Совершенствования операций с пластиковыми картами (стр. 5 из 14)

Как правило, карты с защищенной памятью содержат область, в которую записываются идентификационные данные. Эти данные не могут быть изменены впоследствии, что очень важно для обеспече­ния невозможности подлога карты. С этой целью идентификацион­ные данные на карте «прожигаются».

Необходимо также, чтобы на платежной карте были, по меньшей мере, две защищенные области. Уже отмечалось, что в технологии безналичных расчетов по картам участвуют обычно три юридически независимых лица: клиент, банк и магазин. Банк вносит деньги на карту (кредитует ее), магазин снимает деньги с карты (дебетует ее), и все эти операции должны совершаться с санкции клиента. Таким образом, доступ к данным на карте и операции над ними надо раз­граничивать. Это достигается разбиением памяти карты на две за­щищенные разными ключами области - дебетовую и кредитную. Каждый участник операции имеет свой секретный ключ [15].

Для защиты областей данных от несанкционированного доступа предусматриваются поля, контролирующие доступ к этим данным. Существуют три типа ключей:

I-Кеу - ключ банка,

Р-Кеу - ключ владельца карточки - PIN-код,

А-Кеуs - ключи торговых организаций или иных приложе­ний.

Использование этих ключей дает возможность доступа к чтению информации из соответствующей области или записи информации. Как правило, активизация одного ключа позволя­ет только читать информацию, а активизация сразу всех ключей ее - и записывать. [4]

Правильное предъявление ПИН-кода открывает доступ к карте (по чтению данных), однако не должно менять информацию, кото­рой распоряжается кредитор карты (банк) или ее дебитор (магазин). Ключ записи информации в кредитную область карты имеется толь­ко у банка; ключ записи информации в дебетную область - у магази­на. Только при предъявлении сразу двух ключей (ПИН-кода клиента и ключа банка при кредитовании, ПИН-кода клиента и ключа мага­зина при дебетовании) можно провести соответствующую финансо­вую операцию - внести деньги либо списать сумму покупки с карты.

Если в качестве платежной используются карты с одной защи­щенной областью памяти, - значит, банк и магазин будут работать с одной и той же областью, применяя одинаковые ключи защиты. Ес­ли банк, как эмитент карты, может ее дебетовать (например, в бан­коматах), то магазин права кредитовать карту не имеет. Однако такая возможность ему дана - поскольку, в силу необходимости дебетования карты при покупках, он знает ключ стирания защищенной зоны. То обстоятельство, что и кредитор карты, и ее дебитор (обычно раз­ные лица) пользуются одним ключом, нарушает сразу несколько основных принципов защиты информации (в частности, принципы разделения полномочий и минимальных полномочий). Это рано или поздно приведет к мошенничеству. Не спасают ситуацию и крипто­графические способы защиты информации [31].

Из известных карт с защищенной памятью лишь упоминавшаяся уже карта СРМ896 обладает двумя защищенными областями памяти и удовлетворяет требованиям по разграничению доступа к инфор­мации, как со стороны банка, так и со стороны магазина [14].

Принципиально иные возможности открывают настоящие микропроцессорные карты, поскольку они имеют свою внутреннюю логику и, фактически, являются микрокомпьютером.

В карту встраивается специализированная операционная систе­ма, обеспечивающая большой набор сервисных операций и средств безопасности [14].

Операционная система карты поддерживает файловую систе­му, предусматривающую разграничение доступа к информации. Для информации, хранимой в любой записи (файл, группа файлов, ката­лог), могут быть установлены следующие режимы доступа:

- всегда доступна по чтению/записи. Этот режим разрешает чте­ние/запись информации без знания специальных секретных кодов;

- доступна по чтению, но требует специальных полномочий для записи. Этот режим разрешает свободное чтение информации, но разрешает запись только после предъявления специального секретно­го кода;

- специальные полномочия по чтению/записи. Этот режим разре­шает доступ по чтению или записи после предъявления специально­го секретного кода, причем коды для чтения и записи могут быть различными;

- недоступна. Этот режим не разрешает читать или записывать информацию. Информация доступна только внутренним программам карточки. Обычно этот режим устанавливается для записей, со­держащих криптографические ключи.

Как правило, в такие карточки встроены криптографические средства, обеспечивающие шифрование информации и выработку «цифровой» подписи. Традиционно в карточках для этих целей применяется криптографический алгоритм. Кроме того, в кар­точке имеются средства ведения ключевой системы.

Карты обеспечивают различный спектр сервисных команд. Для банковских целей наиболее интересные из них - средства веде­ния электронных платежей. К специальным средствам относятся возможность блокировки работы с карточкой. Различаются два вида блокировки: при предъ­явлении неправильного транспортного кода и при несанкционированном доступе [14].

Суть транспортной блокировки состоит в том, что доступ к кар­точке невозможен без предъявления специального транспортного кода. Этот механизм необходим для защиты от нелегального ис­пользования карточек при хищении во время пересылки карточки от производителя к потребителю. Карточка может быть активизирована только при предъявлении правильного «транспортного» кода.

Суть блокировки при несанкционированном доступе состоит в том, что если при доступе к информации несколько раз неправильно был предъявлен код доступа, то карта вообще перестает быть работо­способной. При этом, в зависимости от установленного режима карта может быть впоследствии либо активизирована при предъявлении специального кода, либо нет. В последнем случае карточка становит­ся непригодной для дальнейшего использования [12].

Пластиковые карты с микросхемами имеют более высокую степень защиты от мошенничества и подделок.

Несмотря на очевидные преимущества, смарт-карточки до сих пор имели ограниченное применение, по той причине, что такая карточка на порядок дороже, чем карточка с магнитной полосой. Лишь в последние годы, когда ущерб от мошенничества с магнитными картами в международных платежных системах стал пугающе высоким и продолжает расти, банками было принято решение о постепенном переходе на смарт-карты. [4]

Суперсмарт-карты. Примером может служить многоцелевая карта фирмы Toshiba, используемая в системе VISA. В дополнение ко всем возможностям обычной микропроцессорной карты, эта карта также имеет небольшой дисплей и вспомогательную клавиатуру для ввода данных. Эта карта объединяет в себе кредитную, дебетовую и предоплатную карты, а также выполняет функции часов, календаря, калькулятора, осуществляет конвертацию валюты, может служить записной книжкой и т.д. Из-за высокой стоимости, суперсмарт-карты не имеют сегодня широкого распространения, но их использование будет, вероятно, расти.

В 1981 году Дж. Дрекслером была изобретена оптическая карточка. Карты оптической памяти имеют большую емкость, чем карты памяти, но данные на них могут быть записаны только один раз. В таких картах используется WORM-технология (однократная запись - многократ­ное чтение). Запись и считывание информации с такой карты про­изводится специальной аппаратурой с использованием лазера (откуда другое название - лазерная карта). Технология, применяе­мая в картах, подобна той, которая используется в лазерных дисках. Основное преимущество таких карточек - возможность хранения больших объемов информации. Такие карточки в банковских технологиях распространения пока не получили вследствие высокой стоимости как самих карточек, так и считывающего оборудования [4].

1.3 Роль пластиковых карт в совершенствовании безналичных расчетов

История развития хозяйственных систем представляет собой бесконечную цепь попыток упростить, облегчить и ускорить платежи и расчеты между участниками экономического оборота.

Кроме налично-денежного обращения с появлением и развитием банков начала складываться система безналичных расчетов. Банки принимали депозиты и открывали счета фирмам и частным лицам. Это позволило осуществлять платежи не только путем передачи наличных денег, но и переводом депозитных остатков с одного счета на другой.

Платеж, то есть окончательное урегулирование долговых обязательств между экономическими агентами производится посредством денежного трансферта - передачи денег плательщиком получателю [3].

Безналичные расчеты в форме бухгалтерских записей по счетам предполагают обязательное участие финансовых посредников - банков и других видов кредитных учреждений, которые специализируются на осуществлении расчетов [5]. Финансовые посредники действуют на основе инструкций, полученных от владельца депозитного счета, и в соответствии с этими инструкциями производятся соответствующие бухгалтерские операции [3].

Как проходят данные операции можно увидеть в представленном ниже рисунке.

Рисунок 1 - Взаимоотношения между участниками платежной системы