EMV: смарт-контроль + смарт-безопасность

EMV: смарт-контроль + смарт-безопасность

ПЛАС:Безусловно, сам по себе переход на использование EMV-карт нельзя рассматривать в качестве универсальной панацеи от мошенничества. Какие дополнительные средства обеспечения безопасности транзакций с использованием смарт-карт вы выделили бы в качестве основных?

М. Де Соэт: Безусловно, внедрение EMV-технологий приведет не только к резкому снижению уровня мошеннических операций по картам, но и к существенному расширению функциональных возможностей самих карт, что является весьма привлекательным с точки зрения как банков-эмитентов, так и их клиентов.

Из всего перечня основных характеристик EMV-совместимых карт стоит выделить прежде всего динамическую онлайновую и офлайновую технологию аутентификации карт (CAM – Card Authentication Method), основанную на использовании асимметричных алгоритмов шифрования (RSA). Кроме того, при совершении EMV-транзакции используются онлайновый и офлайновый методы аутентификации держателя карточки. А в будущем, помимо технологии проверки ПИН-кодов, мы сможем внедрить новые методы проверки подлинности держателей, основанные на соответствующих биометрических технологиях.

И, наконец, внедрение EMV-совместимых карт создает новые возможности в области контроля и ограничения рисков. Так, продолжая глобальную стратегию развития спецификаций на основе стандарта EMV, к настоящему моменту MasterCard предложила эффективную схему реализации предавторизованного дебета на основе технологий, гарантирующих отсутствие овердрафта при совершении операций в офлайновом режиме – MasterCard Preauthorized Debit (MPAD) на базе своего EMV-приложения M/Chip4.

В рамках основного международного платежного приложения все средства учитываются на картсчете, а на EMV-карте хранится информация об общем кумулятивном лимите, на сумму которого ее держатель может осуществить несколько платежей в off-line. Одновременно на POS-терминалах устанавливается лимит на сумму одной офлайновой операции. Если сумма транзакции не превышает указанные лимиты, она проводится в off-line, в противном случае POSтерминал автоматически запрашивает on-line авторизацию, после чего в памяти чипа карты сохраняется информация о новых лимитах, скорректированная в соответствии с текущим балансом текущего счета.

Использование технологии MPAD позволяет банку полностью контролировать кредитные риски при проведении операций как в on-line, так и в off-line, и динамически управлять лимитами карты. Для банка это означает снижение затрат на обслуживание транзакций, повышение степени независимости от качества канала связи и, разумеется, рост доверия клиентов – держателей карт благодаря повышению скорости и безопасности процесса обработки операций.

Одновременно банк может изменять максимальные значения лимитов для офлайновых операций, исходя из изменений клиентского статуса держателя карты, его кредитной истории и других параметров клиента и продукта: эти данные будут учтены при обновлении лимитов на карте. При необходимости в процессе онлайновой операции карта может быть заблокирована или переведена в режим, требующий 100%-ной онлайновой авторизации.

Таким образом, внедрение EMVтехнологий фактически знаменует собой переход от системы, в которой контролировался продуктовый риск, к системе, при которой эмитенты смарт-карт благодаря новым возможностям последних могут контролировать риски самостоятельно.

Разумеется, внедрение новых карточных функций сопровождается соответствующими процедурами сертификации. Как известно, MasterCard применяет различные программы сертификации, обеспечивающие правильную работу всех функций карт, безопасность карточных продуктов и качество всего процесса их производства и охватывающие фактически все этапы цикла эксплуатации карты – тестирование, предперсонализацию, персонализацию, непосредственно период эксплуатации карты и прекращение ее использования (блокировку карты).

Кроме того, MasterCard принимает дополнительные меры в области контроля и ограничения рисков, используя, например, системы выявления мошенничества, а также продвигая собственную разработку – систему мониторинга карточных транзакций Aristion. Кроме того, в настоящее время специалистами MasterCard проводится изучение возможностей по применению нейросетей в области контроля над рисками.

ПЛАС:Какие конкретные методы карточного мошенничества представляют собой наибольшую опасность на сегодняшний момент?

М. Де Соэт: На данный момент самыми опасными разновидностями карточного мошенничества являются подделка карт, мошеннические операции, совершаемые при транзакциях, когда карта физически не предоставляется (например, при дистанционном приобретении товаров и услуг в сфере электронной коммерции, заказе по каталогу и т.д.), а также хищение карт.

По существу, на эти три вида преступлений приходится сейчас около 90% всего объема совершаемых мошеннических операций по карточкам. Только в европейском регионе 65 случаев мошенничества из 100 совершается с использованием поддельных карт или при заочных операциях.

При этом следует отметить, что внедрение микропроцессорных технологий позволяет весьма эффективно бороться с мошенническими операциями первой и третьей из указанных категорий.

Оставшиеся 10% от общего объема мошеннических операций с картами приходятся на кражу персональных данных (identity theft). Характерно, что именно этот вид мошенничества, не получивший пока еще существенного распространения в Европе, становится в последнее время все более популярным среди карточных мошенников в США.

ПЛАС:В каких странах мира проблема карточного мошенничества стоит особенно остро? В какие регионы, по вашему мнению, сместятся мошеннические транзакции после того, как Великобритания и Франция полностью мигрируют на EMV?

М. Де Соэт: В прошедшем году в пятерку лидеров по объему финансовых потерь банков-эмитентов от мошеннических операций вошли Великобритания, Франция, Германия, Нидерланды и Швейцария, а по объему потерь банков-эквайеров лидировали, соответственно, Великобритания, Франция, Испания, Италия и Германия. При этом важно учесть, что средние объемы потерь от мошенничества в европейском регионе в настоящее время ниже 8 базисных пунктов (или 8 центов потерь на каждые 100 долл. США карточного оборота).

Очевидно, что с широким внедрением EMV-технологий на карточных рынках этих стран местные мошенники изберут своей целью другие, вероятнее всего, ближайшие, страны, на рынках которых процесс перехода на EMV-совместимые карты и транзакции в торговой сети с использованием ПИН-кода к тому времени будет еще не завершен и где микропроцессорные карты будут продолжать обращаться параллельно с магнитными, а также картами, совмещающими магнитную полосу и чип. Судя по всему, в ближайшие годы мы действительно будем наблюдать процесс такой миграции объемов мошенничества, точно так же, как и определенные изменения в поведении самих преступников.

ПЛАС:Какие мошеннические операции наиболее характерны для России?

М. Де Соэт: В России наиболее распространенными видами мошенничества являются подделка и хищение карт – на долю этих операций приходится около 75% от общего объема финансовых потерь российских эмитентов.

Примерно в такой же ситуации оказались и банки-эквайеры – их потери от подделки и хищения карт составляют в настоящий момент около 80% общего объема убытков от мошеннических действий.

ПЛАС:Несколько слов о британском проекте Chip&PIN. Как отреагировали на необходимость ввода ПИН-кода при проведении POS-терминальных транзакций сами держатели карт?

М. Де Соэт: Переход на микропроцессорные карты проходит параллельно с процессом внедрения технологии использования ПИН-кода при POSтерминальных транзакциях. И сегодня во многих странах мира усилия участников карточного рынка направлены на то, чтобы объединить оба процесса, сочетая создание условий для проверки ПИН-кода и приема микропроцессорных карт на уровне POS-терминалов с модернизацией процессинговых систем эмитентов и эквайеров.

На наш взгляд, сами держатели карт восприняли перемены, связанные с необходимостью ввода ПИН-кода при совершении POS-терминальных транзакций, достаточно позитивно. Например, в европейском регионе, где уже сейчас широко распространены дебетовые карты с применением ПИН-кода, мы не ожидаем никакого психологического дискомфорта для потребителей или вызванной им отрицательной реакции на введение новой технологии. Главной проблемой этого региона, в том числе и России, остается модернизация POS-терминального оборудования. К настоящему времени по крайней мере 20% установленных на территории России терминалов имеют техническую возможность проверки ПИН-кода, что дает сигнал к началу перевода карт Maestro на новую технологию. Мы ожидаем, что в предстоящие годы порядка 60% российских терминалов будут адаптированы для обслуживания EMV-карт и поддержки использования ПИН-кода.

ПЛАС:Немаловажную роль в обеспечении карточной безопасности играет шифрование данных, передаваемых между терминальным устройством и хостом банка. Как протекает процесс перехода банков на применение протокола 3DES в различных странах мира, и в России в частности?

М. Де Соэт: Стоит отметить, что в Европе в области шифрования данных достигнут несколько больший прогресс, чем в ряде других регионов мира. В свою очередь, Россия стремится не отставать в этом вопросе от европейских стран.

Так, к настоящему времени все российские банки-эквайеры, подключенные к сети MasterCard, используют для обмена сообщениями с платежной системой алгоритм шифрования 3DES. Таким образом, Россия своевременно выполняет требования MasterCard в этой области.

Марийке Де Соэт
(Marijke De Soete)

Вице-президент MasterCard Europe, начальник отдела безопасности новых продуктов и технологий

Д-р Марийке де Соэт пришла на работу в MasterCard Europe в 1995г. и в настоящее время выполняет обязанности начальника отдела безопасности новых продуктов и технологий. В задачи группы специалистов, работающих под ее руководством, входят разработка параметров безопасности выпускаемых продуктов и услуг (карт с магнитной полосой, микропроцессорных карт, продуктов для электронной и мобильной коммерции), обеспечение работы Экспертного центра по криптографии, разработка и применение вспомогательных сервисов безопасности (управление ключами, инфраструктура открытых ключей), оценка уровня безопасности участников платежной системы, поставщиков услуг, специализированных процессинговых компаний, а также продуктов отраслевых поставщиков и их соответствующая сертификация.

Ранее д-р Де Соэт успела принять активное участие в работе ряда комитетов по стандартизации в области безопасности информационных систем и микропроцессорных карт для банковского и телекоммуникационного секторов (ISO, ECBS, ETSI). В настоящее время она является координатором 2-й рабочей группы секции “Методы и механизмы безопасности” Совместного технологического комитета (SC27) ISO/IEC по информационным технологиям, а также ведущим разработчиком ряда стандартов аутентификации, выпущенных этой группой.

В 1995-1996гг. д-р Де Соэт вела курс криптографии и информационной безопасности в университете города Гент (Бельгия), регулярно принимая участие в организации международных конференций.

В 1989г. д-р Де Соэт поступила на работу в компанию PhilipsM.B.L.E. в Брюсселе в качестве консультанта по вопросам безопасности. В число стоящих перед ней задач входили разработка и внедрение протоколов шифрования, а также вопросы управления ключами для смарт-карточных программ в области телекоммуникаций и защищенной внутрикорпоративной связи.

С 1979г. по 1988г. М.Де Соэт работала в Гентском университете, занимаясь исследованиями в области комбинаторики, конечной геометрии, криптографии и безопасности информационных систем. Выступила автором ряда статей по данной тематике. В 1987-1994гг. она являлась участником Международной организации криптографических исследований.

Марийке Де Соэт родилась в г. Брюгге (Бельгия). Замужем, имеет двоих детей. Обладатель докторской степени в области математики (Гентский университет, 1984г.).

ПЛАС:Расскажите о технологии SecureCode. Как проходит ее внедрение в различных странах мира? В каких регионах мира она наиболее востребована?

М. Де Соэт: Прежде всего отмечу один важный момент: компания MasterCard видит свою задачу в том, чтобы, создав инфраструктуру для обслуживания микропроцессорных карт, в ближайшие годы обеспечить экономический эффект от ее использования. В связи с этим в настоящее время мы добиваемся широкомасштабного внедрения CAP (Card Authentication Procedure) – метода аутентификации микропроцессорных карт, основанного на применении стандарта EMV и приложения M/Chip 4. Этот метод аутентификации используется, как правило, в ситуациях, когда транзакция проводится без физического присутствия карты, т.е. именно в той среде, где применяется SecureCode.

По внедрению системы SecureCode Европа намного опережает другие регионы. Так, MasterCard осуществила ряд проектов по продвижению этой технологии в Испании и Польше, а недавно объявила об аналогичных проектах, реализуемых в Великобритании. К концу 2003г. только в Великобритании число торгово-сервисных предприятий, использующих SecureCode, составило порядка 6 тыс. Разумеется, мы установили тесные контакты с поставщиками платежных услуг, имеющими значительные объемы операций в Великобритании, – например, с компанией WorldPay. И сейчас я могу со всей уверенностью заявить, что в области внедрения технологии SecureCode мы подошли к этапу так называемой “критической массы”: заключен целый ряд соответствующих соглашений, при этом банки и торгово-сервисные предприятия уже начали использовать нашу систему.

Начиная со II квартала нынешнего года ожидается новый всплеск интереса к SecureCode со стороны потребителей: клиенты, регистрируясь на сайте своего банка, будут активно выбирать данную технологию для защиты проводимых по картам операций. В заключение хотелось бы отметить – процесс внедрения SecureCode идет плавно, и при этом очень стабильно и уверенно.

Заканчивая тему динамики процесса перехода на микропроцессорную технологию, хочу отметить, что к настоящему времени мы практически полностью создали инфраструктуру и подготовили соответствующие программы сертификации. В последнее время наши усилия направлены на то, чтобы учесть дополнительные запросы банков, что позволит им повысить экономическую целесообразность своих EMV-проектов путем добавления дополнительных приложений, а также более эффективно использовать возможности уже созданной эквайринговой инфраструктуры.

Так, к примеру, в связи с внедрением таких технологий, как PayPass, большой импульс получило применение бесконтактных микропроцессорных карт. И, безусловно, следует ожидать крупного роста продаж данных карточных продуктов. В свою очередь, это поможет их эмитентам выйти на новые для них рынки, вытеснив наличные в тех сегментах, где сегодня карточные платежи пока не нашли широкого распространения, за счет внедрения бесконтактных смарт-карт (торговые автоматы, парковочные счетчики, оплата проезда на общественном транспорте и т. д.). И в ближайшие годы акцент на продвижение мультиаппликационных карт, а также на создание дополнительных потребительских свойств в нашей деятельности сохранится.

Интересно отметить и тот факт, что в текущем году мы стали яснее понимать свою фактическую зависимость от потребителей. К примеру, в Великобритании, Германии и Бразилии, где мы имеем трех крупнейших участников рынка, важнейшей задачей для нас стало максимальное упрощение всех процедур использования карт после их выдачи держателям.

Например, для пользователей в Великобритании, где Barclaycard переходит на микропроцессорную технологию и использование ПИН-кода, нами разработаны и внедрены ридеры размером с обычный микрокалькулятор, имеющие весьма высокий уровень защиты и при этом отличающиеся весьма скромной себестоимостью. Это устройство, которым оперирует сам держатель карты, позволяет ему выполнять собственную аутентификацию при проведении операций, не связанных с физическим присутствием карты, – например, при оплате товаров и услуг в Интернет-киосках и других удаленных точках продаж.

Кроме повышенной степени безопасности, к числу неоспоримых достоинств ридера можно отнести использование динамического алгоритма шифрования, что позволяет держателю воспользоваться для проведения аутентификации при совершении покупки любым из этих устройств. Данную систему генерации кодов уже использует ряд европейских банков при реализации национальных платежных приложений, что позволило им повысить экономический эффект от эксплуатации уже имеющейся эквайринговой инфраструктуры.

Полный текст статьи читайте в журнале «ПЛАС» № 3 (93) ’2004 стр. 22

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных