Деловые новости
Экономика и финансы
Криминал
Оценка деловых рисков
Аналитические обзоры
Оценка деловых рисков
Оффшоры
Корпоративная безопасность
Платежные средства
Портфель руководителя СЭБ
Базы данных
Законы
Подписка на новости
Для подписки на новости введите ваш e-mail:
Вы можете просматривать анонсы наших новостей и статей на мобильных устройствах с нашей rss ленты
Курсы валют
17.01.202018.01.2020
$61,569461,5333 
68,656068,5358 
все курсы валют
Корпоративная безопасность | Платежные средства | Пластиковые карты
Банкноты | Пластиковые карты | Векселя

Смарт карты


Компания ISBC

Что такое смарт-карта ?

Приставку Smart (интеллектуальная) карта получила не просто так. Имея вид обычной пластиковой кредитной карточки, она содержит в себе интегральную схему, которая наделяет ее способностями к хранению и обработке информации.

Смарт-карты классифицируются по следующим признакам:

  • тип микросхемы
  • способ считывания информации
  • соответствие стандартам
  • область применения

Тип применяемых микросхем в смарт-картах

В зависимости от встроенной микросхемы все смарт-карты делятся на несколько основных типов, кардинально различающихся по выполняемым функциям:

  • карты памяти
  • микропроцессорные карты
  • карты с криптографической логикой

Карты памяти предназначены для хранения информации. Память на таких типах карт может быть свободной для доступа или содержать логику контроля доступа к памяти карты для ограничения операций чтения и записи данных.

Микропроцессорные карты также предназначены для хранения информации, но в отличие обычных карт памяти они содержат в себе специальную программу или небольшую операционную систему, которая позволяет преобразовывать данные по определенному алгоритму, осуществлять защиту информации хранящейся на карте при передаче, чтении и записи.

Карты с криптографической логикой используются в системах защиты информации для принятия непосредственного участия в процессе шифрования данных или выработки криптографических ключей, электронных цифровых подписей и другой необходимой информации для работы системы.

Способы считывания информации со смарт-карты

По методу считывания информации карты делятся на следующие:

  • Контактные
  • Бесконтактные
  • Со сдвоенным интерфейсом

Контактные карты взаимодействуют со считывателем посредством непосредственного соприкосновения металлической контактной площадки карты и контактов считывателя. Данный метод считывания просто реализуем, но повышает износ карты при частом использовании.

Контактая смарт-карта состоит из трех частей:

  1. Контактная область
    - 6 или 8 контактнов, квадратной или овальной формы
    - Позиции контактов выполнены в соответствии со стандартом ISO-7816
  2. Чип (микропроцессор карты)
  3. Пластиковая основа

Бесконтактные карты имеют встроенную катушку индуктивности, которая в электромагнитном поле считывателя обеспечивает питанием микросхему выдающую информационные радиосигналы. Такой метод считывания позволяет часто использовать карту без износа самой карты и считывателя.

Карты со сдвоенным интерфейсом имеют одновременно и контактную площадку и встроенную катушку индуктивности. Такие карты позволяют осуществлять работу с разными типами считывателей.

Стандарты на смарт-карты

Для смарт-карт существует несколько международных стандартов, определяющих практически все свойства карт, начиная от размеров, свойств и типов пластика, и заканчивая содержанием информации на карточке, протоколов работы и форматов данных.

Стандарт ISO-7816 «Идентификационные карты — карты с микросхемой с контактами». Состоит из шести частей, регламентирующих физические характеристики, размер и расположение контактов, сигналы и протоколы, структуру файлов, адресацию и команды обмена);

Стандарт EMV (Europay, MasterCard & Visa). 1я и 2я части базируется на ISO-7816, в последующих добавлены определения обработки транзакций , спецификации терминалов и т.д.

Область применения смарт-карт

Практически в любых областях деятельности для смарт-карт можно найти применение. Сегодня одними из основный видов применения являются:

  • Телефония — Карты оплаты разговора для таксофонов, GSM-карты в мобильных телефонах.
  • Финансы — Различные банковские операции, оплата товаров и услуг, кредитные и дебетовые карты, карты для начисления стипендий, зарплат и пенсий и т.д.
  • Транспорт — Карты для проезда на городском транспорте и метро.
  • Здравоохранение — Медициские карты больных, страховые полисы.
  • Безопасность — Разграничение доступа в помещения, компьютерные системы, идентификация пользователей и т.д.
  • Карты клиентов — Программы лояльности (начисление скидок, бонусов и т.д.).

Преимущества смарт-карт

Популярность смарт-карт в последнее время становится выше, и это связано с тем, что смарт-карты имеют серьезные отличия от обычных карт с магнитной полосой:

  1. смарт-карта содержит в себе память, из-за этого она может нести в себе гораздо большее количество информации, которая необходима для работы. С случае платежных систем (банкоматов, касс и т.д.) при использовании магнитных карт требуется наличие соединения с банком или другим обслуживающим центром, чтобы по идентификатору хранящемуся на карте получить данные о счете. В случае работы со смарт-картами данные о счете хранятся непосредственно в памяти карты и не требуется наличие соединения с банком, к тому же размер памяти позволяет хранить данные о нескольких счетах сразу вместе с персональными данными клиента. Поэтому данное свойство смарт-карты позволяет экономить на специальных каналах связи и дорогостоящем компьтерном оборудовании.
  2. смарт-карты имеют надежную встроенную систему защиты от считывания информации и ее подделки. Эта особенность смарт-карты уберегает ее владельца от случаев любого нелегального копирования(клонирования) карты и несанкционированного использования.
  3. Обмен информацией со смарт-картой проходит в защифрованном виде, поэтому ее просто невозможно перехватить или изменить. Эта возможность позволяет со сто процентной уверенностью утверждать, что Ваша информация не будет прослушана кем-либо. Ваши данные о счете и балансе останутся не известны кассиру или продавцу.
  4. смарт-карта является более долговечной. Она не подвержена влиянию электромагнитных излучений и менее подвержена влиянию воды, грязи и химикатам. Срок службы смарт-карт различных производителей в зависимости от условий использования составляет от 3 до 10 лет. Магнитные же карты служат всего 1-2 года.

Актуальность использования

Обеспечение конфиденциальности информации является основной задачей разработчиков систем компьютерной безопасности. В большинстве современных электронных систем часто используется целый ряд технологий, позволяющих осуществлять контроль за информацией.

В зависимости от политики компании вся информация может быть либо защищена, либо наоборот открыта для публичного доступа. Часто в большинстве компаний нет четкого разделения конфиденциальной информации и информации для свободного пользования, поэтому при первой утечке или взломе системы ситуацию приходится кардинально менять. В таком случае компания может нести большие убытки либо из-за степени секретности похищенной информации, либо из-за вынужденного внедрения электронных систем защиты. Поэтому важно на этапе организации методики работы компании создать инфраструктуру обеспечивающую правильную работу с информацией различной степени конфиденциальности.

Несанкционированное использование и доступ к конфиденциальной информации может происходить во время:

  1. Хранения информации
  2. Передачи информации
При хранении может быть получен несанкционированный доступ к информации непосредственно в месте хранения и обработки (например, в файлах или базах данных) или в месте архивного хранения на носителях.

При передаче информации по каналам (особенно по сетям общественного доступа, например интернет) есть большая вероятность перехвата или прослушивания информации.

В любых случаях может помочь шифрование информации, но тут возникает вопрос безопасного хранения и управления ключевой информацией. Решением проблемы является использование технологий основанных на смарт-картах. Они могут обеспечить полную информационную и физическую безопасность из-за своей архитектуры.

Защита информации в смарт-картах

Механизмы защиты информации

Пассивная аутентификация — проверка разрешения на выполнение команды при помощи ввода PIN кода или пароля.

Активная аутентификация — внутренняя и внешняя аутентификация методом challenge-response.

Аутентификация данных — использование защищенной передачи данных и команд (чтения, записи, обновления) по каналу.

Шифрование данных — использование шифрации данных в командах чтения, записи и обновления.

Возможности обеспечения безопасности при использовании смарт-карт

Аутентификация карт

  • Терминал проверяет подлинность карты перед началом транзакции.
  • Перед выпуском её в обиход эмитент вводит в каждую карту и терминал секрет.
  • Карта должна подтвердить терминалу, что она знает секрет.
  • Карта не должна раскрывать секрет во время аутентификации.
  • Так как карта знает секрет, значит это подлинная карта.
Аутентификация терминала
  • Перед выпуском карты эмитент записывает в каждую карту и терминал секрет.
  • Подлинный терминал должен уметь проверять, что он знает тот же секрет, который записан в карте.
  • Так как терминал проверяет подлинность карты, она в свою очередь предоставляет требуемые права на доступ.
Аутентификация держателя карты
  • Карта гарантирует, что только держатель карты может её использовать.
  • Эмитент записывает в каждую карту PIN держателя карт.
  • Карта предоставляет карт держателю доступ, так как он знает PIN.
  • Карта может быть запрограммирована, так что при введении неправильного PIN кода она заблокируется.
  • Биометрическая аутентификация (по отпечатку большого пальца, по сетчатке глаза, по динамической подписи)
Сертификация транзакций
  • Эмитент записывает в каждую карту уникальный сертификационный ключ (подтверждающим право доступа) держателя карт.
  • После успешного прохождения терминальной аутентификации и аутентификации держателя карты, терминал посылает транзакцию в карту.
  • На основе сертификационного ключа карта генерирует электронную подпись.
  • Тот факт, что подпись проверенна, указывает на легитимность транзакции.
Конфиденциальность данных
  • Эмитент записывает в каждую карту уникальный ключ шифрования перед ее выпуском.
  • Этот ключ используется для шифрования данных между терминалом и удаленным компьютером.

Термины и определения

  • Авторизация — операция, являющаяся частью операций расчета за услуги с помощью платежных карточек. Авторизация состоит из последовательности процедур аутентификации и подтверждения обязательств эмитента карточки выполнить окончательный и безотзывный платеж со счета держателя.
  • Аутентификация — операция подтверждения подлинности документа или сообщения. Аутентификация электронных сообщений и документов выполняется специальными процедурами электронной подписи. Аутентификация криптографированных электронных сообщений и документов, как правило, ограничивается процедурами шифрования и дешифрования.
  • Аутентификация пластиковой карточки — операция подтверждения подлинности платежной карточки, а также того, что покупатель товаров и услуг является ее законным владельцем. В зависимости от вида карточки процедуры аутентификации выполняются по-разному. Для платежных smart-карточек операция выполняется процедурами, исполняемыми процессорами торгового автомата и самой карточки без участия процессингового центра и соответственно без сетевого соединения торговых автоматов с системой процессингового центра. Подтверждение законности владения платежной карточкой осуществляется с помощью проверки PIN-кода, введенного покупателем при выполнении операций расчета. При вводе правильного PIN-кода законность владения карточкой подтверждается. Процедуры аутентификации могут включать также и визуальные средства в тех случаях, если эмиссия карточек производится с нанесением на эмитируемую карточку изображений, текста и если на карточке отведено место для образца подписи владельца карточки. Визуальную аутентификацию выполняет оператор торговой точки.
  • Дебитная (платежная) карточка — пластиковая карточка с ограничением размера платежа. Ограничение определяется остатком на специальном расчетном счете владельца пластиковой карточки. Для дебитных карточек на размеры отдельных платежей могут накладываться и другие специальные ограничения, используемые в целях управления рисками, включая риски, связанные с кражей карточки и другими формами криминального использования платежной карточки. Как правило, дебитные карточки не предусматривают возможности предоставления кредита владельцу карточки. Однако в отдельных случаях эмитент в соответствии с контрактными условиями, заключаемыми с владельцем карточки, и в целях увеличения спектра услуг, предоставляемых владельцам карточек, может предоставлять кредиты в пределах лимитов, установленных для отдельных постоянных клиентов. В зависимости от вида дебитной карточки состояние расчетного счета владельца карточки, ограничения и лимиты могут храниться по-разному. Если в качестве платежного средства используются smart-карточки, то указанная информация, как правило, хранится в памяти карточки, а состояние расчетного счета изменяется процедурами приложений, исполняемыми процессорами чипов smart-карточек и процессорами торговых автоматов. Управление лимитами платежной карточки, если таковые применяются, всегда осуществляется эмитентом карточки.
  • Дебетование платежной карточки — операция, выполняемая при расчетах с использованием дебитной платежной карточки. В результате операции состояние расчетного счета владельца карточки уменьшается на сумму платежа (списание средств с расчетного счета владельца карточки).
  • Кредитная (платежная) карточка — пластиковая карточка, при использовании которой эмитент ограничивает размер отдельного платежа, а владелец карточки обязуется по истечении определенного срока (как правило, в начале следующего месяца) погасить обязательства, возникшие после всех операций расчета за приобретенные товары и предоставленные услуги. Во всех операциях расчета с помощью кредитной карточки эмитент карточки выступает в качестве кредитора относительно владельца карточки и гаранта окончательного и безотзывного платежа в отношении торговца.
  • Кредитование платежной карточки — операция, позволяющая изменить состояние расчетного счета владельца дебитной платежной карточки (пополнение счета денежными средствами). Кредитование осуществляется с использованием торговых автоматов (терминалов кредитования). При этом состояние расчетного счета увеличивается на величину внесенной суммы.
  • Криптование (шифрование) - преобразование информации, которое выполняется для того, чтобы при обмене электронными сообщениями обратное преобразование (точное воспроизведение исходной информации) было возможным только при использовании согласованного с алгоритмом шифрования алгоритма дешифрации и специальной информации (ключей), доступной только для получающей стороны. Криптографирование производится с помощью специальных ключей, доступных только отправителю электронного сообщения. Некоторые алгоритмы криптографирования для повышения степени защиты (повышения стойкости ключа) подразумевают использование открытого ключа, который передается вместе с зашифрованным сообщением и используется получающей стороной для дешифрования. Открытые ключи генерируются системой шифрования на основе алгоритмов случайных чисел.
  • Механическая персонализация (эмбоссирование) — дополнительное средство визуальной аутентификации пластиковой карточки. При механической персонализации регистрационная информация наносится на лицевую поверхность карточки с помощью специального технологического оборудования.
  • Персональный идентификационный код (ПИН-код, PIN code) — код, известный только владельцу платежной карточки и используемый в операциях аутентификации карточек. Операция аутентификации является успешно завершенной, если покупатель введет правильный PIN-код хотя бы в одной из трех попыток при проведении операции расчета за товары и услуги.
  • Платежная (пластиковая) карточка со встроенным микропроцессором (smart-карточка, smart card) — пластиковая карточка, в которую при изготовлении устанавливается микросхема, содержащая процессор и модуль памяти. Память микросхемы разделяется на сегменты, доступ к которым ограничен только для определенных приложений, типов устройств считывания и записи. Отдельные сегменты могут использоваться только изготовителями и эмитентами карточки.
  • Платежная транзакция — платежная операция расчетов за приобретенные товары и услуги, выполняемая с использованием платежных карточек, чеков, наличных денег и других законных платежных средств. При использовании платежных карточек транзакция включает последовательность процедур авторизации, необходимых для выполнения аутентификации и подтверждения обязательств эмитента карточки выполнять платежи за товары и услуги, приобретаемые покупателем — владельцем карточки.
  • Процессинг — деятельность, включающая в себя сбор, обработку и рассылку участникам расчетов информации по операциям со смарт-картами осуществляемых процессинговым центром.
  • Процессинговый центр — юридическое лицо или его структурное подразделение, обеспечивающее информационное и технологическое взаимодействие между участниками расчетов. Процессинговый центр осуществляет: персонализацию платежных карточек, ведение всей базы карточных счетов, обработку платежных транзакций, выдачу отчетности и мониторинг безопасности системы.
  • Расходный лимит (лимит авторизации) — предельная сумма денежных средств, доступная держателю карты в течение определенного периода для совершения операций с использованием карты.
  • Режим реального времени (режим on-line) — режим обработки платежных транзакций, когда авторизация выполняется в режиме соединения с процессинговым центром. В этом случае вся необходимая для авторизации информация хранится в процессинговом центре или может быть доставлена с помощью процедур информационных систем процессингового центра. Режим реального времени предъявляет высокие требования к качеству и производительности используемых линий телекоммуникаций, к производительности компьютерного, сетевого и коммуникационного оборудования, оборудования информационной безопасности и программного обеспечения процессингового центра.
  • Режим пакетной обработки (off-line) — режим обработки платежных транзакций, когда авторизация производится в системе торгового терминала. Режим используется во всех операциях розничной торговли с применением smart-карточек. Как правило, память таких карточек содержит информацию, необходимую и достаточную для операций авторизации. Уровень защиты smart-карточек является достаточно высоким и превосходит уровень защиты карточек с магнитной полосой. Применение технологий карточек со встроенным чипом не предъявляет специальных требований к линиям телекоммуникаций, оборудованию и программному обеспечению процессинговых центров.
  • Стоп-лист (Черный список) — список пластиковых карточек, распространяемый процессинговым центром и перечисляющий пластиковые карточки, либо запрещенные к приему, либо расчеты по которым в настоящее время приостановлены. В любом случае эмитенты пластиковых карточек не принимают обязательств окончательного платежа по всем карточкам, указанным в стоп-листах. Запрещенные к приему карточки подлежат изъятию из оборота. По всем другим карточкам стоп-листа торговые автоматы не должны выполнять операций расчета и в зависимости от действующих соглашений либо подлежат изъятию, либо возвращаются владельцу карточки без выполнения процедур расчета.
  • Торговый терминал (Платежный терминал, EFTPOS terminal) — устройство специального назначения, обеспечивающее выполнение расчетов с использованием платежных карточек в качестве средства платежа. В зависимости от типа используемого оборудования торговые терминалы позволяют также автоматизировать операции расчетов с использованием других видов платежных средств таких, как наличные деньги, чеки и т.п. Электрическая персонализация — запись в микросхему пластиковой карточки идентификационных данных, ключей, персональной информации о клиенте, платежных лимитов и начальной суммы средств.
  • Электронная подпись — аутентификация электронных сообщений. Преобразование информации, которое выполняется для того, чтобы при обмене электронными сообщениями обратное преобразование (точное воспроизведение исходной информации) было возможным только при использовании согласованного с алгоритмом шифрования алгоритма дешифрации и специальной информации (ключей), доступной для получающей стороны. Криптографирование производится с помощью специальных ключей.
  • Эмиссия пластиковых карт — деятельность по выпуску карт, открытию счетов и расчетно-кассовому обслуживанию клиентов при совершении операций с использованием выданных им карт.
  • Эмитент пластиковых карточек — учреждение, которое участвует в платежной системе и имеет право эмиссии пластиковых карточек

    ___________

    Источник — FutureShop.ru


    Статьи на эту тему
    Смарт карты
    Новые карты пустят деньги по ветру

    Обсудить эту статью в форуме >>>

Поиск по разделу
© 2000—2018 Институт экономической безопасности, e-mail: webmaster@bre.ru