Вопрос 39. Защите информации в электронных платежных системах


Дата добавления: 2014-11-24 | Просмотров: 1650


<== предыдущая страница | Следующая страница ==>

1. Общие понятия об электронных платежных системах.

2. Проблемы безопасности в электронных платежных системах.

3. Электронные пластиковые карты.

1. Электронной платежной системойназывают совокупность ме­тодов и реализующих их субъектов, обеспечивающих в рамках системы использование банковских пластиковых карт в качестве платежного средства.

Пластиковая карта- это персонифицированный платежный ин­струмент на материальном носителе, предоставляющий поль­зующемуся этой картой лицу возможность безналичной оплаты товаров и услуг, а также получения наличных средств в бан­ковских автоматах и отделениях банков.

По виду расчетов, выполняемых е помощью пластиковых карт, различают;

· кредитные карты;

• дебетовые карты.

Кредитные картыявляются наиболее распространенным ви­дом пластиковых карт, К ним относятся карты общенацио­нальных систем США Visa и MasterCard, American Express и ря­да других, Эти карты предъявляют на предприятиях торговли и сервиса для оплаты товаров и услуг.

Держатель дебетовой картыдолжен заранее внести на свой счет в банке-эмитенте определенную сумму. Размер этой сум­мы определяет лимит доступных средств, При осуществлении расчетов с использованием этой карты соответственно умень­шается и лимит. Контроль лимита выполняется при проведе­нии авторизации, которая при использовании дебетовой карты является обязательной. Для возобновления или увеличения лимита держателю карты необходимо вновь внести средства на свой счет. Для страхования временного разрыва

осуществления платежа и моментом получения банком со­ответствующей информации на счете клиента должен поддер­живаться неснижаемый остаток.

Как кредитная, так и дебетовая карты могут быть не только персональными, но и корпоративными. Корпоративные карты

предоставляются компанией своим сотрудникам для оплаты ко­мандировочных или других служебных расходов.

Большое внимание привлекают к себе электронные платежные системы с использованием микропроцессорных карт. Они непо­средственно несут информацию о состоянии счета клиента, поскольку являются в сущности транзитным счетом. Все тран­закции совершаются в режиме Off-line в процессе диалога кар­та-терминал или карта клиента — карта торговца.

Такая система является почти полностью безопасной благодаря высокой степени защищенности кристалла с микропроцессором и полной дебетовой схеме расчетов. Хотя карта с микропроцессо­ром дороже обычной, платежная система оказывается дешевле в эксплуатации за счет того, что в режиме off-line нет нагрузки на телекоммуникации.

2. В последние годы широкую популярность приобрели автома­тизированные торговые POS-терминалы (Point-Of-Sale — опла­та в точке продажи) и банкоматы. При использовании POS-терминалов нет необходимости в заполнении слипов. Реквизиты пластиковой карты считываются с ее магнитной полосы на встро­енном в POS-терминал считывателе. Клиент вводит в терминал свой PIN-код (Personal Identification Number — персональный идентификационный номер), известный только ему. Элементы PIN-кода включаются в общий алгоритм шифрования записи на магнитной полосе и служат электронной подписью вла­дельца карты. На клавиатуре POS-терминала набирается сумма сделки.

Процессинговый центр представляет собой специализированную сервисную организацию, которая обеспечивает обработку по­ступающих от банков-эквайеров или непосредственно из точек обслуживания запросов на авторизацию и протоколов транзак­ций — фиксируемых данных о произведенных посредством пластиковых карт платежах и выдачах наличными. Для этого процессинговый центр ведет базу данных, которая, в частно­сти, содержит данные о банках — членах платежной системы и держателях пластиковых карт. Процессинговый центр хранит сведения о лимитах держателей карт и выполняет запросы на авторизацию в том случае, если банк-эмитент не ведет собст­венной базы данных (off-line банк). В противном случае (on-line банк) процессинговый центр пересылает полученный запрос в банк-эмитент авторизируемой карты. Очевидно, что процес­синговый центр обеспечивает и пересылку ответа банку-эквайеру.

Для обеспечения надежной работы электронная платежная сис­тема должна быть надежно защищена. С точки зрения инфор­мационной безопасности в системах электронных платежей существуют следующие уязвимые место:

• пересылка платежных и других сообщений между банком и кли­ентом и между банками;

• обработка информации внутри организаций отправителя и по­лучателя сообщений;

• доступ клиентов к средствам, аккумулированным на счетах.

Одним из наиболее уязвимых мест в системе электронных пла­тежей является пересылка платежных и других сообщений между банками, между банком и банкоматом, между банком и клиентом. Пересылка платежных и других сообщений связана со следующими особенностями:

· внутренние системы организаций отправителя и получателя долж­ны быть приспособлены для отправки и получения электронных документов и обеспечивать необходимую защиту при их обра­ботке внутри организации (защита оконечных систем);

• взаимодействие отправителя и получателя электронного доку­мента осуществляется опосредованно — через канал связи.

Для обеспечения функций защиты информации на отдельных узлах системы электронных платежей должны быть реализова­ны следующие механизмы защиты:

· управление доступом на оконечных системах;

• контроль целостности сообщения;

• обеспечение конфиденциальности сообщения;

• взаимная аутентификация абонентов;

• невозможность отказа от авторства сообщения;

• гарантии доставки сообщения;

• невозможность отказа от принятия мер по сообщению;

• регистрация последовательности сообщений;

• контроль целостности последовательности сообщений.

Качество решения указанных выше проблем в значительной мере определяется рациональным выбором криптографических средств при реализации механизмов защиты.

3. Применение POS-терминалов и банкоматов возможно при ис­пользовании некоторого носителя информации, который мог бы идентифицировать пользователя и хранить определенные учетные данные. В качестве такого носителя информации вы­ступают пластиковые карты.

Одна из основных функций пластиковой карты — обеспечение идентификации использующего ее лица как субъекта платежной системы. Для этого на пластиковую карту наносят логотипы банка-эмитента и платежной системы, обслуживающей эту карту; имя держателя карты, номер его счета, срок действия карты и т. п. Кроме того, на карте может присутствовать фото­графия держателя и его подпись. Алфавитно-цифровые данные — имя, номер счета и др. — могут быть эмбоссированы, то есть нанесены рельефным шрифтом. Это дает возможность при ручной обработке принимаемых к оплате карт быстро перенести данные на чек с помощью специального устройства-импринтера, осуществляющего "прокатывание" карты (аналогично получе­нию второго экземпляра при использовании копировальной бумаги).

По принципу действия различают:

• пассивные пластиковые карты;

• активные пластиковые карты.

Пассивные пластиковые карты всего лишь хранят информа­цию на том или ином носителе. К ним относятся пластиковые карты с магнитной полосой.

Карты с магнитной полосой являются на сегодняшний день наи­более распространенными. Магнитная полоса располагается на обратной стороне карты и в соответствии со стандартом ISO 7811 состоит из трех дорожек. Из них первые две предназна­чены для хранения идентификационных данных, а на третью дорожку можно записывать информацию (например текущее зна­чение лимита дебетовой карты). Однако из-за невысокой на­дежности многократно повторяемого процесса записи и счи­тывания запись на магнитную полосу обычно не практикуется, и такие карты используются только в режиме считывания ин­формации.

Карты с магнитной полосой относительно уязвимы для мо­шенничества. Для повышения защищенности своих карт неко­торые системы используют дополнительные графические средства защиты: голограммы и нестандартные шрифты для эмбоссирования. Платежные системы с подобными картами требуют on-line авто­ризации в торговых точках и, как следствие, наличия разветвлен­ных, высококачественных средств коммуникации (телефонных линий). Поэтому с технической точки зрения подобные систе­мы имеют серьезные ограничения по их применению в странах с плохо развитыми системами связи.

Отличительная особенность активных пластиковых карт — на­личие встроенной в нее электронной микросхемы. Стандарт ISO 7816 определяет основные требования к картам на инте­гральных микросхемах. В недалеком будущем карты с микро­схемой вытеснят карты с магнитной полосой. Карты с микросхемой можно классифицировать по следующим признакам:

функциональные возможности карты:

• карты-счетчики;

• карты с памятью;

• карты с микропроцессором;

тип обмена со считывающим устройством:

• карты с контактным считыванием;

• карты с индукционным считыванием.

Карты-счетчикиприменяются, как правило, в тех случаях, ко­гда та или инаяплатежная операция требует уменьшения ос­татка на счете держателя карты на некоторую фиксированную сумму. Подобные карты используются в специализированных приложениях с предоплатой (плата за использование телефо­на-автомата, оплата автостоянки и т. д.). Применение карт со счетчиком ограничено и не имеет большой перспективы.

Карты с памятьюявляются переходными между картами со счет­чиком и картами с процессором. Карта с памятью — это перезаписываемаякарта со счетчиком, а которой приняты меры, повышающие ее защищенность от атак злоумышленников. У про­стейших из существующих карт с памятью объем памяти мо­жет обставлятьот 32 байт до 16 килобайт.

Карты с памятью можно подразделить на два типа:

· с незащищенной (полнодоступной) памятью;

• с защищенной памятью,

В картах с незащищенной памятью нет никаких ограничений на чтение и запись данных, Их нельзя использоватьа качестве платежных, так как специалист средней квалификации может их достаточно просто "взломать".

Карты с защищенной памятью имеют область идентификацион­ных данных и одну или несколько прикладных областей, Иден­тификационная область карт допускает лишь однократную за­пись при персонализациии в дальнейшем доступна лишь для считывания. Доступ к прикладным областям регламентируется и осуществляется только при выполненииопределенных опе­раций, в частности при вводе секретного PIN-кода,

Уровень защиты карт с памятью выше, чем у магнитных карт, и они могут быть использованы в прикладных системах, в кото­рых финансовые риски, связанные с мошенничеством, относи­тельно невелики. В качестве платежного средства карты с памятью используются для оплаты таксофонов общего пользования, проезда в транспорте, в локальных платежных системах (клуб­ные карты). Карты с памятью применяются также в системах допуска в помещения и доступа к ресурсам компьютерных се­тей (идентификационные карты). Карты с памятью имеют более низкую стоимость по сравнению с картами с микропроцессором.

Карты с микропроцессором также называют интеллектуальными картами, или смарт-картами (smart cards). Карты с микропро­цессором представляют собой микрокомпьютеры и содержат все соответствующие основные аппаратные компоненты: центральный процессор (ЦП), оперативное запоминающее устройст­во (ОЗУ), постоянное запоминающее устройство (ПЗУ) и элек­трически стираемое программируемое ПЗУ (ЭСППЗУ).

Смарт-карта обеспечивает обширный набор функций:

• разграничение полномочий доступа к внутренним ресурсам (благодаря работе сзащищенной файловой системой);

• шифрование данных с применением различных алгоритмов;

• формирование электронной цифровой подписи;
• ведение ключевой системы;

• выполнение всех операций взаимодействия владельца карты,
банка и торговца.

Некоторые карты обеспечивают режим "самоблокировки" (не­возможность дальнейшей работы с ней) при попытке несанк­ционированного доступа. Смарт-карты позволяют существенно упростить процедуру идентификации клиента. Для проверки PIN-кода применяется алгоритм, реализуемый микропроцессо­ром на карте. Это позволяет отказаться от работы POS-терминала и банкомата в режиме реального времени и централизованной проверки PIN. Отмеченные выше особенности делают смарт-карту высокозащищенным платежным инструментом, который может быть использован в финансовых приложениях, предъяв­ляющих повышенные требования к защите информации. Имен­но поэтому микропроцессорные смарт-карты рассматриваются в настоящее время как наиболее перспективный вид пластико­вых карт.

По принципу взаимодействия со считывающим устройством разли­чают карты двух типов:

• карты с контактным считыванием;

• карты с бесконтактным считыванием.

Карта с контактным считыванием имеет на своей поверхности контактные пластины. Их размещение, количество и назначение выводов различны у разных производителей и естественно, что считыватели для карт данного типа различаются между собой.

В картах с бесконтактным считыванием обмен данными ме­жду картой и считывающим устройством производится индук­ционным способом. Такие карты надежнее и долговечнее.

Важными этапами подготовки и применения пластиковых карт являются:

• персонализация карты, которая осуществляется при выдаче карты клиенту. При этом на карту заносятся данные, позволяющие идентифицировать карту и ее держателя, а также осуществить
проверку платежеспособности карты при приеме ее к оплате или выдаче наличных денег;

• авторизация карты, то есть процесс утверждения продажи или выдачи наличных по карте. Для проведения авторизации точка обслуживания делает запрос платежной системе о подтверждении
полномочий предъявителя карты и его финансовых возможно­стей. Технология авторизации зависит от типа карты, схемы платежной системы и технической оснащенности точки обслуживания.

Способами персонализации карт являются:

эмбоссирование — процесс рельефного тиснения данных на пла­стиковой основе карты. На картах банков-эмитентов эмбоссируются, как правило, следующие данные:

• номер карты;

• даты начала и окончания срока ее действия;

• фамилия и имя владельца;

кодирование магнитной полосы, при котором часть информации о карте, содержащая номер карты и период ее действия, оди­накова как на магнитной полосе, так и на рельефе;

программирование микросхемы. Оно не требует особых технологи­ческих приемов, но зато ему присущи некоторые организацион­ные особенности. Для повышения безопасности и исключения возможных злоупотреблений операции по программированию раз­личных областей микросхемы разнесены территориально и разгра­ничены по правам различных сотрудников, участвующих в этом процессе. Обычно эта процедура разбивается на три этапа:

• на первом рабочем месте выполняется активация карты (ввод ее в действие);

• на втором рабочем месте выполняются операции, связанные с обеспечением безопасности;

• на третьем рабочем месте производится собственно персо­нализация карты.

Процесс авторизации проводится либо "вручную", когда прода­вец или кассир передает запрос по телефону оператору (голо­совая авторизация), либо автоматически, когда карта помеща­ется в POS-терминал, данные считываются с карты, кассиром вводится сумма платежа, а владельцем карты со специальной клавиатуры — секретный PIN-код. После этого терминал осу­ществляет авторизацию, либо устанавливая связь с базой дан­ных платежной системы (on-line режим), либо реализуя допол­нительный обмен данными с самой картой (off-line авторизация).

В случае выдачи наличных денег процесс носит аналогичный характер с той лишь особенностью, что деньги в автоматиче­ском режиме выдаются специальным устройством — банкома­том, который и проводит авторизацию.

Для защиты карт отподделки и последующего несанкциони­рованного применения используются различные методы и спо­собы:

• нанесение на пластиковую основу черно-белой или цветной фотографии владельца карты методом термопечати;

• наличие специальной полоски с образцом подписи владельца карты;

• специальные объемные изображения на лицевой и оборотной стороне карты (голограммы).

 


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 |

При использовании материала ссылка на сайт Конспекта.Нет обязательна! (0.048 сек.)