Деловые новости
Экономика и финансы
Криминал
Оценка деловых рисков
Аналитические обзоры
Оценка деловых рисков
Оффшоры
Корпоративная безопасность
Платежные средства
Портфель руководителя СЭБ
Базы данных
Законы
Золотые страницы предпринимателя
Партнеры
Услуги
Форум
Реклама
Подписка на новости
Для подписки на новости введите ваш e-mail:
Вы можете просматривать анонсы наших новостей и статей на мобильных устройствах с нашей rss ленты
Курсы валют
27.06.201728.06.2017
$59,001458,8843 
66,081665,9563 
все курсы валют
Корпоративная безопасность | Платежные средства | Пластиковые карты
Банкноты | Пластиковые карты | Векселя

Смарт карты


Компания ISBC

Что такое смарт-карта ?

Приставку Smart (интеллектуальная) карта получила не просто так. Имея вид обычной пластиковой кредитной карточки, она содержит в себе интегральную схему, которая наделяет ее способностями к хранению и обработке информации.

Смарт-карты классифицируются по следующим признакам:

  • тип микросхемы
  • способ считывания информации
  • соответствие стандартам
  • область применения

Тип применяемых микросхем в смарт-картах

В зависимости от встроенной микросхемы все смарт-карты делятся на несколько основных типов, кардинально различающихся по выполняемым функциям:

  • карты памяти
  • микропроцессорные карты
  • карты с криптографической логикой

Карты памяти предназначены для хранения информации. Память на таких типах карт может быть свободной для доступа или содержать логику контроля доступа к памяти карты для ограничения операций чтения и записи данных.

Микропроцессорные карты также предназначены для хранения информации, но в отличие обычных карт памяти они содержат в себе специальную программу или небольшую операционную систему, которая позволяет преобразовывать данные по определенному алгоритму, осуществлять защиту информации хранящейся на карте при передаче, чтении и записи.

Карты с криптографической логикой используются в системах защиты информации для принятия непосредственного участия в процессе шифрования данных или выработки криптографических ключей, электронных цифровых подписей и другой необходимой информации для работы системы.

Способы считывания информации со смарт-карты

По методу считывания информации карты делятся на следующие:

  • Контактные
  • Бесконтактные
  • Со сдвоенным интерфейсом

Контактные карты взаимодействуют со считывателем посредством непосредственного соприкосновения металлической контактной площадки карты и контактов считывателя. Данный метод считывания просто реализуем, но повышает износ карты при частом использовании.

Контактая смарт-карта состоит из трех частей:

  1. Контактная область
    - 6 или 8 контактнов, квадратной или овальной формы
    - Позиции контактов выполнены в соответствии со стандартом ISO-7816
  2. Чип (микропроцессор карты)
  3. Пластиковая основа

Бесконтактные карты имеют встроенную катушку индуктивности, которая в электромагнитном поле считывателя обеспечивает питанием микросхему выдающую информационные радиосигналы. Такой метод считывания позволяет часто использовать карту без износа самой карты и считывателя.

Карты со сдвоенным интерфейсом имеют одновременно и контактную площадку и встроенную катушку индуктивности. Такие карты позволяют осуществлять работу с разными типами считывателей.

Стандарты на смарт-карты

Для смарт-карт существует несколько международных стандартов, определяющих практически все свойства карт, начиная от размеров, свойств и типов пластика, и заканчивая содержанием информации на карточке, протоколов работы и форматов данных.

Стандарт ISO-7816 «Идентификационные карты — карты с микросхемой с контактами». Состоит из шести частей, регламентирующих физические характеристики, размер и расположение контактов, сигналы и протоколы, структуру файлов, адресацию и команды обмена);

Стандарт EMV (Europay, MasterCard & Visa). 1я и 2я части базируется на ISO-7816, в последующих добавлены определения обработки транзакций , спецификации терминалов и т.д.

Область применения смарт-карт

Практически в любых областях деятельности для смарт-карт можно найти применение. Сегодня одними из основный видов применения являются:

  • Телефония — Карты оплаты разговора для таксофонов, GSM-карты в мобильных телефонах.
  • Финансы — Различные банковские операции, оплата товаров и услуг, кредитные и дебетовые карты, карты для начисления стипендий, зарплат и пенсий и т.д.
  • Транспорт — Карты для проезда на городском транспорте и метро.
  • Здравоохранение — Медициские карты больных, страховые полисы.
  • Безопасность — Разграничение доступа в помещения, компьютерные системы, идентификация пользователей и т.д.
  • Карты клиентов — Программы лояльности (начисление скидок, бонусов и т.д.).

Преимущества смарт-карт

Популярность смарт-карт в последнее время становится выше, и это связано с тем, что смарт-карты имеют серьезные отличия от обычных карт с магнитной полосой:

  1. смарт-карта содержит в себе память, из-за этого она может нести в себе гораздо большее количество информации, которая необходима для работы. С случае платежных систем (банкоматов, касс и т.д.) при использовании магнитных карт требуется наличие соединения с банком или другим обслуживающим центром, чтобы по идентификатору хранящемуся на карте получить данные о счете. В случае работы со смарт-картами данные о счете хранятся непосредственно в памяти карты и не требуется наличие соединения с банком, к тому же размер памяти позволяет хранить данные о нескольких счетах сразу вместе с персональными данными клиента. Поэтому данное свойство смарт-карты позволяет экономить на специальных каналах связи и дорогостоящем компьтерном оборудовании.
  2. смарт-карты имеют надежную встроенную систему защиты от считывания информации и ее подделки. Эта особенность смарт-карты уберегает ее владельца от случаев любого нелегального копирования(клонирования) карты и несанкционированного использования.
  3. Обмен информацией со смарт-картой проходит в защифрованном виде, поэтому ее просто невозможно перехватить или изменить. Эта возможность позволяет со сто процентной уверенностью утверждать, что Ваша информация не будет прослушана кем-либо. Ваши данные о счете и балансе останутся не известны кассиру или продавцу.
  4. смарт-карта является более долговечной. Она не подвержена влиянию электромагнитных излучений и менее подвержена влиянию воды, грязи и химикатам. Срок службы смарт-карт различных производителей в зависимости от условий использования составляет от 3 до 10 лет. Магнитные же карты служат всего 1-2 года.

Актуальность использования

Обеспечение конфиденциальности информации является основной задачей разработчиков систем компьютерной безопасности. В большинстве современных электронных систем часто используется целый ряд технологий, позволяющих осуществлять контроль за информацией.

В зависимости от политики компании вся информация может быть либо защищена, либо наоборот открыта для публичного доступа. Часто в большинстве компаний нет четкого разделения конфиденциальной информации и информации для свободного пользования, поэтому при первой утечке или взломе системы ситуацию приходится кардинально менять. В таком случае компания может нести большие убытки либо из-за степени секретности похищенной информации, либо из-за вынужденного внедрения электронных систем защиты. Поэтому важно на этапе организации методики работы компании создать инфраструктуру обеспечивающую правильную работу с информацией различной степени конфиденциальности.

Несанкционированное использование и доступ к конфиденциальной информации может происходить во время:

  1. Хранения информации
  2. Передачи информации
При хранении может быть получен несанкционированный доступ к информации непосредственно в месте хранения и обработки (например, в файлах или базах данных) или в месте архивного хранения на носителях.

При передаче информации по каналам (особенно по сетям общественного доступа, например интернет) есть большая вероятность перехвата или прослушивания информации.

В любых случаях может помочь шифрование информации, но тут возникает вопрос безопасного хранения и управления ключевой информацией. Решением проблемы является использование технологий основанных на смарт-картах. Они могут обеспечить полную информационную и физическую безопасность из-за своей архитектуры.

Защита информации в смарт-картах

Механизмы защиты информации

Пассивная аутентификация — проверка разрешения на выполнение команды при помощи ввода PIN кода или пароля.

Активная аутентификация — внутренняя и внешняя аутентификация методом challenge-response.

Аутентификация данных — использование защищенной передачи данных и команд (чтения, записи, обновления) по каналу.

Шифрование данных — использование шифрации данных в командах чтения, записи и обновления.

Возможности обеспечения безопасности при использовании смарт-карт

Аутентификация карт

  • Терминал проверяет подлинность карты перед началом транзакции.
  • Перед выпуском её в обиход эмитент вводит в каждую карту и терминал секрет.
  • Карта должна подтвердить терминалу, что она знает секрет.
  • Карта не должна раскрывать секрет во время аутентификации.
  • Так как карта знает секрет, значит это подлинная карта.
Аутентификация терминала
  • Перед выпуском карты эмитент записывает в каждую карту и терминал секрет.
  • Подлинный терминал должен уметь проверять, что он знает тот же секрет, который записан в карте.
  • Так как терминал проверяет подлинность карты, она в свою очередь предоставляет требуемые права на доступ.
Аутентификация держателя карты
  • Карта гарантирует, что только держатель карты может её использовать.
  • Эмитент записывает в каждую карту PIN держателя карт.
  • Карта предоставляет карт держателю доступ, так как он знает PIN.
  • Карта может быть запрограммирована, так что при введении неправильного PIN кода она заблокируется.
  • Биометрическая аутентификация (по отпечатку большого пальца, по сетчатке глаза, по динамической подписи)
Сертификация транзакций
  • Эмитент записывает в каждую карту уникальный сертификационный ключ (подтверждающим право доступа) держателя карт.
  • После успешного прохождения терминальной аутентификации и аутентификации держателя карты, терминал посылает транзакцию в карту.
  • На основе сертификационного ключа карта генерирует электронную подпись.
  • Тот факт, что подпись проверенна, указывает на легитимность транзакции.
Конфиденциальность данных
  • Эмитент записывает в каждую карту уникальный ключ шифрования перед ее выпуском.
  • Этот ключ используется для шифрования данных между терминалом и удаленным компьютером.

Термины и определения

  • Авторизация — операция, являющаяся частью операций расчета за услуги с помощью платежных карточек. Авторизация состоит из последовательности процедур аутентификации и подтверждения обязательств эмитента карточки выполнить окончательный и безотзывный платеж со счета держателя.
  • Аутентификация — операция подтверждения подлинности документа или сообщения. Аутентификация электронных сообщений и документов выполняется специальными процедурами электронной подписи. Аутентификация криптографированных электронных сообщений и документов, как правило, ограничивается процедурами шифрования и дешифрования.
  • Аутентификация пластиковой карточки — операция подтверждения подлинности платежной карточки, а также того, что покупатель товаров и услуг является ее законным владельцем. В зависимости от вида карточки процедуры аутентификации выполняются по-разному. Для платежных smart-карточек операция выполняется процедурами, исполняемыми процессорами торгового автомата и самой карточки без участия процессингового центра и соответственно без сетевого соединения торговых автоматов с системой процессингового центра. Подтверждение законности владения платежной карточкой осуществляется с помощью проверки PIN-кода, введенного покупателем при выполнении операций расчета. При вводе правильного PIN-кода законность владения карточкой подтверждается. Процедуры аутентификации могут включать также и визуальные средства в тех случаях, если эмиссия карточек производится с нанесением на эмитируемую карточку изображений, текста и если на карточке отведено место для образца подписи владельца карточки. Визуальную аутентификацию выполняет оператор торговой точки.
  • Дебитная (платежная) карточка — пластиковая карточка с ограничением размера платежа. Ограничение определяется остатком на специальном расчетном счете владельца пластиковой карточки. Для дебитных карточек на размеры отдельных платежей могут накладываться и другие специальные ограничения, используемые в целях управления рисками, включая риски, связанные с кражей карточки и другими формами криминального использования платежной карточки. Как правило, дебитные карточки не предусматривают возможности предоставления кредита владельцу карточки. Однако в отдельных случаях эмитент в соответствии с контрактными условиями, заключаемыми с владельцем карточки, и в целях увеличения спектра услуг, предоставляемых владельцам карточек, может предоставлять кредиты в пределах лимитов, установленных для отдельных постоянных клиентов. В зависимости от вида дебитной карточки состояние расчетного счета владельца карточки, ограничения и лимиты могут храниться по-разному. Если в качестве платежного средства используются smart-карточки, то указанная информация, как правило, хранится в памяти карточки, а состояние расчетного счета изменяется процедурами приложений, исполняемыми процессорами чипов smart-карточек и процессорами торговых автоматов. Управление лимитами платежной карточки, если таковые применяются, всегда осуществляется эмитентом карточки.
  • Дебетование платежной карточки — операция, выполняемая при расчетах с использованием дебитной платежной карточки. В результате операции состояние расчетного счета владельца карточки уменьшается на сумму платежа (списание средств с расчетного счета владельца карточки).
  • Кредитная (платежная) карточка — пластиковая карточка, при использовании которой эмитент ограничивает размер отдельного платежа, а владелец карточки обязуется по истечении определенного срока (как правило, в начале следующего месяца) погасить обязательства, возникшие после всех операций расчета за приобретенные товары и предоставленные услуги. Во всех операциях расчета с помощью кредитной карточки эмитент карточки выступает в качестве кредитора относительно владельца карточки и гаранта окончательного и безотзывного платежа в отношении торговца.
  • Кредитование платежной карточки — операция, позволяющая изменить состояние расчетного счета владельца дебитной платежной карточки (пополнение счета денежными средствами). Кредитование осуществляется с использованием торговых автоматов (терминалов кредитования). При этом состояние расчетного счета увеличивается на величину внесенной суммы.
  • Криптование (шифрование) - преобразование информации, которое выполняется для того, чтобы при обмене электронными сообщениями обратное преобразование (точное воспроизведение исходной информации) было возможным только при использовании согласованного с алгоритмом шифрования алгоритма дешифрации и специальной информации (ключей), доступной только для получающей стороны. Криптографирование производится с помощью специальных ключей, доступных только отправителю электронного сообщения. Некоторые алгоритмы криптографирования для повышения степени защиты (повышения стойкости ключа) подразумевают использование открытого ключа, который передается вместе с зашифрованным сообщением и используется получающей стороной для дешифрования. Открытые ключи генерируются системой шифрования на основе алгоритмов случайных чисел.
  • Механическая персонализация (эмбоссирование) — дополнительное средство визуальной аутентификации пластиковой карточки. При механической персонализации регистрационная информация наносится на лицевую поверхность карточки с помощью специального технологического оборудования.
  • Персональный идентификационный код (ПИН-код, PIN code) — код, известный только владельцу платежной карточки и используемый в операциях аутентификации карточек. Операция аутентификации является успешно завершенной, если покупатель введет правильный PIN-код хотя бы в одной из трех попыток при проведении операции расчета за товары и услуги.
  • Платежная (пластиковая) карточка со встроенным микропроцессором (smart-карточка, smart card) — пластиковая карточка, в которую при изготовлении устанавливается микросхема, содержащая процессор и модуль памяти. Память микросхемы разделяется на сегменты, доступ к которым ограничен только для определенных приложений, типов устройств считывания и записи. Отдельные сегменты могут использоваться только изготовителями и эмитентами карточки.
  • Платежная транзакция — платежная операция расчетов за приобретенные товары и услуги, выполняемая с использованием платежных карточек, чеков, наличных денег и других законных платежных средств. При использовании платежных карточек транзакция включает последовательность процедур авторизации, необходимых для выполнения аутентификации и подтверждения обязательств эмитента карточки выполнять платежи за товары и услуги, приобретаемые покупателем — владельцем карточки.
  • Процессинг — деятельность, включающая в себя сбор, обработку и рассылку участникам расчетов информации по операциям со смарт-картами осуществляемых процессинговым центром.
  • Процессинговый центр — юридическое лицо или его структурное подразделение, обеспечивающее информационное и технологическое взаимодействие между участниками расчетов. Процессинговый центр осуществляет: персонализацию платежных карточек, ведение всей базы карточных счетов, обработку платежных транзакций, выдачу отчетности и мониторинг безопасности системы.
  • Расходный лимит (лимит авторизации) — предельная сумма денежных средств, доступная держателю карты в течение определенного периода для совершения операций с использованием карты.
  • Режим реального времени (режим on-line) — режим обработки платежных транзакций, когда авторизация выполняется в режиме соединения с процессинговым центром. В этом случае вся необходимая для авторизации информация хранится в процессинговом центре или может быть доставлена с помощью процедур информационных систем процессингового центра. Режим реального времени предъявляет высокие требования к качеству и производительности используемых линий телекоммуникаций, к производительности компьютерного, сетевого и коммуникационного оборудования, оборудования информационной безопасности и программного обеспечения процессингового центра.
  • Режим пакетной обработки (off-line) — режим обработки платежных транзакций, когда авторизация производится в системе торгового терминала. Режим используется во всех операциях розничной торговли с применением smart-карточек. Как правило, память таких карточек содержит информацию, необходимую и достаточную для операций авторизации. Уровень защиты smart-карточек является достаточно высоким и превосходит уровень защиты карточек с магнитной полосой. Применение технологий карточек со встроенным чипом не предъявляет специальных требований к линиям телекоммуникаций, оборудованию и программному обеспечению процессинговых центров.
  • Стоп-лист (Черный список) — список пластиковых карточек, распространяемый процессинговым центром и перечисляющий пластиковые карточки, либо запрещенные к приему, либо расчеты по которым в настоящее время приостановлены. В любом случае эмитенты пластиковых карточек не принимают обязательств окончательного платежа по всем карточкам, указанным в стоп-листах. Запрещенные к приему карточки подлежат изъятию из оборота. По всем другим карточкам стоп-листа торговые автоматы не должны выполнять операций расчета и в зависимости от действующих соглашений либо подлежат изъятию, либо возвращаются владельцу карточки без выполнения процедур расчета.
  • Торговый терминал (Платежный терминал, EFTPOS terminal) — устройство специального назначения, обеспечивающее выполнение расчетов с использованием платежных карточек в качестве средства платежа. В зависимости от типа используемого оборудования торговые терминалы позволяют также автоматизировать операции расчетов с использованием других видов платежных средств таких, как наличные деньги, чеки и т.п. Электрическая персонализация — запись в микросхему пластиковой карточки идентификационных данных, ключей, персональной информации о клиенте, платежных лимитов и начальной суммы средств.
  • Электронная подпись — аутентификация электронных сообщений. Преобразование информации, которое выполняется для того, чтобы при обмене электронными сообщениями обратное преобразование (точное воспроизведение исходной информации) было возможным только при использовании согласованного с алгоритмом шифрования алгоритма дешифрации и специальной информации (ключей), доступной для получающей стороны. Криптографирование производится с помощью специальных ключей.
  • Эмиссия пластиковых карт — деятельность по выпуску карт, открытию счетов и расчетно-кассовому обслуживанию клиентов при совершении операций с использованием выданных им карт.
  • Эмитент пластиковых карточек — учреждение, которое участвует в платежной системе и имеет право эмиссии пластиковых карточек

    ___________

    Источник — FutureShop.ru


    Статьи на эту тему
    Смарт карты
    Новые карты пустят деньги по ветру

    Обсудить эту статью в форуме >>>

Поиск по разделу
© 2000—2016 Институт экономической безопасности, e-mail: webmaster@bre.ru
Rambler's Top100 Rambler's Top100