Вопрос 39. Защита информации в электронных платежных системах
■ I ( 1 I 1 1 ■ I I I I i I I J I > I I ) I t i < ' ! i t I I I •
1. Электронной платежной системой называют совокупность методов и реализующих их субъектов, обеспечивающих в рамках системы использование банковских пластиковых карт в качестве платежного средства.1
Пластиковая карта - это персонифицированный платежный инструмент на материальном носителе, предоставляющий пользующемуся этой картой лицу возможность безналичной оплаты товаров и услуг, а также получения наличных средств в банковских автоматах и отделениях банков. По виду расчетов, выполняемых с помощью пластиковых карт,
• кредитные карты;
• дебетовые карты.
Кредитные карты являются наиболее распространенным видом пластиковых карт. К ним относятся карты общенациональных систем США Visa и MasterCard, American Express и ряда других. Эти карты предъявляют на предприятиях торговли и сервиса для оплаты товаров и услуг.
Держатель дебетовой карты должен заранее внести на свой счет в банке-эмитенте определенную сумму. Размер этой суммы определяет лимит доступных средств. При осуществлении расчетов с использованием этой карты соответственно уменьшается и лимит. Контроль лимита выполняется при проведении авторизации, которая при использовании дебетовой карты является обязательной. Для возобновления или увеличения) лимита держателю карты необходимо вновь внести средства на I свой счет. Для страхования временного разрыва между момен-
том осуществления платежа и моментом получения банком соответствующей информации на счете клиента должен поддерживаться неснижаемый остаток.
Как кредитная, так и дебетовая карты могут быть не только персональными, но и корпоративными. Корпоративные карты предоставляются компанией своим сотрудникам для оплаты командировочных или других служебных расходов.
Большое внимание привлекают к себе электронные платежные системы с использованием микропроцессорных карт. Они непосредственно несут информацию о состоянии счета клиента, поскольку являются в сущности транзитным счетом. Все транзакции совершаются в режиме off-line в процессе диалога карта-терминал или карта клиента - карта торговца.
Такая система является почти полностью безопасной благодаря высокой степени защищенности кристалла с микропроцессором и полной дебетовой схеме расчетов. Хотя карта с микропроцессором дороже обычной, платежная система оказывается дешевле в эксплуатации за счет того, что в режиме off-line нет нагрузки на телекоммуникации.
2. В последние годы широкую популярность приобрели автоматизированные торговые POS-терминалы (Point-Of-Sale — оплата в точке продажи) и банкоматы.1 При использовании POS-терминалов нет необходимости в заполнении слипов. Реквизиты пластиковой карты считываются с ее магнитной полосы на встроенном в POS-терминал считывателе. Клиент вводит в терминал свой PIN-код (Personal Identification Number — персональный идентификационный номер), известный только ему. Элементы PIN-кода включаются в общий алгоритм шифрования записи на магнитной полосе и служат электронной подписью владельца карты. На клавиатуре POS-терминала набирается сумма сделки.
Процессинговый центр представляет собой специализированную сервисную организацию, которая обеспечивает обработку поступающих от банков-эквайеров или непосредственно из точек обслуживания запросов на авторизацию и протоколов транзакций — фиксируемых данных о произведенных посредством
пластиковых карт платежах и выдачах наличными. Для этого процессинговый центр ведет базу данных, которая, в частности, содержит данные о банках — членах платежной системы и держателях пластиковых карт. Процессинговый центр хранит сведения о лимитах держателей карт и выполняет запросы на авторизацию в том случае, если банк-эмитент не ведет собственной базы данных (off-line банк). В противном случае (on-line банк) процессинговый центр пересылает полученный запрос в i банк-эмитент авторизируемой карты. Очевидно, что процессинговый центр обеспечивает и пересылку ответа банку-эквайеру.
1 Для обеспечения надежной работы электронная платежная система должна быть надежно защищена. С точки зрения информационной безопасности в системах электронных платежей существуют следующие уязвимые места:
• пересылка платежных и других сообщений между банком и клиентом и между банками;
• обработка информации внутри организаций отправителя и получателя сообщений;
• доступ клиентов к средствам, аккумулированным на счетах.
Одним из наиболее уязвимых мест в системе электронных платежей является пересылка платежных и других сообщений-между банками, между банком и банкоматом, между банком и клиентом. Пересылка плдтежных и других сообщений связана со следующими особенностями: - • внутренние системы организаций отправителя и получателя должны быть приспособлены для отправки и получения электронных документов и обеспечивать необходимую защиту при их обработке внутри организации (защита оконечных систем);
• взаимодействие отправителя и получателя электронного документа осуществляется опосредованно — через канал связи.
Для обеспечения функций защиты информации на отдельных узлах системы электронных платежей должны быть реализованы следующие механизмы защиты:
• управление доступом на оконечных системах;
• контроль целостности сообщения;
• обеспечение конфиденциальности сообщения;
• взаимная аутентификация абонентов;
• невозможность отказа от авторства сообщения;
• гарантии доставки сообщения;
• невозможность отказа от принятия мер по сообщению;
• регистрация последовательности сообщений;
• контроль целостности последовательности сообщений.
Качество решения указанных выше проблем в значительной мере определяется рациональным выбором криптографических средств при реализации механизмов защиты.
3. Применение POS-терминалов и банкоматов возможно при использовании некоторого носителя информации, который мог бы идентифицировать пользователя и хранить определенные учетные данные.1 В качестве такого носителя информации выступают пластиковые карты.
Одна из основных функций пластиковой карты — обеспечение идентификации использующего ее лица как субъекта платежной системы. Для этого на пластиковую карту наносят логотипы байка-эмитента и платежной системы, обслуживающей эту карту; имя держателя карты, номер его счета, срок действия карты и т. п. Кроме того, на карте может присутствовать фотография держателя и его подпись. Алфавитно-цифровые данные — имя, номер счета и др. — могут быть эмбоссированы, то есть нанесены рельефным шрифтом. Это дает возможность при ручной обработке принимаемых к оплате карт быстро перенести данные на чек с помощью специального устройства-импринтера, осуществляющего "прокатывание" карты (аналогично получению второго экземпляра при использовании копировальной бумаги).
По принципу действия различают:
• пассивные пластиковые карты;
• активные пластиковые карты.
Пассивные пластиковые карты всего лишь хранят информацию на том или ином носителе. К ним относятся пластиковые карты с магнитной полосой.
Карты с магнитной полосой являются на сегодняшний день наиболее распространенными. Магнитная полоса располагается на обратной стороне карты и в соответствии со стандартом ISO 7811 состоит из трех дорожек. Из них первые две предназначены для хранения идентификационных данных, а на третью
дорожку можно записывать информацию (например текущее значение лимита дебетовой карты). Однако из-за невысокой надежности многократно повторяемого процесса записи и считывания запись на магнитную полосу обычно не практикуется, и такие карты используются только в режиме считывания информации.
Карты с магнитной полосой относительно уязвимы для мошенничества. Для повышения защищенности своих карт некоторые системы используют дополнительные графические средства защиты: голограммы и нестандартные шрифты для эмбоссирования.
Платежные системы с подобными картами требуют on-line авторизации в торговых точках и, как следствие, наличия разветвленных, высококачественных средств коммуникации (телефонных линий). Поэтому с технической точки зрения подобные системы имеют серьезные ограничения по их применению в странах с плохо развитыми системами связи.
Отличительная особенность активных пластиковых карт — наличие встроенной в нее электронной микросхемы. Стандарт ISO 7816 определяет основные требования к картам на интегральных микросхемах. В недалеком будущем карты с микросхемой вытеснят карты с магнитной полосой.
Карты с микросхемой можно классифииировать по следующим признакам:
• функциональные возможности карты: . карты-счетчики;
• карты с памятью;
• карты с микропроцессором;
• тип обмена со считывающим устройством:
• карты с контактным считыванием;
• карты с индукционным считыванием.
Карты-счетчики применяются, как правило, в тех случаях, когда та или иная платежная операция требует уменьшения остатка на счете держателя карты на некоторую фиксированную сумму. Подобные карты используются в специализированных приложениях с предоплатой (плата за использование телефона-автомата, оплата автостоянки и т. д.). Применение карт со счетчиком ограничено и не имеет большой перспективы.
Карты с памятью являются переходными между картами со счетчиком и картами с процессором. Карта с памятью — это пере-
записываемая карта со счетчиком, в которой приняты меры, повышающие ее защищенность от атак злоумышленников. У простейших из существующих карт с памятью объем памяти может составлять от 32 байт до 16 килобайт.
Карты с памятью можно подразделить на два типа:
• /с незащищенной (полнодоступной) памятью;
• с защищенной памятью.
В картах с незащищенной памятью кет никаких ограничений на чтение и запись данных. Их нельзя использовать в качестве платежных, так как специалист средней квалификации может их достаточно просто "взломать".
Карты с защищенной памятью имеют область идентификационных данных и одну или несколько прикладных областей. Идентификационная область карт допускает лишь однократную запись при персонализации и в дальнейшем доступна лишь для считывания. Доступ к прикладным областям регламентируется и осуществляется только при выполнении определенных операций, в частности при вводе секретного PIN-кода.
Уровень защиты карт с памятью выше, чем у магнитных карт, и они могут быть использованы в прикладных системах, в которых финансовые риски, связанные с мошенничеством, относительно невелики. В качестве платежного средства карты с памятью используются для оплаты таксофонов общего пользования, проезда в транспорте, в локальных платежных системах (клубные карты). Карты с памятью применяются также в системах допуска в помещения и доступа к ресурсам компьютерных сетей (идентификационные карты). Карты с памятью имеют более низкую стоимость по сравнению с картами с микропроцессором.
Карты с микропроцессорам также называют интеллектуальными картами, или смарт-картами (smart cards). Карты с микропроцессором представляют собой микрокомпьютеры и 'содержат все соответствующие основные аппаратные компоненты: центральный процессор (ЦП), оперативное запоминающее устройство (ОЗУ), постоянное запоминающее устройство (ПЗУ) и электрически стираемое программируемое ПЗУ (ЭСППЗУ). Смарт-карта обеспечивает обширный набор функшй:
• разграничение полномочий доступа к внутренним ресурсам (благодаря работе с защищенной файловой системой);
• шифрование данных с применением различных алгоритмов;
• формирование электронной цифровой подписи;
• ведение ключевой системы;
• выполнение всех операций взаимодействия владельца карты, банка и торговца.
Некоторые карты обеспечивают режим "самоблокировки" (невозможность дальнейшей работы с ней) при попытке несанкционированного доступа.1 Смарт-карты позволяют существенно упростить процедуру идентификации клиента. Для проверки PIN-кода применяется алгоритм, реализуемый микропроцессором на карте. Это позволяет отказаться от работы POS-терминала и банкомата в режиме реального времени и централизованной проверки PIN. Отмеченные выше особенности делают смарт-карту высокозащищенным платежным инструментом, который может быть использован в финансовых приложениях, предъявляющих повышенные требования к защите информации. Именно поэтому микропроцессорные смарт-карты рассматриваются в настоящее время как наиболее перспективный вид пластиковых карт.
По приниипу взаимодействия со считывающим устройством различают карты двух типов:
• карты с контактным считыванием;
• карты с бесконтактным считыванием.
Карта с контактным считыванием имеет на своей поверхности контактные пластины. Их размещение, количество и назначение выводов различны у разных производителей и естественно, что считыватели для карт данного типа различаются между собой.
В картах с бесконтактным считыванием обмен данными между картой и считывающим устройством производится индукционным способом. Такие карты надежнее и долговечнее.
Важными этапами подготовки и применения пластиковых карт является:
• персонализация карты, которая осуществляется при выдаче карты клиенту. При этом на карту заносятся данные, позволяющие идентифицировать карту и ее держателя, а также осуществить проверку платежеспособности карты при приеме ее к оплате или выдаче наличных денег;
• авторизация карты, то есть процесс утверждения продажи или выдачи наличных по карте. Для проведения авторизации точка обслуживания делает запрос платежной системе о подтверждении полномочий предъявителя карты и его финансовых возможностей. Технология автрризации зависит от типа карты, схемы платежной системы и технической оснащенности точки обслуживания.
Способами персонализации карт являются:
• эмбоссирование — процесс рельефного тиснения данных на пластиковой основе карты. На картах банков-эмитентов эмбосси-руютея, как правило, следующие данные:
• номер карты;
• даты начала и окончания срока ее действия;
• фамилия и имя владельца;
• кодирование магнитной полосы, при котором часть информации о карте, содержащая номер карты и период ее действия, одинакова как на магнитной полосе, так и на рельефе;
• программирование микросхемы. Оно не требует особых технологических приемов, но зато ему присущи некоторые организационные особенности. Для повышения безопасности и исключения возможных злоупотреблений операции по программированию различных областей микросхемы разнесены территориально и разграничены по правам различных сотрудников, участвующих в этом процессе. Обычно эта процедура разбивается на три этапа:
• на первом рабочем месте выполняется активация карты (ввод ее в действие);
• на втором рабочем месте выполняются операции, связанные с обеспечением безопасности;
• на третьем рабочем месте производится собственно персонал изация карты. ■
Процесс авторизации проводится либо "вручную", когда продавец или кассир передает запрос по телефону оператору (голосовая авторизация), либо автоматически, когда карта помещается в POS-терминал, данные считываются с карты, кассиром вводится сумма платежа, а владельцем карты со*специальной клавиатуры — секретный PIN-код. После этого терминал осуществляет авторизацию, либо устанавливая связь с базой данных платежной системы (on-line режим), либо реализуя дополнительный обмен данными с самой картой (off-line авторизация).
В случае выдачи наличных денег процесс носит аналогичный характер с той лишь особенностью, что деньги в автоматиче- s ском режиме выдаются специальным устройством — банкоматом, который и проводит авторизацию.
Для защиты карт от подделки и последующего несанкционированного применения используются различные методы и способы1
• нанесение на пластиковую основу черно-белой или цветной фотографии владельца карты методом термопечати;
• наличие специальной полоски с образцом подписи владельца карты;
• специальные объемные изображения на лицевой и оборотной стороне карты (голограммы).
- Вопрос 1. Понятие и классификация
- Вопрос 2. Итология - наука об информационных технологиях
- Вопрос 3. Проблемы использования
- Вопрос 4. Новая информационная технология
- Вопрос 5. Информационная технология обработки данных
- Вопрос 6. Технологии текстового поиска
- Вопрос 7. Информационная технология поддержки принятия решений
- Вопрос 8. Информационная технология экспертных систем
- 2. Основными компонентами информационной технологии, используемой в экспертной системе, являются:1
- Вопрос 9. Информационная технология управления
- Вопрос 10. Автоматизация офиса
- Вопрос 11. Аудио- и видеоконференции в автоматизации офиса
- Вопрос 12. Технологии баз данных
- Вопрос 13. Корпоративные информационные системы
- Вопрос 14. Классификация локальных вычислительных сетей
- Вопрос 15. Топология локальных вычислительных сетей
- Вопрос 16. Локальные сети Ethernet
- Вопрос 17. Защита информации в сетях
- Вопрос 18. Глобальные
- Вопрос 19. Модель osi
- Вопрос 20. Сеть Internet
- 5. Режимы передачи данных в сети:
- Вопрос 21. Подключение к Internet
- Вопрос 22. Протоколы tcp/ip
- Вопрос 23. Система имен (адресов) в Internet
- Вопрос 24. World Wide Web
- Вопрос 25. Электронная почта
- Вопрос 26. Роль электронной почты
- Вопрос 27. Телеконференции
- Вопрос 28. Обеспечение безопасности в Internet
- Вопрос 29. Обеспечение безопасности
- Вопрос 30. Факсимиле (факс)
- Вопрос 31. Мультимедиа
- Вопрос 32. Ip-телефония
- 5. Соединение "компьютер — телефон" ("телефон — компьютер").
- Вопрос 33. Достоинства и недостатки ip-телефонии
- Вопрос 34. Межсетевой протокол ip
- Вопрос 35. Общая модель передачи речи по сетям передачи данных
- Вопрос 36. Криптология
- Вопрос 37. Современные симметричные криптосистемы
- 2. Стандарт шифрования данных des {Data Encryption Standard)
- Вопрос 38. Асимметричные криптосистемы
- Вопрос 39. Защита информации в электронных платежных системах
- Вопрос 40. Обеспечение безопасности систем pos и банкоматов
- Вопрос 41. Электронная цифровая подпись (эцп)
- Вопрос 42. Сертификация электронной цифровой подписи
- Вопрос 43. Классификация систем мобильной связи
- Вопрос 44. Системы радиосвязи с подвижными объектами
- Вопрос 45. Стандарты систем сотовой радиосвязи и персонального радиовызова
- Вопрос 46. Системы сотовой подвижной связи
- 2. Услуги, которые оказывают системы третьего поколения, делятся на две группы:
- Вопрос 47. Функционирование системы сотовой связи
- Вопрос 48. Дополнительные функции и технологии сотовой связи
- Вопрос 49. Цифровые системы сотовой подвижной связи
- Вопрос 50. Спутниковые системы персональной связи
- Вопрос 51. Информационные технологии обучения (ито)
- Вопрос 52. Основные проблемы использования информационных технологий
- Вопрос 53. Технологии передачи информации при работе с правовыми базами