журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
СПЕЦВЫПУСК: ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

БАНКОВСКИЙ МЕНЕДЖМЕНТ

Банковская деятельность

Банковские кризисы

БАНКОВСКАЯ РЕСТРУКТУРИЗАЦИЯ

Новые рыночные страны

ФИНАНСОВОЕ РЕГУЛИРОВАНИЕ

Банковские стратегии

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №3, 2002

СПЕЦВЫПУСК: ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

Новая эра карточных технологий

Разработчики информационных технологий предлагают новые системы безопасности для электронных платежных операций

Успешная работа с частными лицами предполагает различные виды доступа клиента к своему банковскому счету: посредством личного посещения банковского отделения, через Интернет, по стационарному или мобильному телефону. Однако при использовании различных способов передачи информации выдвигаются все более жесткие требования в части ее безопасности, что особенно касается платежей через Интернет и мобильные средства связи. Особенность таких трансакций состоит в том, что она может быть совершена лишь в случае правильной идентификации клиента и уверенности в том, что информация для проведения трансакции во избежание возможного мошенничества и последующих финансовых потерь передана без ошибок.

По данным статистики, на сегодняшний день наибольшие потери при проведении трансакций через Интернет приносят мошенничество с карточками и невозможность достоверного установления, была ли совершена спорная трансакция держателем карточки или другим человеком. И хотя соотношение случаев мошенничества по сравнению с общим количеством трансакций относительно невелико, а сам ущерб не превышает 1% от объема операций, наблюдается довольно тревожная тенденция к его увеличению.

При мошенничестве с карточками особое место занимают махинации с использованием дубликатов, содержащих информацию, скопированную с магнитной ленты находящихся в обращении платежных карточек. В большинстве случаев такие копии используются для различных покупок в супермаркетах, магазинах электроники и ювелирных изделий. Кроме того, данные о номере и периоде действия карточки, полученные нелегально, могут использоваться для покупок через Интернет.

Во избежание нежелательных последствий неавторизованного использования карточек, особенно при покупках через Интернет, применяются разные методы дополнительной защиты информации. Один из наиболее простых и достаточно эффективных способов – использование на карточке дополнительного идентификационного кода. Речь идет о применении на обороте карточек Visa и Eurocard/MasterСard трехзначных номеров, информация о которых отсутствует на магнитной ленте. Таким образом существенно усложняется процесс использования информации о номерах карточек в Интернете, поскольку предполагается либо наличие карточки, либо знание кода, информация о котором в сети не доступна.

Другим способом защиты от неавторизованного использования информации о карточке может стать услуга по проверке домашнего адреса карточкодержателя, несколько лет назад внедренная в США из-за проблем с использованием украденных карточек. Там, принимая к оплате карточку, продавец может также дополнительно запросить информацию о домашнем адресе клиента. Эта информация проверяется банком, в результате продавец получает положительный или отрицательный ответ для проведения трансакции (см. БП № 10 за 2001 год).

При использовании карточек для оплаты товаров и услуг через Интернет, собственно говоря, речь не идет об авторизации, поскольку при проведении электронной сделки отсутствует возможность реальной идентификации клиента или карточки посредством сравнения подписи или с помощью каких-либо иных подобных приемов. Впрочем, даже эти простые методы позволяют значительно уменьшить частоту неправомерного доступа к денежным средствам на счетах держателей карточек. Кроме США, система проверки адресов применяется лишь в Великобритании. Совместно с идентификационным кодом карточки и пин-кодом этот способ проверки обеспечивает достаточно высокий уровень безопасности при оплате услуг через Интернет и заслуживает более пристального внимания со стороны европейских финансовых институтов.

В стационарных торговых точках возможностей для обеспечения авторизации клиента несравнимо больше, чем при проведении платежей через Интернет, однако большинство специалистов в этой области считают достигнутый уровень безопасности недостаточным и выступают за применение в карточках идентификационных чипов, а в будущем – и биометрических средств идентификации карточек и клиентов. Такая защита намного эффективнее существующих, однако многими странами длительное время необходимость дополнительных мер безопасности не воспринималась. Было распространено мнение, что реальной потребности в их использовании не существует, однако сейчас, вследствие участившегося применения фальсифицированных копий карточек, ситуация изменилась. Ведущими ассоциациями эмитентов уже принято решение к 2005 году перейти на пластиковые карточки с интегрированными микрочипами.

Для внедрения таких технологий банкам необходимо перейти на использование карточек нового образца, например, с чипами EMV-стандарта, и модернизировать терминалы для корректной их обработки. Однако, в частности, по оценкам специалистов компании B+S Card Service GmbH, в ближайшем будущем внедрение новых технологий не представляется возможным, ведь даже повсеместная модернизация терминалов – достаточно непростая задача, а переход на новые протоколы передачи информации может потребовать значительных затрат времени и средств. Из этого следует, что на быстрое внедрение новых технологий рассчитывать не приходится. Кроме того, для полной амортизации существующей техники потребуется еще от пяти до семи лет, что также свидетельствует о том, что до начала 2005 года цель вряд ли будет достигнута.

Однако, несмотря на единодушие в решении общего вопроса о необходимости внедрения новых технологий ассоциации Visa и MasterCard не достигли соглашения о совместных действиях по разработке новых методов обеспечения безопасности и ведут работы раздельно. В стадии разработки находятся стандарты безопасности 3D-Secure для Visa и USAF/SPA для Europay/MasterCard. Окончательная разработка и внедрение этих методов станут важным событием как для пользователей карточек, так и для банков, свидетельствуя о начале новой эпохи в сфере электронной безопасности.

Определенные успехи в этой области уже достигнуты. Проблема нелегальных копий карточек может быть решена с использованием общего стандарта smart-e, разработанного рабочей группой по вопросам безопасности, которая состоит из представителей EURO Kartensysteme, Europay International, SRC Security Research & Consulting GmbH и VOEB-ZVD Bank fuer Zahlungsverkehrdienstleistungen GmbH (для применения в карточках Eurocard и MasterCard). Презентация разработки состоялась на крупнейшей в мире выставке информационных технологий и телекоммуникаций CeBIT 2002, проходившей 12-20 марта этого года в Ганновере (Германия). Использование smart-e способствует реализации концепции персонального клиентского терминала для покупок через Интернет и предполагает использование карточек со специальной EMV-чип-картой для идентификации пользователя и генерирования кода трансакции.

При этом, smart-e не зависит ни от аппаратного обеспечения трансакции, ни от способа передачи данных, используемых банком или розничной торговой точкой. Кроме того, применение чипа даст возможность обеспечить международное обращение карточек, поскольку он поддерживается стандартом UCAF, используемым MasterCard.

По оценкам разработчиков, внедрение нового способа защиты информации не потребует от банков значительных расходов и будет наиболее оптимальным решением в обеспечении безопасности для банков, поддерживающих стандарт UCAF. Опции многофункциональных терминалов по приему карточек предлагают финансовым институтам дополнительные возможности их использования.

Например, при покупке товаров или услуг в Интернете и оплате их карточкой Eurocard или MasterCard после выбора условий оплаты клиент может передать информацию, используя личный клиентский терминал. Для оплаты достаточно ввести карточку с чипом в аппарат и набрать пин-код. В случае оплаты чип-карта генерирует индивидуальный код трансакции, зависящий от персонального терминала и программного обеспечения компании, принимающей заказ, и передает его с применением стандарта UCAF банку, выпустившему карточку. В результате таких мер достигается практически полная уверенность в аутентичности пользователя.

Таким образом, применение технологии smart-e впервые позволяет совершать через Интернет действительно безопасные трансакции с высоким уровнем защищенности. Независимая от каналов передачи данных и надежная система авторизации клиентов позволяет банку предложить клиентам вполне приемлемые и надежные услуги, лучшим решением для которых будет использование EMV-чип-карт со стандартом UCAF и личным клиентским терминалом для передачи пин-кода. Решение позволяет обезопасить утвержденные клиентом данные по трансакции от фальсификации и использовать в виртуальном мире без дополнительных капиталовложений разработки, сделанные для традиционных магазинных терминалов.

Александр Недилько, по материалам Bank Technology, Card-Forum, EURO Kartensysteme

 
© агенство "Стандарт"