Рынок кредитных и платежных карточек и направления его равития

для дозволу читання/запису або стирання інформації. Щоб провести ці

операції, треба пред'явити картці спеціальний секретний код (а іноді і не

один). Пред'явлення коду означає встановлення з нею зв'язку і передачу коду

«усередину» карти — порівняння коду з ключем захисту читання/запису

(стирання) даних проведе сама картка і «повідомить» про це пристроєві

читання/запису смарт-карт. Читання записаних у пам'ять картки ключів

захисту або копіювання пам'яті картки неможливо. У той же час, знаючи

таемний код (коди), можна прочитати або записати дані, організовані

найбільш прийнятним для платіжної системи логічним образом. Таким чином,

картки з захищеною пам'яттю підходять для універсальних платіжних

застосувань, добре захищені і при цьому недорогі, їхня ціна складає не

більш 4 доларів для тиражів вище 5 тисяч.

Як правило, картки з захищеною пам'яттю містять область, у яку

записуються ідентифікаційні дані. Ці дані не можуть бути змінені згодом, що

дуже важливо для забезпечення неможливості підробки карти. З цією метою

ідентифікаційні дані на картці «пропалюються».

Необхідно також, щоб на платіжній картці було щонайменше дві захищені

області. Зупинимося на цьому важливому моменті докладніше.

Вище було сказано, що в технології безготівкових розрахунків по картках

беруть участь, у загальному випадку, три юридично незалежні особи: клієнт,

банк і магазин. Банк вносить гроші на картку (кредитуючи її), магазин

знімає гроші з карти (дебетує її), і всі ці операції повинні робитися із

санкції клієнта. Таким чином, доступ даним на картці й операції над ними

треба розмежовувати. Це досягається розбивкою пам'яті карти на дві захищені

різними ключами області — дебетну і кредитну. Кожен учасник операції має

свій секретний ключ. У клієнта це ПІН — персональний ідентифікаційний

номер; правильне його пред'явлення відкриває доступ до картки (по

зчитуванню даних), однак не повинно змінювати інформацію, який

розпоряджається кредитор картки (банк) або її дебітор (магазин). Ключ

запису інформації в кредитну область картки мається тільки в банку; ключ

запису інформації в дебетну область — у магазина. Тільки при пред'явленні

відразу двох ключів (ПІНа клієнта і ключа банку при кредитуванні, ПІН-кода

клієнта і ключа магазина при дебетувані) можна провести відповідну

фінансову операцію — внести гроші або списати суму покупки з картки.

Якщо в якості платіжної використовуються картки з одною захищеною

областю пам'яті, і банк, і магазин будуть працювати з однієї і тією же

областю, застосовуючи однакові ключі захисту. Якщо банк, як емітент картки,

може її дебетувати (наприклад, в банкоматах), то магазин права кредитувати

картку не має. Однак така можливість йому дана — оскільки в силу

необхідності дебетування картки при покупках він знає ключ захищеної зони.

Та обставина, що і кредитор картки, і її дебітор (у загальному випадку —

різні особи) користуються одним ключем, порушує відразу кілька основних

принципів по захисту інформації (зокрема, принципи поділу повноважень і

мінімальних повноважень). Це рано або пізно приведе до шахрайства. Не

рятують ситуацію і криптографічні способи захисту інформації, про що вже

говорилося вище.

Крім того, важливою особливістю карток із погляду їхньої захищеності є

наявність спеціальних засобів, характерних для мікропроцесорних карток

(див. нижче). Так, деякі картки незворотньо блокується по записі після

пред'явлення невірного ПІН-коду більш трьох разів підряд, причому

послідовне пред'явлення невірного ПІН-коду фіксується карткою і

враховується при її блокуванні. Таким чином, навіть при відносно короткій

довжині ПІН-коду (наприклад, з п'яти цифр) «зломати» карту шляхом

систематичного підбора її секретного ключа практично неможливо.

Сервісні команди. Картки забезпечують різний спектр сервісних команд.

Для нас найбільш цікаві з них — це засоби ведення електронних платежів.

Замість двох областей у деяких картках для ведення електронних платежів

створюється спеціальний файл, недоступний до читання/запису за допомогою

звичайних команд керування файловою системою. З цим файлом можна робити

тільки операції зарахування (кредитування) або списання (дебетування)

фінансових кошт. Операція кредитування може бути проведена тільки при

пред'явленні двох секретних кодів — коду клієнта і коду банку. Операція

списання проводиться тільки по пред'явленню коду клієнта.

Прикладом подібної картки є картка PCOS фірми GEMPLUS Card

International. Механізм захисту в карті PCOS досить витончений — так, не

дозволено дебетування від’ємним числом (у деяких картах, у принципі, можна

зменшити дебет, шляхом повернення платежу на картку). Крім того, карта PCOS

забезпечує безпечне віддалене кредитування картки в режимі on-line, що,

безумовно, дуже зручно клієнтам — можна внести кошті на картку в

найближчому магазині, не заходячи в банк. Від’ємне кредитування можливе за

рахунок вбудованих криптографічних засобів.

Спеціальні засоби. До спеціальних функціональних засобів відноситься

можливість блокування картки. Розрізняється два види блокування: при

пред'явленні неправильного транспортного коду і при несанкціонованому

доступі.

Суть транспортного блокування полягає у тому, що доступ до картки

неможливий без пред'явлення спеціального «транспортного» коду. Цей механізм

необхідний для захисту від нелегального використання карток при розкраданні

під час пересилання карти від виробника до споживача.

Суть блокування при несанкціонованому доступі полягає в тому, що якщо

при доступі до інформації кілька разів неправильно був пред'явлений код

доступу, то карта взагалі перестає бути працездатної. При цьому, у

залежності від установленого режиму, картка може бути згодом або

активізована при пред'явленні спеціального коду, або ні. В останньому

випадку карта стає непридатної для подальшого використання.

Карти оптичної пам'яті. Карти оптичної пам'яті мають більшу ємність,

чим карти пам'яті, але дані на них можуть бути записані тільки один раз. У

таких картах використовується WORM-технологія (однократний запис —

багаторазове читання). Лазер пропалює в кожній комірці пам'яті значення,

рівне 0 або 1 (подібним чином записується музика на цифрових компакт-

дисках). Звичайна карта може зберігати від 2 до 16 мегабайт інформації.

Такі карти звичайно використовуються в додатках, де необхідно зберігати

великі обсяги даних, не підлягаючих зміні, наприклад, медичні записи.

Мікропроцесорні карти

Зовні мікропроцесорні карти схожі на картки пам'яті, однак їхні

мікросхеми містять мікропроцесори, що робить ці картки інтелектуальними, по-

англійському — «smart». Електронна «начинка» картки являють собою повні

мікроконтроллери (мікрокомп'ютери) і містить наступні компоненти:

> ЦП (CPU) - центральний процесор - пристрій для обробки інструкцій картки;

> ОЗП (RAM) - оперативний запам'ятовуючий пристрій - пам'ять для

тимчасового збереження даних, наприклад, результатів обчислень, зроблених

процесором;

> ПЗП (ROM) - постійний запам'ятовуючий пристрій - пам'ять для постійного

збереження інструкцій картки, що виконуються процесором, а також інших

даних, що не змінюються. Інформація в ПЗП записується в процесі

виробництва картки;

> ППЗП (EPROM) - програмувальний постійний запам'ятовуючий пристрій -

пам'ять, що може бути прочитана багато разів, але записана тільки

однократно виробником. У ППЗП організація, що випускає картку в обіг,

записує дані про її власника;

> РПЗП (EEPROM) - репрограмувальний постійний запам'ятовуючий пристрій -

пам'ять, що може бути перезаписана і зчитана багаторазово. У РПЗП

зберігаються змінювані дані власника карти ( ППЗП і РПЗП не втрачають

дані при відключенні живлення);

> пристрій вводу/виводу - пристрій, що забезпечує обмін даними з зовнішнім

світом;

> операційна система (ОС) або програмне забезпечення (ПЗ) картки -

інструкції для процесора (зберігаються в ПЗП);

> система безпеки - убудована система безпеки для захисту даних з

можливістю їх шифрування.

Мікропроцесорна картка, надалі - смарт-карта, у дійсності являє собою

невеликий комп'ютер, здатний виконувати розрахунки подібно персональному

комп'ютерові. Найбільш могутні сучасні смарт-карти мають потужність,

порівнянну з потужністю персональних комп'ютерів початку вісімдесятих.

Операційна система, що зберігається в ПЗП смарт-карти, принципово нічим не

відрізняється від операційної системи персонального комп'ютера. РПЗП

використовується для збереження даних користувача, що можуть зчитуватися,

записуватися і модифікуватися, також, як дані на твердому диску

персонального комп'ютера.

Смарт-карти мають різну ємність, однак типова сучасна карта має ОЗП

обсягом 128 байт, ПЗП - 2-6 кбайт і РПЗП - 1-2 кбайт. Деякі смарт-карти

також містять магнітну стрічку, що забезпечує їх сумісність із системами на

базі магнітних карт. Смарт-карти дорожче карток пам'яті, і так само, як у

випадку картки пам'яті, їх вартість визначається вартістю мікросхеми, що

прямо залежить від обсягу пам'яті. Смарт-карти звичайно використовуються у

сферах, що вимагають високого ступеня захисту інформації, наприклад, у

фінансовій практиці.

Суперсмарт-карти. Прикладом може служити багатоцільова картка фірми

Toshiba, використовувана в системі Visa. На додаток до всіх можливостей -

звичайної смарт-карти, ця карта також має невеликий дисплей і допоміжну

клавіатуру для введення даних. Ця карта поєднує в собі кредитну, дебетну і

змішану карти, а також виконує функції годинника, календаря, калькулятора,

здійснює конвертацію валюти, може служити записною книжкою і т.д. Через

високу вартість, Суперсмарт-карти не мають сьогодні широкого поширення, але

їхнє використання буде, імовірно, рости, оскільки вони є досить

перспективними.

Але, існуюча розвинена інфраструктура платіжних систем, що

використовують їх, і відсутність у світових лідерів “карткового” бізнесу -

компаній VISA i Europay повномасштабного стандарту на більш перспективний

вид карток - смарт-карти - і є причинами інтенсивного використання карток

з магнітною стрічкою і сьогодні.

Враховуючи технічні і економічні аспекти, Асоціації пропонують

користувачам цілу серію комплементарних карткових продуктів, які

призначені для різних сегментів ринку з врахуванням інтересів і

особливостей власників карток, а також фінансових і торгівельних установ,

які є учасниками програм. При здійсненні розрахунків власник картки

обмежений одним або декількома лімітами. Характер лімітів і умови їх

використання можуть бути досить різноманітні. Однак, в загальних рисах все

зводиться до двох основних сценаріїв. Власник дебетової картки повинен

завчасно внести на свій банківський рахунок деяку суму коштів. Її розмір і

визначає ліміт доступних коштів (в більшості випадків ліміт буває навіть

трохи менше, тобто на рахунку залишається “недоторканий” залишок). При

здійсненні розрахунків з використанням картки паралельно і зменшується

ліміт. Для забезпечення платежів власник картки може не вносити завчасно

кошти, а отримати кредит в банку. Подібна схема реалізується при оплаті за

допомогою кредитної картки. Зупинимось більш детально на різновидах

кредитних карток (див. схему 1.1) і коротко їх охарактеризуємо.

Схема 1.1

Банківські кредитні картки призначені для придбання товарів з

використанням банківського кредиту, а також для отримання авансів в

готівковій формі. Головна особливість цієї картки - відкриття банком

кредитної лінії, яка використовується автоматично кожного разу, коли

здійснюється придбання товару або береться кредит у грошовій формі.

Кредитна лінія діє в межах встановленого банком ліміту. В деяких системах

банківська кредитна картка може використовуватись для пільгової оплати

деяких видів послуг, а також для отримання грошей в банківських автоматах.

Розрізняють особисті і корпоративні картки. Особисті картки

(індивідуальні) видаються окремим клієнтам банку і можуть бути

“Стандартними” або “золотими” (Елітними). Останні призначені для осіб з

високою кредитоспроможністю і передбачають багато пільг для користувачів.

Корпоративна картка видається організації (фірмі), яка на підставі цієї

картки може видати індивідуальні картки обраним особам (керівникам або

просто цінним співробітникам). Їм відкриваються персональні рахунки, які

“прив’язані” до корпоративного карткового рахунку. Відповідальність перед

банком по корпоративному рахунку несе організація, а не індивідуальний

власник корпоративних карток.

Картки туризму і розваг – “платіжні” картки. Вони випускаються

компаніями, які спеціалізуються на обслуговуванні вищевказаної сфери,

наприклад American Express та Diners Club. Картки приймаються на

обслуговування сотнями тисяч торгівельних і сервісних підприємств у всьому

світі для оплати товарів і послуг, а також надають власникам різні пільги

по бронюванню авіаквитків, номерів у готелях, отримання знижок з ціни

товару, страхуванню життя та ін.

Головні відмінності цього виду карток від банківських кредитних

карток - по-перше, - відсутність разового ліміту на покупки, по-друге, -

обов’язок власника картки погасити заборгованість протягом місяця без

права пролонгувати кредит. У випадку прострочки платежу з власника картки

стягується підвищений процент.

Ознайомившись з найголовнішою складовою платіжної системи - карткою,

перейдемо до характеристики всіх інших її складових. Окрім безпосередньо

приймаючих картку точок обслуговування, до складу платіжної системи

входять банки-емітенти, еквайєр-центри, Процессінговий центр (або декілька

центрів) і розрахунковий або кліринговий банк. І, остане, до суб’єктів

платіжної системи відносяться і клієнти - держателі пластикових карток.

Банк-емітент займається випуском пластикових карток і наданням їх в

розпорядження клієнтів. При цьому картки залишаються у власності банка, а

клієнти отримують право на їх використання.

Функції цього банку коротко можна охарактеризувати так : видача

картки клієнту починається з відкриття йому рахунку в банку-емітенті і, як

правило, внесенням ним певної суми коштів на цей рахунок. При наданні

картки, банк-емітент бере на себе тим самим гарантійні обов’язки по

забезпеченню платежів по картці. Характер цих гарантій залежить від

платіжних повноважень, наданих клієнту і зафіксованих класом картки.

Прикладом може бути сімейство платіжних і кредитних карток компанії VISA

International. Це картки наступних видів:

> “Plus”;

> “Interlink”;

> “Electron”;

> “Visa Classic”;

> “Visa Business”;

> “Visa Premium Gold”

|Plus |дебетова карта; |

| |доступ до глобальної мережі автоматів «Плас», що працюють|

| |у режимі on-line; |

| |можливість використання міжнародної мережі автоматів; |

| |100%-на авторизація операцій у момент здійснення |

| |операцій; |

| |ідентифікація на основі Пін-коду; |

| |низька вартість випуску і користування. |

| |можна використовувати в системах автоматів «Віза» і |

| |торговельних терміналів «Електрон» |

| |розрахована на масового клієнта |

|Interlink |дебетова карта; |

| |розрахунок через глобальну мережу електронних терміналів |

| |у торговельних точках; |

| |розрахунок провадиться в режимі реального часу; |

| |електронне зчитування даних, авторизація і бухгалтерські |

| |проводки здійснюються одним повідомленням; |

| |100%-на авторизація; |

| |ідентифікація провадиться на основі Пін-коду |

| |можливий доступ до системи автоматів «Плас» |

| |розрахована на широке коло клієнтів, яким банк не може |

| |надати розстрочку платежу на основі кредитної лінії |

|Electron |дебетова карта; |

| |призначена для розрахунків через електронні термінали в |

| |магазинах; |

| |електронне зчитування даних з картки; |

| |100%-на авторизація; |

| |можливість використання як на внутрішньому ринку, так і |

| |за кордоном; |

| |автоматичне перерахування комісії за міжнародний обмін |

| |банкові-емітентові в момент здійснення угоди; |

| |розрахунки по системі VisaNet |

| |забезпечує доступ до мережі автоматів «Віза» і «Плас» |

| |угоди надходять для бухгалтерського оформлення через три |

| |дні, що дає власникові картки відстрочку і, отже, |

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11