Пластиковые карты

Изменение имени имело огромное значение, не только потому, что оно стерло последние ассоциации с банком-прародителем, но также потому, что это событие открыло дорогу широкому распространению карт Visa в США и за рубежом.

В то время как Bank of America преуспевал в своей национальной программе карт, конкурирующие банковские группы решили не оставаться в стороне, и в 1966 году 14 нью-йоркских банков учредили организацию Interbank Card, Inc., 4 калифорнийских банка - организацию Western States Bankcard Association (в качестве имени для своей карты они выбрали Master Charge). После серии объединений на базе этих двух организаций возникло то, что во всем мире хорошо известно под именем MasterCard.

Обе организации с момента учреждения приняли уставные решения не принимать в свои ряды банки-члены организации-конкурента, и потребовалось 10 лет (с 1966 по 1976) и несколько судебных процессов, чтобы двойное членство было разрешено. Дальнейшее сотрудничество Visa и MasterCard в большей степени было вызвано их общими интересами в борьбе с небанковскими картами конкурентов, в первую очередь proprietary картой Discover, выпускаемой American Express и Sears. В 1984 и 1985 годах представители обеих организаций согласовали принципы свободного электронного обмена транзакциями и пришли к согласованию некоторых технических стандартов. Все это позволило Visa и MasterCard начать выпуск общего бюллетеня для торговых учреждений, содержащего список карт, запрещенных к приему (так называемый "hot list" или "stop list", или "warning list"). Основным аргументом для внедрения "пластиковых денег" являлось удобство пользователя. С появлением электронных средств регистрации и сбора информации появилась возможность заносить и считывать информацию на карту при помощи магнитного кодирования сигнала. Первой организацией, применившей этот способ на пластиковых картах была Международная ассоциация по авиаперевозкам (IATA, Interactional Air Transportation Association), которая осуществляла контроль за багажом при помощи информации, записанной на магнитной дорожке пластиковой карты. Впоследствии принятая IATA система кодирования стала стандартной. На современных пластиковых картах это - первая дорожка, имеющая длину 79 символов (210 бит/дюйм, 7 бит на знак) и содержащая алфавитно-цифровую информацию. Впоследствии подобный принцип использовали на банковских картах для кодирования номера карты, что позволило внедрять электронные платежи. Разработка этой системы кодирования принадлежит Американской банковской ассоциации (American Bankers' Association).

Эта система также вошла в стандарт. На современных пластиковых картах появилась вторая дорожка, имеющая 40 символов (75 бит/дюйм, 5 бит на знак).

Впоследствии появилась третья дорожка, на которой чаще всего записывается PIN-код (Personal Identification Number - персональный идентификационный номер), а иногда состояние счета клиента. Разработчиком этой дорожки была компания Thrift Industry. Информация на этой дорожке может перезаписываться и изменяться в процессе использования. На дорожку может быть записано 197 цифровых знаков (210 бит/дюйм, 5 бит на знак).

Начало применения пластиковых карт с магнитной полосой датируется 1969 годом. В комбинации с эмбоссированием такие карты широко используются до сих пор. На таких карта? информация на первых двух дорожках предназначается только для считывания. Она записывается при выдаче карты и в процессе использования не изменяется.

Следующим этапом в развитии пластиковых карт история обязана французскому журналисту Лорану Морену, который в 1974 году предложил использовать карты с электронной микросхемой. Он запатентовал эту идею и основал компанию Innovatron для производства таких карт. На сегодняшний день пластиковые карты с "имплантированной" микросхемой (Smart-card) - наиболее динамично развивающийся тип пластиковых карт.

Магнитные карты уступают первенство смарт-картам по двум причинам:

1. Магнитные карты легко подделать. С помощью дешевого устройства в течение нескольких минут можно скопировать первую и вторую дорожки с магнитной дорожки кредитной карты.

Исследования, проведенные в 1992 году в США, показали, что потери, связанные с магнитными картами составили 3,8 млрд. долларов, в том числе: 2,6 млрд. - из-за должников, то есть банкротов и людей, не оплачивающих счета; 864 млн. - из-за мошенничества с картами - использование краденых, утерянных и подделанных карт, и 310 млн. из-за мошенничества продавцов.

2. Поскольку магнитная дорожка карты не может содержать более 100 байт информации, это сильно ограничивает их применение в мире современного бизнеса. Почти все магнитные карты сегодня имеют узкую целевую направленность, что приводит к необходимости для клиентов иметь много карт разного типа.

Смарт-карты позволяют решить все эти проблемы. Поэтому, после решения в конце 80-х годов ряда технологических проблем, смарт-карты стали активно вытеснять магнитные карты. Европа, где только в 1993 году было выпущено более 350 млн. смарт-карт и карт с памятью, занимает ведущее место на этом пути. Большинство экспертов убеждено, что через 10 лет или раньше карты с магнитной полосой станут достоянием истории.

Смарт-карты - путь в будущее. Основной фактор, сдерживающий быстрый переход к смарт-картам в зарубежных странах - развитая инфраструктура магнитных карт. Это особенно характерно для США.

Вследствие существования огромной финансовой инфраструктуры, стоимость замены системы превышает 1 млрд. долларов. Однако, при всем при том, сама старая система теряет ежегодно от недобросовестного использования магнитных карт около 1 млрд. долларов. Россия не имеет подобной инфраструктуры, поэтому здесь открывается уникальная возможность внедрения в практику наиболее перспективных систем, нежели изживающей себя системы безналичных платежей на базе кредитных магнитных карт. Можно, конечно, продолжать жить без каких-либо изменений, но это только приведет к увеличению отставания в области банковских технологий, а следовательно, и к увеличению проблем в будущем.

Структура пластиковых систем

Какие бывают карты ?

С функциональной точки зрения карты выполняют роль платежного средства и средства получения кредита, поэтому по функциональному признаку подразделяются на дебетные, кредитные и смешанные (расчетные).

Дебетная карта обуславливает возможность платежа наличием средств на текущем счете клиента. При такой форме платежей банк исходит из остатка денег на счете.

Дебетная карта не обязательно должна быть банковской. Она может выпускаться и крупной коммерческой или производственной фирмой. При этом возможны следующие типы карт: с нулевым остатком, с фиксированным депозитом, с овердрафтом, с начислением процентов на остаток.

Кредитная карта предполагает выдачу клиенту ссуды с возобновляемым (автоматически) лимитом. Как и при всякой ссуде получение карты связано с заключением договора между банком, выдающим карту, и клиентом. В договоре оговаривают процент, ежегодная палата за пользование картой, период льготного пользования кредитом, когда проценты не взимаются, и некоторые другие условия.

Кредитная карта имеет банковскую гарантию и подразумевает наличие стабильных доходов у клиента, которому предоставляется возобновляемый (револьверный) кредит.

Разновидностью кредитной карты является кредитно-сберегательная карта. Она выдается под денежный залог. Возврат залога производится двумя путями - в виде торговых скидок и по истечении срока залога, полученный владельцем кредит должен быть возвращен примерной в месячный срок. Банк сам вправе определять плату за годовое обслуживание, проценты за выдаваемый кредит и другие параметры системы. Клиент же вправе выбрать один или несколько наиболее подходящих типов карт, поэтому кредитная карта и ее разновидности являются достаточно гибким финансовым инструментом как для владельца, так и для банка.

Что касается денежного залога, то он на длительный срок передается в трастовое управление финансовой компании, дружественной с банком. Финансовая компания в свою очередь вкладывает средства в высоконадежные ценные бумаги и проекты.

Смешанная карта представляет собой нечто среднее между дебетной и кредитной картами. Она допускает овердрафт текущего счета (величина которого, естественно оговаривается заранее), т.е. возможность автоматического кредитования клиента в определенных границах. При этом можно использовать для платежа средств больше, чем имеется на текущем счете. В последнем случае такая смешанная карта начинает играть роль кредитной.

Условия развития новой платежной системы

Стратегия банка в области развития системы пластиковых карт заключается в ответе на главный вопрос: каким образом и на чем зарабатывать деньги, работая с картами.

Самые простые способы зарабатывания денег - отчисления от операций с пластиковыми картами и использование привлеченных средств. Однако говорить о прибыльности операций по банковским картам только за счет процентных отчислений от сделок можно лишь при достаточно развитой инфраструктуре и действительно массовом количестве карт в обращении, так как суммарная величина этого процента в современных платежных системах составляет на всех участников вместе взятых всего 4-4,5% от суммы сделок. Учитывая розничный характер операций, т.е. заведомо незначительную величину этой суммы, легко рассчитать, что в обращении должны находиться как минимум десятки тысяч карт, по которым ежедневно должны совершаться операции.

Опыт США с их развитой инфраструктурой карточных платежных систем и их юридическим обеспечением в течение почти полутора десятков лет говорит о том, что поддержка операций по банковским картам была убыточной для банков.

Для нашей страны, при известных проблемах каналов связи, при высокой стоимости импортных технических средств инфраструктуры платежных систем, окупаемость новой платежной системы при использовании только отчислений от операций весьма проблематична. Поэтому российские банки, внедряя "пластиковые деньги", как правило устанавливают высокие величины депозита или неснижаемого остатка на карточном счете, обеспечивая окупаемость за счет использования привлеченных средств (и одновременно, снижая риски потерь от неплатежеспособности или недобросовестности клиента, к сожалению типичные для нашей жизни).

Однако значительные суммы депозита или несминаемого остатка по карточному счету, естественно, ограничивают круг потенциальных клиентов платежной системы, причем тем сильнее, чем больше требуемая сумма. В самом деле, сколько жителей современной России могут депонировать 1000$, чтобы получить карту? Вряд ли больше одного-двух процентов от общего количества семей, проживающих на территории страны. Получается замкнутый круг: высокие затраты на получение карты ограничивают количество клиентов, что позволяет снизить величину депозита или гарантированного остатка.

Платежные системы выходят из этого круга, снижая минимальный размер затрат клиента на получение карты до приемлемого уровня. Совершенно ясно, что при этом банки идут на убыточность операций, рассчитывая взять свое в дальнейшем, после того, как платежная система приобретет массовый характер. Основная цель - захватить как можно больший сегмент рынка, развить инфраструктуру и подготовить почву для получения прибылей впоследствии.

По мере распространения карт развивается инфраструктура платежной системы. Ее прибыльность зависит как от количества карт, находящихся у клиентов, так и от количества точек, в которых карты обрабатываются (принимаются). Причем, первое зависит от второго. Кто и зачем будет приобретать карты если их негде "отоварить"?

Создание рынка банковских карт начинается с организации сети пунктов, в которых производятся операции с картами данной платежной системы, т.е. с того, что американцы называют acquiring policy. Понятно, что подобные действия могут позволить себе только очень крупные банки, так как они (действия сопряжены с очень большими затратами в настоящем и с "радужными" перспективами получения прибыли в неопределенном будущем.

Решив внедрить "пластиковые деньги", банк может присоединиться к одной из существующих платежных систем, а можем сделать ставку на создание собственной. Выбор того или иного решения зависит от многих факторов: специфики региона, социального и профессионального состава клиентов банка, соображений престижа, индивидуальных предпочтений руководителей банка и т.п.

Структура платежных систем

Участие в платежной системе возможно в различных ролях: банк может стать одним из эмитентов пластиковых карт, войти в число банков, обслуживающих получателей карт (магазины, рестораны, и т.п.), стать одним из учредителей процессинговой компании в центре или в своем регионе и т.д. Разумеется возможны и различные комбинации этого участия. Каждая из них будет определять возможные источники дохода банка. Участниками платежной системы являются: - банки-эмитенты - открывают своим клиентам карточные счета (bank-issuer);

- банки-получатели - обслуживают предприятия торговли, сервиса, общественного питания, которые принимают карты данной платежной системы (bank-acquirer);

- региональные процессинговые центры - обрабатывают транзакции по картам или совершают их авторизацию в своих регионах;

- главный процессинговый центр - обеспечивает взаимодействие между региональными центрами;

- клиринговый банк - обеспечивает взаиморасчеты и платежи между всеми банками, участвующими в платежной системе;

- пункты приема карт - магазины, учреждения сферы услуг, банкоматы и т.п.;

- клиенты платежной системы - держатели карт. Клиенты, посещая магазины, рестораны, мастерские, останавливаясь в гостиницах, расплачиваясь за бензин или получая наличные деньги в банкоматах, совершают сделки, в которых их карточные счета дебетуются. При предъявлении карты клиентом предприятие обслуживания тем или иным способом (голосом по телефону, электронным способом через модем и процессинговый центр или путем электронного взаимодействия с микрокомпьютером смарт-карты) запрашивают авторизацию платежной системы на проведение затребованной операции. После получения авторизации операция совершается, и клиент получает товар или услугу. Подтверждением факта операции в традиционных карточных платежных системах служит слип (slip - полоска бумаги, дословно), т.е. квитанция, на которой кассовый аппарат отпечатал сумму сделки, оттиснул отпечаток эмбоссированных на карточке надписей, а клиент поставил свою подпись. Слип существует в двух (трех) экземплярах, один из которых остается у клиента, а другой торговое предприятие передает в банк-получатель. На основании слипа (или на основании факта авторизации сделки, к примеру, в системе STB-Card) этот банк зачисляет на расчетный счет своего клиента, т.е. предприятия обслуживания, соответствующую сумму, удерживая оговоренный процент комиссионных.

Далее банк-получатель консолидирует суммы дебетных сделок за оговоренный в системе период времени по каждому из банков-эмитентов и направляет итоговые документы в клиринговый банк. Этот банк осуществляет взаимные расчеты, дебету соответствующие корреспондентские счета банков-эмитентов и кредитуя счет банков-получателей. При этом банкам-эмитента одновременно передается информация о том, какой клиент и на какую сумму воспользовался своей карточкой (способы и форма передачи этой информации могут быть самыми разными принципиально лишь одно: хранится ли информация о фактических остатках по карточным счетам клиентов где-либо в сие теме помимо банка-эмитента). На основании этих данных банк эмитент дебетует карточный счет клиента. Таким образом за мыкается вся цепочка.

В реальной платежной системе вполне могут существовать отдельные элементы из перечисленных. Минимально работоспособная система может иметь в своем составе только один банк обслуживающий как клиентов, так и принимающие карты пред приятия, и имеющий в своем составе некое процессинговое подразделение (вырожденная система).

В максимальном варианте (развитая система) все составляющие платежной системы представлены отдельными, независимыми юридическими лицами. В развитой системе возможно существование вырожденных подсистем, которые возникают, когда банк-эмитент обслуживает часть предприятий, принимающие карты этой системы.

Один из ключевых вопросов при создании платежной сие темы - это вопрос о распределении процента отчислений от суммы сделки между ее участниками. В современных развитых системах этот вопрос решается таким образом, что на долю одного участника цепочки приходится от 0,5 до 1,5% от суммы сделки Для вырожденных системе эта сумма может достигать 3,5...4%.

Из вышесказанного ясно, что самая выгодная позиция среди банков-участников платежной системы - у клирингового банка. Конечно, он получает небольшой процент от всех отчислений (обычно 0,5...1,0% от суммы сделки), но зато от всех сделок К тому же его затраты меньше, чем у других участников: в клиринге не десятки тысяч субъектов (клиентов системы), а от силы несколько десятков (банки), осуществление операций в реальном времени обычно не требуется, и поэтому как от аппаратного, так и от программного обеспечения для проведения клиринга не требуется экстремально высоких показателей, а значит, и цены.

Кроме того, доходы клирингового банка растут вместе с ростом оборота во всей платежной системе, в то время как его расходы на эксплуатацию и модернизацию средств обеспечения клиринга растут гораздо медленнее, чем расходы на те же цели у остальных участников системы.

Проблемы внедрения "пластиковых денег" в России

Прежде всего необходимо решить, в какую систему (или системы) банк может вступить, или же он намеревается создать собственную локальную платежную систему. Принятое решение определит большинство дальнейших действий, не говоря о том, что от него будут зависеть и многие экономические показатели. В принципе, никто не запрещает отечественным банкам присоединиться к таким мировым лидерам как Visa или MasterCard. Некоторые банки (например Инкомбанк и Менатеп) так и поступили. Проблема заключается только в том, что для членства в этих системах необходимо выполнить ряд очень жестких требований как к техническому, так и к финансовому состоянию банка. Кроме того, выполнение нормативов необходимо регулярно подтверждать (каждые шесть месяцев).

Увы, не все (а точнее, немногие) российские банки способны сейчас выполнить эти нормативы. Проще присоединиться к одной из имеющихся российских систем: UnionCard, STB Card, Most Card и т.д.

Естественно, что при этом банк ограничен в выборе технологий и, частично, организационных решений, которые приняты в выбранной платежной системе.

Создание собственной платежной системы банка - решение весьма амбициозное, и под силу только самым крупным банкам. Кроме того, на этапе принятия решений не очень ясно, насколько перспективна замкнутая платежная система даже самого крупного и мощного банка без участия в ней других эмитентов. Вместе с тем, вполне жизнеспособными, и могут быть весьма прибыльными, замкнутые платежные системы, построенные на основе другого, не банковского образования - административно территориального (область, город, район) и даже хозяйственно производственного или корпоративного (производственно! объединение, предприятие).

Успех замкнутых и корпоративных платежных систем в России обусловлен некоторыми специфическими явлениями Одно из этих явлений - проблема наличного денежного оборота. Недостаточное количество наличных в обороте, усугубляв мое выведением большой их доли из доступа частных лиц юридических, которые таким образом пытаются ускорить расчеты (и уйти при этом от налогообложения). Пик этих явлений уже прошел, но само явление сохранилось и по сей день.

Чтобы снять социальные напряжения, местные власти ищу: конструктивные и долгосрочные решения, одно из которых региональная система безналичных платежей.

Привлекательна такая система и для банка: она позволяв" привлечь значительные кредитные ресурсы. Это аспект привлекательности не уменьшается со снижением инфляции и острота кризиса наличности, так как параллельно падает доступность денежных ресурсов.

Что касается замкнутых платежных систем, ограниченны) по хозяйственно-производственному признаку, то причины появления и распространения несколько иные. Такие системы можно разделить на два типа: замкнутые системы оплаты продукта (или услуг) и замкнутые системы, охватывающие предприятие (организацию) или группу предприятий, технологически связанных друг с другом (корпоративные системы).

Появлению первых способствуют удобства использования безналичной формы расчетов, в особенности в форме карт с "предоплатой". Хлопотность и небезопасность инкассации, по теории недобросовестности персонала просто подталкивают владельцев сети бензозаправочных станций к безналичным рас четам с предоплатой. Подобные системы уже создаются в Рос сии. Необязательность и "забывчивость" абонентов, надо пола гать, будут стимулировать владельцев телефонных сетей и кабельного телевидения вводить карточную систему оплаты, как это имеет место на Западе.

Второй тип производственных замкнутых платежных сие теме возникает тем, где есть крупные предприятия, размещенные на обширной территории, на которой для удобства служащих также размещены магазины и предприятия обслуживания. Удобство данной платежной системы в этом случае обусловлено возможностью удержать начисленную заработную плату на расчетном счете организации, перечисляя лишь фактически расходуемые суммы предприятиям торговли и службы быта. Если же все субъекты взаиморасчетов являются клиентами одного банка, то все деньги будут обращаться в этом банке, и они могут стать эффективным источником кредитных ресурсов.

Конечно, корпоративная платежная система будет представлять интерес для ее участников лишь в том случае, если в ней будет участвовать достаточно большое количество людей, а предприятие будет иметь солидный месячный фонд заработной платы. Отечественный (да и не только отечественный) опыт внедрения автоматизированных информационных систем показывает, что на первом этапе это процесс всегда наталкивается на ожесточенной сопротивление практически всех "действующих" лиц. Это не удивительно, так как, пока не завершено формирование инфраструктуры, создание нормативной базы и отладка технологии, наличие новой системы не только не облегчает жизнь ее участникам, но создает для них дополнительны трудности, заставляя поддерживать одновременно как новую, так и старую технологию.

Применительно к карточным системам это означает, что до тех пор пока количество карт в обращении не превысит некоторую пороговую величину, учреждения, которые их принимают, не смогут почувствовать разницу. Они не избавятся от инкассации наличных денег, напротив, им придется кроме нее заниматься инкассацией слипов.

Кассиры будут вынуждены периодически отвлекаться от привычных действий, чтобы перейти к специальному устройству и оформить покупку по карте. Если такие покупки будут редкими, то им каждый раз придется вспоминать, как, собственно, это производится. В итоге - ошибки и постоянные "разборки" с клиентами.

Все это не способствует популярности новой технологии у тех, кто вынужден в ней участвовать. Отсюда саботаж, попытки сорвать внедрение, интриги и лоббирование возврата к старой системе. В некоторых случаях положение усугубляется тем, что появление карт как средства расчетов перекрывает привычные каналы извлечения криминальных доходов. Примером могут служить системы безналичных расчетов за бензин, которые позволяют контролировать и учитывать все движение денежных и материальных ресурсов (устройство выдачи бензина на АЭС в таких системах работает под управлением автоматики и наливает ровно столько горючего, сколько оплачено по карте).

Помимо психологических проблем, внедрение карточной платежной системы наталкивается на юридические препятствия Сегодняшнее российское законодательство, строго говоря, ж предусматривает возможности снятия денежных средств с расчетного счета клиента, иначе как по подписанному им документу установленного образца. Это заставляет даже в платежных системах со смарт-картами распечатывать квитанции в двух экземплярах и требовать с клиента подписи на обоих. А что делать при операциях с банкоматами?

Усложняют ситуацию и технические трудности. Главная из них убогое состояние каналов связи на большей части территории нашей страны. Если продавец магазина вынужден будет десяток раз "накручивать" диск телефона, чтобы дозвониться до центра авторизации, то, скорее всего, он этого делать вообще не будет, а владелец магазина откажется от подобной платежной системы.

Автоматизированная система авторизации, в которой магнитная дорожка считывается специальным устройством - POS (Point of Sales - точка продаж), в последующем карточный терминал, и передается в процессинговый центр по телефонному каналу, к сожалению, не выход из положения, так как нет гарантии того, что в процессинговый центр карточный терминал "дозвонится" быстрее, чем продавец. Будет ли, вообще, клиент ждать! авторизации 20-30 минут и не возникнут ли ошибки в процессе передачи информации?

В определенном смысле решением данной проблемы является использование смарт-карт, причем проблема будет решаться тем эффективнее, чем больше информации будет хранит! смарт-карта, т.е., чем более "интеллектуальнее" она будет.

Подводя итоги следует сказать, что для банка, который решил участвовать в "карточном бизнесе", прежде всего нужно решить, на чем он собирается делать деньги и выбрать платежную систему. Полномасштабное участие в глобальных системах - дорогое удовольствие и под силу, как уже отмечалось, только мощным банкам.

В отечественных условиях относительно быструю прибыль от "карточного бизнеса" банк может получить, если он окажется в роли финансового центра замкнутой территориальной или корпоративной платежной системы. При этом успех дела зависит не столько от банка сколько от нефинансовых партнеров: местных властей или руководителей предприятий.

Технологии платежных систем, основанные на смарт-картах

Как показывает практика эффективность платежной системы зависит не только от правильно выбранных технических средств. В первую очередь она зависит от тщательно отлаженной технологии, от грамотной финансовой политики эмитента, от других факторов, которые могут свести все преимущества того или иного типа карт к нулю.

Сказанное относится и к наиболее перспективному платежному средству - смарт-карте.

Смарт-карта - это пластиковая карта со встроенной в нее микросхемой. Степень "интеллектуальности" микросхемы может быть самой разной - от простейшего контроллера чтения/ записи данных в электронную память карты, до микропроцессора, имеющего развитую систему команд, встроенную файловую систему и т.п.

Главное отличие смарт-карт от других видов пластиковых карт (с магнитной дорожкой, со штриховым кодом) - это именно ее "интеллектуальность". При платежах по магнитным картам применяется технология on-line. Разрешение на платеж дает, по существу, компьютер банка или процессингового центра при связи с точкой платежа. Главная проблема, которая возникает при этом, - обеспечение надежной, защищенной и недорогой связи (которую в наших условиях трудно решить).

В случае смарт-карт применяется иная технология - off-line, при которой разрешение на платеж дает сама карта (точнее, встроенная в нее микросхема) при "общении" с торговым терминалом непосредственно в торговой точке.

Накладные расходы по обеспечению платежей чрезвычайно малы, проблемы связи не играют особой роли. Вместо них на первый план выходит проблема безопасности - смарт-карта должна быть достаточно "интеллектуальной", чтобы самостоятельно принять решение о проведении платежа и при этом обладать достаточной защитой от несанкционированного использования.

В связи с этим первый вопрос, который возникает при выборе типа смарт-карты - какие из них обладают максимальной защитой от мошенников. Второй вопрос связан с проблемой реализации двух основных финансовых операций по карте - дебетование и кредитование счета в ее электронной памяти. Большинство из известных в настоящее время смарт-карт достаточно легко обеспечивают эти операции. И здесь вновь возникает проблема, связанная с возможностью несанкционированного использования. Надежно ли защищены эти операции для того, чтобы кроме законных владельцев, их не могли провести другие лица, пусть даже и не с преступными целями.

К сожалению публикаций, которые могли бы четко ответить на два этих вопроса, крайне мало. Рассмотрим в качестве примера рекомендации французской фирмы "Gemplus Card International", на долю которой приходится почти одна треть, выпускаемых в мире смарт-карт.

В стандартной технологии безналичных расчетов за товары и услуги с помощью пластиковых карт действуют три субъекта. Это банк-эмитент, его клиент и предприятие торговли или сервиса. Банк выдает клиенту карту, с которой связана определенная сумма. Эту сумму (либо за счет кредита банка, либо за счет собственных вкладов клиента) держатель карты может потратить в магазине. Операция записи такой суммы в память карты называется кредитованием карты.

Очевидно, кредитует карты только банк. Обратная операция - дебетование карты - означает списывание со счета в памяти карты. Дебетование происходит при проведении платежа по карте, к примеру, в магазине. Таким образом, дебитор карты -предприятие торговли или сервиса (если клиент получает наличные по карте, то дебитор карты банк).

Проведение платежей состоит в том, что при покупке по карте магазин записывает за клиентом долг в размере суммы платежа. А банк, получив от магазина, соответствующий документ, списывает со счета клиента эту сумму в счет магазина. Так, несколько схематично, описывается финансовая транзакция по карте.

Выше отмечалось, что существо проблемы в способе проведения платежа (on-line или off-line) состоит в том, насколько защищены платежные операции для всех трех субъектов платежной системы. Обработка транзакций тоже имеет свои проблемы, но они уже не зависят от типа смарт-карты.

Смарт-карта является идеальным средством платежа, поскольку обладает функциями "электронного кошелька". Последний хранит в своей памяти сумму денежных средств, которыми клиент банка может расплатиться за покупку. "Электронный кошелек" удобен клиенту, поскольку последний легко контролирует свои активы по карте и, при необходимости, может их пополнить, кредитуя карту в банке.

Память "электронного кошелька" защищена PIN -кодом ( русская аббревиатура - ПИН-код), который клиент должен набрать на клавиатуре платежного терминала при проведении любой операции по карте. Таким образом, клиент может не опасаться использования смарт-карты без его санкции (если, разумеется, он хранит свой ПИН-код в тайне от других).

Не всякая смарт-карта может быть "электронным кошельком". Для того, чтобы выделить нужные категории смарт-карт, рассмотрим их типологию. В зависимости от внутреннего устройства и выполняемых функций смарт-карты можно разделить на три типа (по функциональному признаку):

- карты счетчики;

- карты с памятью;

- микропроцессорные карты.

Практически любую из перечисленных карт можно использовать в качестве платежной. Однако лишь немногие из них будут удовлетворять всем требованиям, которым должна удовлетворять поистине массовая платежная смарт-карта: невысокой стоимостью, возможностью проводить любые (не только специфичные) платежи, хорошей защищенностью и необходимым уровнем "интеллекта" для обеспечения технологии off-line.

Технические средства

Карты-счетчики

Данный тип карт применяется для такого типа расчетов, когда требуется вычитание фиксированной суммы за каждую платежную операцию. Такие карты еще называются картами с предварительно оплаченной суммой. Примером таких расчетов может быть плата за телефонный разговор. Обычно в телефонах-автоматах каждая единица времени разговора имеет фиксированную цену, ее абонент оплачивает монетками или специальными жетонами, которые подсчитывает соответствующее устройство телефона. При применении карт минимальной сумме платежа ставится в соответствие один бит памяти. В процессе разговора устанавливается связь между телефоном и картой, и за каждую единицу времени "пережигается" некоторое количество битов. Таким образом, карта заменяет монеты или жетоны.

Аналогичным образом карты-счетчики применяются при подписке на платное телевидение, при оплате за проезд, автостоянку и т.п. Первоначально использовались карты с однократно программируемой памятью (ППЗУ).

После полного использования карты ее приходилось выбрасывать. Современные карты такого типа позволяют после полного использования "восстанавливать" содержимое счетчика. Восстановление содержимого может быть выполнено только при знании определенного кода, разрешающего это действие. Помимо этого, карты содержат область, в которую записываются идентификационные данные. Эти данные не могут быть изменены впоследствии. Карты, позволяющие перезаписывать информацию, относятся к типу карт с энергонезависимой перепрограммируемой памятью.

Карты с памятью

Название типа весьма условно -- строго говоря, все смарт-карты имеют память. Этот тип карт выделен как промежуточный при переходе от карт-счетчиков к микропроцессорным картам. Обычно карты такого промежуточного типа используются для хранения информации. Существуют два подтипа подобных карт: с незащищенной и с защищенной памятью. Карты второго подтипа отличаются от карт первого более высоким "интеллектом", направленным на предотвращение несанкционированного доступа к данным на карте. Однако той "интеллектуальности", которая характерна для карт с микропроцессорами, карты с защищенной памятью не имеют. В картах с незащищенной памятью нет ограничений по чтению или записи данных. Иногда их называют картами с полнодоступной памятью; работа с ними (с точки зрения логической структуры данных) напоминает работу с бинарным файлом. Мы можем произвольно структурировать карту на логическом уровне, рассматривая ее память как набор байтов, который можно скопировать в оперативную память или обновить специальными командами.

Карты с незащищенной памятью использовать в качестве платежных крайне опасно. Достаточно легально приобрести такую карту, скопировать ее память на диск, а дальше после каждой покупки восстанавливать ее память копированием начального состояния данных с диска, причем ничуть не интересуясь тем, какая информация хранится на карте (т.е. шифрование данных в памяти карты от мошенничества подобного рода не спасает). Разумеется, такую операцию может проделать лишь квалифицированный программист, но практика показывает, что в России достаточно много грамотных людей, способных на такое занятие чисто из хакерских побуждений.

В картах с защищенной памятью используется специальный механизм для разрешения чтения/записи или стирания информации. Чтобы провести эти операции, надо предъявить карте специальный секретный код (а иногда и не один). Предъявление кода означает установление с ней связи и передачу кода "внутрь" карты -- сравнение кода с ключом защиты чтения/записи (стирания) данных проведет сама карта и "сообщит" об этом устройству чтения/записи смарт-карт. Чтение записанных в память карты ключей защиты или копирование памяти карты невозможно. В то же время, зная секретный код (коды), можно прочитать или записать данные, организованные наиболее приемлемым для платежной системы логическим образом. Таким образом, карты с защищенной памятью годятся для универсальных платежных применений, хорошо защищены и при этом недороги, их цена составляет не более 4 долларов для тиражей выше 5 тысяч.

Как правило, карты с защищенной памятью содержат область, в которую записываются идентификационные данные. Эти данные не могут быть изменены впоследствии, что очень важно для обеспечения невозможности подлога карты. С этой целью идентификационные данные на карте "прожигаются".

Необходимо также, чтобы на платежной карте было по меньшей мере две защищенные области. Остановимся на этом важно моменте подробнее.

Выше было сказано, что в технологии безналичных расчетов по картам участвуют, в общем случае, три юридически независимы лица: клиент, банк и магазин. Банк вносит деньги на карту (кредитуя ее), магазин снимает деньги с карты (дебетует ее), и все эти операции должны делаться с санкции клиента. Таким образом, доступ данным на карте и операции над ними надо разграничивать. Это достигается разбиением памяти карты на две защищенные разными ключами области -- дебетную и кредитную. Каждый участник операции имеет свой секретный ключ. У клиента это ПИН -- персональный идентификационный номер; правильное его предъявление открывает доступ к карте (по чтению данных), однако не должно менять информацию, которой распоряжается кредитор карты (банк) или ее дебитор (магазин). Ключ записи информации в кредитную область карты имеется только у банка; ключ записи информации в дебетную область -- у магазина. Только при предъявлении сразу двух ключей (ПИНа клиента и ключа банка при кредитовании, ПИН-кода клиента и ключа магазина при дебетовании) можно провести соответствующую финансовую операцию -- внести деньги либо списать сумму покупки с карты.

Если в качестве платежной используются карты с одной защищенной областью памяти, и банк, и магазин будут работать с одной и той же областью, применяя одинаковые ключи защиты, Если банк, как эмитент карты, может ее дебетовать (например, е банкоматах), то магазин права кредитовать карту не имеет. Однако такая возможность ему дана -- поскольку в силу необходимости дебетования карты при покупках он знает ключ стирания защищенной зоны. То обстоятельство, что и кредитор карты, и ее дебитор (в общем случае -- разные лица) пользуются одним ключом, нарушает сразу несколько основных принципов по защите информации (в частности, принципы разделения полномочий и минимальных полномочий). Это рано или поздно приведет к мошенничеству. Не спасают ситуацию и криптографические способы защиты информации, о чем уже говорилось выше.

Кроме того, важной особенностью карт с точки зрения их защищенности является наличие специальных средств, характерных для микропроцессорных карт (см. ниже). Так, некоторые карты необратимо блокируется по записи после предъявления неверного ПИН-кода более трех раз подряд, причем последовательное предъявление неверного ПИН-кода фиксируется картой и учитывается при ее блокировке. Таким образом, даже при относительно короткой длине ПИН-кода (например, из пяти цифр) "вскрыть" карту путем систематического подбора ее секретного ключа практически невозможно.

Сервисные команды. Карты обеспечивают различный спектр сервисных команд. Для нас наиболее интересные из них -- это средства ведения электронных платежей. Вместо двух областей в некоторых картах для ведения электронных платежей создается специальный файл, недоступный по чтению/записи с помощью обычных команд управления файловой системой. Над этим файлом можно производить только операции зачисления (кредитование) или списания (дебетование) финансовых средств Операция кредитования может быть проведена только при предъявлении двух секретных кодов -- кода клиента и кода банка. Операция списания проводится только по предъявлению кода клиента.

Примером подобной карты является карта PCOS фирмы GEMPLUS Card International. Механизм защиты в карте PCOS достаточно изощрен -- так, не разрешено дебетование отрицательным числом (в некоторых картах, в принципе, можно уменьшить дебет, путем возврата платежа на карту). Кроме того, карта PCOS обеспечивает безопасное удаленное кредитование карты в режиме on-line, что, безусловно, очень удобно клиентам -- можно занести средства на карту в ближайшем магазине, не заходя в банк. Удаленное кредитование возможно за счет встроенных криптографических средств.

Специальные средства. К специальным функциональным средствам относится возможность блокировки карты. Различается два вида блокировки: при предъявлении неправильного транспортного кода и при несанкционированном доступе.

Суть транспортной блокировки состоит в том, что доступ к карточке невозможен без предъявления специального "транспортного" кода. Этот механизм необходим для защиты от нелегального использования карт при хищении во время пересылки карты от производителя к потребителю.

Суть блокировки при несанкционированном доступе состоит в том, что если при доступе к информации несколько раз неправильно был предъявлен код доступа, то карта вообще перестает быть работоспособной. При этом, в зависимости от установленного режима, карта может быть впоследствии либо активизирована при предъявлении специального кода, либо нет. В последнем случае карта становится непригодной для дальнейшего использования.

Карты оптической памяти. Карты оптической памяти имеют большую емкость, чем карты памяти, но данные на них могут быть записаны только один раз. В таких картах используется WORM-технология (однократная запись -- многократное чтение). Лазер прожигает в каждой ячейке памяти значение, равное 0 или 1 (подобным образом записывается музыка на цифровых компакт-дисках). Обычная карта может хранить от 2 до 16 мегабайт информации. Такие карты обычно используются в приложениях, где необходимо хранить большие объемы данных, не подлежащих изменению, например, медицинские записи.

Микропроцессорные карты

Внешне микропроцессорные карты похожи на карты памяти, однако их микросхемы содержат микропроцессоры, что делает эти карты интеллектуальными, по-английски -- "smart". Электронная "начинка" карты представляют собой полные микроконтроллеры (микрокомпьютеры) и содержит следующие компоненты:

* ЦП (CPU) - центральный процессор - устройство для обработки инструкций карты;

* ОЗУ (RAM) - оперативное запоминающее устройство -память для временного хранения данных, например, результатов вычислений, произведенных процессором;

* ПЗУ (ROM) - постоянное запоминающее устройство - память для постоянного хранения инструкций карты, исполняемых процессором, а также других данных, которые не изменяются. Информация в ПЗУ записывается в процессе производства карты;

* ППЗУ (EPROM) - программируемое постоянное запоминающее устройство - память, которая может быть прочитана много раз, но записана только однократно производителем. В ППЗУ организация, выпускающая карту в обращение, записывает данные о ее владельце;

* РПЗУ (EEPROM) - репрограммируемое постоянное запоминающее устройство - память, которая может быть перезаписана и считана многократно. В РПЗУ хранятся изменяемые данные владельца карты ( ППЗУ и РПЗУ не теряют данные при отключении питания);

* устройство ввода/вывода - устройство, обеспечивающее обмен данными с внешним миром;

* операционная система (ОС) или программное обеспечение (ПО) карты - инструкции для процессора (хранятся в ПЗУ);

* система безопасности встроенная система безопасности для защиты данных с возможностью их шифрования.

Микропроцессорная карта, в дальнейшем - смарт-карта, в действительности представляет собой небольшой компьютер, способный выполнять расчеты подобно персональному компьютеру. Наиболее мощные современные смарт-карты имеют мощность, сопоставимую с мощностью персональных компьютеров начала восьмидесятых. Операционная система, хранящаяся в ПЗУ смарт-карты, принципиально ничем не отличается от операционной системы персонального компьютера. РПЗУ используется для хранения данных пользователя, которые могут считываться, записываться и модифицироваться, также, как данные на жестком диске персонального компьютера. Смарт-карты имеют различную емкость, однако типичная современная карта имеет ОЗУ объемом 128 байт, ПЗУ - 2-6 кбайт и РПЗУ - 1-2 кбайт. Некоторые смарт-карты также содержат магнитную полоску, что обеспечивает их совместимость с системами на базе магнитных карт. Смарт-карты дороже карт памяти, и так же, как в случае карт памяти, их стоимость определяется стоимостью микросхемы, которая прямо зависит от объема памяти. Смарт-карты обычно используются в приложениях, требующих высокой степени защиты информации, например, в финансовой практике.

Суперсмарт-карты. Примером может служить многоцелевая карта фирмы Toshiba, используемая в системе Visa. В дополнение ко всем возможностям - обычной смарт-карты, эта карта также имеет небольшой дисплей и вспомогательную клавиатуру для ввода данных. Эта карта объединяет в себе кредитную, дебетную и смешанную карты, а также выполняет функции часов, календаря, калькулятора, осуществляет конвертацию валюты, может служить записной книжкой и т.д. Из-за высокой стоимости суперсмарт-карты не имеют сегодня широкого распространения, но их использование будет, вероятно, расти, поскольку они являются весьма перспективными.