Платежные карты: Бизнес-энциклопедия

Сегодня, как правило, используется двухфакторная модель (факторы 1 и 2). Биометрические методы верификации только начинают внедряться для держателей микропроцессорных карт.

Отметим, что логика многофакторной модели аутентификации очевидна. В первую очередь банк должен понять, что карта, по которой собираются выполнить операцию, действительно его карта, т. е. карта была эмитирована банком (фактор 1). Поскольку реквизиты карты определяют ее держателя, то, очевидно, следующий вопрос, на который должен ответить эмитент — моя карта находится в руках моего клиента, которому я выдал карту для обеспечения удаленного доступа клиента к своему счету? Для ответа на этот вопрос используется фактор 2.

Проверка наличия у ЛСО карты, выданной банком (фактор 1), выполняется в несколько этапов с помощью:

• осмотра продавцом торгового предприятия внешнего вида карты (проверка логотипов банка и платежной системы, голограммы, специальной микропечати, нанесенной на карту, тисненных секретных символов и т. п.), а также в случае микропроцессорной карты — с помощью оффлайновой динамической аутентификации карты;

• проверки обслуживающим банком того факта, что торговое предприятие, в котором совершается операция, действительно, обслуживается этим банком;

• проверки эмитентом номера карты, ее срока действия, секретных величин CVC/CVV (CVC_2/CVV₂), а в случае микропроцессорной карты — выполнение онлайновой динамической аутентификации карты.

Безусловно, динамическая аутентификация микропроцессорной карты подняла достоверность аутентификации ЛСО по фактору 1 (и, как следствие, аутентификации ЛСО в целом) на качественно новый гораздо более высокий уровень. Подделка микропроцессорной карты, поддерживающей процедуры динамической аутентификации, является весьма дорогостоящим мероприятием.

На сегодняшний день наиболее надежным и универсальным способом аутентификации ЛСО в соответствии с фактором 2 является проверка ПИН-кода. Это связано с тем, что ПИН-код является самым труднодоступным для мошенников секретом среди всех реквизитов карты с магнитной полосой, поскольку он на карте не хранится. Потому применение ПИН-кода — наиболее надежное средство безопасности операций, выполняемых с использованием карт с магнитной полосой. В общем случае ПИН-код представляет собой последовательность десятичных цифр, вводимых ЛСО во время совершения операции по карте. Размер ПИН-кода варьируется от 4 до 12 цифр (на практике в большинстве случаев — 4 цифры). ПИН-код вводится с помощью специального криптографического модуля, входящего в состав терминального устройства (банкомата, POS-терминала и т. п.) — ПИН-ПАДа, или PIN entry device (PED) — и должен быть передан на хост эмитента, где он проверяется. Знание ЛСО секрета, известного держателю карты, по которой производится транзакция, является веским основанием считать, что ЛСО и держатель карты являются одним лицом.

Пластиковая карта как средство идентификации (аутентификации) ЛСО

Пластиковая карта является носителем информации, которая:

• идентифицирует платежную систему (ассоциацию банков, к которой принадлежит эмитент карты), эмитента карты, карточный продукт, держателя карты — клиента банка;

• определяет условия применения карты (онлайновый (оффлайновый) режим обработки транзакции, необходимость выполнения транзакции только с использованием электронного терминала, необходимость ввода PIN-кода, географию приема, период времени, в течение которого карта может использоваться и т. п.);

• содержит элементы защиты карты от подделки и информацию, используемую для аутентификации карты и клиента (голограмму, микропечать, специальные эмбоссируемые (рельефные) символы, видимые в ультрафиолете символы, фотографию держателя карты, специальные проверочные значения CVV/CVC, CVV₂/CVC₂, обеспечивающие целостность данных карты, подпись держателя карты и т. п., в микропроцессорных картах — секретные ключи и, возможно, PIN-код держателя карты).

Карта содержит логотипы платежной системы и банка-эмитента, а также информацию, называемую реквизитами карты: номер карты, срок действия карты, код обслуживания, имя держателя, специальную информацию, генерируемую эмитентом и используемую им для удаленной проверки подлинности карты. Часть этой информации наносится на пластик карты с помощью специальной печати или тиснения и считывается в процессе совершения транзакции визуально и осязательно. Эта информация используется продавцом торгового предприятия для проведения так называемой голосовой авторизации, при которой торговое предприятие связывается по телефону со службой голосовой авторизации банка и сообщает ей информацию о реквизитах торгового предприятия, карты, держателя карты и совершаемой операции. Служба голосовой авторизации вводит полученную информацию о карте в компьютер процессингового центра, который инициирует авторизацию операции и возвращает решение эмитента, сообщаемое торговому предприятию.

Часть информации наносится на магнитную полосу и (или) в микропроцессор (чип), расположенные на карте. Информация с магнитной полосы или чипа считывается с помощью специальных устройств, называемых считывателями карты или карт-ридерами. Электронные терминалы (так называемые POS- терминалы[153]) в торговом предприятии, а также автоматические устройства выдачи наличных (банкоматы) оснащены подобными карт-ридерами, или просто ридерами.

Обслуживающий банк обеспечивает поддержку инфраструктуры приема пластиковых карт, к которой в общем случае относятся банкоматы, пункты выдачи наличных и предприятия торговли и сервиса. Обслуживающий банк заключает договоры с торговыми предприятиями на обслуживание в них пластиковых карт, гарантируя торговому предприятию возврат средств за операции, совершенные в нем по картам любого банка — участника платежной системы.

Некоторые платежные системы (например, VISA и MasterCard) дополнительно гарантируют торговому предприятию возмещение средств по транзакциям, выполненным с использованием карт этой платежной системы. Дополнительная гарантия выдается на случай финансового краха обслуживающего банка и его неспособности возместить торговому предприятию средства по покупкам, совершенным с использованием пластиковых карт. В этом случае платежная система рассчитывается с торговым предприятием по выполненным в нем карточным операциям вместо потерпевшего крах банка. Гарантия платежной системы повышает уверенность торгового предприятия в возмещении ему средств по безналичной покупке. Эта уверенность лежит в основе технологии расчетов с использованием пластиковых карт.

Одна из важнейших задач любой платежной системы состоит в создании широкой географически распределенной инфраструктуры приема карт. Подобная инфраструктура приема карт делает применение карты привлекательным для ее держателя и эмитента. Именно для создания развитой инфраструктуры приема карт и требуются усилия многих банков — участников платежной системы[154].

Аутентификация ЛСО на примере операции покупки с помощью платежной карты

Уже отмечалось, что в карточной технологии аутентификация ЛСО в общем случае имеет распределенный характер. В аутентификации ЛСО принимают участие все участники обработки транзакции, включая торговое предприятие, обслуживающий банк, эмитента карты и, наконец, самого держателя карты. Проиллюстрируем это на примере операции безналичной покупки по карте в торговом предприятии.

Когда клиент банка А для оплаты покупки предъявляет пластиковую карту в торговом предприятии обслуживающего банка В, то торговое предприятие в первую очередь должно убедиться в том, что в соответствии с договором с обслуживающим банком В операция по предъявляемой для оплаты карте будет возмещена. Другими словами, торговое предприятие должно убедиться в том, что эмитент А и обслуживающий банк В являются участниками