- •Целями автоматизации банковской деятельности являются:
- •1. По материалу:
- •1. По материалу:
- •2.2 Российские платежные системы
- •2.3 Международные платежные системы
- •Visa e-c@rd
- •2.4 Платежная система e-Gold
- •1. Чем e-Gold удобна для россиян?
- •2. Что вы можете делать с помощью e-Gold?
- •3. Как зарегистрироваться в e-Gold?
- •4. Зачисление на счет и вывод денег со счета в Платежной системе e-Gold
- •5. Вывод денег из e-Gold
- •6. Комиссия в e-Gold
- •2. Тариф за хранение.
- •4.1.1 Кредитные карточки
- •6.Маркетинг пластиковых карт.
- •1.1 Технология работы
- •1.2 Преимущества и недостатки карт с магнитной полосой
- •2.1 Принципы и технология работы
- •2.2 Преимущества смарт-карт
- •Доходы банка-эмитента
- •Доход обслуживания карт
- •4.3.1 On-line режим
- •4.3.2 Off-line режим. Электронный кошелек
- •4.4.1 Маршрутизация транзакций в on-line системах
- •4.4.2 Off-line системы
- •Системы электронной почты
- •Специализированные сети телекоммуникаций
- •Преимущества дистанционного банковского обслуживания
1.2 Преимущества и недостатки карт с магнитной полосой
Магнитные карточки нельзя считать идеальным платежным средством, так как они имеют множество недостатков:
Плохие эксплуатационные характеристики (информацию на магнитном носителе легко разрушить).
Отсутствует возможность надежного обновления информации, что не позволяет хранить на карточке информацию о состоянии счета клиента.
Необходимость обслуживания карточки в режиме on-line. что повышает издержки эксплуатации подобной системы.
Слабая защита от мошенничества (эти карточки легко подделать).
Микропроцессорные карты, особенности расчетов с их использованием
2.1 Принципы и технология работы
Более привлекательными для реализации идей офлайн-авторизации оказались чиповые карты или смарт-карты. Смарт-карта содержит микросхему, свойства которой и определяют функциональные возможности карты как технологического продукта.
В зависимости от встроенной микросхемы смарт- карты делятся на несколько типов, различающихся по выполняемым функциям:
карты с интегральной схемой памяти (карты памяти);
микропроцессорные карты;
карты с криптографической логикой.
Карты памяти предназначены для хранения информации и представляют собой микросхему, позволяющую только читать и записывать данные. В зависимости от условий доступа к областям памяти карты памяти делятся на карты открытой и защищенной памяти. Карты открытой памяти практически непригодны для применения в качестве платежных. Чаще они используются в специальных областях (например, транспортные) - для переноса данных.
Карты защищенной памяти предполагают разделение памяти на области с различными свойствами перезаписи и условиями доступа. Карты этого типа использовались в середине 90-х гг. для платежных приложений, но в конце десятилетия отступили на второй план, уступив микропроцессорным картам.
Карты с криптографической логикой используются в системах защиты информации для принятия непосредственного участия в процессе шифрования данных или выработки криптографических ключей, электронных цифровых подписей и другой необходимой информации для работы системы.
Микропроцессорные карты в отличие карт памяти кроме функции хранения информации содержат микроконтроллер со специальной программой или операционной системой. Операционная система обеспечивает набор сервисных операций, поддерживает файловую систему, преобразовывает данные по указанному алгоритму, обеспечивает защиту информации. Микропроцессоры на этих картах характеризуются по следующим параметрам: тактовая частота, емкость ОЗУ, емкость ПЗУ и емкость перезаписываемой энергонезависимой памяти.
Разграничение доступа к информации, хранимой на карте, определяется операционной системой в различных режимах:
режим доступа, разрешающий чтение/запись информации без секретных кодов;
режим доступа по чтению, доступ по записи возможен после предоставления секретного кода;
режим доступа по чтению и записи после предоставления специального кода;
режим, запрещающий чтение и запись информации. Информация может быть доступна только для внутренних команд карты.
Микропроцессорные карты поддерживают гораздо более интеллектуальное взаимодействие с платежным терминалом за счет расширения системы команд, обрабатываемых встроенной в карту микросхемой. Развитые операционные системы для карт поддерживают файловые системы, криптографические команды и команды работы с ключами. Специализированные операционные системы для платежных карт поддерживают также такие продвинутые понятия, как кошельки, с поддержкой соответствующих свойств доступа и соответствующих смыслу кошельков операций.
Микропроцессорная карта сделана из пластика и содержит микросхему с микропроцессором и различными запоминающими устройствами: ПЗУ - для хранения операционной системы, ОЗУ - для выполнения команд, ЭСППЗУ - электрически стираемое программируемое постоянное запоминающее устройство, энергонезависимая память для хранения прикладной информации. ЭСППЗУ разбито на две области: секретную и пользовательскую. Секретная область недоступна для прикладных программ и предназначена только для хранения ключей. Пользовательская область организована аналогично памяти на гибких дисках.
В операционной системе микропроцессора предусмотрены следующие команды: предъявление ключа, чтение массива атрибутов файла из таблицы определения, чтение информации, запись информации, поиск файла, очищение карточки, запись определения файла в таблицу, задание ключей.
Ключи хранятся в секретной области, предусмотрены три типа ключей: ключ банка, ключ владельца карты и ключи приложений. Файлы могут быть защищены этими ключами по чтению/записи.
Международные платежные системы разработали стандарты банковского сектора на чиповую карту - спецификации EMV, которые включают спецификации:
на чиповую карту,
на приложение для чиповой карты,
на терминал, работающий с чиповой картой .
Рассмотрим основные шаги процесса выполнения транзакции.
Прежде всего терминал осуществляет выбор приложения. Это ключевой момент для обеспечения совместимости приложений. Карта с реализованным на ней приложением должна корректно реагировать на выбор приложения.
После выбора приложения терминал инициализирует транзакцию, информируя карту о начале выполнения новой транзакции и передавая карте терминальную информацию о ней. Затем терминал получает с карты профайл и указатель записей файлов, содержащих данные. Затем терминал читает указанные записи линейных файлов, извлекая из них данные приложения. Далее терминал выполняет целый ряд действий с целью принятия решения по данной транзакции: отклонить ее в режиме офлайн, продолжить выполнение в режиме онлайн или принять в режиме офлайн. Эти действия выполняются на основе предписаний профайла. Каждое из них можно рассматривать как проверку некоторого свойства, завершающуюся ответом «да» или «нет».
На основе анализа всей совокупности проверок терминал примет решение о способе выполнения транзакции. Описанный принцип является ключевым моментом спецификаций. Принятие решения о способе выполнения транзакции, представляющим собой поиск компромисса между эффективностью и стоимостью (офлайн), с одной стороны, и безопасностью (онлайн), с другой стороны, осуществляется терминалом (по установкам эквайрера) на основе предписаний, содержащихся в профайле карты (определенном эмитентом).
В качестве первой «проверки» карты терминал выполняет ее аутентификацию.
Аутентификация предполагает использование криптографии с открытыми ключами и базируется на следующей идее. Существует назначенный платежными ассоциациями центр доверия (Certification Authoгity), осуществляющий в условиях высочайшей секретности подписывание открытых ключей эмитента. Всякий терминал содержит соответствующие открытые ключи, полученные из центра доверия и позволяющие распознать любое истинное приложение на карте.
Спецификации предусматривают два метода аутентификации статическую (эмитентом подписываются одни и те же данные) и динамическую (картой после выполнения транзакции генерируется подпись каждый раз разных данных). Кроме того, предусмотрена миграция от одних ключей к другим и одних конкретных методов дешифрации к другим, хотя и имеющим одну основу - алгоритм RSA.
После осуществления аутентификации терминал выполняет ряд проверок, определяет соответствие номера версии приложения в терминале и на карте. Также проверяет ограничения на географию, записанные на карте, и дату (начала) действия приложения и срок действия карты.
Далее осуществляется верификация держателя карты. На карте может присутствовать СVМ-список - список методов верификации держателя карты. Терминал обрабатывает каждое правило в том порядке, в котором они появляются в списке. Верификация завершается, когда один из методов успешно выполнится или список исчерпается. Обрабатываемые правила связаны со сравнением суммы транзакции с заданными в качестве параметров величинами. В зависимости от результата такого сравнения терминал осуществляет действия типа: «проверку ПИНа выполняет карта»; «шифрованный ПИН проверяется в режиме онлайн»; «проверку ПИНа выполняет карта + подпись» и т.п. Офлайн-проверка ПИНа завершается успешно только в одном случае - если карта вернет нормальный код возврата на команду VERIFY, выполняющую сравнение введенного держателем карты ПИНа и хранимого на карте ПИНа.
Затем терминал осуществляет так называемое терминальное управление рисками с целью защитить эквайрера, эмитента и платежную систему от мошенничества. Оно обеспечивает авторизацию эмитентом транзакций с высокой стоимостью и гарантирует, что все карты периодически выходят на онлайн-связь для защиты от угроз, которые могут быть необнаруженными при офлайн-обработке. Терминальное управление рисками включает:
- проверку доавторизованного лимита;
- случайный выбор транзакции для онлайн-выполнения;
- проверку частоты онлайновых операций.
Наконец, терминал выполняет анализ действий, принимая решение по вопросу выбора режима транзакции: онлайн/офлайн. Это решение принимается на основе анализа всех ответов и прочитанной в профайле маски. Таким образом обеспечивается влияние эмитента (записавшего на карту маску) на принятие решения и, следовательно, на риски при выполнении транзакции (то, что раньше полностью зависело от только эквайрера).
Далее, если терминал принимает решение выполнять транзакцию в режиме офлайн, он запрашивает у карты счетчик транзакций; если принимается решение о выполнении транзакции в режиме онлайн, терминал запрашивает у карты криптограмму авторизационного запроса.
Данная криптограмма включается в авторизационное сообщение и отправляется в соответствии с обычным протоколом хост-компьютеру.