ПАРТНЕР РУБРИКИ


17 августа 2012, 16:17
Количество просмотров 279

Проекты "электронных кошельков"

Проекты "электронных кошельков"

Три ведущие международные платеж­ные системы, наконец, перешли от слов к делу. Конец 1995 г. - начало 1996 г. ознаменовались серией пилотных про­ектов «электронных кошельков» под эгидой Visa International, MasterCard International, Europay International.

Проекты VisaInternational

В марте 1995 г. на пресс-конференции в Лондоне президент VisaEMEA Жан-Жак Десбон (Jean-JacquesDesbons) сделал официальное заявление о готовящихся проектах «электронных кошельков». На второе полугодие 1995 г. были запланированы испытания неперезагружаемых (одноразовых) «электронных кошельков» в Аргенти­не, Австралии и Колумбии, на начало 1996 г. - проекты в США, Испании, Германии и Великобритании.

Вавстралийскомпроектепринимаютучастиепятьбанков - ANZ Banking Group, Commonwealth Bank of Australia, CUSCAL, National Australia Bank, Westpac Banking Corporation. На первом этапе программы (ав­густ 1995 г.) были эмитированы внутрибанковские непе­резагружаемые «электронные кошельки». В дальней­шем предполагается дополнить микросхемой традици­онные карточки Visa, VisaElectron, Interlink с магнитной полосой. В рамках австралийского проекта запланиро­вана эмиссия 150 тыс. карточек, обслуживаемых в се­ти из 1000 предприятий.

Выпуск самостоятельных перезагружаемых карточек-«электронных кошельков», запланированный на но­ябрь 1995 г., перенесен на первый квартал 1996 г. Од­нако это не означает отказ от применения эмитирован­ных ранее предоплаченных одноразовых карточек. По

мнению Ж.-Ж. Десбона, предоплаченные одноразовые карточки идеально подходят для выдачи карманных де­нег детям и использования туристами внутри страны, а также могут служить хорошим подарком.

В колумбийском проекте принимают участие 12 банков. Предполагается эмитировать около 2 тыс. де­бетовых карточек Visa и VisaElectron, дополненных функцией одноразового «электронного кошелька». В Аргентине микросхемой будут оснащены только кар­точки VisaElectron.

Три банка в Северной Каролине (США) совместно с VisaInternational планируют начало пилотного проек­та одноразового (неперезагружаемого) «электронного кошелька» на 1996 г. Весь первый квартал 1996 г. бан­ки намерены работать в открытой системе и к сентяб­рю выпустить 1 млн. предоплаченных карточек достоин­ством 25, 50 и 100 долларов США. Карточки смогут обслуживаться в той же сети, что и обычные карточки Visa с магнитной полосой. Банк FirstUnion в дальней­шем предполагает эмиссию перезагружаемых карточек и с этой целью совместно с Diebold занимается пере­профилированием 187 банкоматов.

В начале 1996 г. ожидается запуск проекта VisaCash в Испании, где в течение года предполагает­ся эмитировать около 1 млн. карточек.

Кроме проектов в Южной Америке, Австралии и США, в 1996-1997 гг. Visa планирует начать две отдель­ные программы в Германии и Великобритании. По же­ланию банков-эмитентов, «электронные кошельки» мо­гут быть как одноразовыми, так и перезагружаемыми. Особенность программы в Великобритании - тесное сотрудничество с ассоциацией APACS (AssociationforPaymentClearingServices).

Проект MasterCardInternational

MasterCardCash - перезагружаемый «электронный кошелек», привязываемый к уже существующим кре­дитным и дебетовым счетам. В проекте принимают уча­стие 4 австралийских банка, доля которых на австра­лийском рынке составляет более 70%.

Продолжительность проекта - 9 месяцев. Первона­чально для перезагрузки карточки будут использовать­ся POS-терминалы, на следующей стадии проекта -банкоматы.

В преддверии перехода на микропроцессорные карточки ассоциация International разработала новые требования к внешнему виду таких карточек. Эти требования были опубликованы в последнем выпуске VisaOperationRegulation (ноябрь 1995 г.).

Первые четыре цифры BINa, размещаемые до настоящего времени над эмбоссированным номером карточки, будут перенесены ниже, чтобы освободить место для микросхемы.

Номер карточки, расположенный на лицевой стороне, будет продублирован на пане­ли для подписи клиента на оборотной стороне карточки аналогично тому, как это сей! час делает MasterCard. Эта мера предлагается с целью защиты от подделки карточек пу­тем замены панели для подписи, и ее выполнение не является обязательным для всех чле­нов ассоциации.

Новые правила будут распространяться на все карточки Visa с 1 июля 1997 г.

На первом этапе для всех кошельков будет устано­влен единый лимит загрузки средств, хотя впоследствии величина лимита будет определяться банками-эмитен­тами. «Электронный кошелек» сможет обслуживаться в POS-терминалах сети Maestro. Карточка будет прини­маться для оплаты бензина и недорогих покупок.

В рамках проекта предполагается выпустить 10 тыс. карточек, которые будут приниматься в 200 предпри­ятиях торговой сети.

Поставщики карточек и разработчики операцион­ной системы - компании OrgaCardSystems и SolaicSmartCard. Терминальное оборудование поставляют фирмы Fortronic, Verifone, Keycorp.

Express - «электронный кошелек» ассоциации Еurорау International

19 октября 1995 г. в Москве прошла конференция для российских банков-членов Еurорау International «FirstDay Еигорау», на которой была представлена про­грамма перехода Еurорау International на карточки с микросхемой. Эта программа базируется на балансе интересов всех участников транзакции, но во главе уг­ла стоят интересы эмитентов. Суть ее можно выразить одной фразой: «Гарантировать законное использование платежного инструмента законным держателем кар­точки в законной среде с оптимальным уровнем кре­дитного риска для эмитента карточек».

Программа преследует четыре основные цели:

- снизить потери от мошенничества с карточками;

- снизить стоимость управления кредитными рисками;

- снизить стоимость транзакции;

- обеспечить базу --для расширения спектра услуг, предоставляемых членами ассоциации клиентам.

В 1992 г. потери ассоциации от мошеннического использования кредитных платежных инструментов со­ставили 92 млн. ЭКЮ (0,36% от оборота Еurорау International по всем транзакциям). По расчетам экс­пертов , если не принять дополнительных мер, к 2000 г. эта величина может достигнуть 360 млн. ЭКЮ. При этом новые программы борьбы с мошенничеством (например,  Enhanged  CardSecurity  Package)  дают лишь кратковременный эффект.

 

Подготовлен к публикации оконча­тельный   вариант   спецификаций   ISO, регламентирующих размещение контак­тов на карточках с микросхемой. Это оз­начает, что теперь единственно возмож­ный вариант расположения контактов - с лицевой стороны карточки слева, между эмбоссированной информацией и маг­нитной  полосой.  Производителям  тер­миналов, способных принимать карточ­ки с различным размещением контактов, придется   изолировать  дополнительные контактные зоны, то есть прекратись ис­пользование в этих зонах токопроводящей фольги.

                                                                                                                                  

Рис. 1. Потери платежной системы Еurорау International от использо­вания похищенных, поддельных и неполученных карточек

В 1994 г. Советом директоров ассоциации Еurорау International было принято решение о переходе на вы­пуск микропроцессорных карточек начиная с середины 1997 г. К 2001 г. все карточные продукты Еurорау International должны быть оснащены микросхемой, под­держивающей функции локальной проверки PIN-кода и динамической аутентификации (RSA-алгоритм). Соот­ветственно, будут приняты меры по модификации обо­рудования для работы с карточками.

Предприятия торговой сети

При разработке стратегии быстрого и «бескровно­го» перехода на карточки с микросхемой учитывалось, что POS-терминалами для приема таких карточек ос­нащены не все предприятия торговой сети. Кроме то­го, и банки-эмитенты, и обслуживающие банки начнут выпуск и обслуживание карточек с микросхемой посте­пенно. Поэтому предусматривается несколько возмож­ных схем перехода на микропроцессорные карточки (табл. 1).

Для каждой из схем определены основные принци­пы управления рисками участников транзакции.

7. Транзакция на основе сравнения подписи на карточке и подписи клиента на торговом чеке.

Около 9 млн. предприятий торговой сети в мире не оснащены POS-терминалами. Даже при переходе на микропроцессорные карточки значительное число транзакций будет основываться на сравнении подписи, и в этом случае риск эмитента по-прежнему будет ве­лик. Для уменьшения рисков в качестве защиты от мо­шенничества предлагается:

- устанавливать терминалы, принимающие микро­процессорные карточки;

-          устанавливать размер авторизационных лимитов в зависимости от уровня мошенничества в конкретных предприятиях торговой сети и принимая во внимание интересы держателей карточек.

Таблица 1

Схемы перехода на микропроцессорные карточки

Терминал

 

Карточка

 

Транзакция

 

Терминал отсутствует (используется импринтер)

 

Карточка с магнитной полосой Микропроцессорная карточка(*)

 

Транзакция, основанная на сравнении подписи на карточке и торговом чеке (paper-based)

 

Терминал, принимающий карточки с магнитной полосой

 

Карточка с магнитной полосой Микропроцессорная карточка)*)

 

Электронная транзакция по магнитной полосе

 

Терминал, принимающий микропроцессорные карточки)**)

 

Карточка с магнитной полосой Микропроцессорная карточка(*)

 

Электронная транзакция по магнитной полосе Электронная транзакция по микросхеме

 

*   Микропроцессорная карточка, снабженная магнитной полосой ** Терминал может принимать и микропроцессорные карточки, и карточки с магнитной полосой

 

2. Транзакция проводится по магнитной полосе. В целях уменьшения рисков предлагается:

- устанавливать терминалы, принимающие микро­процессорные карточки;

- использовать авторизационные лимиты торговых точек повышенного риска для того, чтобы сделать пре­ступления с пластиковыми карточками экономически неоправданными;

- применять возможности современных систем борьбы с мошенничеством, позволяющих выявлять со­вершаемые преступления на их ранних этапах;

- разработать новые системы управления рисками для предотвращения мошенничества дополнительно к уже существующим.

3. Транзакция проводится по микросхеме.

В этом случае эмитент располагает гибкими сред­ствами дополнительного контроля рисков с помощью параметров карточки, занесенных в память микросхе­мы. В то же время, риск предприятий торговой сети необходимо снизить. С этой целью предлагается:

- сохранить систему авторизационных лимитов по желанию владельцев предприятий даже при установке терминалов, обслуживающих микропроцессорные кар­точки, и проведении транзакций по микросхеме;

- обслуживающие банки должны располагать воз­можностью отвергать решения о порядке проведения транзакции, принимаемые микропроцессором карточ­ки путем снижения авторизационных лимитов (особен­но в предприятиях повышенного риска).

Для ускорения переоснащения предприятий торго­вой сети предполагается дифференцировать процент­ные ставки оплаты за транзакцию в зависимости от ти­па терминалов.

Банкоматы

Все банкоматы, принимающие карточки Еuroрау International, должны будут обеспечивать проведение идентификации держателя карточки независимо от то­го, проверяется ли PIN-код локально микропроцессо­ром карточки или же отравляется в шифрованном ви­де в центр авторизации. Плата за обслуживание кар­точки в банкоматах (ServiceFee) будет отражать затраты на модификацию банкоматов, связанные с необхо­димостью обеспечения безопасности эмитента.

Сроки реализации программы Еurорау International тесно увязаны со сроками выхода спецификаций на карточку с микросхемой и терминал2. О серьезности намерений ассоциации Еurорау International свидетельствует

 

 

 Суммарная прибыль от реализации программы

тот факт, что уже разработана поэтапная про­грамма модификации сети EPS-Net для приема интел­лектуальных карточек. Предполагается, что программа начнет окупать себя к концу четвертого года3 (рис. 2).

На начало 1997 г. запланированы пилотные проек­ты участников ассоциации, а к концу того же года на­мечается полномасштабная реализация программы вы­пуска общеевропейской интеллектуальной карточки.

В рамках этой программы был разработан проект «электронного кошелька» Express. Начало проекта в ло­кальном варианте намечено на вторую половину 1996 г.4, а в 1997 г. предполагается распространение междуна­родного общеевропейского «электронного кошелька».

Краткая характеристика «электронного кошелька» Express

Express - международный мультивалютный кошелек, предназначенный для транзакций небольшого объема (до 25 ЭКЮ). Схема Express рассчитана на участие не­скольких банков-эмитентов и обслуживающих банков,

Как   известно,   в   конце   июля   1995   г.   вышла   вторая   версия   спецификаций   на   карточку   и   первая   версия   спецификаций   на   терминал. В июне 1996 г. ожидается выход соответственно третьей и второй версий спецификаций.

Расчеты производились исходя из средней стоимости карточки 2 ЭКЮ, терминала 200 ЭКЮ, среднего срока службы терминала 7 лет. В июне 1996 г. начнется реализация пилотного проекта в Севилье (Испания).

но может быть реализована и как локальная. Отличи­тельная особенность схемы - предоставление эмитенту инструмента для контроля своих рисков.

Загрузка карточки Express

Основополагающий принцип системы защита интере­сов эмитента - отчетливо проявляется при выборе режи­ма загрузки карточки. Револьверного кредита и самокре­дитования карточки, угрожающего сохранности средств эмитента, в системе не предусмотрено. Все операции за­грузки производятся в режиме реального времени.

В схеме заложено два варианта загрузки карточ­ки по инициативе держателя карточки и по инициати­ве карточки.

 

 

Держатель карточки может загружать «электрон­ный кошелек» в банкоматах, телефонных аппаратах, специальных терминалах и т. д. со своего счета.Пос­ледовательность операций при этом следующая:

- клиент сообщает устройству требуемую сумму (но не более 25 ЭКЮ) и набирает PIN-код;

- PIN-код проверяется микропроцессором карточ­ки;

- устройство пересылает эмитенту запрос на авто­ризацию транзакции в режиме реального времени;

- при положительном результате авторизации эми­тент пересылает устройству разрешение кредитовать карточку и дебетует счет клиента;

- баланс на карточке увеличивается на сумму тра­нзакции.

Держатель карточки может загружать «электрон­ный кошелек» наличными.Для этого используются специальные загрузочные терминалы.

Загрузка по инициативе карточки имеет место в случае, если сумма в «электронном кошельке» недос­таточна для совершения покупки или валюта кошелька не совпадает с валютой транзакции. Последователь­ность операций здесь та же, что и при загрузке по ин­ициативе держателя карточки.

Возможны ситуации, когда терминал не может ра­ботать в режиме реального времени. На этот случай в памяти карточки-кошелька содержится информация о лимите разрешенного овердрафта (PCG - PurchaseCompletionGuarantee). Загрузка в этой ситуации недо­ступна, но осуществление платежей возможно в преде­лах овердрафта. Загрузка карточки инициируется авто­матически при последующем использовании термина-

ла, работающего в режиме реального времени, и овер­драфт возобновляется.

Схема осуществления платежа в терминале

1. Выполняется взаимное опознание устройства и карточки.

2. Выбирается отделение кошелька с валютой тран­закции (если такого отделения нет, оно создается).

3. Карточка инициирует загрузку кошелька (при не­обходимости используется функция разрешенного овердрафта).

4. Баланс кошелька уменьшается на сумму плате­жа.

5. Терминал сохраняет подробную информацию о

транзакции для дальнейшего предоставления обслужи­вающему банку.

Перевод средств из «электронного кошелька»

Перевод средств производится в режиме реально­го времени посредством общения с эмитентом. Сред­ства могут выгружаться полностью или частично в бан­коматах, терминалах, телефонах и т. д. Средства могут быть возвращены на счет клиента или использованы для загрузки другого кошелька. Последняя процедура предназначена в основном для перевода средств с кар­точки с истекшим сроком действия на новую.

Запросы по транзакциям

В схеме предусмотрены запросы держателей кар­точек по совершенным транзакциям:

краткая информация о каждой совершенной тран­закции заносится в память карточки, где хранятся све­дения о нескольких последних транзакциях;

до и после транзакции держатель карточки может контролировать баланс средств на карточке;

баланс может быть проконтролирован на термина­лах загрузки;

эмитент может по своему усмотрению предостав­лять держателю карточки подробный список транзак­ций (historyoftransactions).

Предполагаемые статьи дохода банка-эмитента:

- плата за изготовление и выдачу карточек;

- плата за ведение счета клиента;

- плата за перезагрузку «электронного кошелька»;

-          плата за конвертацию валюты «электронного ко­шелька».

Предполагаемые статьи дохода обслуживающего банка:

- плата за транзакции;

- расширение сети предприятий приема карточек;

- снижение наличного оборота при расчете с пред­приятиями.

Вопросы обеспечения безопасности участников транзакции

Загрузка кошелька происходит в режиме реально­го времени под контролем эмитента и с использовани­ем установленных им режимов обеспечения безопасно­сти (в том числе идентификацией держателя карточки через локальную проверку PIN-кода микропроцессо­ром карточки).

Для контроля всех карточек Express введены специ­альные параметры, используемые в системе управления рисками.

Для предотвращения использования поддельных карточек в системе производится протоколирование всех транзакций.

Несмотря на совместные усилия при создании ЕМV-спецификаций, каждая из платежных систем раз­работала собственную стратегию перехода на микро­процессорные карточки. Это выразилось в том, что проекты всех трех международных систем реализуют­ся разными путями.

Пилотные проекты одноразового кошелька VisaInternationalв рамках закрытой схемы можно рассма­тривать как первую - подготовительную - стадию всей программы перехода ассоциации на карточки с мик­росхемой. VisaInternational поддерживает как совме­стные, так и самостоятельные проекты банков-членов ассоциации, поскольку это дает им возможность полу­чить опыт практической работы с карточками с микро­схемой и правильно построить программу «электрон­ного кошелька».

Учитывая, что в Европе карточки с микросхемой получили широкое распространение, и многие евро­пейские банки уже реализуют собственные пилотные проекты, Visa предполагает сконцентрировать усилия на обеспечении мультивалютности «электронного ко­шелька» для того, чтобы карточки можно было исполь­зовать за пределами той страны, в которой они были выпущены. Таким образом, в конце 1997 г., на второй стадии реализации программы, планируется превра­тить «электронный кошелек» Visa в международное платежное средство.

Пилотный проект MasterCardCash ограничен рам­ками Канберры (Австралия) и менее масштабен, чем проекты Visa6. Но, по нашему мнению, он более раз­вит технологически, так как изначально предусматри­вает использование перезагружаемого межбанков­ского «электронного кошелька».

EuropayInternational предполагает начать рабо­ту с перезагружаемым «электронным кошельком» в замкнутой схеме. Начало программы запланирова­но на второе полугодие 1996 г., а переход на ис­пользование международного кошелька - на середи­ну 1997 г. Ш

CVM (CardholderVerificationMethod) - метод идентификации держателя карточки посредством «оф-лайн» проверки набранного им PIN-кода. 10 тыс. карточек MasterCardCash, выпускаемых в Канберре, против 2 млн. карточек VisaCash, эмитируемых банками в США и Испании.

 

ПРОБЛЕМЫ БЕЗОПАСНОСТИ

со встроенным элементом питания. Проблема была ре­шена, но замена карточек обошлась почти в 7 млн. фунтов стерлингов.

С аналогичной проблемой приходится сталкиваться и некоторым компаниям, выпускающим телефонные карточки-счетчики, где внешний источник высокого на­пряжения используется для списания суммы стоимости разговора с карточки.

Третий способ, KENtuckyFriedChip, базировался на основном недостатке декодера - незащищенном мик­ропроцессоре. Поддельная память (EPROM) и офици­альный микропроцессор монтировались на печатной плате вместе с еще одним процессором, который слу­жил переключателем. Сигналы «выключить» пересыла­лись на фальшивый компонент, запросы на аутентифи­кацию - на настоящий микропроцессор. Этот способ мошенничества неоднократно модифицировался для различных моделей карточек, начиная с Version 06.

Четвертый метод, McCormacHack, заключался в перехвате информации, которой обменивались деко­дер и действительная карточка, и пересылке этой ин­формации множеству приемников, встроенных между виртуальной карточкой и декодерами. В этом случае взломщику не нужны были ни структура, ни содержа­ние передаваемой информации, достаточно было про­сто скопировать данные.

Весной 1994 г. появилось ППО для персональных компьютеров для эмуляции последней версии телевизи­онной карточки BSkyB стоимостью несколько фунтов стерлингов.

Легальные способы защиты от хакеров

Для защиты от мошенников телекомпании были вы­нуждены прибегнуть к помощи закона. Здесь сразу воз­никли трудности. В Великобритании и Франции, напри­мер, в отличие от других европейских стран, официаль­но запрещены производство, прокат, распространение и использование пиратских декодеров, но отсутствует за­прет на рекламу телевизионных карточек. Все это сде­лало возможным изготовление поддельных карточек в европейских странах (например, в Германии и Ирландии) и их рекламу и продажу в Великобритании и франции.

Взлом карточек с микросхемой -проблема международная

В 1994 г. в Португалии был запущен проект переза­гружаемого «электронного кошелька» SIBS, который приобрел статус национальной электронной платежной системы. Одной из сфер использования карточки SIBS стала оплата топлива на бензоколонках.

В 1995 г. португальская полиция арестовала пре­ступную группу, нанесшую ущерб банковской системе в размере 25 тыс. фунтов стерлингов. Преступник -компьютерный хакер работал в компании, производя­щей карточки SIBS. Ему удалось «взломать» микросхе­му на карточке и наладить производство поддельных карточек-копий. На допросе «взломщик» утверждал, что сумел разобраться в структуре и содержании ин­формации на карточке, используя документацию и учебные карточки.

В Португалии действует национальная программа поддержки фермеров, в рамках которой сельскохозяй­ственным компаниям при покупке бензина предоставля­ются скидки в размере 13 пенсов на литр. Этим и вос­пользовались преступники. Завербовав работников 80 бензоколонок, регистрировавших платежи по фальши­вым карточкам, за шесть месяцев члены группы похи­тили свыше 190 тыс. литров бензина.

Мошенничество было обнаружено в ходе тестиро­вания программного обеспечения. Выяснилось, что на долю одной из находящихся в обращении карточек приходятся огромные суммы платежей. Проверка, про-изведенная Министерством сельского хозяйства Порту­галии, показала, что компания, за которой числилась эта карточка, не субсидируется с 1993 г.

Приведенные в статье примеры хорошо иллюстри­руют тот факт, что системы но базе карточек с микро­схемой так же уязвимы, как и любые другие. Решение проблемы обеспечения безопасности - достижение ра­зумного равновесия между затратами на защиту и стоимостью того, что следует защищать.

Не подлежит сомнению, что сама микропроцессор­ная карточка лучше защищает находящуюся на ней информацию, чем карточка с магнитной полосой. Но ведь на ней и содержится большее количество конфи­денциальных сведений (например, PIN-код). В то же время, значительное число факторов, угрожающих безопасности систем на базе карточек с магнитной по­лосой, в равной, а подчас и в большей степени опас­ны и для систем, использующих микропроцессорную карточку.

Хотя реверсивный метод «взлома» микропроцес­сорных карточек требует больших трудозатрат, значи­тельных средств (по оценкам специалистов, от 0,25 до 0,5 млн. фунтов стерлингов) и занимает до 6 месяцев, не следует забывать, что прогресс не стоит на месте. К тому же, потенциальная прибыль (речь может идти о миллионах фунтов стерлингов) несравнима с затрата­ми средств и является мощным стимулом для ускорен­ного развития этого вида мошенничества.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube