.7. Інші програми шифрування у фінансах.
Так само як і звичайні використання шифрування, міжбанківські мережі (наприклад SWIFT) історично були активними користувачами шифрувальних технік.Безліч нових способів доставки і ще більш широке поширення прогресивних технологій збільшило інтерес і використання шифрування.
У випадках коли криптографія потрібно для широкого розповсюдження серед суспільства (наприклад домашній банкінг за допомогою PC), звичайний DES занадто складний для безпечного управління. У такі системи впроваджені більш підходящі і безпечні алгоритми, такі як RSA (система шифрування з відкритим ключем).
Деякі корпоративні додатки використовують добре захищений DES, комбінуючи з іншими алгоритмами - MAC (Код автентифікації Повідомлення, Розмір MAC визначений у ISO8583 як 16 байт.), Фізична шифрування, обмін динамічним ключем і т.д.
4. Пристрої обслуговування електронних платежів.
4.1. Використання POS-терміналів.
POS-термінали, або торгові термінали, призначені для обробки транзакцій при фінансових розрахунках з використанням пластикових карток з магнітною смугою і смарт-карт. Використання POS-терміналів дозволяє автоматизувати операції з обслуговування картки та істотно зменшити час обслуговування. Можливості та комплектація POS-терміналів варіюються в широких межах, проте типовий сучасний термінал оснащений пристроями читання як смарт-карт, так і карт із магнітною смугою, незалежною пам'яттю, портами для підключення ПІН - клавіатури (клавіатури для набору ПІН - коду), принтера, з'єднання з ПК чи з електронним касовим апаратом.Крім того, зазвичай POS-термінал буває оснащений модемом з можливістю автодозвону. POS-термінал має "інтелектуальними" можливостями - його можна програмувати. В якості мов програмування використовуються асемблер, а також діалекти C і Basic'а. Все це дозволяє проводити не тільки on-line авторизацію карток із магнітною смугою і смарт-карт, але і використовувати при роботі зі смарт-картами режим off-line з накопиченням протоколів транзакцій. Останні під час сеансів зв'язку передаються в процесинговий центр. Під час сеансу зв'язку POS-термінал може також приймати і запам'ятовувати інформацію, передану ЕОМ процесингового центру. В основному це бувають стоп - листи, але подібним же чином може здійснюватися і перепрограмування POS-терміналів.
Вартість POS-терміналів в залежності від комплектації, можливостей, фірми-виробника може змінюватися від декількох сотень до декількох тисяч доларів, проте зазвичай не перевищує півтора - дві тисячі. Розміри і вага POS-термінала порівняти з аналогічними параметрами телефонного апарату, а часто бувають і менше.
Основні характеристики POS-терміналів:
- Займає мало місця на прилавку завдяки компактному та інтеграційного дизайну;
- Приймає всі основні типи кредитних, дебетових і локально-корпоративних карт;
- Завдяки наявності зручного вбудованого рулонного принтера швидко друкує чеки та звіти;
Платіжний термінал TRANZ 460
Виробник: VeriFone64 КB, EPROM-пам'яті і 256KB, 512 КB, або 1 МB, оперативної RAM-пам'яті, підтримуваної резервними батареями
швидкість передачі даних 300, 1200 або 2400 бод з протоколами: CCITT V.21/V.22/V.22 bis
16-ти символьний флуоресціюючий дисплей, включаючи десяткову точку і кому
трековий зчитувач магнітних карт
матричний рулонний принтер, 24 колонки серійний комунікаційний порт RS-232 для прямого з'єднання з персональним комп'ютером, електронним касовим апаратом або зовнішнім принтером швидкість обміну даними для роботи з PIN PAD-му, зчитувач смарт-карт або зчитувачем штрих-кодів до 9600 бод
Платіжний термінал TMS
16-розрядний мікропроцесор NEC V25
зчитувач смарт-карт (ISO-7816) + зчитувач магнітної смуги (ISO 1 / 2)
128 Кб RAM, 512 Кб Flash пам'ять
RS232 + RS232 I / O
Dallas Security module
клавіатура (24 клавіші)
графічний дисплей (2 * 16 символів)
вбудований принтер (48 символів на рядку, швидкість 1 лінія / сек)
джерело живлення 220v/50Hz
4.2. Використання банкоматів.
Банкомати - банківські автомати для видачі та інкасування готівки при операціях з пластиковими картками. Крім цього, банкомат дозволяє держателю картки отримувати інформацію про поточний стан рахунку, проводити операції з перерахування коштів з одного рахунку на інший. Банкомат забезпечений пристроєм для читання карти, а для інтерактивної взаємодії з власником картки - також дисплеєм і клавіатурою. Банкомат оснащений персональної ЕОМ, яка забезпечує управління банкоматом і контроль його стану. Останнє дуже важливо, оскільки банкомат є сховищем готівкових грошей. На сьогоднішній день більшість моделей розраховано на роботу в on-line режимі з картками з магнітною смугою, однак з'явилися й пристрої, здатні працювати зі смарт-картами і в off-line режимі. Для забезпечення комунікаційних функцій банкомати оснащуються платами X.25.Грошові купюри в банкоматі розміщуються в касетах, які, у свою чергу, знаходяться в спеціальному сейфі. Кількість касет визначає кількість номіналів купюр, які видаються банкоматом. Розміри касет регулюються, що дає можливість заряджати банкомат практично будь-якими купюрами. Банкомати можуть розміщуватися як в приміщеннях, так і безпосередньо на вулиці і працювати цілодобово.
Банкомат Diebold 1064ix (внутрішній)
Основні характеристики:
Призначений для видачі готівкових грошей, обробки запитів про стан рахунків, переказ грошей з одного рахунку на інший і роздруківки міні-виписок.
Середній час експлуатації - 15 років
Висока надійність
Можливість видачі в одній пачці до 50 купюр
Велика ємність касет (до 3000 купюр)
Монітор 15 "(дозвіл 640х480х256 кольорів)
Процесор Pentium 166, пам'ять 16 Мб.
Безшумний чековий термопринтер 2 або 4 касети для завантаження купюр.
Висота 1360мм
Ширина 470мм
Довжина 835мм
Вага 488кг
ПАРАМЕТРИ НАВКОЛИШНЬОГО СЕРЕДОВИЩА
Робоча температура від 10 ° до 38 ° C
Робоча вологість 20-80%, без конденсації
5. Стандарти електронних розрахунків.
5.1. Стандарт SET.
Абревіатура SET розшифровується як Secure Electronic Transactions - безпечні (або захищені) електронні транзакції. Стандарт SET, спільно розроблений компаніями Visa і MasterCard, обіцяє збільшити обсяг продажів за кредитними картками через Internet. Сукупна кількість потенційних покупців - власників карток Visa і MasterCard в усьому світі - перевищує 700 мільйонів чоловік. Забезпечення безпеки електронних транзакцій для такого числа покупців могло б призвести до помітних змін, зреалізований у зменшенні собівартості транзакції для банків та процесингових компаній. До цього слід додати, що і American Exdivss оголосила про намір приступити до впровадження стандарту SET.Для того щоб зробити транзакцію відповідно до стандарту SET, обидві що у угоді сторони - покупець і торгуюча організація (постачальник) - повинні мати рахунки в банку (або іншої фінансової установи), що використовує стандарт SET, а також розташовувати сумісним з SET програмним забезпеченням. У такій якості можуть, наприклад, виступати Web-броузер для покупця і Web-сервер для продавця - обидва, очевидно, з підтримкою SET.
5.2. Концепція Cyber Cash.
Компанія CyberCash, розташована в м. Рестон (штат Вірджинія, США) була піонером у розробці багатьох концепцій, використаних у стандарті SET, і прийняла на себе зобов'язання однією з перших впровадити SET. Безліч покупців і торговельних організацій по всьому світу використовують систему SIPS (simple Internet payment system) виробництва CyberCash. Є стимул для використання програмного забезпечення CyberCash: на додаток до підвищеної безпеки програмне забезпечення поставляється вільно (тобто безкоштовно) як покупцям, так і продавцям. Плата за використання системи CyberCash включається в оплату за обслуговування кредитних карток.5.3. Платежі без кодування - система First Virtual.
З огляду на проблеми, що виникають у зв'язку з необхідністю пересилки номерів кредитних карток через Internet: необхідність кодування і забезпечення гарантій від розшифровки третіми особами, можна сформулювати альтернативний підхід. Він полягає в повній відмові від пересилання інформації, що відноситься до кредитних карток, через Internet. Компанія First Virtual (США) розробила систему, використовуючи яку, покупець ніколи не вводить номер своєї кредитної картки. На додаток до платіжної системи First Virtual підтримує власну систему електронної пошти, званої InfoHaus. Це пов'язано з тим, що основними видами товарів у First Virtual є програмне забезпечення і інформація, на підтримку яких і орієнтована система електронної пошти.5.4. Система Digital Cash.
Digital Cash, яка використовує цифрові чи електронні готівкові (гроші) - найбільш радикальна форма електронної комерції. Мабуть, тому її поширення здійснюється досить повільно. Розглянуті вище системи традиційні в принциповому плані - звичайні грошові транзакції реалізовані в них в електронному Internet-варіанті. У той же час електронні готівкові - новим типом грошей. Вони потенційно можуть призвести до радикальних змін у грошовому обігу і його регулюванні.6. Висновки
Можна сказати, що зараз у світі йде процес пошуку нових типів платіжних систем, які максимально задовольняли б усі сторони беруть участь у грошовому обігу. Дуже сильно цей процес пов'язаний з розвитком всесвітньої комп'ютерної мережі Internet, так як розвиток Internet призводить як до появи величезної кількості додаткових можливостей, так і до появи величезної кількості нових проблем. Можна з упевненістю сказати, що в найближчі роки яка-небудь з з'являються зараз систем платежу займе міцне місце в нашому житті. Зараз практично неможливо визначити, що це буде конкретно, але як видно тенденція це вдосконалення цифрових грошей, дія яких, на даний момент розповсюджується тільки в межах глобальної комерційної мережі Інтернет, оформлення їх правової бази і винесення їх за її межі. По всій видимості, основою для виносу цифрових грошей за межі Інтернет стануть електронні гаманці, які зараз випускає Mondex. Проте можливо, що в найближчі роки буде винайдено щось принципово нове, що відразу витіснить з ринку всю решту коштів грошового обігу. Одне є очевидним, загальна тенденція в будь-якому випадку полягає в скороченні обороту готівкових грошей в усьому світі, і ставка робиться на на багатофункціональність картки.Поряд з очевидними перевагами картки є невирішені завдання.
Картка, а точніше, записані на неї кошти вважаються електронними готівкою, тобто засобом платежу. Однак традиційно емітентом готівкових грошей може бути тільки центральний банк країни. У даному ж випадку емісія електронних грошей як би довіряється комерційному банку.
Ще одна проблема, пов'язана з безпекою системи, полягає в можливості шахрайського використання картки, якщо вдасться все ж таки "пробити" складну систему захисту інформації, що забезпечується застосуванням мікропроцесорних карток.
Безумовно, використання механізмів аутентифікації і криптозахисту підвищує стійкість системи на порядки. Тим не менше багато фахівців вважають, що освоєння мікропроцесорних технологій шахраями - справа часу.
Таким чином, прирівнювання запису на картці до грошей ставить суспільство в занадто жорстку залежність від забезпечення безпеки платіжної системи як на організаційному, так і на технологічному рівні.