Понятие электронной платежной системы
Электронная платежная система (ЭПС) – совокупность субъектов и методов, которые обеспечивают использование банковских пластиковых карт в системе в качестве платежного средства.
Пластиковая карта – это индивидуальный платежный инструмент на материальном носителе, который предоставляет пользователю карты возможность безналично оплачивать товары и услуги, получать наличные средства в банкоматах и отделениях банков.
Практически полную безопасность ЭПС с использованием микропроцессорных карт обеспечивается высокой степенью защищенности кристалла с микропроцессором и реализацией полной дебетовой схемы расчетов. Такие ЭПС в сущности являются транзитным счетом и непосредственно содержат информацию о состоянии счета клиента. Все операции происходят в режиме оффлайн в процессе взаимодействия между картой и терминалом или картой клиента и картой торговца.
Микропроцессорные карты дороже обычных, но эксплуатация ЭПС дешевле, т.к. в режиме оффлайн не используются телекоммуникации.
Безопасность в электронных платежных системах
Сегодня популярны банкоматы и автоматизированные торговые POS-терминалы (Point-Of-Sale – оплата в точке продажи). При взаимодействии с POS-терминалом реквизиты пластиковой карты считываются с ее магнитной полосы встроенным считывателем POS-терминала. Клиент вводит собственный PIN-код (Personal Identification Number – персональный идентификационный номер), который знает только он. Элементы PIN-кода используются в общем алгоритме шифрования записи на магнитной полосе и являются электронной подписью владельца карты.
Запросы на авторизацию или проведение транзакции от банков-эквайеров или из самих точек обслуживания поступают в процессинговый центр – специализированную сервисную организацию, которая обеспечивает их обработку. Процессинговым центром ведется база данных, в которой содержатся данные о банках и владельцах пластиковых карт.
Уязвимые места информационной безопасности в системе электронных платежей:
- процесс пересылки платежных сообщений между банками, между банком и банкоматом и между банком и держателем платежной карты;
- процесс обработки информации в организации отправителя и получателя сообщений;
- процесс доступа клиентов к средствам, которые аккумулированы на счетах.
Особенности процесса пересылки платежных сообщений:
- системы организаций отправителя и получателя сообщений должны обеспечивать необходимую защиту отправки, получения и обработки электронных документов внутри организации (защита оконечных систем);
- использование для взаимодействия отправителя и получателя электронных документов канала связи.
Механизмы защиты, которые должны быть реализованы для обеспечения функций защиты информации на отдельных узлах ЭПС:
- обеспечение управления доступом на оконечных системах;
- контролирование целостности и обеспечение конфиденциальности сообщения;
- обеспечение взаимной аутентификации абонентов;
- обязательное указание автора сообщения;
- гарантированная доставка сообщения;
- обязательное принятие мер по сообщению;
- ведение регистрации и контролирование целостности последовательности сообщений.
Обеспечение достаточного уровня защиты прежде всего зависит от рационального выбора криптографических средств.
Электронные пластиковые карты
При использовании банкоматов и POS-терминалов пластиковые карты используются в качестве носителя информации, который позволяет идентифицировать пользователя и хранить учетные данные.
Одной из главных функций пластиковых карт является идентификация субъекта платежной системы. С этой целью на карту наносится логотип банка-эмитента и платежной системы, которая обслуживает карту, фамилия и имя владельца карты, номер карты, срок ее действия и т. п. Для более надежной защиты на карту наносится фото и подпись держателя карты. Часто такие данные, как имя владельца, номер счета, срок действия карты и др., эмбоссированы, т.е. наносятся рельефным шрифтом. Это позволяет быстро перенести данные на чек посредством специального устройства-импринтера, который осуществляет «прокатывание» карты.
Пластиковые карты классифицируют по принципу действия на пассивные и активные пластиковые карты.
Пассивные пластиковые карты, к которым относятся пластиковые карты с магнитной полосой, только хранят информацию. Они являются наиболее распространенными и относительно уязвимыми для мошенников. Для улучшения защиты таких карт иногда используются дополнительные средства защиты (например, голограммы и применение нестандартных шрифтов для эмбоссирования).
Активные пластиковые карты отличаются наличием встроенных в них электронных микросхем. Наблюдается тенденция скорого вытеснения картами на интегральных микросхемах карт магнитной полосой.
По различным классификациям различают карты-счетчики, карты с памятью, с микропроцессором (смарт-карты), карты с контактным и индукционным считыванием.
Для защиты информации процесс использования пластиковых карт проходит этап:
- персонализации карты при выдаче карты владельцу;
- авторизации карты.
Кроме эмбоссирования, указания номера карты, срока действия карты, фамилии и имени владельца важными способами персонализации карты является:
- кодирование магнитной полосы;
- программирование микросхемы, отдельные операции которого разнесены территориально с разграничением прав сотрудников, которые участвуют в процессе программирования, во избежание возможного злоупотребления и для повышения безопасности.
Авторизация может проводится «вручную» кассиром или автоматически через POS-терминал, когда с карты считываются данные, кассир вводит сумму платежа, а владелец карты – секретный PIN-код.
Методы и способы защиты карт от несанкционированного использования и подделки:
- размещение на карте фото владельца карты;
- нанесение подписи владельца карты на специальную полоску на карте;
- голограммы на обеих сторонах карты.
