Банковские микропроцессорные карты книга

Банковские микропроцессорные карты

О книге “Банковские микропроцессорные карты”

Книга дает читателю систематизированное представление о современных микропроцессорных картах, используемых в банковском деле. Она может служить путеводителем по объемным книгам, содержащим описание стандарта EMV, и спецификациям приложений ведущих платежных систем. Книга содержит системное описание стандарта EMV, делая акцент на разъяснение наиболее важных аспектов, тонкостей и особенностей реализации лежащих в его основе методов и алгоритмов. Подробно анализируется эффект от внедрения технологии микропроцессорных карт на безопасность карточных операций. Исследуется влияние внедрения микропроцессорных карт на процессинговую систему банка, предлагаются рекомендации по технологии выбора решений для миграции банка на микропроцессорные карты. В книге значительное внимание уделено открытым операционным системам, используемым в микропроцессорных картах, а также универсальной платформе GlobalPlatform, находящей все большее применение для безопасной удаленной загрузки, инсталляции, экстрадиции приложений и их конфигурирования после выпуска карты. Отдельная глава посвящена бесконтактным банковским платежам, а также мобильным платежам.

На нашем сайте вы можете скачать книгу “Банковские микропроцессорные карты” Голдовский Игорь Михайлович бесплатно и без регистрации в формате fb2, rtf, epub, pdf, txt, читать книгу онлайн или купить книгу в интернет-магазине.

Банковские микропроцессорные карты

Книга дает читателю систематизированное представление о современных микропроцессорных картах, используемых в банковском деле. Она может служить путеводителем по объемным книгам, содержащим описание стандарта EMV, и спецификациям приложений ведущих платежных систем. Книга содержит системное описание стандарта EMV, делая акцент на разъяснение наиболее важных аспектов, тонкостей и особенностей реализации лежащих в его основе методов и алгоритмов. Подробно анализируется эффект от внедрения технологии микропроцессорных карт на безопасность карточных операций. Исследуется влияние внедрения микропроцессорных карт на процессинговую систему банка, предлагаются рекомендации по технологии выбора решений для миграции банка на микропроцессорные карты. В книге значительное внимание уделено открытым операционным системам, используемым в микропроцессорных картах, а также универсальной платформе GlobalPlatform, находящей все большее применение для безопасной удаленной загрузки, инсталляции, экстрадиции приложений и их конфигурирования после выпуска карты. Отдельная глава посвящена бесконтактным банковским платежам, а также мобильным платежам.

  • Возрастное ограничение: 0+
  • Дата выхода на ЛитРес: 29 июня 2016
  • Дата написания: 2010
  • Объем: 679 стр.
  • ISBN: 978-5-9614-1233-8
  • Общий размер: 4 MB
  • Общее кол-во страниц: 679
  • Размер страницы: 165 x 225 мм
  • Правообладатель: Центр Исследований Платежных Систем и Расчетов

Как новичок в этой теме, многое позаимствовал из этой книги, ссылаюсь на неё в курсовой работе. Отличная книги для начала изучения данной сферы – технологии цифровой безопасности. Даже если вы не учитесь на кафедре информационной безопасности, книга сильно расширит ваш кругозор. Рекомендую

Книга: «Банковские микропроцессорные карты»

Производитель: “Альпина Паблишер”

Серия: “Библиотека Центра исследований платежных систем и расчетов”

Книга дает читателю систематизированное представление о современных микропроцессорных картах, используемых в банковском деле.

Формат: 70×90/16 (170х215 мм), 694 стр.

ISBN: 978-5-9614-5646-2, 978-5-9614-1233-8

Альпина Паблишер

« Давать знания для личной и профессиональной самореализации »

Альпина Паблишер — российское книжное издательство, специализирующееся на выпуске деловой и профессиональной литературы, аудио- и электронных книг, а также видеокурсов. Среди продукции издательства такие мировые бестселлеры, как «Атлант расправил плечи» Айн Рэнд и «Семь навыков высокоэффективных людей» Стивена Кови, а также книги Филипа Котлера, Майкла Портера, Глеба Архангельского и других известных российских и зарубежных авторов.

Содержание

История

  • 1998 год — год основания; основная специализация — финансовая литература для профессионалов (книги по ценным бумагам и банковскому делу);
  • 2000 год — расширение тематики изданий, в частности за счет книг по менеджменту и прикладной психологии;
  • 2003 год — в состав акционеров издательства вошел издательский дом «Independent Media Sanoma Magazines». Компания сменила название с «Альпина Паблишер» на «Альпина Бизнес Букс»;
  • 2005 год — расширен ассортимент издательства, начат выпуск аудиокниг и видеокурсов [1] ;
  • 2009 год — основатели издательства выкупили у издательского дома «Independent Media Sanoma Magazines» долю в издательстве «Альпина Бизнес Букс». В результате новое издательство стало называться «Альпина Паблишер», а «Альпина Бизнес Букс» — полностью принадлежать «Independent Media Sanoma Magazines» [2] . Осенью того же года издательство увеличило как выпуск книг, так и маркетинговую активность на рынке деловой литературы [3] .
  • 2011 год — по данным Российской книжной палаты «Альпина Паблишер» вошло в перечень издательств, выпустивших наибольшее количество книг и брошюр в 2011 году [4] .

Продукция

  • Издательство специализируется на выпуске книг по экономике, менеджменту, инвестициям, финансам, банковскому делу, фондовому рынку, прикладной психологии и политике. Среди авторов: Айн Ренд, Маргарет Тэтчер, Стивен Кови, Филипп Котлер, Ицхак Адизес, Ингвар Кампрад, Марина Мелия, Глеб Архангельский и др.
  • Ежемесячно выходит порядка 40 наименований суммарным тиражом до 150 000 экземпляров [5] в 47 книжных сериях, среди которых «Reuters для финансистов», «Сколково», «Классика Harvard Business Review», «Документальный бизнес-триллер», «Идеи, которые работают», «Библиотека юридической компании „Пепеляев, Гольцблат и партнеры“», «Дайджест McKinsey» [6] .
  • На 2012 год в прайс-листе издательства — более 600 наименований [7] .
  • Книги «Альпины Паблишер» занимают верхние строчки независимых рейтингов продаж, в частности Озон.ru [8] .
  • Обзоры и рецензии на книги издательства регулярно публикуют такие ведущие российский СМИ, как «Ведомости» [9] , «Русский репортер» [10] , журнал «Коммерсантъ Секрет Фирмы» [11] и др.
  • В 2012 году издательство выпустило приложение для iPhone и iPad, книги представлены в формате ePub[12] . В приложении представлены не только книги «Альпины Паблишер», но и «Альпина нон-фикшн», «РИПОЛ классик», «Астрель» [13] .

Награды

  • 1999 год — издательство «Альпина Паблишер» стало победителем в ежегодном конкурсе издателей России «Книга года» [14] .
  • 2002 год. Диплом победителя национального конкурса «Элита фондового рынка 2002», в номинации «Лучшее деловое издательство» [15] .
  • 2003 год — премия «Человек Книги» — 2003. Диплом лауреата премии в номинации «Руководитель издательства» получил генеральный директор Алексей Ильин.
  • 2004 год — диплом за самый актуальный ассортимент для деловых людей. Благодарность за участие в создании юбилейной книги «Летопись магазина № 120 „Книжный мир“— Библио-Глобус”.
  • 2005 год — премия журнала «Маркетинг pro», диплом победителя конкурса в номинации «Лучшие книги о маркетинге».
  • 2006 год — Международная книжная и полиграфическая ярмарка «По великому шелковому пути» (Казахстан). Диплом в номинации «Издание по бизнесу» за книгу С.Берга «Настольная книга финансового директора». Диплом за значительный вклад в современную реализацию целей и задач ярмарки.
  • 2007 год — Национальная Деловая Премия «Капитаны Российского бизнеса». Диплом в номинации «Деловые книги». Премия журнала «Свой бизнес», диплом лауреата присужден книге Д. Коллинза и У. Лазье «Больше чем бизнес» [14] .
  • 2012 год — победитель первого открытого конкурса профессионального мастерства «Ревизор» в номинации «Издатель электронной книги» за приложение «Бизнес-книга» для системы iOS” [16] .

Примечания

Ссылки

Другие книги схожей тематики:

См. также в других словарях:

Микропроцессорные карты — (чиповые карты, смарт карты) банковские карты, оснащенные микропроцессором. Традиционно многие годы карты, выпускаемые российскими банками, оснащались магнитной полосой, но несколько лет назад некоторые кредитные организации начали эмитировать и… … Банковская энциклопедия

Платёжные карты — Банковские карты Visa и Mastercard Банковская карта пластиковая карта, привязанная к лицевому счёту одного из банков. Используются для платежей, в том числе через Интернет. Часто используется выражение «кредитная карта» или «кредитка», но оно… … Википедия

Кредитные карты — Банковские карты Visa и Mastercard Банковская карта пластиковая карта, привязанная к лицевому счёту одного из банков. Используются для платежей, в том числе через Интернет. Часто используется выражение «кредитная карта» или «кредитка», но оно… … Википедия

Платежные карты — Банковские карты Visa и Mastercard Банковская карта пластиковая карта, привязанная к лицевому счёту одного из банков. Используются для платежей, в том числе через Интернет. Часто используется выражение «кредитная карта» или «кредитка», но оно… … Википедия

Внешний вид банковской карты — Большая часть банковских карт имеет определенный стандартом ISO 7810 ID 1 формат 85,6 Ч 53,98 мм. Лицевая сторона карты содержит: • изображение или фон. У каждой платежной системы свои требования к дизайну карты. Многие банки предлагают оформить… … Банковская энциклопедия

Single Wire Protocol — Не следует путать с 1 Wire. Single Wire Protocol (SWP) стандарт физической шины данных и протокола обмена для связи SIM карты и микросхемы NFC интерфейса. Стандарт разрабатывается Европейским институтом телекоммуникационных стандартов в… … Википедия

Смарт-карта — Смарт карта, используемая в системе здравоохранения Франции Смарт карты (англ. smart card) представляют собой пластиковые карты со … Википедия

Датакарта — (Datacard) карта с данными (используемая для хранения) или для произведения действий над данными (передача, преобразование, ввод, вывод). Содержание 1 Типы датакарт 2 Карты расширений … Википедия

Банковская карта — Банковские карты Visa и Mastercard Банковская карта пластиковая карта, привязанная к лицевому счёту одного из банков. Используются для платежей, в том числе через Интернет. Часто используется выражение «кредитная карта» или «кредитка», но оно… … Википедия

Зарплатная карта — Банковские карты Visa и Mastercard Банковская карта пластиковая карта, привязанная к лицевому счёту одного из банков. Используются для платежей, в том числе через Интернет. Часто используется выражение «кредитная карта» или «кредитка», но оно… … Википедия

Зарплатная карточка — Банковские карты Visa и Mastercard Банковская карта пластиковая карта, привязанная к лицевому счёту одного из банков. Используются для платежей, в том числе через Интернет. Часто используется выражение «кредитная карта» или «кредитка», но оно… … Википедия

БАНКОВСКИЕ МИКРОПРОЦЕССОРНЫЕ КАРТЫ

  • Георгий Волохов
  • 1 лет назад
  • Просмотров:

Транскрипт

1 И. М. Голдовский БАНКОВСКИЕ МИКРОПРОЦЕССОРНЫЕ КАРТЫ ПАБЛИШЕРЗ Москва 2010

2 УДК ББК Г60 Руководитель проекта, выпускающий редактор А.С. Воронин Руководитель проекта по маркетингу и рекламе М.Г. Ручкина Г60 Голдовский И. Банковские микропроцессорные карты / И. М. Голдовский М.: ЦИПСиР: Альпина Паб лишерз, с.: ил. ISBN Книга дает читателю систематизированное представление о современных микропроцессорных картах, используемых в банковском деле. Она может служить путеводителем по объемным книгам, содержащим описание стандарта EMV, и спецификациям приложений ведущих платежных систем. Книга содержит системное описание стандарта EMV, делая акцент на разъяснение наиболее важных аспектов, тонкостей и особенностей реализации лежащих в его основе методов и алгоритмов. Подробно анализируется эффект от внедрения технологии микропроцессорных карт на безопасность карточных операций. Исследуется влияние внедрения микропроцессорных карт на процессинговую систему банка, предлагаются рекомендации по технологии выбора решений для миграции банка на микропроцессорные карты. В книге значительное внимание уделено открытым операционным системам, используемым в микропроцессорных картах, а также универсальной платформе GlobalPlatform, находящей все большее применение для безопасной удаленной загрузки, инсталляции, экстрадиции приложений и их конфигурирования после выпуска карты. Отдельная глава посвящена бесконтактным банковским платежам, а также мобильным платежам. УДК ББК Все права защищены. Никакая часть этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами, включая размещение в сети Интернет и в корпоративных сетях, а также запись в память ЭВМ для частного или публичного использования, без письменного разрешения владельца авторских прав. По вопросу организации доступа к электронной библиотеке издательства обращайтесь по адресу ISBN И.М. Голдовский, 2010 ООО «Центр исследований платежных систем и расчетов», 2010 ООО «Альпина Паблишерз», 2010

3 ОГЛАВЛЕНИЕ Принятые сокращения Введение Глава 1 ОСНОВНЫЕ СВЕДЕНИЯ О ПЛАСТИКОВЫХ КАРТАХ Основные понятия и определения Стандарты в области карт с магнитной полосой Содержание дорожек магнитной полосы карты Межхостовой интерфейс Проблема безопасности карточных операций О стандартах для микропроцессорных карт Глава 2 ОБЩИЕ СВЕДЕНИЯ О МИКРОПРОЦЕССОРНЫХ КАРТАХ Общие характеристики смарт-карт Архитектура микросхемы Начальная установка карты Коммуникационные протоколы Производство микропроцессорных карт Многоприкладные операционные системы Платформа GlobalPlatform Оценка физической безопасности микропроцессорной карты Общие тенденции развития микропроцессорных карт Глава 3 ФАЙЛОВАЯ СТРУКТУРА, КОМАНДЫ И МЕХАНИЗМЫ ЗАЩИТЫ ДАННЫХ В МИКРОПРОЦЕССОРНЫХ КАРТАХ СТАНДАРТА EMV Объекты данных и их кодировка Общие сведения о файловой структуре карты

4 4 БАНКОВСКИЕ МИКРОПРОЦЕССОРНЫЕ КАРТЫ 3.3. DF-файлы EF-файлы ADF-файлы AEF-файлы DDF-файлы PSE-файл Команды Примеры команд Вопросы безопасности в стандарте EMV Методы офлайновой аутентификации карты Шифрование PIN-кода при его проверке в офлайновом режиме Прикладная криптограмма (Application Cryptogram) и аутентификация эмитента Защищенная передача данных (Secure Messaging) Управление ключами Глава 4 ОБРАБОТКА ТРАНЗАКЦИИ ПО МИКРОПРОЦЕССОРНОЙ КАРТЕ Выбор технологии Выбор приложения Инициализация транзакции Чтение данных карты Аутентификация карты Проверка ограничений на обработку транзакции (Processing restrictions) Верификация держателя карты Процедуры управления рисками, выполняемые терминалом (Terminal Risk Management) Оценка результатов выполненных терминалом процедур (Terminal Action Analysis) Процедуры управления рисками, выполняемые картой (Card Risk Management) Процесс принятия решения картой (Card Action Analysis)

5 Оглавление Онлайновая обработка транзакции и аутентификация эмитента Процедура Issuer Script Processing Глава 5 ПЕРСОНАЛИЗАЦИЯ КАРТ Жизненный цикл карты Персонализация карт Глава 6 ОСОБЕННОСТИ МИГРАЦИИ НА МИКРОПРОЦЕССОРНЫЕ КАРТЫ Постановка задачи миграции на МПК О выборе метода аутентификации карты О методе верификации держателя карты О выборе терминала Совместимость приложений терминала и карты Анализ реальной безопасности операций по МПК Управление ключами Выбор аппаратно-программной платформы МПК и конфигурации ее приложения Влияние миграции на систему эмитента Влияние миграции на систему обслуживающего банка Глава 7 БЕСКОНТАКТНЫЕ КАРТЫ Причины интереса к бесконтактным картам Основы технологии Используемые стандарты Протоколы взаимодействия карты и терминала прикладного уровня MasterCard PayPass VISA Contactless Стандарт Entry Point Specification Протокол NFC и его использование в сотовых телефонах Вопросы безопасности бесконтактных платежей

6 6 БАНКОВСКИЕ МИКРОПРОЦЕССОРНЫЕ КАРТЫ Глава 8 СРАВНЕНИЕ EMV-СОВМЕСТИМЫХ ПРИЛОЖЕНИЙ Объекты данных и команды Сравнение функциональности приложений Безопасность операций Оценка сложности имплементации приложений Заключение Приложение А Математические основы криптографии Приложение В Введение в криптографию MasterCard PayPass «Жемальто» мировой лидер в области технологий цифровой безопасности Список рекомендуемой литературы

7 ПРИНЯТЫЕ СОКРАЩЕНИЯ a Alphabetic Data Element AAC Application Authentication Cryptogram AAR Application Authorization Referral AFL Application File Locator AC Application Cryptogam ADA Application Default Action ADF Application Definition File ADR Application Decisional Results AEF Application Elementary File AID Application Identifier AIP Application Interchange Profile an Alphanumeric Data Element ans Alphanumeric Special Data Element APACS Association for Payment Clearing Services APDU Application Protocol Data Unit API Application Program Interface ARC Authorization Response Code ARD Authorization Response Data ARPC Authorization Response Cryptogram ARQC Authorization Request Cryptogram ATC Application Transaction Counter AUC Application Usage Control b Binary Data Element CA Certificate Authority CAP Chip Authentication Program CAT Card Activated Terminal CBC Cipher Block Chaining CCD Common Core Definitions CDA Combined Dynamic Data Authentication/AC Generation CDOL Card Risk Management Data Object List CIAC Card Issuer Action Code CID Cryptogam Information Data cn Compressed Numeric Data Element COTA Cumulative Offline Transaction Amount CPA Common Payment Application CPS Common Personalization Specification CPLC Card Production Life Cycle CRL Certificate Revocation List CSU Card Status Update CVER Cardholder Verification Rule CVC Card Verification Code CVR Card Verification Results CVV Card Verification Value DAC Data Authentication Code DEF Directory Elementary File DES Data Encryption Standard DDA Dynamic Data Authentication DDF Directory Definition File DDOL Dynamic Data Authentication Object List DF Dedicated File DIR DEF-файл в PSE DPA Dynamic Passcode Authentication ECB Electronic Code Book EEPROM Erasable Extendable Programmable Read Only Memory EF Elementary File etu Elementary Time Unit FAR False Accept Rate fdda fast DDA FRR False Rejection Rate FCI File Control Information IAC Issuer Action Code IAD Issuer Application Data ICC Integrated Circuit Card IDN ICC Dynamic Number LATC Last Online Application Transaction Counter

8 8 БАНКОВСКИЕ МИКРОПРОЦЕССОРНЫЕ КАРТЫ MAC Message Authentication Code MOC Match-on-Card n Numeric Data Element NVI Non-velocity Checking Indicator PCI Payment Card Industry PCI DSS Payment Card Industry Data Security Standard PDOL Processing Options Data Object List PED PIN Entry Device PKI Public Key Infrastructure PIN Personal Identification Number PSE Payment System Environment PPSE Proximity Payment System Environment PTC PIN Try Counter PTL PIN Try Limit RAM Random Access Memory ROM Read Only Memory PSE Payment System Environment qvsdc quick VSDC RSA алгоритм асимметричного шифрования SDA Static Data Authentication SFI Short File Identifier SOC System-on-Card SWP Single Wire Protocol TAC Terminal Action Code TAR True Accept Rate TC Transaction Certificate TDOL Transaction Certificate Data Object List TOC Template-on-Card TRNG True Random Number Generator TVR Terminal Verification Result UCOTA Upper Cumulative Domestic Offline Transaction Amount UN Unpredictable Number VCC Velocity Checking Count VCPS VISA Contactless Payment Specification XLS Extended Loyalty System 3DES алгоритм симметричного шифрования АВДК алгоритм вывода дерева ключей БД база данных МПК микропроцессорная карта НАФИ Национальное агентство финансовых исследований НАУЭТ Национальная ассоциация участников электронной торговли НОД наибольший общий делитель НОК наименьшее общее кратное ПО программное обеспечение ЦПД центр подготовки данных ЭК электронная коммерция DES (K)[X] преобразование, соответствующее алгоритму DES, выполненному над блоком данных X с использованием ключа K DES 3(K)[X] преобразование, соответствующее алгоритму Triple DES, выполненному над блоком данных X с использованием ключа K X Y конкатенация (последовательное соединение) элементов данных X и Y X Y побитовое сложение по модулю 2 двух двоичных последовательностей X и Y X:=y величине X присваивается значение y X h значение, выраженное в шестнадцатеричной системе счисления X b значение, выраженное в двоичной системе счисления

9 ВВЕДЕНИЕ Смарт-карты все решительнее врываются в нашу жизнь. Сотовые телефоны, системы контроля доступа, электронные билеты, системы обеспечения информационной безопасности, системы голосования, электронные паспорта и различные удостоверения личности, банковские карты, автомобили и спутниковое телевидение лишь некоторые примеры их применения. Сегодня в мире циркулирует несколько миллиардов смарт-карт. В основном это SIM/UICC-карты (Subscriber Identification Module/Universal Integrated Circuit Card) сотовых телефонов, банковские карты, карты для оплаты проезда в транспорте, телефонных разговоров в уличных телефонных аппаратах и услуг коммерческого телевидения, карты для решения правительственных задач (социальные карты, электронные паспорта и т. п.) и задач обеспечения информационной безопасности. По оценкам европейской ассоциации Eurosmart, в 2008 г. ведущие производители микросхем для микропроцессорных карт (Infineon, Renesas Technology, STMicroelectonics, NXP Semiconductors, Samsung, Atmel и др.) произвели более пяти миллиардов смарт-карт. До начала последнего мирового финансового кризиса объемы продаж смарт карт росли со скоростью 15% в год. Растут и возможности смарт-карт. Сегодня для их изготовления зачастую используются проектные нормы 0,13 и 0,18 микрон. Микропроцессоры, созданные в соответствии с такими проектными нормами, могут иметь размер оперативной памяти RAM 4 8 Кб, размер энергонезависимой перезаписываемой памяти EEPROM до Кб, использовать 32-разрядные центральные процессоры микросхемы, функционирующие с тактовой частотой до МГц. Новые характеристики карты в свою очередь позволяют применять новые технологии. Расширяется набор функций, обеспечивающих безопасность операций, выполняемых с использованием смарт-карт, улучшаются характеристики коммуникационной подсистемы карты. Смарт-карта постепенно утверждается в качестве безопасной аппаратно-программной платформы общего назначения, становясь неотъемлемым элементом разнообразных информационных систем. В то же время безопасность вычислений и мобильность смарт-карты (возможность носить карту с собой, например, в кармане одежды) по-прежнему остаются ее главными преимуществами в сравнении с альтернативными вычислительными средствами.

10 10 БАНКОВСКИЕ МИКРОПРОЦЕССОРНЫЕ КАРТЫ Важнейшее условие массового распространения смарт-карт наличие стандартов, определяющих их характеристики и функциональность. Сегодня базовым для всех видов выпускаемых карт является стандарт ISO/IEC Он носит общий характер, определяя требования к электрическим и механическим параметрам карты, коммуникационным протоколам, файловой структуре, элементам данных, системе команд смарт-карты. Поэтому в отдельных областях человеческой деятельности появляются специализированные стандарты, уточняющие стандарт ISO/IEC 7816 для конкретных приложений. Примером такого уточнения стандарта ISO/IEC 7816 в области безналичных платежей являются спецификации EMV, описанию которых и посвящена значительная часть настоящей книги. Цель данной книги дать читателю общее систематизированное представление о микропроцессорных картах, используемых в банковском деле. Она может рассматриваться как путеводитель по четырем объемным книгам стандарта EMV и созданным на их основе спецификациям платежных систем. Книга дает первое представление об открытых операционных системах, используемых в микропроцессорных картах, а также об универсальной платформе GlobalPlatform, применяемой для безопасной удаленной загрузки, инсталляции, экстрадиции приложений и их конфигурирования уже после выпуска карты. Роль платформы GlobalPlatform постоянно растет. Сегодня ей отводится важное место не только для загрузки приложений на банковские микропроцессорные карты, но и в мобильных платежах и иных приложениях. Наконец, целая глава книги посвящена описанию сегодняшнего положения дел в области бесконтактных банковских платежей. Книга содержит системное описание стандарта EMV. Акцент сделан на наиболее важных его аспектах, раскрыты тонкости и особенности реализации лежащих в его основе методов и алгоритмов. В ней анализируется влияние миграции на микропроцессорные карты на безопасность карточных операций и на процессинговую систему банка, предлагаются рекомендации по технологии выбора решений для миграции банка на микропроцессорные карты. В первой главе дается общее представление о карточной технологии. Рассказывается об архитектуре платежной системы, ее участниках, распределении между ними функций и ответственности. Приведена информация об основных международных стандартах, используемых для карт с магнитной полосой и микропроцессорных карт, о стандарте межхостового обмена данными, лежащего в основе интерфейсов банковских процессинговых центров, со всеми известными платежными системами.

11 ВВЕДЕНИЕ 11 Значительное место в первой главе занимает проблема безопасности операций, выполняемых с использованием карт с магнитной полосой. Приведена классификация существующих видов мошенничества. Рассказывается об основных доступных в рамках технологии карт с магнитной полосой средствах борьбы с карточным мошенничеством. Во второй главе приводятся общие сведения о микропроцессорных картах. Рассказывается об архитектуре микросхемы, ее основных элементах и их характеристиках, процессе производства микропроцессорных карт. Приводится общее описание коммуникационных протоколов, используемых в чиповых картах, процесса инициализации карты в начале выполнения платежной операции. Кроме того, дается представление о многоприкладных операционных системах Java Card и MULTOS, а также о платформе GlobalPlatform, обеспечивающей безопасную загрузку, инсталляцию и удаление приложений карты. Во второй главе значительное внимание уделено вопросам физической безопасности микропроцессорной карты, различным видам физических атак и способам противодействия им. Заканчивается глава описанием общих тенденций развития микропроцессорных карт. Третья глава описывает основы построения логической архитектуры микропроцессорных карт. Дается подробное представление о файловой структуре карты, используемых командах, алгоритмах аутентификации карты, обеспечения целостности и конфиденциальности информационного обмена между картой и эмитентом, алгоритмах вычисления прикладных криптограмм, являющихся доказательством факта совершения операции и результата ее завершения. При описании функций приложения карты стандарта EMV даются пояснения, позволяющие детально разобраться в работе алгоритмов и протоколов, с помощью которых эти функции реализуются. Описание основано на использовании последней версии стандарта EMV 4.2. В четвертой главе подробно и обстоятельно разбираются основные этапы процесса обработки транзакции, начиная с выбора технологии, используемой для выполнения транзакции, и заканчивая описанием процедур Issuer Script Processing и генерации прикладной криптограммы. Пятая глава посвящена процедурам персонализации микропроцессорных карт. Приводится описание жизненного цикла микропроцессорной карты и основных элементов стандарта EMV Card Personalization Specification. В шестой главе разбираются вопросы влияния миграции микропроцессорных карт на систему банка. Подробно обсуждаются возможные по-

12 12 БАНКОВСКИЕ МИКРОПРОЦЕССОРНЫЕ КАРТЫ становки задачи миграции, выбор методов аутентификации карты и верификации ее держателя, приводятся требования к платежному терминалу. Уделено внимание вопросу совместимости приложений терминала и карты. Приведен анализ реальной безопасности операций по микропроцессорным картам в сегодняшней платежной инфраструктуре и того, каким образом использование микропроцессорных карт позволяет бороться с основными видами карточного мошенничества. Освещены также вопросы управления ключами, выбора аппаратно-программной платформы микропроцессорной карты и конфигурации ее приложения, влияния миграции на процессинговую систему банка. Седьмая глава посвящена бесконтактным картам. В ней обсуждаются причины, по которым платежные системы и банки проявляют интерес к бесконтактным картам, подробно рассказано о физических принципах, лежащих в основе технологии бесконтактных карт, о стандартах ISO 14443, EMV Contactless Communication Protocol, EMV Entry Point Specification, о стандартах MasterCard PayPass и VISA Contactless. Завершается глава описанием протокола NFC и способов реализации бесконтактных платежей с использованием сотовых телефонов. При этом рассмотрены различные модели применения платформы GlobalPlatform для загрузки платежного приложения на SIM/UICC-карту сотового телефона. Восьмая глава содержит сравнение наиболее известных приложений EMV M/Chip, VSDC, CPA с точки зрения их функциональности, обеспечиваемой транзакционной безопасности, особенностей внедрения. Принимая тезис Козьмы Пруткова о невозможности объять необъятное, автор ограничился подробным изложением в книге только стандарта EMV, периодически останавливаясь на особенностях его реализации в спецификациях ведущих платежных систем. В главе 8 только обобщены особенности реализации стандарта EMV в приложениях VSDC, M/Chip 4 и CPA. Подробное описание перечисленных приложений в книге отсутствует. В то же время читатель может быть уверен в том, что, когда он разберется с основами микропроцессорных карт стандарта EMV и сведениями, приведенными в главе 8, ему не составит труда освоить спецификации приложений для микропроцессорных карт ведущих платежных систем. В книгу включены два приложения. В приложении A даны краткие сведения о математических основах криптографии. Приведены определения основных понятий алгебры (группы, кольца, поля) и представлены важнейшие результаты, лежащие в основе криптографии. Эти результаты изложены на элементарном уровне, доступном читателю, не имеющему

13 ВВЕДЕНИЕ 13 университетского математического образования. Таким образом, вооружившись необходимым упорством, каждый читатель сможет разобраться с «устройством» криптографических алгоритмов, используемых в стандарте EMV, на уровне, позволяющем ему самостоятельно произвести оценку криптостойкости применяемых в стандарте EMV методов защиты информации, а также времени, необходимого для реализации этих методов с использованием различных аппаратно-программных средств. Приложение B включает в себя основные понятия, используемые в криптографии, краткий обзор симметричных и асимметричных алгоритмов шифрования, описание подхода к оценке криптографической стойкости алгоритмов шифрования. Для смарт-карт придумано много названий смарт-карта, чиповая карта, микропроцессорная карта, и в данной книге они периодически будут использоваться. При этом термины «смарт-карта» и «чиповая карта» применяются для всех видов карт, использующих для обработки операций микросхему. Микропроцессорные карты это смарт-карты, микросхема которых содержит процессор, способный выполнять различного рода вычисления. Таким образом, микропроцессорная карта способна самостоятельно без обращения к эмитенту принимать решения, запрограммированные на ней ее эмитентом. В книге наряду с переводами на русский язык применяемых в стандарте терминов используются их английские аналоги. Это сделано для того, чтобы читатель мог уверенно находить эти термины в спецификациях EMV и платежных систем. Кроме того, многие из этих терминов уже стали элементами карточного сленга, и специалисты в области пластиковых карт часто употребляют их в английском звучании. При описании различных процедур, применяемых в ходе обработки операции, совершаемой с использованием карты, употребляются термины «процедура провалилась» и «процедура была неуспешной». Разница между терминами значительная. Факт того, что «процедура была неуспешной» означает, что в ходе обработки операции не возникли условия, при которых процедура могла бы быть выполнена. Когда же говорят, что «процедура провалилась», то имеется в виду, что процедура была выполнена и завершилась с отрицательным результатом. Проиллюстрируем сказанное на примере процедуры верификации держателя карты. Если при обработке транзакции не было реализовано ни одно условие для выполнения верификации держателя карты, то говорят, что процедура верификации была неуспешной (например, терминал проанализировал все определенные эмитентом условия для верификации

14 14 БАНКОВСКИЕ МИКРОПРОЦЕССОРНЫЕ КАРТЫ держателя, но условия выполнены не были, и в результате верификация не проводилась). Если же верификация держателя карты проводилась, например, с помощью метода офлайновой проверки PIN-кода и введенное значение PIN-кода оказалось неверным, то используется терминология «процедура верификации провалилась». Аналогичным примером может служить аутентификация эмитента. Если терминалу не удалось отправить эмитенту авторизационный запрос или если эмитент не сформировал ответную криптограмму, аутентификация эмитента не может быть выполнена, и говорят, что она была неуспешной. Если же криптограмма была доставлена карте и ее проверка картой показала, что криптограмма неверна, то говорят, что аутентификация эмитента провалилась. Наконец отметим, что в книге будет использоваться хорошо знакомый банковским специалистам термин «транзакция». Под этим термином понимается операция, выполненная с использованием пластиковой карты. Примеры транзакции операция безналичной покупки с использованием карты, снятие наличных в банкоматах и т. п. Иногда наряду с этим термином в книге употребляется его синоним термин «операция». Поэтому если в книге написано «обработка операции», то это означает, что речь идет о выполнении транзакции с использованием карты. Данное издание предназначено для специалистов в области информационных технологий и банковских услуг.

15 Глава 1 ОСНОВНЫЕ СВЕДЕНИЯ О ПЛАСТИКОВЫХ КАРТАХ 1.1. Основные понятия и определения К началу 2009 г. банки участники крупнейших международных платежных систем VISA, MasterCard, American Express, Diners Club, JCB в общей сложности эмитировали (выдали своим клиентам) около 4 млрд карт. Пластиковые карты стали привычным атрибутом сегодняшней повседневной жизни, и можно утверждать, что многим жителям нашей планеты хотя бы в общих чертах известно о том, что собой представляют пластиковые карты и как ими пользоваться. Тем не менее, для того чтобы в дальнейшем придерживаться общей и всем понятной терминологии, кратко опишем, каким образом функционируют платежные системы безналичных расчетов, основанные на использовании пластиковых карт. Начнем с главного банковской пластиковой карты. Рассмотрим банк, клиенты которого держат на счетах в банке свои денежные сбережения. Когда клиент банка собирается совершить покупку, но денег в кармане для этого недостаточно, он может пойти в банк, снять со своего счета необходимую сумму (если таковая имеется) и отправиться в магазин для совершения покупки. Чтобы реже ходить в банк, клиент снимает деньги с учетом не только текущей покупки, но и принимая во внимание другие прогнозируемые на обозримое будущее расходы. Тем самым клиент наносит серьезный урон банковскому бизнесу, поскольку снятые впрок деньги могли бы продолжать работать на банк вместо того, чтобы лежать в чьем-то кармане и ожидать момента своего применения. Ситуация изменилась бы для банка коренным образом, если бы у него имелся механизм, обеспечивающий его клиентам удаленный доступ к своим счетам в точках клиентского обслуживания (например, магазинах, ресторанах, такси и т. п.). В этом случае у клиента не было бы нужды снимать деньги впрок. Имея доступ к своему счету, он просто совершал бы

16 16 БАНКОВСКИЕ МИКРОПРОЦЕССОРНЫЕ КАРТЫ в магазине платежную операцию на сумму покупки, пользуясь денежными средствами собственного счета. Для этого, конечно, банку нужно предварительно договориться с магазином о том, чтобы клиент при наличии одобрения банка, выраженного в заранее оговоренной форме, мог совершить безналичную покупку под гарантии своего банка. Так появилась идея применения пластиковой карты в качестве средства удаленного доступа ее держателя к своему банковскому счету. В 50-е гг. прошлого века свыше 100 американских банков запустили свои карточные программы. Однако принципиально новый период в развитии карточного бизнеса наступил в 1958 г., когда в него вступили первый и второй по величине американские банки: Bank of America и Chase Manhattan Bank. Карточная программа банка Bank of America называлась BankAmericard. По мере роста карточных программ большинство банков столкнулось с очевидной проблемой ограниченностью сети приема своих карт. Это снижало интерес клиентов к предлагаемым банками картам. Клиент не мог полагаться на карту как универсальное платежное средство, поскольку в некоторых торговых точках по карте банка можно было расплатиться, а в некоторых нет. Стало очевидно, что ни один банк в мире не в состоянии заключить договоры с практически всеми торговыми точками земного шара на прием в них своих карт. Не говоря уже о проблемах обслуживания банком магазинов, расположенных в местах, где отделения банка отсутствуют. «Удаленные» от отделений банка магазины не были заинтересованы заключать с ним договор на обслуживание его карт. Какой смысл для торгового предприятия заключать такой договор, если ему известно, что ни один клиент банка, возможно, никогда не появится в дверях его магазина? Идея объединения карточных программ различных банков витала в воздухе и постепенно стала реализовываться. В 1966 г. банк Bank of America начал выдавать лицензии на выпуск BankAmericard другим банкам. В ответ на это несколько крупных банков конкурентов банка Bank of America создали свою межбанковскую карточную ассоциацию Interbank Card Association, или ICA. В 1969 г. эта ассоциация выкупила права на карту Master Charge, выпускавшуюся карточной ассоциацией банков западных штатов, и большинство членов ICA перешло на обслуживание и эмиссию карт Master Charge. В свою очередь банки, выпускавшие карту BankAmericard, настояли на том, чтобы эта карточная программа была выведена из-под контроля Bank of America. Так, в июле 1970 г. была создана ассоциация National BankAmericard Incorporated, или NBI.

17 Глава 1. ОСНОВНЫЕ СВЕДЕНИЯ О ПЛАСТИКОВЫХ КАРТАХ 17 В результате к началу 1970-х гг. в Соединенных Штатах сформировались два основных конкурента на рынке банковских платежных карт ICA и NBI. В 1976 г. система NBI переименовала свою карту в хорошо всем знакомую карту VISA, а в 1980 г. ассоциация ICA дала своей карте международное название MasterCard. Так относительно недавно возникли две крупнейшие мировые платежные системы. Платежная система представляет собой ассоциацию банков, называемых банками участниками этой платежной системы, подчиняющихся единым правилам (правилам платежной системы). Когда банк присоединяется к ассоциации, он тем самым подтверждает свою готовность следовать установленным правилам платежной системы. Эти правила определяют технические, юридические, организационные и финансовые аспекты функционирования банка в системе безналичных расчетов. Признание банком правил системы фиксируется в его договоре вступления в платежную систему и является основой для взаимного доверия между неизвестными друг другу банками при организации ими безналичных расчетов для своих клиентов. Контроль выполнения правил всеми участниками платежной системы производится исполнительным органом администратором платежной системы. Платежная система является также гарантом выполнения расчетов между банками участниками системы. Тем самым поддерживается доверие банков к идее платежной системы, в основе которой лежит уверенность банка, обслуживающего торговую точку, в получении денежного возмещения от банка клиента, совершившего в торговой точке операцию с использованием банковской карты. В платежной системе каждый банк может выступать в двух ипостасях: во-первых, в качестве банка эмитента пластиковых карт и, во-вторых, в качестве банка, обслуживающего точки приема пластиковых карт. Каждый банк может быть одновременно и эмитентом, и обслуживающим банком. В качестве эмитента банк выдает своему клиенту специальное удостоверение (пластиковую карту), предоставляющее ему возможность получения различных услуг. К таким услугам относятся безналичная покупка в торговом предприятии, получение наличных в банкомате или отделении банка, получение информации о текущем остатке средств на счете клиента, перевод денег с одного счета клиента на другой его счет, денежный перевод со счета клиента на счет другого лица и т. п. При этом пластиковая карта остается собственностью банка-эмитента, а клиент, получивший карту, является ее держателем, т. е. лицом, получившим карту банка во временное пользование. Держатель карты получает

18 18 БАНКОВСКИЕ МИКРОПРОЦЕССОРНЫЕ КАРТЫ ее по договору с банком, в котором в том числе оговаривается невозможность передачи карты третьему лицу. Появление пластиковых карт было связано с предоставлением клиенту банка возможности оплаты покупок товаров и услуг в кредит. При этом эмитент карты гарантировал торговому предприятию оплату покупки своего клиента. В конце каждого месяца банк предоставлял клиенту счет, составленный на основе всех покупок, произведенных клиентом по карте с конца предыдущего месяца до конца текущего месяца. Клиент должен был полностью оплатить банку счет в начале следующего месяца. Такие карты получили название кредитных карт типа charge cards. Эмитируя кредитную карту, банк может предоставить клиенту настоящий возобновляемый кредит (revolving credit). В этом случае банк заключает с клиентом договор, по которому клиент обязан ежемесячно оплачивать банку некоторый оговоренный в договоре процент своего долга. К оставшейся части долга банк добавляет свой интерес, который представляет собой комиссию за оказанную клиенту услугу кредитования. Комиссия рассчитывается через кредитную процентную ставку банка и прибавляется к текущему долгу клиента, оставшемуся от полученного банковского кредита. Наряду с кредитными картами существуют дебетовые карты, связанные с депозитным счетом (счетами) клиента в банке (счета, на которых лежат личные денежные средства клиента). В этом случае пластиковая карта представляет собой средство удаленного доступа клиента к своему счету в банке. Обычно клиент может выполнять операции по дебетовой карте в пределах размера своего счета. Иногда банк позволяет клиенту превысить размер его счета в пределах установленного банком порога (овердрафта). Пластиковая карта является носителем информации, которая: идентифицирует эмитента карты, ассоциацию банков, к которой принадлежит эмитент карты, карточный продукт, держателя карты клиента банка (логотипы платежной системы и банка-эмитента, напечатанный/эмбоссированный номер карты, имя держателя карты, признак карточного продукта, например цвет поверхности карты или изображенное на передней стороне карты название продукта); определяет требования эмитента к обслуживанию карты (поддерживаемую картой технологию чип и/или магнитная полоса, онлайновый/офлайновый режим обработки транзакций по карте, необходимость выполнения транзакции только с использованием электронного терминала, необходимость ввода держателем карты

19 Глава 1. ОСНОВНЫЕ СВЕДЕНИЯ О ПЛАСТИКОВЫХ КАРТАХ 19 значения его PIN-кода, географию приема карты, период времени, в течение которого карта может использоваться, и т. п.); используется для аутентификации карты и ее держателя (голограмма, микропечать, специальные эмбоссируемые (рельефные) символы, видимые в ультрафиолете символы, фотография держателя карты, специальные проверочные величины CVC/CVV, Chip CVC/iCVV, CVC2/CVV2, обеспечивающие целостность данных карты, подпись держателя карты и т. п., а в микропроцессорных картах дополнительно секретные ключи и, возможно, PIN-код держателя карты). Карта обязательно содержит следующую информацию, называемую реквизитами карты: номер карты, срок ее действия, код обслуживания, имя держателя, специальную информацию, генерируемую эмитентом и используемую им для удаленной проверки подлинности карты. Часть реквизитов наносится на пластик с помощью специальной печати или тиснения и считывается в процессе совершения транзакции визуально и осязательно. Эта информация используется продавцом торгового предприятия для проведения так называемой голосовой авторизации. В этом случае продавец связывается по телефону со службой голосовой авторизации своего обслуживающего банка и сообщает ей информацию о реквизитах торгового предприятия, карты, держателя карты и совершаемой операции. Служба голосовой авторизации вводит полученную информацию о карте в компьютер процессингового центра обслуживающего банка, который инициирует авторизацию операции и возвращает решение эмитента службе голосовой авторизации. Последняя доводит решение эмитента до торгового предприятия. Другая часть информации хранится в микропроцессоре (чипе) и/или на магнитной полосе карты. Информация с магнитной полосы или чипа считывается с помощью специальных устройств, называемых считывателями карты, картридерами или просто ридерами. Электронные терминалы в торговом предприятии (Point-of-Sale-терминалы, или POS-терминалы), а также устройства выдачи наличных (банкоматы) оснащены подобными ридерами. Обслуживающий банк обеспечивает поддержку инфраструктуры приема пластиковых карт, к которой в общем случае относятся банкоматы, пункты выдачи наличных и предприятия торговли и сервиса. Обслуживающий банк заключает договоры с торговыми предприятиями на обслуживание в них пластиковых карт, эмитированных банками некоторой платежной системы, гарантируя торговому предприятию возврат средств

20 20 БАНКОВСКИЕ МИКРОПРОЦЕССОРНЫЕ КАРТЫ по всем операциям, совершенным в нем по картам любого банка участника этой платежной системы. Иногда платежная система дополнительно гарантирует торговому предприятию возмещение средств по транзакциям, выполненным с использованием карт этой платежной системы. Ведущие платежные системы предоставляют торговым точкам такую гарантию. Гарантия платежной системы выдается на случай финансового краха обслуживающего банка и его неспособности возместить торговому предприятию средства по покупкам, совершенным с использованием пластиковых карт. В этом случае платежная система рассчитывается с торговым предприятием по выполненным в нем карточным операциям вместо потерпевшего крах банка. Гарантия платежной системы повышает уверенность торгового предприятия в возмещении ему средств по безналичной покупке. Эта уверенность лежит в основе технологии расчетов с использованием пластиковых карт. Одна из важнейших задач любой платежной системы создание широкой географически распределенной инфраструктуры приема карт. Подобная инфраструктура приема карт делает применение карты привлекательным для ее держателя и эмитента. Именно для создания развитой инфраструктуры приема карт и требуются усилия многих банков участников платежной системы. Очевидно, задачи создания инфраструктуры приема карт и их эмиссии тесно связаны друг с другом. Чем больше карт циркулирует в платежной системе, тем интереснее торговому предприятию принимать карты этой платежной системы и, следовательно, тем проще создавать инфраструктуру приема карт. Наоборот, чем более развита инфраструктура приема карт, тем карта этой платежной системы выглядит более привлекательной для ее держателя, а следовательно, тем легче банкам продавать своим клиентам пластиковую карту банка такой платежной системы. Когда клиент банка А собирается совершить покупку в торговом предприятии обслуживающего банка В, торговое предприятие в первую очередь должно убедиться в том, что в соответствии с договором с обслуживающим банком В операция по предъявляемой для оплаты карте будет возмещена. Другими словами, торговое предприятие должно убедиться в том, что эмитент А и обслуживающий банк В являются участниками одной платежной системы. Визуально это устанавливается по логотипу платежной системы, нанесенному на пластиковой карте покупателя. Процесс оплаты услуги в общем случае состоит из двух частей. Первая часть авторизация транзакции (рис. 1.1).

21 Глава 1. ОСНОВНЫЕ СВЕДЕНИЯ О ПЛАСТИКОВЫХ КАРТАХ 21 Рис Покупка с помощью пластиковой карты Кассир торгового предприятия «считывает» с пластиковой карты, предъявляемой клиентом для оплаты покупки, требуемую для авторизации операции информацию, а также, возможно, получает (иногда в зашифрованном виде) дополнительную верифицирующую клиента информацию непосредственно от самого клиента (например, персональный идентификационный номер клиента, имя клиента, другие его идентификаторы). Далее кассир добавляет информацию о покупке размер и валюту транзакции, иногда тип операции. На основе собранной информации торговое предприятие принимает решение о технологии выполнения операции (по магнитной полосе или чипу), а также о режиме авторизации транзакции онлайновом или офлайновом. При офлайновом режиме решение о разрешении или отклонении операции принимается терминалом и картой (в случае микропроцессорной карты). В онлайновом режиме такое решение принимается эмитентом карты. В случае онлайновой авторизации полученная от клиента и считанная с карты информация, а также информация о покупке и торговом предприятии (идентификаторы торгового предприятия и устройства приема карты, способ ввода информации карты в платежную сеть, описание возможностей терминала по обработке транзакции) передаются торговым предприятием своему обслуживающему банку в форме авторизационного запроса. С помощью авторизационного запроса торговое предприятие спрашивает у обслуживающего банка, может ли оно предоставить держателю карты запрашиваемую им услугу. Обслуживающий банк должен проверить полученные в запросе данные: наличие у банка договора с торговым предприятием, имеющим указанные в запросе реквизиты; наличие у торгового предприятия авторизации банка на выполнение запрашиваемой держателем карты операции (разрешен ли тип операции, код валюты и т. п.); целостность полученных от терминала данных;

22 22 БАНКОВСКИЕ МИКРОПРОЦЕССОРНЫЕ КАРТЫ присутствие карты в стоп-листах платежной системы; выполнение требований эмитента карты по ее обслуживанию (например, карта предназначена только для внутристрановых операций, карта должна использоваться с обязательной проверкой PINкода ее держателя, операция должна быть обслужена в режиме реального времени и т. п.). Требования эмитента по обслуживанию карты записываются эмитентом во время персонализации карты на магнитную полосу карты в элементе данных «Код обслуживания» (см. п. 1.3) и в случае микропроцессорной карты в данных приложения карты (элементы данных Application Interchange Profile, Application Usage Control, CVM List, Issuer Action Code и Track 2 Equivalent Data). В случае офлайновой авторизации два последних пункта должны проверяться электронным терминалом торгового предприятия. В случае онлайновой авторизации обслуживающий банк обращается за разрешением на оказание услуги держателю карты к его банкуэмитенту А. При этом банки А и В обмениваются сообщениями в соответствии с правилами, установленными платежной системой. Поэтому синтаксис и семантика сообщений должны быть понятны обоим банкам. Эмитент А, получив запрос от обслуживающего банка В, проверяет достоверность информации о карте и ее держателе: правильность реквизитов карты и идентификатора держателя карты, статус карты в системе эмитента (активна или заблокирована), ограничения на использование карты, PIN-код держателя, если он представлен, значения величин CVC/ CVV (Chip CVC/iCVV), криптограммы ARQC, срока действия карты и т. п. После этого банк А определяет достаточность средств на счете клиента для оплаты запрашиваемой им услуги. Если все проверки завершились успешно, банк А отвечает на запрос банка В разрешением на совершение покупки, предварительно списав со счета клиента (или только «заморозив» на нем) размер покупки, возможно, вместе с некоторыми установленными им комиссиями (в случае операции покупки взимание комиссии с держателя карты обычно запрещено правилами платежных систем). Поскольку разрешение банка А по правилам любой платежной системы является гарантией возмещения средств банку B от банка A, обслуживающий банк, в свою очередь, разрешает операцию покупки своему торговому предприятию, тем самым гарантируя последнему возмещение средств за выполненную операцию.

23 Глава 1. ОСНОВНЫЕ СВЕДЕНИЯ О ПЛАСТИКОВЫХ КАРТАХ 23 В большинстве случаев, если обслуживающий банк представил эмитенту достоверную и достаточную (с точки зрения правил системы) для авторизации информацию, ответственность за результат транзакции несет эмитент карты. В частности, если транзакция оказалась выполненной по поддельной карте или украденной/потерянной карте, ответственность за мошенничество возлагается на эмитента карты (сейчас мы не рассматриваем принятые сдвиги ответственности в сторону обслуживающего банка, связанные с миграцией карт на технологию микропроцессорных карт). Вторая часть безналичной оплаты товаров/услуг заключается в расчетах между всеми участниками транзакции. Как уже отмечалось, торговое предприятие получает возмещение за операцию покупки от своего обслуживающего банка. Обслуживающий банк, в свою очередь, получает возмещение с банка-эмитента. Гарантом расчетов между банками выступает платежная система. В этом состоит ее важнейшая функция. Расчеты, как правило, производятся безакцептно (т. е. без получения специального разрешения их участников) через специальные счета, открываемые банками в расчетных банках платежной системы. Наконец, банк-эмитент списывает средства по операции со счета своего клиента. Таким образом, при участии и гарантии платежной системы реализуется передача средств со счета клиента на счет торгового предприятия. Основанием для расчетов между участниками транзакции могут быть авторизационные сообщения, которыми обменялись в процессе обработки транзакции обслуживающий банк и эмитент карты. В этом случае по окончании бизнес-дня платежная система на основании имеющейся у нее информации осуществляет расчеты за прошедший день между всеми своими банками-участниками. Системы, в которых расчеты производятся на основании авторизационного трафика, называются Single Message System (SMS). Иногда правила платежной системы таковы, что для инициализации расчетов между участниками транзакции обслуживающий банк должен отправить в платежную систему специальное финансовое сообщение, которое далее передается эмитенту карты. Только на основании этого сообщения платежная система осуществит расчеты по выполненной операции между ее участниками. Специальное сообщение называется презентментом (presentment), а системы, производящие расчеты на основе презентментов, Dual Message System (DMS). Сегодня международные платежные системы поддерживают оба типа систем расчетов SMS и DMS, отдавая предпочтение в расчетах по безналичным покупкам системам DMS. Хотя системы DMS являются функ-

24 24 БАНКОВСКИЕ МИКРОПРОЦЕССОРНЫЕ КАРТЫ ционально более гибкими, их техническая поддержка оказывается более сложной и дорогой. В платежной системе время от времени по различным причинам, связанным с техническими проблемами (например, дублирование обслуживающим банком авторизационного запроса) или с совершаемыми мошенничествами, могут возникать споры (диспуты) между эмитентом и обслуживающим банком. Например, держатель карты может утверждать, что никогда не совершал транзакции, за которую с его счета были списаны деньги, или совершал транзакцию, но на другую сумму. Жизнь многогранна, и подобных «или» может быть много. Для разрешения возникающих споров платежные системы разрабатывают правила, предусматривающие использование специальных сообщений, которыми в случае возникновения диспутов обмениваются банки участники системы. В частности, если банк-эмитент считает, что некоторая транзакция по его карте выполнена с нарушением правил системы и обнаруженное нарушение правил описано в правилах платежной системы и идентифицируется некоторым кодом reason code, он направляет обслуживающему банку специальное сообщение, называемое chargeback (отказ от платежа), с указанием причины отказа reason code. На основании этого сообщения платежная сеть переводит денежные средства, связанные с операцией, по которой произошел отказ, с корреспондентского счета обслуживающего банка на счет банка-эмитента. Возвращенные деньги эмитент далее переводит на счет держателя карты. Обычно в соответствии с правилами платежной системы, если обслуживающий банк не согласен с мнением эмитента, он может направить ему повторный презентмент. В этом случае эмитент понимает, что его следующий повторный отказ от платежа будет означать начало арбитражного процесса между банками участниками транзакции. Арбитром по возникшему диспуту, как правило, является администратор платежной сис темы. Банк может пытаться опротестовать и решение администратора системы, обратившись для этого в суд. Операции безналичных расчетов в платежных системах называют транзакциями. Платежные системы поддерживают транзакции различных видов: покупка, снятие наличных в отделении банка, снятие наличных в банкомате, получение информации об остатке средств на счете клиента и др. Транзакции различаются также по способу представления информации о карте в платежную систему. Существуют электронные транзакции (информация о карте считывается с магнитной полосы/чипа) и транзакции голосовой авторизации (paper-based).

25 Глава 1. ОСНОВНЫЕ СВЕДЕНИЯ О ПЛАСТИКОВЫХ КАРТАХ 25 По определению CNP-транзакция (Card Not Present) представляет собой операцию покупки по пластиковой карте, в момент совершения которой клиент лично не присутствует в торговом предприятии. В этом случае он сообщает торговому предприятию реквизиты своей карты (обычно номер карты и срок ее годности), необходимые для проведения авторизации, заочно (письмом, по телефону, сети передачи данных и т. д.). Частным случаем CNP-транзакции является операция электронной коммерции. Под транзакцией электронной коммерции понимается CNP-транзакция, при совершении которой обмен данными между держателем пластиковой карты и торговым предприятием о реквизитах карты и транзакции происходит через Интернет. Другими видами CNP-транзакции являются MO/TO (Mail Order/Telephone Order) операции (реквизиты карты и операции сообщаются обслуживающему банку по почте или телефону) и рекуррентные платежи (регулярные платежи, инициируемые с согласия держателя карты поставщиком услуг с использованием оставленных держателем карты реквизитов своей карты номера карты, срока ее действия и т. п.). Возможность совершить покупку заочно (при отсутствии покупателя в точке продажи) всегда являлась привлекательной как для покупателя, так и для продавца. Для покупателя из-за удобства способа покупки (не выходя из дома, в любое время суток, в спокойном режиме без очереди и т. п.), для продавца главным образом благодаря возможности снижения накладных расходов на организацию торговли и возможности круглосуточно рекламировать и продавать свой товар широкой аудитории потенциальных покупателей. На первом этапе развития «заочной» торговли наиболее распространенным способом заказа товара во время проведения покупки были почта, телеграф и телефон. Поэтому подобные транзакции получили название MO/TO-транзакций. Единственная проблема в то время состояла в организации расчетов за такие покупки. Продавцу хотелось заранее идентифицировать покупателя и убедиться в его кредитоспособности. С распространением пластиковых карт эта проблема в определенной степени решилась у торговых предприятий появилась возможность получить относительно надежные гарантии кредитоспособности покупателя. Относительность гарантии заключалась в том, что при заочных покупках вероятность мошенничества по кредитным картам становится высокой. Для успешного выполнения операции заочной покупки часто достаточно знать всего лишь номер карты и срок ее действия.

Понравилась статья? Поделиться с друзьями: