Зміст
Класифікація банківських карток
Пластикова карта – це узагальнюючий термін, який позначає всі види карток, що відрізняються за призначенням, за набором послуг, що надаються за їх допомогою, за технічними можливостями та організаціями, що їх випускають. Найважливіша особливість всіх пластикових карток у тому, що у них зберігається певний набір інформації, що у різних прикладних програмах. Картка може бути перепусткою до будинку, засобом доступу до комп’ютера, засобом оплати телефонних переговорів, посвідченням водія і т.д. У сфері грошового обігу пластикові картки одна із прогресивних коштів організації безготівкових розрахунків. У системі безготівкових розрахунків вони становлять спеціальний клас знарядь платежу, які можуть мати якими як дебетових, і кредитних інструментів.
Для систематизації визначень та основних понять у галузі банківських карток доцільно провести їх класифікацію (див. також Класифікація пластикових карток). Існує багато підстав для класифікації банківських карток.
1. За належністю до установи-емітенту:
-
- банківські (універсальні) картки, емітент – банк та фінансові компанії;
- приватні картки — випускаються нефінансовими установами: комерційними фірмами чи групою комерційних фірм для розрахунків у власній комерційної мережі.
Унікальна властивість саме банківської картки, що відрізняє її від будь-яких інших приватних карток: можливість отримувати готівку, причому не тільки в офісах емітента.
2. За способом запису інформації на картку:
-
- графічний запис;
- ембосування;
- штрих-кодування;
- кодування на магнітній смузі;
- запис у інтегральну схему;
- лазерний запис (оптичні карти).
Найпершою і найпростішою формою запису інформації на карту було і залишається графічне зображення. Воно досі використовується у всіх картах, включаючи найтехнологічніші. Спочатку на карту наносилися лише прізвище, ім’я власника картки та інформація про її емітент. Пізніше на універсальних банківських картах було передбачено зразок підпису, а прізвище та ім’я стали ембосуватися (механічно видавлюватися).
Ембосування (emboss) – нанесення даних на картці у вигляді рельєфних знаків. Це дозволило значно швидше оформляти операцію оплати карткою, роблячи відбиток у ньому сліпа. Інформація, ембосована на карті, моментально переноситься через копіювальний папір на сліп. З метою боротьби з шахрайством можуть використовуватися сліпи і без копіювального шару, але спосіб перенесення ембосованої на карті інформації, по суті, залишився незмінним — механічний тиск. Ембосування не витіснило повністю графічне зображення.
Штрих-кодування. Запис інформації на карту за допомогою штрих-кодування застосовувалася до винаходу магнітної смуги і платіжних системах поширення не отримала.
Магнітні карти мають той самий вигляд, що й звичайні пластикові карти, за винятком того, що вони мають магнітну смугу на звороті карти. Магнітна смуга може зберігати близько 100 байтів інформації, яка зчитується спеціальним пристроєм, що зчитує. Інформація, що міститься на магнітній смузі, співпадає із записами на передній стороні картки: ім’я, номер рахунку власника картки та дата закінчення дії картки. Магнітний запис є одним із найпоширеніших на сьогоднішній день способів нанесення інформації на пластикові картки. Але вже ясно, що магнітна смуга не забезпечує необхідного рівня захисту від підробок. А це є критичним моментом у платіжних карткових системах.
Записує в інтегральну мікросхему або смарт-карти. Мікросхема смарт-карти містить «логіку» (мікропроцесор), що робить ці карти інтелектуальними. Назва “смарт-карта” ( smart – інтелектуальна, розумна) пов’язана з можливістю останньої виконувати дуже складні операції з обробки інформації. Мікросхеми смарт-карти є повними мікроконтролерами (мікрокомп’ютерами). По суті, смарт-карта є невеликим комп’ютером, здатним виконувати розрахунки подібно до персонального комп’ютера. Смарт-карти мають різну ємність. Вони дорожчі за карти пам’яті, і їх вартість визначається вартістю мікросхеми, яка прямо залежить від розміру наявної пам’яті.
Карти оптичної пам’яті були винайдені в 1981 р. Вони мають більшу ємність, ніж карти пам’яті, але дані на них можуть бути записані лише один раз. У таких картах використовується WORM- технологія (одноразовий запис – багаторазове читання). Запис та зчитування інформації з такої карти проводиться спеціальною апаратурою з використанням лазера (звідки інша назва – лазерна карта). Технологія, що використовується в таких картах, подібна до тієї, яка використовується в лазерних дисках. Основна перевага таких карток – можливість зберігання великих обсягів інформації. Такі карти використовуються для кишенькових «історій хвороби», але в банківських технологіях поки широкого поширення не отримали внаслідок високої вартості як самих карт, так і обладнання, що зчитує.
3. За способом обліку коштів:
-
- автономний “електронний гаманець”;
- «електронний гаманець» із дублюванням рахунку у емітента;
- “ключ до рахунку” – засіб ідентифікації власника рахунку.
Більшість карток, які нині використовуються, є ідентифікатором, а не гаманцем. Йдеться про магнітні карти, тому що на магнітній стрічці зберігається, по суті, адреса банку, де ведеться рахунок клієнта та зберігається залишок. У разі смарт-карток з’являється технічна можливість зберігати залишок безпосередньо на самій карті, тому її можна вважати гаманцем. У кожному з варіантів обліку коштів можна назвати позитивні і негативні моменти як клієнта — власника картки, так банку-эмитента.
4. За характером використання:
-
- індивідуальна картка, яка видається окремим клієнтам банку та може бути стандартною або «золотою» для осіб з високою кредитоспроможністю та передбачає безліч пільг для користувачів (наприклад, VISA Gold);
- корпоративна картка видається організації (фірмі), яка на основі цієї картки може видати індивідуальні картки обраним особам (керівникам чи цінним співробітникам). Їм відкриваються персональні рахунки, прив’язані до корпоративного карткового рахунку. Відповідальність перед банком за корпоративним рахунком має організація, а чи не індивідуальні власники корпоративних карток.
5. За категорією клієнтури:
-
- стандартна;
- привілейована (наприклад, “золота”) – для осіб з високою кредитоспроможністю, передбачає безліч пільг для користувачів.
6. По виду розрахунків, що проводяться:
-
- кредитні картки, пов’язані з відкриттям кредитної лінії у банку, що дає можливість клієнту користуватися кредитом при купівлі товарів та послуг, а також при отриманні касових позик;
- дебетові (розрахункові) картки – призначені для оплати товарів або послуг шляхом прямого списання коштів із банківського рахунку платника. Такі картки не дозволяють оплачувати покупки за відсутності грошей на рахунку. Перевага дебетової картки над кредитною полягає у відсутності обмежень на розмір одного платежу;
7. За механізмом взаємодії з платіжним терміналом:
-
- контактні;
- безконтактні;
- віртуальні.
Швидке поширення банківських карток, їх перетворення на масовий інструмент розрахунків, неухильне зростання їх популярності серед широких груп населення обумовлено зручністю та безпекою їх використання та є наочним свідченням того, що ця форма розрахунків вигідна основним категоріям учасників системи. Основні привабливі риси для власників карток полягають у наступному:
- зручність користування. Клієнту не потрібно мати при собі великих грошових сум при відвідуванні магазинів та підприємств сервісу, що дає змогу миттєво зробити велику покупку, про яку наперед невідомо, де вона може статися. Разом про те зручність застосування картки лише тоді може бути реалізовано повною мірою, якщо існує широка мережа торгових і сервісних підприємств, які приймають картку на оплату за товари та. Без такої мережі використання карток в оборот розтягнулося б багато років. У банки відразу ж зрозуміли вирішальне значення торгових партнерів і доклали максимум зусиль для залучення їх до карткового бізнесу. Аналогічним чином формування торгової ланки карткових розрахунків за участю тисяч підприємств було здійснено в інших країнах. Після того як картки національних асоціацій перетнули кордони і стали міжнародними, мережа прийому карток також набула глобальних масштабів. Картки таких компаній, якVISA і MasterCard приймаються нині мільйонами торгових точок у багатьох країнах світу. Дебетова картка представляє клієнту головним чином технічні зручності: можливість проведення безготівкових платежів, зняття готівки, управління рахунком через автоматичні пристрої. Фінансова привабливість картки порівняно невелика і може полягати у нарахуванні відсотків на залишок за рахунком та, можливо, отриманні знижок при покупках;
- якщо картка кредитна, можна виділити друге її гідність — можливість отримання кредиту. Придбання товарів у кредит – традиційна і невід’ємна характеристика платіжних систем у ринковій економіці. У США до 80% споживчих товарів тривалого користування купується із застосуванням кредиту. У картковій системі розрахунків кредит надається покупцеві автоматично без спеціального звернення до банку. На момент покупки використовується кредитна лінія, причому ліміт її відновлюється у міру погашення боргу. Понад те, покупець користується кредитом без стягнення відсотків протягом терміну від 4 до 8 тижнів. Крім того, він може за бажанням відстрочити виплату боргу за межі пільгового періоду, сплачуючи банку відсотки. Вигода власника картки у разі приймає форму фінансових зручностей;
- ще одна перевага карткових розрахунків — отримання користувачем інформації від банку у такій формі, що він може перевірити кожну операцію та пред’явити претензії у разі неправильного оформлення угод. Суворішими стають контроль і планування бюджету;
- не потрібно дбати про конвертування валюти. Це зробить банк, причому отже клієнт виграє різниці між курсом обміну у магазині і курсом, яким конвертацію здійснює банк;
- престижність (особливо у тих країнах, де картки поки що не стали загальновживаними), що свідчить ще про вміння поводитися з сучасними технічними засобами, що використовуються у фінансовій сфері;
- інші переваги – пільги при придбанні товарів, відновлення втрачених або вкрадених карток, пільги при бронюванні місць у готелях, при замовленні авіаквитків тощо.
Для підприємств торгівлі карткові розрахунки мають такі переваги:
- розширення продажів та залучення нових покупців, причому заможних;
- не потрібно дбати про конвертацію грошей та інкасацію виручки;
- можливість надання кредиту без використання власних коштів та ведення спеціальних систем обліку;
- зниження ризику завдяки заміщенню банківських чеків картками;
- людина з карткою на руках більш схильна зробити покупку, ніж власник готівки;
- підвищується безпека роботи (оскільки чеки з підписами клієнтів, які залишаються в магазині та означають надходження грошей на його рахунок, не становлять інтересу для грабіжників);
- підвищується престиж, рейтинг магазину.
Ініціаторами застосування кредитних та інших видів карток виступили банки, розраховуючи отримати такі вигоди:
- збільшення споживчих позичок;
- збільшення залучених ресурсів (гроші на рахунках у разі дебетових карток, страхові депозити);
- розширення сфери діяльності банку на віддалені райони;
- «перехресний» продаж додаткових продуктів та послуг власникам карток;
- організація більш швидких та зручних для клієнтів розрахунків;
- зменшення обсягу використовуваної у розрахунках готівки та, отже, зниження вартості операцій;
- відпрацювання нової, більш прогресивної, безпаперової технології;
- розвантаження центрального офісу банку від напливу клієнтів;
- додаткові доходи, оскільки за операції з картками банк, зазвичай, бере комісійні, а клієнт платить отримання картки;
- підвищення конкурентного потенціалу банку з урахуванням загальносвітової тенденції витіснення з платіжного обороту як готівки, а й чеків, зростання авторитету банку як учасника інноваційних процесів;
- престиж і реклама банку на пластикових картках, які клієнти використовують як засіб платежу, а й як ознака певного соціального статусу, тощо.
Операції з пластиковими картками відкрили нові перспективи фінансового обслуговування клієнтів та, відповідно, розширили можливості отримання банківського прибутку. Пластикові карти стали невід’ємною та важливою частиною фінансової системи розвинених країн та світової економічної спільноти.
Переваги, пов’язані з використанням пластикових карток на вітчизняному ринку, очевидні. Для клієнтів можливість мати при собі лише картку, а не велику суму грошей (це особливо зручно бізнесменам, які укладають угоди в різних кінцях країни) — зменшення ризику втрати грошей. Також це пільги при отриманні послуг на підприємствах торгівлі та сервісу, зменшення витрат при проведенні фінансових операцій, у тому числі і покупок з використанням різних валют (оскільки конвертація проводиться за курсом біржі, а не за завищеним курсом магазину).
Очевидні переваги, які отримують від використання пластикових карток підприємствами торгівлі та сервісу. Це і зменшення витрат на інкасацію, транспортування та переведення в готівку коштів, і спрощення розрахунків з покупцем (відсутність здачі та підрахунку грошей покупцем і касиром), а також реклама підприємства і т.д. Безумовний інтерес має пластикова картка і для великих підприємств при видачі зарплати своїм співробітникам.
Інтерес держави у впровадженні розрахунків за пластиковими картками також очевидний: знижуються колосальні витрати на інкасацію грошових коштів, емісію та регенерацію банкнот та монет; спрощується облік руху грошей та стягнення податків; технологія розрахунків без участі готівки допомагає знизити криміногенність обстановки навколо підприємств та осіб, які працюють з готівкою; Використання таких розрахунків допоможе згладити і навіть певною мірою знизити темпи зростання інфляції країни.
Магнітні карти
Магнітні картки з’явилися близько 40 років тому і спочатку призначалися для зручного обслуговування бізнесменів, що подорожують, а потім стали використовуватися для управління роботою банкоматів. Вперше банкомат, що працює від картки з магнітною смугою, був представлений в 1969 фірмою «Докьютел» ( Docutel) в США. На сьогоднішній день з магнітними картками працюють усі міжнародні платіжні системи. Існує багато національних та міжнародних стандартів на магнітні картки. По-перше, картка має відповідати специфікаціям Міжнародної організації зі стандартизації (ISO), якими встановлюються розміри карти і те, як вона повинна поводитися при механічних, фізичних, хімічних та інших впливах. Специфікація 7811 наказує певні розміри карток (в мм): довжина – 85,6; ширина – 53,9; товщина – 0,76. На лицьовій стороні картки містяться:
- ім’я власника (Cardholder);
- номер його банківського рахунку;
- шифр його відділення банку;
- Назва банку;
- символи електронної системи платежів, у якій використовуються картки цього виду;
- голограма – фірмовий знак платіжної системи. Мета нанесення голограми – зробити зовнішній вигляд карти більш привабливим та захистити від підробки. Вперше голограму застосували у системі MasterCard у 1985 р.;
- термін користування карткою.
На звороті картки розташовується магнітна смуга, а також можлива фотографія власника та зразок його підпису (ряд платіжних систем допускає розташування цих реквізитів на лицьовій стороні картки, наприклад, MasterCard City Bank на своїх кредитних картках).
Для ідентифікації клієнтів під час роботи з банкоматами та терміналами використовують PIN – код. Це персональний номер (ідентифікатор) ( Personal Identification Number ), який є послідовністю цифр (зазвичай 4-6, але може бути і до 12). За способом призначення можна виділити такі типи PIN-кодів:
- призначені виведені ( derived ) PIN;
- призначені випадкові ( random ) PIN;
- PIN, що вибирається користувачем.
У зв’язку з тим, що PIN призначений для ідентифікації та аутентифікації клієнта, його значення має бути відоме лише клієнту. У кожного з типів PIN- кодів є свої переваги та недоліки. Використання PIN, що призначається банком, незручно навіть за невеликої кількості цифр. Це і є причиною того, що клієнти записують код і зберігають його разом із карткою, незважаючи на попередження банку. Якщо код є числом випадковим або обраний користувачем, його копія повинна бути десь зафіксована: або в банківській системі, або на карті. Якщо PIN-код виведений, його копія може ніде не зберігатися. Закритим буде сам алгоритм формування та перевірки коду. Однак у разі розкриття цього алгоритму доведеться перевипускати всю партію карток. Для більшої зручності клієнта підходять PIN- коди, які вибирає користувач. Однак, клієнти часто вибирають цифри, які досить легко можна обчислити (місяць і дата народження, рік народження, телефон, домашня адреса тощо), що може призвести до певних проблем.
Існують два основні способи перевірки PIN -коду: алгоритмічний та неалгоритмічний.
При алгоритмічному способі перевірки PIN- код, введений з клавіатури, перетворюється за певним алгоритмом з використанням секретного ключа і звіряється зі значенням PIN- коду, що зберігається на картці. Перевагою цього способу перевірки є відсутність копії PIN- коду на банківському комп’ютері, що виключає його розкриття персоналом банку, швидкість і низька собівартість виконання перевірки, відсутність передачі PIN- коду лініями зв’язку, що виключає його перехоплення зловмисником і нав’язування результатів порівняння.
При неалгоритмічному методі перевірки введений PIN-код перевіряється шляхом прямого порівняння з копією PIN – коду, що зберігається в базі даних банківського комп’ютера. Часто сама база даних прозоро шифрується, щоб не ускладнювати процес порівняння, але підвищити її захищеність.
В даний час точаться дискусії щодо застосування PIN-коду для ідентифікації клієнта. Прихильники його застосування стверджують, що розтин PIN- коду становлять кілька випадків на сотні мільйонів транзакцій. А противники вважають, що PIN -код може працювати лише у таких випадках:
- відсутня передача картки під час передачі її від банку клієнту;
- банківські картки не крадуть, не втрачають, їх не можна підробити;
- PIN -код неможливо дізнатися при доступі до системи іншим користувачем;
- в електронній системі банку відсутні збої та помилки;
- у самому банку немає шахраїв.
На жаль, в останні роки намітилася тенденція викрадення PIN- кодів, розроблена численна апаратура, що дозволяє «підглянути» код, що вводиться.
Як альтернатива пропонується використовувати пристрої ідентифікації, засновані на біометричному принципі (геометрія кисті, відбитки пальців, відбитки долоні, записи голосу, райдужна оболонка ока). Більшість біометричних критеріїв потребує обсягу пам’яті в кілька сотень байт, а також спеціального обладнання для ідентифікації користувача. Крім того, практично для всіх систем безпеки, побудованих на використанні біометрії, характерна поява помилок першого та другого роду. Внаслідок помилок першого роду система відкидає дійсного користувача. Помилки другого роду у тому, що система не відкидає недійсного користувача.
Помилки першого та другого роду пов’язані зі зміною реальних біометричних характеристик користувача (наприклад, зміна голосу через хворобу або втому). Наявність цих помилок може стати серйозною проблемою при використанні методів біометрії на підприємствах торгівлі та банкоматах як для клієнтів, які не зуміли скористатися послугою, так і для самих банків, підприємств торгівлі, які втрачають клієнтів.
Магнітні картки не можна вважати ідеальним платіжним засобом, оскільки вони мають безліч недоліків. Назвемо їх.
- Погані експлуатаційні характеристики (інформацію на магнітному носії можна легко зруйнувати).
- Відсутня можливість надійного оновлення інформації, що дозволяє зберігати на картці інформацію про стан рахунку клієнта.
- Необхідність обслуговування картки в режимі on-line, що підвищує витрати експлуатації такої системи. Це означає, що для кожної транзакції необхідно звертатися до центру авторизації для підтвердження справжності картки та стану рахунку клієнта, що дорого та недостатньо надійно.
- Слабкий захист від шахрайства (ці картки легко підробити шляхом виробництва фальшивок, або скопіювавши інформацію з них). Причому масштаби та витонченість шахрайств зростають з кожним роком.
Низька якість телекомунікаційних мереж не дозволяє картам із магнітною смугою широко застосовуватися на вітчизняному ринку. У цих умовах смарт-картки – це оптимальне рішення для підвищення ефективності та надійності безготівкових розрахунків.
Смарт-карти
Смарт-карта – це карта, носієм інформації, в якій є інтегральна мікросхема. Коли стандарти та технологія виробництва смарт-карт ще тільки розроблялися, їх надійності та високого ступеня захисту даних приділялася найпильніша увага. В області захисту даних смарт-карти мають цілу низку переваг у порівнянні з традиційними магнітними картами.
По-перше, оскільки процес створення смарт-карт досить складний, він під силу лише великій промисловій компанії. Спроби зламати мікросхему в кустарних умовах неминуче призведуть до її руйнування.
По-друге, при виробництві карток у кожну мікросхему заноситься унікальний код. Завдяки цьому кодування даних неможливе ні для кого, крім виробника карт. Виробник, відправляючи партію смарт-карток на адресу організації, що випускає їх в обіг, посилає коди окремо, так що навіть у разі втрати всієї партії карти виявляються непридатними для використання.
По-третє, при видачі картки користувачеві на неї заноситься один або кілька секретних кодів (паролей), так званих PIN- кодів, відомих лише власнику картки. Якщо картку втрачено або вкрадено, клієнт повідомляє про те, що сталося в банк і програма банку вносить цю картку до списку недійсних карток, що розсилається на всі термінали продажів. Будь-яка спроба використовувати втрачену або вкрадену картку буде негайно припинена. Це дає можливість здійснювати авторизацію в режимі offline, що дозволяє заощаджувати значні кошти та час на організацію процедури оплати купівлі карткою. Слід враховувати такий момент: при значній дешевизні самих магнітних карток поза розглядом залишається сам айсберг — вартість усієї системи, включаючи оренду каналів, зв’язкове обладнання тощо. Вартість проектів може обчислюватися мільйонами доларів, а терміни окупності є досить тривалими.
Основна перевага смарт-карток у тому, що вони є засобом, який насамперед дозволяє збільшити та урізноманітнити пакет послуг, що надається клієнту. При цьому платіжній системі та банкам, що входять до неї, технологія на основі смарт-карток обійдеться дешевше за рахунок скорочення втрат від шахрайства та зниження витрат на авторизацію та зв’язок.
Основне питання, яким задаються всі бажаючі використовувати пластикову картку у вигляді платіжного засобу: який тип картки найбільше підходить як платіжна? На жаль, однозначної відповіді це питання немає (можна лише сказати, які типи карт не підходять). Ефективність платіжної системи залежить тільки від правильно обраних технічних засобів, а й від ретельно налагодженої технології, від грамотної фінансової політики емітента, від багатьох інших чинників, які можуть звести всі переваги тієї чи іншої типу карт до нуля.
Смарт-карти відрізняються типом інтегрованої мікросхеми. Ступінь «інтелектуальності» мікросхеми може бути різним: від найпростішого контролера читання/запису даних в електронну пам’ять карти до мікропроцесора, що має розвинену систему команд, вбудовану файлову систему і т.п. Очевидно, що найголовніша відмінність смарт-карт від карток з магнітною смугою — це саме факт «інтелектуальності» карток із мікросхемами.
При платежах за магнітними або штриховими картками застосовується технологія on-line. Дозвіл на платіж дає комп’ютер банку або процесингового центру у зв’язку з точкою платежу. Тому головна проблема, що виникає тут, — забезпечення надійного, захищеного та недорогого зв’язку. У разі смарт-карт застосовується принципово інша технологія – offline – дозвіл на платіж дає сама карта (точніше, вбудована в неї мікросхема) при спілкуванні з торговим терміналом безпосередньо в торговій точці. Накладні витрати на забезпечення платежів надзвичайно малі, проблеми зв’язку не грають тієї ролі, як у технологіях on-line. Замість них на перший план виступають проблеми безпеки — смарт-карта має бути достатньо «інтелектуальною», щоб самостійно прийняти рішення про проведення платежу, і при цьому мати розвинену систему захисту від її несанкціонованого використання. Тому найперше питання, яке виникає при виборі типу смарт-карт: які карти дозволяють створювати платіжні системи, які максимально забезпечують захист від різних шахрайств?
Друге питання, пов’язане з вибором платіжних смарт-карток, полягає у проблемі реалізації двох основних фінансових операцій за карткою — дебетування та кредитування рахунку в її електронній пам’яті. Більшість відомих смарт-карток дозволяють це робити досить легко. Головне тут інше — як співвідноситься механізм дебетування та кредитування картки із проблемою її несанкціонованого використання. Чи надійно захищені ці операції для того, щоб, крім законних власників, їх не могло провести якесь інше обличчя, навіть не обов’язково зі злочинними цілями.
Отже, вибір конкретного типу смарт-карт як засобу платежу зводиться переважно до вирішення двох зазначених вище питань.
Смарт-карта є ідеальним засобом платежу, оскільки має функції «електронного гаманця». Останній зберігає у пам’яті суму коштів, якими клієнт банку може розплатитися за покупку. «Електронний гаманець» зручний клієнту, оскільки останній легко контролює свої активи на карті та за необхідності може їх поповнити, кредитуючи картку в банку. Пам’ять «електронного гаманця» захищена PIN- кодом, який клієнт повинен набрати на клавіатурі платіжного терміналу під час проведення будь-якої операції на карті. Таким чином, клієнт може не побоюватися використання смарт-картки без санкції (якщо, зрозуміло, він зберігає свій PIN в таємниці).
Не всяка смарт-карта може бути “електронним гаманцем”. Розглянемо типологію смарт-карток. Залежно від внутрішнього пристрою та функцій смарт-карти, що виконуються, можна розділити на три типи:
- картки-лічильники;
- карти із пам’яттю;
- мікропроцесорні картки.
Практично будь-яку карту будь-якого типу можна використовувати як платіжну. Проте лише дуже обмежена кількість карт задовольнятиме всім вимогам, якими має мати масова платіжна смарт-карта: невисокою вартістю, можливістю проводити будь-які (а не тільки специфічні) платежі, гарною захищеністю та необхідним рівнем «інтелектуальності» для забезпечення технології off-line.
Карти-лічильники ще називають картками із попередньо оплаченою сумою. Цей тип карток застосовується для такого типу розрахунків, коли потрібно віднімання фіксованої суми за кожну платіжну операцію.
Приклад таких розрахунків може бути плата за телефонну розмову. Зазвичай, у телефонах-автоматах кожна одиниця часу розмови має фіксовану ціну, її абонент оплачує монетами або спеціальними жетонами, які підраховує відповідний пристрій телефону. При застосуванні карток мінімальній сумі платежу ставиться у відповідність один біт пам’яті. У процесі розмови встановлюється зв’язок між телефоном та картою, і за кожну одиницю часу “перепалюється” деяка кількість біт. Таким чином, картка замінює монети чи жетони. Аналогічно карти-лічильники застосовуються при підписці на платне телебачення, при оплаті за проїзд, автостоянку тощо.
Спочатку використовувалися карти з одноразово програмованою пам’яттю. Після повного використання картки її доводилося викидати. Сучасні карти такого типу дозволяють після повного використання відновлювати вміст лічильника. Відновлення вмісту може бути виконане лише при знанні певного коду, що дозволяє цю дію. Крім цього, карти містять область, де записуються ідентифікаційні дані. Ці дані неможливо змінити згодом. Карти, що дозволяють перезаписувати інформацію, відносяться до типу карт з енергонезалежною пам’яттю, що перепрограмується.
Картки із пам’яттю. Назва цього типу карт дуже умовно – строго кажучи, всі смарт-карти мають пам’ять. Даний тип карток виділений як проміжний при переході від карт-лічильників до мікропроцесорних карток. Зазвичай карти такого проміжного типу використовують для зберігання інформації. Існують два підтипи подібних карт: із незахищеною та із захищеною пам’яттю. Карти другого підтипу відрізняються від карт першого вищим інтелектом, спрямованим на запобігання несанкціонованому доступу до даних на карті. Однак тієї «інтелектуальності», яка характерна для карток з мікропроцесорами, карти із захищеною пам’яттю не мають.
У картах із незахищеною пам’яттю немає обмежень щодо читання або запису даних. Іноді їх називають картами з повною пам’яттю. Робота з ними (з погляду логічної структури даних) нагадує роботу з бінарним файлом. Можна довільно структурувати карту на логічному рівні, розглядаючи її пам’ять як набір байтів, який можна скопіювати на оперативну пам’ять або оновити спеціальними командами.
Карти з незахищеною пам’яттю використовувати як платіжні вкрай небезпечно. Достатньо легально придбати таку карту, скопіювати її пам’ять на диск, а далі після кожної покупки відновлювати її пам’ять копіюванням початкового стану даних з диска, причому не цікавлячись тим, яка інформація зберігається на карті (тобто шифрування даних у пам’яті картки від шахрайства) подібного роду не рятує). Зрозуміло, таку операцію може зробити лише кваліфікований програміст, але практика показує, що в нашій країні досить багато грамотних людей, здатних на таке заняття з хакерських спонукань.
У картках із захищеною пам’яттю використовується спеціальний механізм для дозволу читання/запису або стирання інформації. Щоб провести ці операції, треба пред’явити карті спеціальний секретний код (іноді й не один). Пред’явлення коду означає встановлення зв’язку з нею і передачу коду «всередину» карти. Порівняння коду з ключем захисту читання/запису (стирання) даних проведе сама карта та «повідомить» про це пристрій читання/запису смарт-карт. Читання записаних у пам’ять картки ключів захисту або копіювання пам’яті картки неможливо. У той самий час, знаючи секретний код (коди), можна прочитати чи записати дані, організовані найбільш прийнятним платіжної системи логічним чином. Таким чином, карти із захищеною пам’яттю підходять для універсальних платіжних застосувань, добре захищені і при цьому недорогі.
Як правило, карти із захищеною пам’яттю містять область, в яку записуються ідентифікаційні дані. Ці дані не можуть бути змінені згодом, що дуже важливо для забезпечення неможливості підроблення картки. З цією метою ідентифікаційні дані на карті пропалюються.
Необхідно також, щоб на платіжній карті було щонайменше дві захищені області. Вже було сказано, що в технології безготівкових розрахунків за картками беруть участь, у загальному випадку, три незалежні суб’єкти: клієнт, банк та магазин. Банк вносить гроші на картку (кредитує її), магазин знімає гроші з картки (дебетує її), і всі ці операції мають робитися із санкції клієнта. Таким чином, доступ до даних на карті та операції над ними треба розмежовувати. Це досягається розбиттям пам’яті карти на дві захищені різними ключами області – дебетну та кредитну. Кожен учасник операції має свій секретний ключ. У клієнта це PIN. Правильне його пред’явлення відкриває доступ до картки (з читання даних), однак не повинно змінювати інформацію, якою розпоряджається кредитор картки (банк) або дебітор (магазин). Ключ запису інформації в кредитну область картки є лише у банку, а дебетну область — у магазину. Тільки при пред’явленні відразу двох ключів (PINa клієнта та ключа банку при кредитуванні, PINa клієнта та ключа магазину при дебетуванні) можна провести відповідну фінансову операцію – внести гроші або списати суму покупки з картки.
Якщо в якості платіжної використовуються картки з однією захищеною областю пам’яті, банк і магазин будуть працювати з однією і тією ж областю, застосовуючи однакові ключі захисту. Якщо банк як емітент картки може її дебетувати (наприклад, банкоматах), то магазин права кредитувати картку немає. Однак така можливість йому дана, оскільки через необхідність дебетування картки при покупках він знає ключ захищеної зони. Та обставина, що і кредитор картки, і її дебітор (загалом різні особи) користуються одним ключем, порушує відразу кілька основних принципів захисту інформації (зокрема, принципи поділу повноважень та мінімальних повноважень). Це рано чи пізно призведе до шахрайства, навіть якщо використовуються криптографічні засоби захисту інформації.
Мікропроцесорні карти є останніми досягненнями в області смарт-карт. Область їх застосування дуже велика.
У карту вбудовується спеціалізована операційна система, що забезпечує великий набір сервісних операцій та засобів безпеки. Ці картки зазвичай забезпечують такі типові функції.
1. Файлова система
Операційна система карти підтримує файлову систему, що передбачає розмежування доступу інформації. Для інформації, яка зберігається в будь-якому записі (файла, групи файлів, каталогу), можуть бути встановлені такі режими доступу:
- завжди доступна для читання/запису. Цей режим дозволяє читання/запису інформації без знання спеціальних секретних кодів;
- доступна читання, але вимагає спеціальних повноважень для запису. Цей режим дозволяє вільне читання інформації, але дозволяє запис лише після пред’явлення спеціального секретного коду;
- спеціальні повноваження щодо читання/запису. Цей режим дозволяє доступ до читання або запису після пред’явлення спеціального секретного коду, причому коди для читання та запису можуть бути різними;
- недоступна. Цей режим не дозволяє читати або записувати інформацію. Інформація доступна лише внутрішнім програмам картки. Зазвичай, цей режим встановлюється для записів, що містять криптографічні ключі.
2. Криптографічні засоби
Як правило, в такі картки вбудовані криптографічні засоби, що забезпечують шифрування інформації та вироблення «цифрового» підпису. Традиційно в картках цих цілей застосовується криптографічний алгоритм DES. Крім того, у картці є засоби ведення ключової системи.
3. Сервісні команди
Карти забезпечують різноманітний спектр сервісних команд. Для банківських цілей найцікавіші їх — це засоби ведення електронних платежів. Замість двох областей у карті для ведення електронних платежів створюється спеціальний файл, недоступний для читання/запису за допомогою звичайних команд керування файловою системою. Над цим файлом можна виконувати лише операції зарахування (кредитування) або списання (дебетування) фінансових коштів. Операція кредитування може бути проведена лише за умови пред’явлення двох секретних кодів — коду клієнта та коду банку. Операція списання проводиться лише після пред’явлення коду клієнта. Вочевидь, що у карті захищені операції, але з області, що, втім, з погляду проведення фінансових транзакцій рівнозначно. Крім того, картка забезпечує безпечне віддалене кредитування картки в режимі on-line, що, безумовно, дуже зручно для клієнтів — можна занести кошти на картку в найближчому магазині, не заходячи до банку. Видалене кредитування можливе за рахунок вбудованих криптографічних засобів.
4. Спеціальні засоби
До спеціальних засобів належить можливість блокування роботи з карткою. Розрізняється два види блокування: при пред’явленні неправильного транспортного коду та при несанкціонованому доступі.
Суть транспортного блокування у тому, що доступом до картці неможливий без пред’явлення спеціального «транспортного» коду. Цей механізм необхідний захисту від нелегального використання карток під час розкрадання під час їх пересилання від виробника до споживача. Картка може бути активована лише за умови пред’явлення правильного «транспортного» коду.
Суть блокування при несанкціонованому доступі у тому, що й за доступі інформації кілька разів неправильно був пред’явлений код доступу, то карта взагалі перестає бути працездатною. При цьому, залежно від встановленого режиму, мапа може бути згодом або активізована при пред’явленні спеціального коду, або ні. В останньому випадку картка стає непридатною для подальшого використання.
Однією з причин повільного переходу на масове використання смарт-карток у міжнародних платіжних системах була відсутність міжнародних стандартів на платіжні системи на базі смарт-карток.
Перші роботи зі стандартизації карт з інтегральними схемами розпочалися у Франції 1980 р. з ініціативи французького Інституту стандартів. Пізніше до цих робіт підключилася Міжнародна організація стандартизації (ISO) спільно з Міжнародною електротехнічною комісією (IЕС). В результаті з’явився міжнародний стандарт ISO 7816, що складається із кількох частин.
Перша частина стандарту, яка була опублікована в остаточному вигляді у 1987 р. (ISO 7816/1), регламентує фізичні характеристики смарт-картки. Друга частина стандарту, опублікована в 1988 р. (ISO 7816/2), описує розташування контактів на карті та їх призначення, а третина, опублікована в 1989 р. (ISO 7816/3), — електричні характеристики та протокол взаємодії між карткою та зчитувачем. Ці стандарти підтримуються практично у всіх існуючих смарт-картах та платіжних терміналах. В даний час розроблені подальші частини стандарту, зокрема частина четверта, яка визначає потужніший протокол взаємодії між карткою та інтерфейсним пристроєм.
Міжнародні платіжні системи, розуміючи, що майбутнє за смарт-картками, ще на початку 1990-х років. розпочали розгляд можливостей переведення своїх основних карткових продуктів на цю технологію. Лідируючі платіжні асоціації об’єднали свої зусилля у цьому напрямі. У 1994 р. VISA, MASTERCARD і EUROPAY утворили робочу групу, куди увійшли згодом понад 20 відомих компаній — постачальників карт, устаткування та рішень з метою розробити специфікації EMP ( EUROPAY-MASTERCARD-VISA ) на чипову карту. У 1996 р. була випущена версія специфікацій, названа ЕМV96, що стала першим стандартом банківського сектора чипову карту. Дані специфікації є застиглим документом, у майбутньому з’являться нові їх редакції. ЕМV включає специфікації:
- на чиповую карту (Integrated Circuit Card Specifications for Payment Systems);
- на додатки для чіпової картки ( Integrated Circuit Card Application Specifications for Payment Systems), присвячені процесу виконання транзакції;
- на термінал, що працює з чіповою картою ( Integrated Circuit Card Terminal Specifications for Payment Systems).
Специфікації на чипову карту складаються із чотирьох частин. У першій частині, що базується на ISO 7816, описуються електромеханічні характеристики, логічний інтерфейс та протоколи обміну.
Специфікації ЕМV визначають якусь базу, основі якої кожна з платіжних асоціацій визначає свої чіпові продукти.
Крім опису властивостей основного продукту специфікації ЕМV визначають правила вибору програми. Дозволяються також «неплатіжні» програми.
Архітектура відкритих платформ дозволяє робити динамічне завантаження додаткових програм вже в процесі використання карти. Клієнт може не обмежуватись певним набором додатків, а довантажувати їх у міру виникнення потреби.
Платіжні системи на основі смарт-карт мають ряд переваг перед системами, що використовують карти з магнітною смугою. Перерахуємо їх.
- Всі існуючі операції з готівкою можуть бути легко замінені на операції зі смарт-картами, оскільки дозволяють зберегти анонімність операцій (у випадку «автономних електронних гаманців»).
- Централізований контроль над системою та фінансовими транзакціями для всіх елементів системи.
- Незначна вартість обладнання торговельного терміналу, відсутність необхідності витрат на додаткові засоби комунікації та незалежність обслуговування системи від засобів комунікації.
- Відсутність додаткових витрат на експлуатацію системи.
- Надійність використання. Після занесення на смарт-карту всіх даних клієнта зв’язок з базою даних відбувається негайно після пред’явлення карти, що дуже важливо для міст, в яких відсутні сучасні телекомунікаційні засоби.
- Портативність та автономність торгового терміналу, що забезпечують його широке застосування, аж до мобільних пунктів обслуговування та торгових кіосків.
- Можливість приймати оплату з карток різного типу в автоматичних пристроях: автомати продажу сигарет, прохолодних напоїв, телефонні автомати, автомобільні стоянки та мийки, автосервіс і т.д.
- Зменшення адміністративних витрат на кожному рівні та витрат на підтримку роботи системи, здійснення транзакцій, скорочення витрат на час обслуговування, лінії зв’язку.
- Поліпшення та спрощення процедур взаєморозрахунків.
- Істотне збільшення швидкості всіх операцій.
- Істотне зменшення витрат всіх користувачів системи: власників карток, організацій, що торгують, головної фірми — емітента смарт-карток.
- Система захищена всіх рівнях і виключає низку ризиків, властивих іншим системам платежів (готівковим, талонам, магнітним картам).
- За рахунок швидшої оборотності коштів система дозволяє зменшити інфляцію і скоротити витрати на підтримку обігу готівки.
- Використання системи дозволяє зменшити рівень криміналу.
- Можливість використання платіжних карток в інших сферах (державне страхування, медичне обслуговування) як чисто ідентифікаційних.
- Захист картки. Смарт-карта може бути зроблена лише промисловим шляхом та містить унікальний код виробника. Якщо на другу карту будуть нанесені ті ж дані, що і на оригіналі, то відмінність у внутрішніх номерах дозволить системі відрізнити одну картку від іншої.
Сучасне апаратно-технічне обладнання карткового ринку забезпечує унікальну можливість впровадження набору додаткових бізнес-додатків на основі банківських мікропроцесорних карток. Використання існуючої банківської карткової інфраструктури дозволяє спростити виконання технічних операцій, пов’язаних з наданням розширеного набору послуг, та з мінімальними витратами сформувати процедуру надання послуг. Лояльність різних категорій клієнтів забезпечується різними способами, що призводить до необхідності вибіркового підходу до вибору запропонованого набору фінансових продуктів та додаткових послуг для клієнтів. Якісні зміни в переліку завдань, які вирішуються при розвитку карткових проектів, ведуть до появи додаткових вимог до всієї інфраструктури еквайрингу та емісії.
Проекти, що розробляються, повинні бути здатні втілити в життя перспективні бізнес-ідеї банків, що представляють цінність для певних груп клієнтів. Це призводить до необхідності створення набору системних багаторівневих рішень, які умовно називають додатковими бізнес-додатками.
Можна запропонувати таку класифікацію бізнес-додатків.
- Ідентифікація:
- фізичний доступ:
- приміщення з обмеженим доступом
- стадіони,
- приміщення в готелях,
- бази відпочинку,
- автомобільні паркування,
- спортивні центри;
- цифровий захист:
- комп’ютерні термінали,
- програмне забезпечення,
- управління корпоративними фінансами,
- секретні документи,
- права на використання вогнепальної зброї,
- розмежування прав у центрах управління.
- фізичний доступ:
- Зберігання даних:
- персональні дані:
- військовий квиток, офіцерська книжка,
- студентський квиток, залікова книжка,
- загальна медична картка,
- водійські права,
- електронний блокнот,
- записи про дітей;
- інформаційні записи:
- сервісна книжка автомобіля,
- експлуатаційний журнал автомобіля,
- журнал телефонних переговорів,
- набір параметрів для обладнання,
- сервісна книга обладнання,
- Інспекційний журнал.
- персональні дані:
- Фінансові програми:
- передоплачені послуги:
- телефонний зв’язок,
- сезонні проїзні квитки,
- платне телебачення,
- купони на харчування,
- комунальні платежі,
- проїзд платними дорогами;
- фінансові послуги:
- електронні платежі,
- електронні чеки,
- отримання готівки у банкоматах,
- пенсійні виплати,
- електронна торгівля на біржі,
- соціальні виплати та допомоги.
- передоплачені послуги:
Кредитні картки
Кредитна картка дозволяє клієнту при покупці товарів або послуг відстрочити їхню оплату. Кредитна картка пов’язана з відкриттям кредитної лінії у банку.
Банківська кредитна картка перестав бути юридичним свідченням боргу, як вексель чи чек. Це є символом юридичних відносин, що виникають між сторонами, що уклали карткові угоди.
Розглянемо правничий та обов’язки сторін таких угод. Тримач картки:
- має право використовувати картку для оплати товарів та послуг, а також для отримання авансів у готівковій грошовій формі. При видачі картки банк встановлює клієнту два види обмежень:
- загальний кредитний ліміт суми непогашеної заборгованості за рахунком, що діє протягом усього терміну дії картки,
- разовий ліміт на суму однієї покупки – це та сума, сплата якої може бути зроблена без авторизації;
- має право повернути свою заборгованість банку протягом пільгового періоду без сплати відсотків (або зі зниженим відсотком). Пільговий період становить від 15 до 30 днів. На позику, отриману готівкою, пільговий період не поширюється: готівка завжди видається за плату і на строк до 1 місяця;
- має право скористатися продовженим кредитом за межами пільгового періоду, але вже зі сплатою встановлених відсотків, причому цей відсоток вищий, ніж відсоток за звичайним споживчим кредитом. Відсоток може визначати сам фінансовий інститут або може бути встановленим законодавчо (як, наприклад, у деяких штатах США);
- зобов’язаний повертати борг та відсоток у передбачених договором випадках;
- зобов’язаний сповістити банк у разі втрати картки;
- зобов’язаний провадити щомісячний обов’язковий платіж (певний відсоток від суми боргу).
Підприємство торгівлі:
- зобов’язано приймати картку на сплату за товари або послуги;
- зобов’язане проводити авторизацію у передбачених угодою випадках;
- має вилучити картку, якщо є підозра, що пред’явник не є її власником;
- має зберігати конфіденційну інформацію клієнта;
- має право пред’явити до банку чеки для негайної оплати.
Банк:
- має право не видати картку клієнту, а то й влаштовує його кредитна історія. Перед видачею картки клієнт заповнює спеціальну анкету, на основі якої проводиться аналіз кредитоспроможності клієнта. Справа в тому, що кредит за банківською карткою пов’язаний з більшим ступенем кредитного ризику, ніж звичайний споживчий кредит, з наступних причин:
- по-перше, він належить до категорії позичок без забезпечення, гарантією є лише «добре ім’я» власника картки,
- по-друге, ризик за картковою позикою завжди постійний і дорівнює загальному ліміту суми непогашеної заборгованості за рахунком, а ризик за звичайним споживчим кредитом у міру повернення позики зменшується;
- має право брати комісії та відсоток у розмірах, обумовлених у договорі;
- зобов’язаний надсилати клієнту виписку із зазначенням сум та строків погашення боргу, причому законодавчо регулюється проміжок часу між датою висилки виписки та датою настання платежу;
- має право не оплачувати рахунки торгового підприємства, якщо було порушено будь-які умови договору (наприклад, не було проведено авторизацію);
- зобов’язаний оплачувати рахунки торговельного підприємства за покупками, оплаченими картками з відрахуванням комісійного збору (дисконту) – 2-2,5% від суми покупки.
На Заході, перш ніж видати кредитну картку, банк вивчає, наскільки акуратно клієнт погашав кредити у минулому, його фінансове становище, вартість власності, якою він володіє. Крім того, є дуже прості механізми повернення кредиту, наприклад, за рахунок вилучення власності боржника на користь банку.