Смарт-карты имеют различную емкость, объем памяти обычной карты составляет приблизительно 256 байт, но существуют карты с объемом памяти от 32 байт до 8 Кбайт. Микросхемы позволяют хранить в памяти такой карты, кроме идентификационной информации, и стоимостные показатели.
Рассмотрим типологию смарт-карт. В зависимости от внутреннего устройства и выполняемых функций специалисты подразделяют смарт-карты на два вида:
·карты с памятью;
·микропроцессорные карты.
Карты с памятью.Это название весьма условно, так как все смарт-карты имеют память. Обычно карты подобного типа используются для хранения информации. Существуют два подтипа подобных карт: с незащищенной и с защищенной памятью.
В картах с незащищенной памятью нет ограничений по чтению или записи данных. Иногда их называют картами с полнодоступной памятью. Можно произвольно структурировать карту на логическом уровне, рассматривая ее память как набор байтов, который можно скопировать в оперативную память или обновить специальными командами.
Карты с незащищенной памятью использовать в качестве платежных крайне опасно. Достаточно легально приобрести такую карту, скопировать ее память на диск, а дальше после каждой покупки восстанавливать ее память копированием начального состояния данных с диска, т.е. шифрование данных в памяти карты от мошенничества подобного рода не спасает. Практика показывает, что в России людей, способных на такое занятие, достаточно.
В карточках с защищенной памятью используется специальный механизм для разрешения чтения/записи или стирания информации. Чтобы провести эти операции, надо предъявить карте специальный секретный код (а иногда и не один). Предъявление кода означает установление с ней связи и передачу кода «внутрь» карты. Сравнение кода с ключом защиты чтения/записи (стирания) данных проведет сама карта и «сообщит» об этом устройству чтения/записи смарт-карт. Чтение записанных в память карты ключей защиты или копирование памяти карты невозможно. В то же время, зная секретный код (коды), можно прочитать или записать данные, организованные наиболее приемлемым для платежной системы логическим образом. Таким образом, карты с защищенной памятью годятся для универсальных платежных применений, хорошо защищены, и при этом недороги. Так, цена карты СРМ896 составляет не более 4 долл. для тиражей выше 5 тыс. экз. [21, с. 90]
Как правило, карты с защищенной памятью содержат область, в которую записываются идентификационные данные. Эти данные не могут быть изменены впоследствии, что очень важно для обеспечения невозможности подлога карты. С этой целью идентификационные данные на карте «прожигаются».
Необходимо также, чтобы на платежной карте были, по меньшей мере, две защищенные области. Уже отмечалось, что в технологии безналичных расчетов по картам участвуют обычно три юридически независимых лица: клиент, банк и магазин. Банк вносит деньги на карту (кредитует ее), магазин снимает деньги с карты (дебетует ее), и все эти операции должны совершаться с санкции клиента. Таким образом, доступ к данным на карте и операции над ними надо разграничивать. Это достигается разбиением памяти карты на две защищенные разными ключами области - дебетовую и кредитную. Каждый участник операции имеет свой секретный ключ.
Структура данных на этих картах может соответствовать структуре, приведенной на рис.1.1. Для защиты областей данных от несанкционированного доступа предусматриваются поля, контролирующие доступ к этим данным. Существуют три типа ключей:
I-Кеу -ключ банка,
Р-Кеу -ключ владельца карточки -PIN-код,
А-Кеуs -ключи торговых организаций или иных приложений.
Использование этих ключей дает возможность доступа к чтению информации из соответствующей области или записи информации. Как правило, активизация одного ключа позволяет только читать информацию, а активизация сразу всех ключей ее - и записывать. [14, с. 116-117]
Правильное предъявление ПИН-кода открывает доступ к карте (по чтению данных), однако не должно менять информацию, которой распоряжается кредитор карты (банк) или ее дебитор (магазин). Ключ записи информации в кредитную область карты имеется только у банка; ключ записи информации в дебетную область - у магазина. Только при предъявлении сразу двух ключей (ПИН-кода клиента и ключа банка при кредитовании, ПИН-кода клиента и ключа магазина при дебетовании) можно провести соответствующую финансовую операцию - внести деньги либо списать сумму покупки с карты.
Если в качестве платежной используются карты с одной защищенной областью памяти, - значит, банк и магазин будут работать с одной и той же областью, применяя одинаковые ключи защиты. Если банк, как эмитент карты, может ее дебетовать (например, в банкоматах), то магазин права кредитовать карту не имеет. Однако такая возможность ему дана - поскольку, в силу необходимости дебетования карты при покупках, он знает ключ стирания защищенной зоны. То обстоятельство, что и кредитор карты, и ее дебитор (обычно разные лица) пользуются одним ключом, нарушает сразу несколько основных принципов защиты информации (в частности, принципы разделения полномочий и минимальных полномочий). Это рано или поздно приведет к мошенничеству. Не спасают ситуацию и криптографические способы защиты информации.
Из известных карт с защищенной памятью лишь упоминавшаяся уже карта СРМ896 обладает двумя защищенными областями памяти и удовлетворяет требованиям по разграничению доступа к информации, как со стороны банка, так и со стороны магазина.
Принципиально иные возможности открывают настоящиемикропроцессорныекарты, поскольку они имеют свою внутреннюю логику и, фактически, являются микрокомпьютером.
В карту встраивается специализированная операционная система, обеспечивающая большой набор сервисных операций и средств безопасности.
џ Операционная система карты поддерживает файловую систему, предусматривающую разграничение доступа к информации. Для информации, хранимой в любой записи (файл, группа файлов, каталог), могут быть установлены следующие режимы доступа:
·всегда доступна по чтению/записи.Этот режим разрешает чтение/запись информации без знания специальных секретных кодов;
·доступна по чтению, но требует специальных полномочий для записи.Этот режим разрешает свободное чтение информации, но разрешает запись только после предъявления специального секретного кода;
·специальные полномочия по чтению/записи.Этот режим разрешает доступ по чтению или записи после предъявления специального секретного кода, причем коды для чтения и записи могут быть различными;
·недоступна.Этот режим не разрешает читать или записывать информацию. Информация доступна только внутренним программам карточки. Обычно этот режим устанавливается для записей, содержащих криптографические ключи.
џ Как правило, в такие карточки встроены криптографические средства, обеспечивающие шифрование информации и выработку «цифровой» подписи. Традиционно в карточках для этих целей применяется криптографический алгоритм. Кроме того, в карточке имеются средства ведения ключевой системы.
џ Карты обеспечивают различный спектр сервисных команд. Для банковских целей наиболее интересные из них - средства ведения электронных платежей.
џ К специальным средствам относятся возможность блокировки работы с карточкой. Различаются два вида блокировки: при предъявлении неправильного транспортного кода и при несанкционированном доступе.
Суть транспортной блокировки состоит в том, что доступ к карточке невозможен без предъявления специального транспортного кода. Этот механизм необходим для защиты от нелегального использования карточек при хищении во время пересылки карточки от производителя к потребителю. Карточка может быть активизирована только при предъявлении правильного «транспортного» кода.
Суть блокировки при несанкционированном доступе состоит в том, что если при доступе к информации несколько раз неправильно был предъявлен код доступа, то карта вообще перестает быть работоспособной. При этом, в зависимости от установленного режима карта может быть впоследствии либо активизирована при предъявлении специального кода, либо нет. В последнем случае карточка становится непригодной для дальнейшего использования.
Пластиковые карты с микросхемами имеют более высокую степень защиты от мошенничества и подделок.
Несмотря на очевидные преимущества, смарт-карточки до сих пор имели ограниченное применение, по той причине, что такая карточка на порядок дороже, чем карточка с магнитной полосой. Лишь в последние годы, когда ущерб от мошенничества с магнитными картами в международных платежных системах стал пугающе высоким и продолжает расти, банками было принято решение о постепенном переходе на смарт-карты. [21, с. 103]
Суперсмарт-карты.Примером может служить многоцелевая карта фирмы Toshiba, используемая в системе VISA. В дополнение ко всем возможностям обычной микропроцессорной карты, эта карта также имеет небольшой дисплей и вспомогательную клавиатуру для ввода данных. Эта карта объединяет в себе кредитную, дебетовую и предоплатную карты, а также выполняет функции часов, календаря, калькулятора, осуществляет конвертацию валюты, может служить записной книжкой и т.д. Из-за высокой стоимости, суперсмарт-карты не имеют сегодня широкого распространения, но их использование будет, вероятно, расти.
В 1981 году Дж. Дрекслером была изобретена оптическая карточка. Карты оптической памяти имеют большую емкость, чем карты памяти, но данные на них могут быть записаны только один раз. В таких картах используется WORM-технология (однократная запись - многократное чтение). Запись и считывание информации с такой карты производится специальной аппаратурой с использованием лазера (откуда другое название - лазерная карта). Технология, применяемая в картах, подобна той, которая используется в лазерных дисках. Основное преимущество таких карточек - возможность хранения больших объемов информации. Такие карточки в банковских технологиях распространения пока не получили вследствие высокой стоимости как самих карточек, так и считывающего оборудования.
1.4. Платежная система и ее участники
Платежной системой будем называть совокупность методов и реализующих их субъектов, обеспечивающих в рамках системы условия для использования банковских пластиковых карточек оговоренного стандарта в качестве платежного средства.
Перед каждым банком, находящимся на этапе выбора системы обслуживания клиентов на основе пластиковых карточек, возникает комплекс технических и технологических проблем. Одна из основных задач, решаемых при создании платежной системы, состоит в выработке и соблюдении общих правил обслуживания карточек, входящих в систему эмитентов, проведения взаиморасчетов и платежей. Правила информационного обмена влияют на выбор аппаратно-информационных средств, средств связи и коммуникаций, на систему обеспечения безопасности. Эти правила охватывают как чисто технические аспекты операций с карточками - стандарты данных, процедуры авторизации, спецификации на используемое оборудование и пр., так и финансовые стороны обслуживания карточек - процедуры расчетов с предприятиями торговли и сервиса, входящими в состав приемной сети, правила взаиморасчетов между банками, тарифы и т.д.
Существующие особенности и возможности пластиковых карт не могут не сказаться на особенностях построения и функционирования платежных систем.
В общем случае развитую платежную систему составляют:
·держатель карты;
·банк-эмитент;
·банк-эквайер;
·расчетный банк;
·магазины и другие точки обслуживания;
·процессинговый центр и коммуникации.
1.4.1. Держатель пластиковой карты
Держатель пластиковой карты – это лицо, которому передается карта на основе подписанного договора с эмитентом [21, с. 77]. Не всегда пользователь является лицом, заключившим контракт (например, в случае корпоративных или семейных карт).
Держателями банковских карт в России могут быть физические и юридические лица, как резиденты, так и нерезиденты, согласно Положения Банка России «О порядке эмиссии кредитными организациями банковских карт и осуществления расчетов по операциям, совершаемым с их использованием» от 9 апреля 1998 года № 23-П, в ред. Указания ЦБ РФ от 29.11.2000 № 857-У (далее - Положение). Владелец карты может использовать ее для оплаты товаров и услуг, предлагаемых другими участниками платежной системы, а также для получения наличных.
Перед выдачей кредитной карты клиент заполняет специальную анкету, на основе которой проводится анализ его кредитоспособности. Дело в том, что кредит по банковской карточке связан c риском не возврата ссуды, поэтому выдаче кредитной карты на Западе предшествует изучение кредитной истории клиента и его текущего финансового положения. В России нет опыта ведения кредитных историй и в качестве страхования рисков, связанных с оформлением кредитной карты, банки требуют внесения страхового депозита. Сумма средств на страховом депозите может в 1,5 и более раз превышать лимит кредитования.
Причины, по которым клиент обращается в банк, как правило, связаны со следующим:
·операции, оспариваемые клиентом;
·неполучение в срок выписки по счету;
·неполучение банком перевода в оплату выписки по счету;
·запрос об остатке непогашенной задолженности.
Запрос первого рода возникает тогда, когда клиент, получив выписку по счету, обнаруживает в ней операцию, которую он не совершал. Ошибочная запись может возникнуть по разным причинам, в том числе и в результате того, что кто-то воспользовался счетом клиента в мошеннических целях.
Банк должен выяснить причину ошибки, обратившись к оригиналу торгового счета, подписанного клиентом. При этом до выяснения истины спорная сумма должна быть зачислена на особый счет и по ней не должны начисляться проценты.
Получение в срок выписки по счету тоже может быть предметом запроса. Обычно владелец карточки знает дату присылки выписки и может быть обеспокоен ее отсутствием. При получении соответствующего запроса работник банка должен проверить факт отправки выписки, правильность указанного адреса и так далее. Обычно до выяснения вопроса банк не берет с клиента комиссии в случае просрочки платежа.
Другая причина возможного конфликта - отсутствие кредитной записи по карточному счету после наступления срока платежа и перевод счета в разряд просроченных. Банк отправляет клиенту напоминание о необходимости произвести платеж. Однако последний может известить банк, что платеж был произведен, и представить копию денежного перевода. Банк в этом случае должен немедленно принять меры для изменения статуса счета с просроченного на действующий и выяснить причину ошибки. Клиенту следует предоставить возможность пользоваться карточкой в течение периода расследования. Что касается об остатке непогашенной задолженности по счету, то такие справки нужно давать с известной долей осмотрительности. Лицо, незаконно завладевшее карточкой, может пытаться таким путем получить сведения, необходимые для ее использования. Поэтому работнику банка следует предварительно выяснить, исходит ли запрос от законного владельца, например, узнать дату и сумму последней операции с карточкой и сверить ответ с имеющимися у банка данными.
Могут быть и другие запросы, например, о характере новых продуктов и услуг, предлагаемых банком. Работники отдела обслуживания должны располагать соответствующей информацией, особенно если банк в этот момент проводит маркетинговую компанию по продвижению нового продукта. [25, с. 87-89]
В случае утраты карты клиент должен позвонить в банк, а также написать заявление о блокировке карты. При этом деньги остаются на счете в банке в полной безопасности, а клиенту изготавливается новая карта с новым номером и новым PIN-кодом.
1.4.2. Банк-эмитент
Банк, который выпускает пластиковые карточки и предоставляет их в распоряжение клиентов, называется банк-эмитент. При этом карточки остаются в собственности банка, а клиенты получают право их использования. Выдача карточки клиенту предваряется открытием ему счета в банке-эмитенте и, как правило, внесением клиентом некоторых средств на этот счет. Выдавая карточку, банк-эмитент берет на себя тем самым гарантийные обязательства по обеспечению платежей по карточке. Характер этих гарантий зависит от платежных полномочий, предоставляемых клиенту и фиксируемых классом карточки. При выдаче карточки осуществляется ее персонализация - на нее заносятся данные, позволяющие идентифицировать держателя карточки, а также осуществить проверку платежеспособности карточки при приеме ее к оплате или выдаче наличных денег. [18, с. 169-170]
Основные функции банка-эмитента сводятся к следующему:
·выпуск карточек (кодирование и запись персональных данных владельца карточки, эмбоссинг, высылка карточки клиенту, возобновление карточки);
·анализ кредитоспособности (оценка финансового положения заявителя, открытие карточного счета, определение кредитного лимита);
·авторизация (ответ на запрос торговца о возможности совершения сделки в автоматическом режиме или по телефону, обновление мастер-файла, взаимодействие с системами информационного обмена);
·получение комиссии за обмен информацией;
·подготовка и высылка владельцу карточки выписки по счету с указанием сумм и сроков погашения задолженности;
·бухгалтерский учет операций по карточному счету;
·взыскание просроченной задолженности и контроль превышения кредитного лимита;
·работа с клиентами (ответы на запросы, рассмотрение жалоб);
·обеспечение безопасности и контроль за мошенничеством (подготовка отчетов по украденным и подделанным карточкам, блокирование счетов);
·маркетинг (поиск новых клиентов, реклама, программы активизации операций по карточным счетам).
Положительное решение по заявке клиента на получение кредитной карточки выносится после тщательного изучения его финансового положения и оценки риска неплатежа. Если результаты анализа неблагоприятны для клиента, ему могут предложить дебетовую карточку для снятия наличных денег со счета при 100 %-й авторизации в режиме реального времени.
Если же кредитоспособность клиента оценена положительно, вся существующая информация с заявки вводится в компьютер, где создается файл-мастер для персональных данных. В него заносится фамилия и имя клиента, его постоянный адрес, номер в системе социального страхования, кредитный лимит, номер карточного счета и срок возобновления карточки. Одновременно подготавливается магнитная лента, необходимая для изготовления карточки клиента.
Необходимо указать на меры безопасности, которые должны соблюдаться в процессе производства и пересылке клиентам карточек. Участок производства карточек в банке (или в специализированной фирме) отделен от других отделов и находится под строгим контролем. Доступ разрешается узкому кругу лиц, чтобы сократить риск похищения бланков или готовых карточек, подлежащих отправке владельцам.
Банк-эмитент выдает карты клиенту лично. Вместе с картой клиент получает конверт с PIN-кодом.
Банк-эмитент периодически, обычно раз в месяц, посылает клиенту особый документ - выписку с его кредитного счета, где указываются комиссионные сборы, которые клиент должен уплатить банку в связи с проведением операций, обязательную минимальную сумму погашения долга и новый остаток задолженности.
Выписка по счету содержит важную информацию для банка и его клиента. Прежде всего, указывается номер карточного счета в банке. Клиент может иметь несколько карточек, и поэтому номер счета необходим ему для проверки расчетов банка. Далее в выписке содержится напоминание о кредитном лимите, установленном по карточному счету и приводится неиспользованная сумма кредитной линии. Последний показатель свидетельствует, что установленный банком кредитный лимит не превышен клиентом. В сумму неиспользованного лимита не включены те сделки, которые не поступали в банк к моменту подготовки выписки. Все сделки, сообщения о которых поступили в банк позднее этой даты, будут включены в расчет следующего цикла. Указывается так же конечный срок поступления платежа от клиента по данному циклу. Все суммы, поступившие позднее этой даты, считаются просроченными, и по ним банк будет взимать сбор за просрочку. Далее банк напоминает клиенту минимальную сумму обязательного платежа, затем приводятся сведения о самой операции, которую осуществил клиент с применением кредитной карточки. Это, прежде всего, дата, которая должна совпадать с датой на копии торгового счета, имеющейся у владельца карточки. Далее указана дата соответствующей бухгалтерской проводки по карточному счету клиента в банке. Эта дата особенно важна, так как, начиная с нее, банк рассчитывает среднедневной остаток задолженности, необходимый для определения комиссионного сбора. Каждой операции с карточкой присваивается индивидуальный номер, по которому в случае возникновения спора можно разыскать все необходимые документы. В специальной графе перечислены все торговые операции, включенные в выписку, с указанием названия и адреса торгового или сервисного предприятия.
Подготовка выписки по счету требует от работников соответствующего подразделения банка большого внимания и аккуратности. Выписка должна быть отправлена клиенту заранее. Если выписка отправлена несвоевременно или по ошибочному адресу, это может стать причиной просрочки платежа, в которой клиент не виноват. Это, естественно, приведет к конфликтной ситуации и дополнительным расходам банка.
Важно так же правильно установить периоды составления выписок по счету для различных групп клиентов, чтобы выписки высылались в течение месяца, и обеспечивалась равномерная нагрузка соответствующих банковских служб (бухгалтерия, отдел рассылки и так далее).
Полученный банком перевод в счет платежа по выписке должен быть зачислен на карточный счет в день его получения независимо от того, когда он будет обработан и проведен по бухгалтерским книгам. [25, с. 75-86]
1.4.3. Банк-эквайер
Банк-эквайер осуществляет весь спектр операций по взаимодействию с точками обслуживания карточек:
·обработку запросов на авторизацию;
·процессинг торговых счетов, предоставленных в банк торговцем по операциям с карточками;
·перечисление на расчетные счета точек средств за товары и услуги, предоставленные по карточкам;
·распространение стоп-листов (перечней карточек, операции по которым по тем или иным причинам на сегодняшний день приостановлены);
·рассмотрение заявок торговых организаций на присоединение к системе расчетов, анализ кредитоспособности новых и уже имеющихся торговцев, проверку торговцев, подозревающихся в мошенничестве;
·маркетинг, помощь торговым предприятиям в приобретении оборудования для обслуживания пластиковых карт.
Процессинг торговых счетов состоит в переносе данных с бумажного счета на магнитную ленту для введения в систему информационного обмена и “продажи” этих сумм банку-эмитенту.
В торговом счете указывается, прежде всего, номер банковского счета владельца карточки, его фамилия, дата истечения срока карточки. При процессинге считывается только номер счета. Далее приводится название торгового предприятия, адрес, идентификационный номер. Эти данные заложены в мастер-файле банка-эквайра и, как правило, не переносятся при подготовке магнитной ленты. Далее сообщается дата совершения сделки. Эта дата вносится в ленту, передается по коммуникациям и печатается в выписке по счету, направляемой владельцу карточки. И, наконец, указывается сумма сделки. Она так же переписывается на ленту и используется при расчетах.
Процессинг торговых счетов имеет несколько стадий. Сначала торговые счета, поступившие в банк от торговца, формируются в пачки одинакового размера и проверяются (правильность заполнения, нет ли в пачке чужих счетов от других торговцев, сумму счетов в пачке). Затем проводится считывание и перенос данных. При ручной обработке счетов данные вводятся с помощью клавиатуры на компьютерном терминале.
В автоматизированных системах торговые счета проходят через сенсорные устройства. Суммы считываются методом оптического распознавания знаков. Если какие-либо данные не могут быть прочитаны машиной, их дополнительно вводят вручную. Затем производится сверка сумм, зафиксированных машиной, с суммами пачек до начала переноса. Этот контроль необходим для выявления ошибок. Отметим, что современная технология обработки торговых счетов значительно ускоряет этот процесс.
Наконец, после считывания и контроля, сумма счетов передается по системе информационного обмена, и банк-эквайр получает возмещение этой суммы от ассоциации за вычетом комиссии за интерчейндж.
Как и все другие элементы процессинга, обработка торговых счетов требует строгого контроля. Банк зачисляет суммы счетов, предъявленных торговцем, на депозитный счет последнего в день подачи счетов. В то же время возмещение этой суммы через систему информационного обмена не может быть получено, пока счета не обработаны и не проведены по системам информационного обмена. Таким образом, банк вынужден бесплатно кредитовать торговца на период обработки счетов. Если вместо 2-х дней будет затрачено 4-е или 5-ть дней, расходы банка существенно возрастут.
Поэтому администрация вводит жесткие стандарты сроков обработки счетов. В любом случае следует всегда учитывать, что задержка процессинга означает потерю денег для банка, а ускорение обработки счетов - выигрыш. [25, с. 90-94]
Банк отвечает за то, чтобы кассиры были хорошо обучены, правильно и быстро принимали карточку к оплате, чтобы в кассах стояло оборудование, которое не будет создавать проблем ни с качеством, ни со временем обслуживания клиента.
Кроме того, банк-эквайер может осуществлять выдачу наличных по карточкам как в своих отделениях, так и через принадлежащие ему банкоматы. Банк может и совмещать выполнение функций эквайера и эмитента. Следует отметить, что основными, неотъемлемыми функциями банка-эквайера являются финансовые, связанные с выполнением расчетов и платежей точкам обслуживания. Что же касается перечисленных выше технических атрибутов его деятельности, то они могут быть делегированы эквайером специализированным сервисным организациям - процессинговым центрам.