Hotlom
Себе на уме
В отношении чиповых карт надо дать более подробные сведения.
Во-первых, к 2005 году ряд популярных карточных продуктов международных платежных систем (и VISA, и Europay/MasterCard) должен перейти на чиповую платформу.
Хотя это, прежде всего, головная боль членов ассоциаций (т.е. банков), но торгово-сервисные организации должны быть готовы к переходу на чиповые технологии. Переход на микропроцессорные карточки связан, прежде всего, с борьбой с мошенничеством, и вообще, с безопасностью карточных систем. Поскольку часть рисков несет в платежной системе торгово-сервисная организация, этот факт нельзя рассматривать как негативный.
Во-вторых, если торгово-сервисная организация сама эмитирует карточки, то чиповая платформа является более предпочтительной с точки зрения стоимости проекта.
Дело в том, что, хотя чиповые карточки дороже всех карт остальных технических типов, стоимость их эксплуатации (а стало быть, и всей карточной системы в целом) практически нулевая. Рассмотрим это подробнее.
В любой карточной технологии, будь то платежная или расчетная технологии, будь то дисконтная, важно подтвердить правомочность сделки с использованием карты. Например, сообщить системе приема карт, что клиент способен оплатить покупку, либо сообщить величину скидки. Такая операция называется авторизацией сделки, и при ее положительном исходе операция в торгово-сервисной организации может быть продолжена. Иначе в приеме карточки должно быть отказано; если же торгово-сервисная организация пренебрегает этим, то все риски по операции с использованием карты торгово-сервисная организация берет на себя. Поэтому авторизация является ключевым элементом любой карточной технологии.
Когда речь идет о банковской карточке, то решение об ее использовании в торгово-сервисной организации принимает банк. Эта технология будет подробно рассмотрена в отдельном разделе ниже. Когда карточка выпускается самой торгово-сервисной организацией, то риски, связанные с авторизацией, переходят на торгово-сервисную организацию.
Чем же чиповая карточка отличается от любой другой (магнитной, штриховой), или просто от кусочка пластика с напечатанным номером? В первом случае решение по авторизации сделки может принять сама карта (по существу, это маленький компьютер), во втором случае карточка - только средство для хранения информации; решение об авторизации сделки принимает за нее компьютер, установленный в другом месте, не обязательно - в конкретной торговой точке.
На профессиональном языке это означает, что технологии, основанные на использовании чиповых карточек - это технологии офф-лайн. Для авторизации не требуется куда-то звонить и выяснять, можно ли провести операцию по данной карте. Карточка сама дает на это ответ; не зря для чиповых карт используется еще один термин - смарт-карты (т.е. "умные" карты). Остальные виды карт - просто идентификаторы их держателей. Они работают в технологии он-лайн. Эти карты не способны самостоятельно принять решение о правомочности операции. Следовательно, для этого надо содержать специальный аппарат, принимающий решения. А это означает увеличение эксплуатационных расходов на карточную систему, причем, чем больше риски принять неправильное решение об авторизации, тем стоимость эксплуатации карточной системы выше.
Чиповые карточки, конечно, стоят дороже. Фактически, к стоимости пластика и печати на нем (эмбоссировании), прибавляется стоимость микросхемы. Но это - инвестиционные расходы. Они делаются один раз, при внедрении проекта. Далее выпущенная один раз чиповая карточка может использоваться сколь угодно долго. Зато не надо тратиться на поддержку авторизации (это эксплуатационные расходы, они постоянны).
Кроме того, очень важно следующее обстоятельство. "Гибель" одной чиповой карточки не означает крушение всей карточной системы в целом. Фактически, чиповые карточки - это распределенная база данных. "Гибель" или какие-либо проблемы с базой данных, которая используется для авторизации операций с нечиповыми карточками, приводит к тому, что карточная система перестает существовать. Банки могут позволить себе содержать подразделения, занимающиеся поддержкой соответствующих баз данных. Торгово-сервисная организация - обычно нет, это слишком дорого. Следовательно, и риски, и эксплуатационные проблемы, надо перенести на микропроцессор. Карточки с микросхемой оказываются идеальным средством для построения дисконтных или расчетных систем торгово-сервисных организаций.
Какие бывают чиповые карты
Общепринятая классификация карточек с микросхемой делит их на две группы: карточки с памятью и микропроцессорные. Карточки с памятью делятся на карточки с незащищенной и с защищенной памятью.
Микропроцессорные карточки обычно многофункциональные, но для платежных применений используется их особая модификация - электронный кошелек.
Кроме того, бывают контактные и бесконтактные карточки.
Бесконтактные карты (или БСК), которые могут использоваться в финансовых приложениях - это карточки с защищенной памятью (MIFARER). Они обмениваются данными с картридером радиочастотным путем, т.е. не вступая с ним в непосредственный "механический" контакт. Однако некий аналог электронного кошелька здесь имеется: такие карточки выполняют команды инкрементации и декрементации значений в специально размеченных и защищенных секретными ключами областях памяти (по существу, эти области есть электронные счетчики). Фактически, команды, аналогичные командам кредитования и дебетования файлов электронных кошельков микропроцессорных карт.
Картридер - устройство для чтения (а в случае смарт-карт, и записи) "карточных" данных.
БСК имеют важное эксплуатационное преимущество перед контактными картами - отсутствие механических частей у картридеров. Грубо говоря, бесконтактные смарт - картридеры практически не ломаются, и их надежность оценивается на уровне надежности обычных микросхем. Отсутствие "механики" сказывается и на быстроте операций с карточкой: ее достаточно поднести к смарт - картридеру, даже не вынимая из бумажника. Правда, защита бесконтактных карт ниже, чем у микропроцессорных карт. Поэтому бесконтактные карточки используются в основном в транспортных, идентификационных и торговых приложениях (в виде карт лояльности клиентов).
Небольшое отступление. Стоимость БСК - около 3$ за "белую" карточку. Стоимость картридеров обычно около 250$. Следовательно, это наиболее дешевый вид карточек для торгово-сервисных приложений. Надежность очень высока (из-за отсутствия механических частей), а "интеллектуальность" позволяет реализовывать любые мыслимые схемы без каких-либо технических ограничений. Идеальная торговая карточка.
В своей практике банки используют преимущественно контактные карточки, или их комбинированные (контактно-бесконтактные) модификации, где платежное приложение размещено в микросхеме, имеющей контактную группу.
Итак, карточки с памятью - простейшие из рассматриваемого класса. Физически память организована обычно в виде электрически стираемого программируемого постоянного устройства (EEPROM). Эти карточки составляют до 90% все производимых в мире смарт-карт, причем 80% карточек с памятью используются в таксофонах.
В платежных приложениях используются карточки с защищенной памятью, которая разбита на зоны и защищена каждая своим секретным ключом (специальным кодом, предъявление которого микросхеме дает возможность проводить или не проводить операции чтения и записи в память карты). В микропроцессорных карточках память управляется 8-разрядным процессором через специальную операционную систему (маску), записанную в постоянном запоминающем устройстве (ROM). Для вычислений используется оперативное запоминающее устройство (RAM), активизируемого в момент подачи на контакты микросхемы рабочего напряжения. Для постоянного хранения данных используется та же технология EEPROM, что и в картах с памятью.
Логическая структура данных зависит от операционной системы карточки, но обычно в любой микропроцессорной карточке можно организовывать файлы и каталоги файлов, а также защищать отдельные файлы по доступу секретными ключами со счетчиками "неправильных" предъявлений ключа. Карты памяти "общаются" со смарт - картридером обычно по синхронному коммуникационному протоколу (их несколько в соответствии с принятыми промышленными стандартами). Микропроцессорные карточки без исключения используют асинхронный коммуникационный протокол; обычно это протокол T=0, хотя в последнее время используется и более совершенный протокол T=1, обеспечивающий возможность коррекции ошибок, т.е. более надежную связь между карточкой и смарт - картридером.
Практически во всех микропроцессорных карточках аппаратно реализован криптоалгоритм (обычно, некоторая модификация DES или RSA), а иногда, и не один. Встроенные криптоалгоритмы используются не только для шифрования данных, но и для их сертификации, для аутентификации различных приложений, порождения цифровых подписей и т.д. Обращение к криптоалгоритму обычно реализовано с помощью отдельной команды операционной системы.
Во-первых, к 2005 году ряд популярных карточных продуктов международных платежных систем (и VISA, и Europay/MasterCard) должен перейти на чиповую платформу.
Хотя это, прежде всего, головная боль членов ассоциаций (т.е. банков), но торгово-сервисные организации должны быть готовы к переходу на чиповые технологии. Переход на микропроцессорные карточки связан, прежде всего, с борьбой с мошенничеством, и вообще, с безопасностью карточных систем. Поскольку часть рисков несет в платежной системе торгово-сервисная организация, этот факт нельзя рассматривать как негативный.
Во-вторых, если торгово-сервисная организация сама эмитирует карточки, то чиповая платформа является более предпочтительной с точки зрения стоимости проекта.
Дело в том, что, хотя чиповые карточки дороже всех карт остальных технических типов, стоимость их эксплуатации (а стало быть, и всей карточной системы в целом) практически нулевая. Рассмотрим это подробнее.
В любой карточной технологии, будь то платежная или расчетная технологии, будь то дисконтная, важно подтвердить правомочность сделки с использованием карты. Например, сообщить системе приема карт, что клиент способен оплатить покупку, либо сообщить величину скидки. Такая операция называется авторизацией сделки, и при ее положительном исходе операция в торгово-сервисной организации может быть продолжена. Иначе в приеме карточки должно быть отказано; если же торгово-сервисная организация пренебрегает этим, то все риски по операции с использованием карты торгово-сервисная организация берет на себя. Поэтому авторизация является ключевым элементом любой карточной технологии.
Когда речь идет о банковской карточке, то решение об ее использовании в торгово-сервисной организации принимает банк. Эта технология будет подробно рассмотрена в отдельном разделе ниже. Когда карточка выпускается самой торгово-сервисной организацией, то риски, связанные с авторизацией, переходят на торгово-сервисную организацию.
Чем же чиповая карточка отличается от любой другой (магнитной, штриховой), или просто от кусочка пластика с напечатанным номером? В первом случае решение по авторизации сделки может принять сама карта (по существу, это маленький компьютер), во втором случае карточка - только средство для хранения информации; решение об авторизации сделки принимает за нее компьютер, установленный в другом месте, не обязательно - в конкретной торговой точке.
На профессиональном языке это означает, что технологии, основанные на использовании чиповых карточек - это технологии офф-лайн. Для авторизации не требуется куда-то звонить и выяснять, можно ли провести операцию по данной карте. Карточка сама дает на это ответ; не зря для чиповых карт используется еще один термин - смарт-карты (т.е. "умные" карты). Остальные виды карт - просто идентификаторы их держателей. Они работают в технологии он-лайн. Эти карты не способны самостоятельно принять решение о правомочности операции. Следовательно, для этого надо содержать специальный аппарат, принимающий решения. А это означает увеличение эксплуатационных расходов на карточную систему, причем, чем больше риски принять неправильное решение об авторизации, тем стоимость эксплуатации карточной системы выше.
Чиповые карточки, конечно, стоят дороже. Фактически, к стоимости пластика и печати на нем (эмбоссировании), прибавляется стоимость микросхемы. Но это - инвестиционные расходы. Они делаются один раз, при внедрении проекта. Далее выпущенная один раз чиповая карточка может использоваться сколь угодно долго. Зато не надо тратиться на поддержку авторизации (это эксплуатационные расходы, они постоянны).
Кроме того, очень важно следующее обстоятельство. "Гибель" одной чиповой карточки не означает крушение всей карточной системы в целом. Фактически, чиповые карточки - это распределенная база данных. "Гибель" или какие-либо проблемы с базой данных, которая используется для авторизации операций с нечиповыми карточками, приводит к тому, что карточная система перестает существовать. Банки могут позволить себе содержать подразделения, занимающиеся поддержкой соответствующих баз данных. Торгово-сервисная организация - обычно нет, это слишком дорого. Следовательно, и риски, и эксплуатационные проблемы, надо перенести на микропроцессор. Карточки с микросхемой оказываются идеальным средством для построения дисконтных или расчетных систем торгово-сервисных организаций.
Какие бывают чиповые карты
Общепринятая классификация карточек с микросхемой делит их на две группы: карточки с памятью и микропроцессорные. Карточки с памятью делятся на карточки с незащищенной и с защищенной памятью.
Микропроцессорные карточки обычно многофункциональные, но для платежных применений используется их особая модификация - электронный кошелек.
Кроме того, бывают контактные и бесконтактные карточки.
Бесконтактные карты (или БСК), которые могут использоваться в финансовых приложениях - это карточки с защищенной памятью (MIFARER). Они обмениваются данными с картридером радиочастотным путем, т.е. не вступая с ним в непосредственный "механический" контакт. Однако некий аналог электронного кошелька здесь имеется: такие карточки выполняют команды инкрементации и декрементации значений в специально размеченных и защищенных секретными ключами областях памяти (по существу, эти области есть электронные счетчики). Фактически, команды, аналогичные командам кредитования и дебетования файлов электронных кошельков микропроцессорных карт.
Картридер - устройство для чтения (а в случае смарт-карт, и записи) "карточных" данных.
БСК имеют важное эксплуатационное преимущество перед контактными картами - отсутствие механических частей у картридеров. Грубо говоря, бесконтактные смарт - картридеры практически не ломаются, и их надежность оценивается на уровне надежности обычных микросхем. Отсутствие "механики" сказывается и на быстроте операций с карточкой: ее достаточно поднести к смарт - картридеру, даже не вынимая из бумажника. Правда, защита бесконтактных карт ниже, чем у микропроцессорных карт. Поэтому бесконтактные карточки используются в основном в транспортных, идентификационных и торговых приложениях (в виде карт лояльности клиентов).
Небольшое отступление. Стоимость БСК - около 3$ за "белую" карточку. Стоимость картридеров обычно около 250$. Следовательно, это наиболее дешевый вид карточек для торгово-сервисных приложений. Надежность очень высока (из-за отсутствия механических частей), а "интеллектуальность" позволяет реализовывать любые мыслимые схемы без каких-либо технических ограничений. Идеальная торговая карточка.
В своей практике банки используют преимущественно контактные карточки, или их комбинированные (контактно-бесконтактные) модификации, где платежное приложение размещено в микросхеме, имеющей контактную группу.
Итак, карточки с памятью - простейшие из рассматриваемого класса. Физически память организована обычно в виде электрически стираемого программируемого постоянного устройства (EEPROM). Эти карточки составляют до 90% все производимых в мире смарт-карт, причем 80% карточек с памятью используются в таксофонах.
В платежных приложениях используются карточки с защищенной памятью, которая разбита на зоны и защищена каждая своим секретным ключом (специальным кодом, предъявление которого микросхеме дает возможность проводить или не проводить операции чтения и записи в память карты). В микропроцессорных карточках память управляется 8-разрядным процессором через специальную операционную систему (маску), записанную в постоянном запоминающем устройстве (ROM). Для вычислений используется оперативное запоминающее устройство (RAM), активизируемого в момент подачи на контакты микросхемы рабочего напряжения. Для постоянного хранения данных используется та же технология EEPROM, что и в картах с памятью.
Логическая структура данных зависит от операционной системы карточки, но обычно в любой микропроцессорной карточке можно организовывать файлы и каталоги файлов, а также защищать отдельные файлы по доступу секретными ключами со счетчиками "неправильных" предъявлений ключа. Карты памяти "общаются" со смарт - картридером обычно по синхронному коммуникационному протоколу (их несколько в соответствии с принятыми промышленными стандартами). Микропроцессорные карточки без исключения используют асинхронный коммуникационный протокол; обычно это протокол T=0, хотя в последнее время используется и более совершенный протокол T=1, обеспечивающий возможность коррекции ошибок, т.е. более надежную связь между карточкой и смарт - картридером.
Практически во всех микропроцессорных карточках аппаратно реализован криптоалгоритм (обычно, некоторая модификация DES или RSA), а иногда, и не один. Встроенные криптоалгоритмы используются не только для шифрования данных, но и для их сертификации, для аутентификации различных приложений, порождения цифровых подписей и т.д. Обращение к криптоалгоритму обычно реализовано с помощью отдельной команды операционной системы.