Использование этих ключей дает возможность доступа к чтению информации из соответствующей области или записи информации. Как правило, активизация одного ключа позволяет только читать информацию, а активизация сразу всех ключей ее - и записывать. [14, с. 116-117]
Правильное предъявление ПИН-кода открывает доступ к карте (по чтению данных), однако не должно менять информацию, которой распоряжается кредитор карты (банк) или ее дебитор (магазин). Ключ записи информации в кредитную область карты имеется только у банка; ключ записи информации в дебетную область - у магазина. Только при предъявлении сразу двух ключей (ПИН-кода клиента и ключа банка при кредитовании, ПИН-кода клиента и ключа магазина при дебетовании) можно провести соответствующую финансовую операцию - внести деньги либо списать сумму покупки с карты.
Если в качестве платежной используются карты с одной защищенной областью памяти, - значит, банк и магазин будут работать с одной и той же областью, применяя одинаковые ключи защиты. Если банк, как эмитент карты, может ее дебетовать (например, в банкоматах), то магазин права кредитовать карту не имеет. Однако такая возможность ему дана - поскольку, в силу необходимости дебетования карты при покупках, он знает ключ стирания защищенной зоны. То обстоятельство, что и кредитор карты, и ее дебитор (обычно разные лица) пользуются одним ключом, нарушает сразу несколько основных принципов защиты информации (в частности, принципы разделения полномочий и минимальных полномочий). Это рано или поздно приведет к мошенничеству. Не спасают ситуацию и криптографические способы защиты информации.
Из известных карт с защищенной памятью лишь упоминавшаяся уже карта СРМ896 обладает двумя защищенными областями памяти и удовлетворяет требованиям по разграничению доступа к информации, как со стороны банка, так и со стороны магазина.
Принципиально иные возможности открывают настоящие микропроцессорные карты, поскольку они имеют свою внутреннюю логику и, фактически, являются микрокомпьютером.
В карту встраивается специализированная операционная система, обеспечивающая большой набор сервисных операций и средств безопасности.
Операционная система карты поддерживает файловую систему, предусматривающую разграничение доступа к информации. Для информации, хранимой в любой записи (файл, группа файлов, каталог), могут быть установлены следующие режимы доступа:
* всегда доступна по чтению/записи. Этот режим разрешает чтение/запись информации без знания специальных секретных кодов;
* доступна по чтению, но требует специальных полномочий для записи. Этот режим разрешает свободное чтение информации, но разрешает запись только после предъявления специального секретного кода;
* специальные полномочия по чтению/записи. Этот режим разрешает доступ по чтению или записи после предъявления специального секретного кода, причем коды для чтения и записи могут быть различными;
* недоступна. Этот режим не разрешает читать или записывать информацию. Информация доступна только внутренним программам карточки. Обычно этот режим устанавливается для записей, содержащих криптографические ключи.
Как правило, в такие карточки встроены криптографические средства, обеспечивающие шифрование информации и выработку «цифровой» подписи. Традиционно в карточках для этих целей применяется криптографический алгоритм. Кроме того, в карточке имеются средства ведения ключевой системы.
Карты обеспечивают различный спектр сервисных команд. Для банковских целей наиболее интересные из них - средства ведения электронных платежей.
К специальным средствам относятся возможность блокировки работы с карточкой. Различаются два вида блокировки: при предъявлении неправильного транспортного кода и при несанкционированном доступе.
Суть транспортной блокировки состоит в том, что доступ к карточке невозможен без предъявления специального транспортного кода. Этот механизм необходим для защиты от нелегального использования карточек при хищении во время пересылки карточки от производителя к потребителю. Карточка может быть активизирована только при предъявлении правильного «транспортного» кода.
Суть блокировки при несанкционированном доступе состоит в том, что если при доступе к информации несколько раз неправильно был предъявлен код доступа, то карта вообще перестает быть работоспособной. При этом, в зависимости от установленного режима карта может быть впоследствии либо активизирована при предъявлении специального кода, либо нет. В последнем случае карточка становится непригодной для дальнейшего использования.
Пластиковые карты с микросхемами имеют более высокую степень защиты от мошенничества и подделок.
Несмотря на очевидные преимущества, смарт-карточки до сих пор имели ограниченное применение, по тойпричине, что такая карточка на порядок дороже, чем карточка с магнитной полосой. Лишь в последние годы, когда ущерб от мошенничества с магнитными картами в международных платежных системах стал пугающе высоким и продолжает расти, банками было принято решение о постепенном переходе на смарт-карты.[21, с. 103]
Суперсмарт-карты. Примером может служить многоцелевая карта фирмы Toshiba, используемая в системе VISA. В дополнение ко всем возможностям обычной микропроцессорной карты, эта карта также имеет небольшой дисплей и вспомогательную клавиатуру для ввода данных. Эта карта объединяет в себе кредитную, дебетовую и предоплатную карты, а также выполняет функции часов, календаря, калькулятора, осуществляет конвертацию валюты, может служить записной книжкой и т.д. Из-за высокой стоимости, суперсмарт-карты не имеют сегодня широкого распространения, но их использование будет, вероятно, расти.
В 1981 году Дж. Дрекслером была изобретена оптическая карточка.Карты оптической памяти имеют большую емкость, чем карты памяти, но данные на них могут быть записаны только один раз. В таких картах используетсяWORM-технология (однократная запись - многократное чтение). Запись и считывание информации с такой карты производится специальной аппаратурой с использованием лазера (откуда другое название - лазерная карта). Технология, применяемая в картах, подобна той, которая используется в лазерных дисках.Основное преимущество таких карточек - возможность хранения больших объемов информации. Такие карточки в банковских технологиях распространения пока не получили вследствие высокой стоимости как самих карточек, так и считывающего оборудования.
1.4. Платежная система и ее участники
Платежной системой будем называть совокупность методов и реализующих их субъектов, обеспечивающих в рамках системы условия для использования банковских пластиковых карточек оговоренного стандарта в качестве платежного средства.
Перед каждым банком, находящимся на этапе выбора системы обслуживания клиентов на основе пластиковых карточек, возникает комплекс технических и технологических проблем. Одна из основных задач, решаемых при создании платежной системы, состоит в выработке и соблюдении общих правил обслуживания карточек, входящих в систему эмитентов, проведения взаиморасчетов и платежей. Правила информационного обмена влияют на выбор аппаратно-информационных средств, средств связи и коммуникаций, на систему обеспечения безопасности. Эти правила охватывают как чисто технические аспекты операций с карточками - стандарты данных, процедуры авторизации, спецификации на используемое оборудование и пр., так и финансовые стороны обслуживания карточек - процедуры расчетов с предприятиями торговли и сервиса, входящими в состав приемной сети, правила взаиморасчетов между банками, тарифы и т.д.
Существующие особенности и возможности пластиковых карт не могут не сказаться на особенностях построения и функционирования платежных систем.
В общем случае развитую платежную систему составляют:
* держатель карты;
* банк-эмитент;
* банк-эквайер;
* расчетный банк;
* магазины и другие точки обслуживания;
* процессинговый центр и коммуникации.
1.4.1. Держатель пластиковой карты
Держатель пластиковой карты – это лицо, которому передается карта на основе подписанного договора с эмитентом [21, с. 77]. Не всегда пользователь является лицом, заключившим контракт (например, в случаекорпоративных или семейных карт).
Держателями банковских карт в России могут быть физические и юридические лица,как резиденты, так и нерезиденты, согласно Положения Банка России «О порядке эмиссии кредитными организациями банковских карт и осуществления расчетов по операциям, совершаемым с их использованием» от 9 апреля 1998 года № 23-П, в ред. Указания ЦБ РФ от 29.11.2000 № 857-У(далее- Положение). Владелец карты может использовать ее для оплаты товаров и услуг, предлагаемых другими участниками платежной системы, а также для получения наличных.
Перед выдачей кредитной карты клиент заполняет специальную анкету, на основе которой проводится анализ его кредитоспособности. Дело в том, что кредит по банковской карточке связан c риском не возвратассуды, поэтому выдаче кредитной картына Западе предшествует изучение кредитной истории клиента и его текущего финансового положения. В России нет опыта ведения кредитных историй и в качестве страхования рисков, связанных с оформлением кредитнойкарты, банки требуют внесения страхового депозита. Сумма средств на страховом депозите может в 1,5 и более раз превышать лимит кредитования.
Причины, по которым клиент обращается в банк, как правило, связаны со следующим:
* операции, оспариваемые клиентом;
* неполучение в срок выписки по счету;
* неполучение банком перевода в оплату выписки по счету;
* запрос об остатке непогашенной задолженности.
Запрос первого рода возникает тогда, когда клиент, получив выписку по счету, обнаруживает в ней операцию, которую он не совершал. Ошибочная запись может возникнуть по разным причинам, в том числе и в результате того, что кто-то воспользовался счетом клиента в мошеннических целях.