Банковские электронные услуги

     6. Поставщик имеет возможность  при помощи своей технологической  карты получить доступ к информации  о транзакциях, проведенных в системе по данным заказов, сделанных в данном магазине (6, 7, 8, 9). Данные запроса и ответа зашифровываются и подписываются сессионным ключом карты.

     10. Данные о транзакциях передаются банку-эквайреру.

     11. Уведомление об оплате.

     В целом запуск интернет-площадок позволит банкам оказывать своим клиентам новый для России вид сервиса - онлайновые платежи в секторе В2В интернет-коммерции.

     Таким образом, участники сегмента В2В  электронной коммерции в России получат дополнительную возможность для повышения эффективности своего бизнеса через Интернет³. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

2. Виды  смарт-карт

     Существует  несколько видов классификации смарт-карт (например, по типу микросхемы, которая в ней встроенная и по функциям, которые выполняет смарт-карта). Простейшие типы карт содержат только память, более сложные являются микро-ЭВМ, которая обеспечивает большой набор сервисных функций. Рассмотрим некоторые из них.

     В зависимости от типа микросхемы, встроенной в карту, различают следующие  типы смарт-карт:

• карточки с программируемым постоянным устройством для запоминания (PROM) является самым простым типом карточек. Основное их применение - расчеты за телефонные переговоры;
• карточки с энергозависимой перепрограммированной памятью (EEPROM) позволяют перезаписывать информацию, хранящуюся в них. Основное их применение - хранение индивидуальных данных;
• карточки с защищенной перепрограммированной памятью, которые обеспечивают доступ для чтения/записи только после ввода специального кода. Основное их применение - расчетные карты или хранения защищенных индивидуальных данных;
• многофункциональные карты содержат большой объем энергозависимой перепрограммированной памяти, а также специальный микропроцессор и встроенную операционную систему, обеспечивающую набор сервисных функций. Эти карты могут применяться для любых приложений, включая расчеты пользователя.                                                                                   

       Кроме того смарт-карты можно разделить по назначению. 

       Карты-счетчики применяются для такого типа расчетов, когда требуется вычитание фиксированной суммы за каждую платежную операцию. Такие карточки еще называют предоплаченными карточками. Наибольшее распространение в мире получили телефонные карты памяти, владельцы которых могут сделать определенное количество телефонных звонков, поскольку в телефонах-автоматах единица времени разговора имеет фиксированную цену. Карточка применяется в контактном режиме (микросхема физически контактирует с считывающих устройств. При каждом новом контакте число «разрешенных звонков» в памяти карточки уменьшается на один бит памяти. После того, как лимит оплаченных звонков исчерпан, карточка перестает функционировать. Аналогично карты-счетчики применяются при оплате за проезд, автостоянку, лифты и т.п.

     Карты памяти используются для хранения информации. Само их название говорит о том, что микросхема карты содержит только запоминающее устройство.

     Есть  два типа таких карточек: с защищенной и незащищенной памятью:

• в картах с незащищенной памятью нет ограничений по чтению или записи данных. Иногда их называют картами с полнодоступной памятью. Можно произвольно структурировать карту на логическом уровне, рассматривая ее память как набор байтов, который можно скопировать в оперативную память или обновить специальными командами. Использовать такие карты в качестве платежных карточек очень опасно. Достаточно легально приобрести такую карту, скопировать ее память на диск, а дальше после каждой покупки восстанавливать ее память копированием начального состояния данных с диска. Понятно, что такую операцию может выполнить только квалифицированный программист, но практика показывает, что людей, способных на это, достаточно.
• в карточках с защищенной памятью используется специальный механизм для разрешения чтения/записи или удаления информации. Чтобы провести эти операции необходимо ввести специальный секретный код (а иногда и не один). Чтобы провести эти операции, надо предъявить карте специальный секретный код (а иногда и не один). Предъявление кода означает установление с ней связи и передачу кода «внутрь» карты. Сравнение кода с ключом защиты чтения / записи (стирания) данных проведет сама карта и «сообщит» об этом устройству чтения / записи смарт-карт.

     Для защиты областей данных от несанкционированного доступа предусматриваются поля, контролирующие доступ к этим данным. Существуют три типа ключей:

1. I-Key - ключ банка;
2. P-Key - ключ владельца карточки - PIN-код;
3. A-Keys - ключи торговых организаций или иных приложений.

     Использование этих ключей дает возможность доступа  к чтению информации из соответствующей  области или записи информации. Как  правило, активизация одного ключа  позволяет только читать информацию, а активизация сразу всех ключей ее - и записывать⁴. Правильное предъявление ПИН-кода открывает доступ к карте (по чтению данных), однако не должно менять информацию, которой распоряжается кредитор карты (банк) или ее дебитор (магазин). Ключ записи информации в кредитную область карты имеется только у банка; ключ записи информации в дебетную область - у магазина. Только при предъявлении сразу двух ключей (ПИН-кода клиента и ключа банка при кредитовании, ПИН-кода клиента и ключа магазине при дебетовании) можно провести соответствующую финансовую операцию - внести деньги либо списать сумму покупки с карты.

     Если  в качестве платежной используются карты с одной защищенной областью памяти, - значит, банк и магазин будут работать с одной и той же областью, применяя одинаковые ключи защиты. Если банк, как эмитент карты, может ее дебетовать (например, в банкоматах), то магазин права кредитовать карту не имеет. Однако такая возможность ему дана - поскольку, в силу необходимости дебетования карты при покупках, он знает ключ стирания защищенной зоны. То обстоятельство, что и кредитор карты, и ее дебитор (обычно разные лица) пользуются одним ключом, нарушает сразу несколько основных принципов защиты информации (в частности, принципы разделения полномочий и минимальных полномочий). Это рано или поздно приведет к мошенничеству. Не спасают ситуацию и криптографические способы защиты информации.

     Микропроцессорные карты похожи на карты памяти, но микросхема содержит микропроцессор (чип-модуль), что делает эти карточки действительно интеллектуальными. Микропроцессор - это микросхема (интегральная схема, чип), которая способна хранить большой объем информации и выполнять арифметические и логические операции. Микропроцессорные карты, практически являются микрокомпьютерами со своим процессором, оперативной и постоянной памятью и даже операционной системой. В карту встраивается специализированная операционная система, обеспечивающая большой набор сервисных операций и средств безопасности⁵.

     Микропроцессоры, установленные на смарт-картах, имеют следующие основные характеристики:

• тактовая частота до 5 МГц;
• объем оперативной памяти (ОЗУ) до 256 байт (для выполнения команд);
• объем постоянной памяти (ПЗУ) до 10 Кбайт (для хранения операционной системы);
• емкость перезаписываемой энергозависимой памяти до 8 Кбайт.

     В карточку встраивается специализированная операционная система, обеспечивающая большой набор сервисных операций и средств безопасности.

     Операционная  система карты поддерживает файловую систему, предусматривающую разграничение доступа к информации. Для информации, хранимой в любой записи (файл, группа файлов, каталог), могут быть установлены следующие режимы доступа:

• всегда доступна по чтению / записи. Этот режим разрешает чтение / запись информации без знания специальных секретных кодов;
• доступна по чтению, но требует специальных полномочий для записи. Этот режим разрешает свободное чтение информации, но разрешает запись только после предъявления специального секретного кода;
• специальные полномочия по чтению / записи. Этот режим разрешает доступ по чтению или записи после предъявления специального секретного кода, причем коды для чтения и записи могут быть различными;
• недоступна. Этот режим не разрешает читать или записывать информацию. Информация доступна только внутренним программам карточки. Обычно этот режим устанавливается для записей, содержащих криптографические ключи.

     Карты обеспечивают разный спектр сервисных  команд. Для банковской деятельности это средства ведения электронных платежей.

     К специальным средствам относятся  возможность блокировки работы с  картой. Различают два вида блокировки при предъявлении неправильного  транспортного кода и при несанкционированном  доступе.

     Суть  транспортного блокировки заключается в том, что доступ к карточке невозможен без предъявления специального транспортного кода. Этот механизм необходим для защиты от нелегального использования карточек при хищении при пересылке карты от производителя к потребителю. Карточка может быть активизирована только при предъявлении правильного транспортного кода.

     Суть  блокировки при несанкционированном  доступе заключается в том, что  если при доступе к информации несколько раз неправильно был  предъявлен код доступа, то карточка вообще перестает быть работоспособной. При этом, в зависимости от установленного режима, карта может быть впоследствии либо активизирована при предъявлении специального кода, либо нет. В последнем случае карточка становится непригодной для дальнейшего использования.

     Пластиковые карты с микросхемами имеют более высокую степень защиты от мошенничества и подделок.

     Карты оптической памяти были изобретены в 1981 г. Они имеют большую емкость, чем карты памяти, но данные на них могут записываться только один раз. В таких карточках используется WORM-технология (однократная запись - многократное чтение). Запись и чтение информации с такой карточки производится специальной аппаратурой с использованием лазера (откуда другое название - лазерная карта). Технология, использованная в карточках, подобная той, которая используется в лазерных дисках. Основное преимущество таких карточек - возможность хранения больших объемов информации. Они используются для карманных «историй болезни», но в банковских технологиях пока распространения не получили из-за высокой стоимости как самих карточек, так и считывающих средств.

     Примером Суперсмарт-карты может служить многоцелевая карта фирмы Toshiba, используемая в системе VISA. Помимо всех возможностей обычной смарт-карты, эта карта имеет небольшой дисплей и вспомогательную клавиатуру для ввода данных. Эта карта объединяет в себе кредитную, дебетовую карты, а также выполняет функции часов, календаря, калькулятора, осуществляет конвертацию валюты, может служить записной книжкой и т.д. Из-за высокой стоимости суперсмарт-карты не получили сегодня широкого распространения, но их использование будет расти, поскольку они очень перспективны.

     По  доступу различают контактные и бесконтактные смарт-карты:

     Наибольшее  распространение сегодня получили контактные карты. При установке карточки в ридер, металлические контакты, расположенные на поверхности карты, сталкиваются (механический контакт) с контактами ридера, после чего между ними может осуществляться обмен информацией.

     Бесконтактные пластиковые карты являются одним из основных элементов систем радиочастотной идентификации объектов (RFID - систем), которые работают на расстоянии от ридера (вместе с чипом в пластиковой карточке размещается антенна, с помощью которой производится прием и излучение радиоволн).

     Чтение  и перезапись информации на карте осуществляется посредством радиосигнала, передаваемого ридером и принимается индукционной катушкой карты. Благодаря «индуктивной пидзарядке» микросхема карты получает возможность передавать информацию обратно на ридер. Американская компания AT&T работает с бесконтактными финансовыми карточками, но наибольшее распространение бесконтактные смарт-картыполучили в системах контроля доступа в помещение. Расстояние между картой и считывающих устройств может колебаться от нескольких миллиметров до нескольких метров в зависимости от конструкции, которая используется.