d9e5a92d

Для защиты продавца используются механизмы безопасности


Для того чтобы дебетование кошелька карты прошло успешно, должны быть выполнены следующие условия:
1. В терминал предварительно загружены черные списки эмитента, таблицы комиссионных эквайрера и таблицы конвертирования валют.
2. Владелец карты правильно ввел ПИН-код дебетования кошелька*(176).
3. Терминал опознал карту как принадлежащую своей платежной системе.
4. Терминал не обнаружил карту в черном списке.
5. Если валюта карты не совпадает с валютой терминала, валюта карты должна быть указана в таблице конвертирования валют терминала.
6. Остаток на карте не меньше чем сумма платежа (с учетом комиссионных эмитента и эквайрера, а также скидок, предоставляемых эмитентом для различных категорий клиентов).
Если все перечисленные условия выполнены, то сумма платежа вычитается из баланса дебетуемого кошелька.

Кредитование в оперативном режиме кошелька карты в системе SmartPay

Платежная операция кредитования в оперативном режиме (онлайн-кредитование) может выполняется на любом терминале (банкомате) системы при условии наличия связи с эмитентом. Безопасность процедуры онлайн-кредитования основывается на том, что секретный ключ кредитования кошелька известен только эмитенту и карте (он записывается на карту в процессе персонализации). В общем виде онлайн-кредитование выполняется по следующей схеме:
1. Владелец карты вводит на клавиатуре терминала номер кошелька, который он хочет пополнить, и сумму запрашиваемого кредита.
2. Терминал проверяет, возможно ли кредитование указанного кошелька на запрошенную сумму (т.е. не превысит ли сумма текущего баланса и запрашиваемого кредита максимальный баланс кошелька).
3. Терминал формирует и отправляет в ЦОТ запрос на кредитование, который включает сумму запрашиваемого кредита, информацию о кредитуемом кошельке и зашифрованные данные о текущем сеансе кредитования.
4. ЦОТ проверяет пришедший запрос по черным спискам и определяет, достаточно ли свободных средств на теневом счете владельца карты. Если запрошенная сумма доступна, ЦОТ подготавливает данные для кредитования кошелька, зашифровывает их и пересылает терминалу*(177).
5. Получив данные для кредитования кошелька, терминал передает их карте, и та выполняет кредитование кошелька.

Кредитование кошельков карты в системе SmartPay по ведомости и запросу

Эти виды кредитования в системе SmartPay применяются в тех случаях, когда оперативная связь терминала кредитования с эмитентом нерациональна или не может быть обеспечена. Примером кредитования по ведомости является выдача зарплаты, которая заказывается заранее и выдается при поступлении денег на картсчета владельцев карт. ЦОТ (эмитент) пересылает ведомость кредитования через эквайрера во все пункты кредитования системы.
Идеология кредитования по ведомости мало чем отличается от кредитования в оперативном режиме, описанного выше. Разница состоит в том, что вместо запроса данных для кредитования от эмитента терминал осуществляет поиск этих данных в ведомости кредитования, полученной от эквайрера. Необходимо отметить, что система не допускает повторное кредитование в случае, когда после формирования ведомости кредитования карта была пополнена иным способом (например, в оперативном режиме).
Кредитование по запросу также предполагает предварительный заказ и последующее выполнение операции кредитования в определенном пункте обслуживания карты. Например, владелец карты может заказать пополнение средств в любом кошельке карты по телефону, указав при этом, в каком пункте он хочет перевести средства на карту.

Кредитование за наличные кошелька карты в системе SmartPay

Выполнение платежной операции кредитования за наличные в системе SmartPay практически не отличается от кредитования в оперативном режиме. Разница состоит в том, что при кредитовании за наличные оперативная связь с эмитентом не обязательна, поскольку данные для кредитования кошелька карты подготавливаются не эмитентом, а самим терминалом, на котором выполняется кредитование (банковском терминале).
Это подразумевает, что в терминале кредитования за наличные должны храниться ключи кредитования, что требует дополнительных технологических и организационных мер по обеспечению безопасности, и поэтому выполняется в отделениях банка-эмитента ответственными сотрудниками.


Один из вариантов технологических мер по обеспечению безопасности кредитования за наличные в системе SmartPay заключается в использовании специальной карты оператора кредитования за наличные и специальных алгоритмов кредитования. Использование технологических мер не отменяет обеспечения организационно-административных мер повышенной безопасности в пунктах кредитования за наличные.

Концепция безопасности в системе SmartPay

В системе SmartPay обеспечена безопасность для всех участников платежных операций. В основу концепции безопасности системы SmartPay заложена защита субъектов системы и средств, задействованных в проведении платежей:
защита банка-эмитента;
защита продавца;
защита владельца карты;
защита данных при передаче.

Защита банка-эмитента в системе SmartPay

Для защиты банка-эмитента реализованы следующие механизмы обеспечения безопасности:
1. Защита карт от подделки:
Раздельная доставка лота (партии) карт и собственно лотовой карты, на которой записан код персонализации этого лота. Такая процедура препятствует несанкционированному использованию карт третьими лицами.
Выработка уникальных ключей для каждой карты. В основе этого механизма лежит алгоритм образования ключей карты из системообразующих ключей с использованием криптографической контрольной суммы уникальных данных карты. Это значит, что для каждой серии (эмиссии) карт генерируются новые системообразующие ключи.

Таким образом обеспечивается защита всей системы при компрометации ключей как одной карты, так и системообразующих ключей для серии карт. При таком подходе в системе отсутствует единый главный ключ, компрометация которого приводит к компрометации всей системы.
2. Защита транзакций.
Для защиты платежных транзакций от подделки в системе предусмотрены механизмы выработки подписей транзакций на ключах, не известных в пункте дебетования. Такие подписи вырабатываются самой платежной картой на основе ключей эмитента, записанных на карту при персонализации. Таких подписей в транзакции содержится несколько, что позволяет различным участникам системы самостоятельно выполнить проверку достоверности транзакции.
3. Защита ключевой информации.
Все ключи в системе SmartPay хранятся только в зашифрованном виде. В открытом виде ключи появляются только внутри узла шифрования и недоступны для считывания. Возможна замена старых ключей на ключи следующих версий.

Одновременно в системе может существовать достаточно большое количество ключей различных версий.
4. Разграничение полномочий операторов.
В системе предусмотрено разграничение доступа операторов как к информации, хранящейся в системе, так и к выполняемым операциям. Все операции в системе протоколируются в специальном журнале, который доступен для анализа только администратору системы.

Защита продавца в системе SmartPay

Для защиты продавца используются следующие механизмы безопасности:
1. Авторизация платежных карт.
Каждый терминал при приеме платежной карты выполняет ее аутентификацию (опознание). В основе этого процесса лежит знание терминалом ключа аутентификации, который передает продавцу эмитент. Этот же ключ записан и на платежной карте.
2. Проверка по черным спискам.
Перед проведением любой платежной операции всегда осуществляется проверка карты по черному списку.
3. Разграничение полномочий операторов.
Для каждого терминала можно разграничить полномочия по операциям на терминале. Например, можно выделить ответственных за проведение платежей, за организацию связи терминала с эквайрером и за настройку платежного терминала, что также повышает уровень безопасности системы за счет принципа разделения полномочий.
4. Блокировка терминала.
Если продавец оставляет рабочее место, он может на время своего отсутствия заблокировать терминал, чтобы им не могли воспользоваться посторонние лица. Следует отметить, что транзакция всегда содержит номер оператора, выполнившего платежную операцию.

Защита владельца карты

Для защиты владельца карты используется механизм ПИН-кодов, который препятствует несанкционированному использованию платежной карты посторонними лицами. В системе ПИН-код назначается самим владельцем карты и известен только ему. Владелец имеет возможность сменить ПИН-код без участия третьих лиц.

ПИН-код всегда предъявляется карте в зашифрованном виде. Возможность подбора ПИН-кода ограничена числом допустимых неверных предъявлений: после очередного неправильного набора ПИН-кода карта блокируется и может быть разблокирована только эмитентом.

Защита данных при передаче

Для защиты данных при передаче по каналам используется специальный программно-аппаратный комплекс, в рамках которого используется процедура аутентификации абонентов на основе алгоритма ГОСТ 28147-89 и полное шифрование передаваемой информации на сеансовых ключах.

Интересные записи



Содержание раздела