Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Итоги года сквозь призму технологий. 3D Secure.

(Нет голосов)

30.12.2007 Количество просмотров 1527 просмотров

Игорь Голдовский, генеральный директор ЗАО "Платежные технологии
Согласно прогнозам экспертов, 2007 год связывался с целым рядом ожиданий, прежде всего технологического характера, реализация которых в той или иной мере могла бы стать поворотным событием для мировой индустрии безналичных платежей в целом и карточного бизнеса в частности. При этом наиболее заметные прорывы ожидались в таких направлениях, как EMV-миграция и электронная коммерция. И сегодня, анализируя итоги прошедшего года «по горячим следам», хотелось бы попытаться уяснить для себя, в какой мере эти прогнозы себя оправдали. А также разобраться в причинах того, почему к началу нового 2008 года мы имеем именно то, что имеем.
Игорь Гордовский, 3D Secure
Итак, начнем с EMV-миграции. Продолжается постепенная миграция эмиссии и эквайринга банков на микропроцессорные карты ведущих международных платежных систем. Ко II кварталу прошедшего года в среднем по миру 17% карт содержали чип с платежным приложением той или иной международной системы, обслуживание чиповых карт поддерживали 27% установленных POS-терминалов и 16% банкоматов. Миграция на EMV происходит крайне неравномерно. Непререкаемым лидером в этом процессе является Европа, на рынке которой к весне 2007г. 42% карт, 52% POS-терминалов и 40% банкоматов являлись EMV совместимыми.

Неравномерность перехода на EMVкарты (в той же Европе наряду с Великобританией, Люксембургом, Ирландией, Францией, практически завершившими миграцию, имеются и явные аутсайдеры в лице стран Восточной Европы, Италии, Испании и Португалии) наносит серьезный удар по самому процессу миграции, снижая заинтересованность участия банков в переводе своей эмиссии на EMVплатформу. Действительно, основной стимул миграции для эмитентов – т. н. перенос ответственности – все еще носит преимущественно внутрирегиональный характер. Например, если в терминале, установленном в США, произойдет мошенничество типа «Подделка» по микропроцессорной карте британского банка-эмитента, то ответственность за это мошенничество по-прежнему будет нести британский банк, несмотря на то что этот банк потратил немалые средства на модернизацию своего процессинга и выпуск микропроцессорных карт.

Не решен полностью и вопрос с имеющейся на сегодняшней день «дырой» в модели обеспечения безопасности операций по микропроцессорной карте. Так, если мошенниками будет осуществляться транзакция на «чиповом» терминале по поддельной (фальсифицированной) карте, содержащей только магнитную полосу с информацией, скопированной с магнитной полосы действительной «чиповой» кредитной карты, и при этом на магнитной полосе подделки первая цифра кода обслуживания будет заменена мошенниками со значения «2» на значение «1», то при обработке подлимитной операции в офлайновом режиме (размер операции меньше лимита Floor Limit терминала) такая мошенническая транзакция будет успешно проведена.

Итак, несмотря на то что и скомпрометированная действительная кредитная карта, и терминал – «чиповые», налицо реальная возможность подделки данной карты и успешного использования этой подделки в чиповом терминале! И все это – за счет эмитента чиповой карты! Чтобы исключить возможность подобного мошенничества, платежные системы вводят правило: в терминалах, способных выполнять операции в онлайновом режиме, все операции по нечиповым картам (картам с магнитной полосой) должны выполняться исключительно в online. Тем не менее на сегодняшний день это правило введено далеко не во всех регионах (а точнее, только в Европе); кроме того, неясно, как избежать подобного мошенничества в случае только «офлайнового» терминала.

Говоря о миграции эмиссии на чиповые карты, следует также отметить, что благодаря технологическому прогрессу в области создания микросхем (широко используются проектные нормы 0,25 мкм и освоены нормы 0,1 мкм и даже 0,08 мкм) сегодня по относительно невысокой цене (порядка 1,5–2 евро) можно получить весьма «продвинутую» чиповую карту с полнографическим дизайном. Такая «продвинутая» карта является картой Global Platform/Java Card с оперативной памятью 8 Кб (!), ПЗУ 384 Кб, EEPROM около 40 Кб (!), с криптографическим сопроцессором для выполнения операций асимметричного шифрования.

Кроме того, в ПЗУ чипа карты изначально установлены апплеты обеих ведущих платежных систем VSDC 2.5.1 и M/Chip 4.1 v.1.1, а также приложение лояльности XLS, приложение выбора приложений через Payment System Environment и ряд других апплетов.

Следует отметить, что столь заметный прогресс в характеристиках чипа произошел после начала миграции банков на EMV буквально в последние 3–4 года. До этого момента для того, чтобы достигнуть размера памяти EEPROM в 4 Кб, потребовалось порядка 10 лет! При этом отмечается постоянное снижение стоимости микропроцессоров для банковских карт.

В числе важных событий 2007г. необходимо отметить и начало внедрения банками (пока только на рынке Германии) универсального EMV-приложения CPA (Common Payment Application), поддерживаемого ведущими международными платежными системами.

Использование приложения CPA позволяет банку унифицировать и развить процедуры управления рисками (8 офлайновых счетчиков, две дополнительные проверки и т. п.) и персонализации микропроцессорной карты (как опция может использоваться стандарт Common Personalization Specification с определенными в рамках CPA параметрами Digital Group Identifier для новых элементов данных CPA), а также значительно расширить функциональность карты. Использование CPA дает возможность различным образом обрабатывать транзакции в зависимости от параметров операции (например, от суммы и валюты транзакции, категории торгового предприятия, страны, резидентом которой является торговое предприятие, и т. п.). Это существенно расширяет функциональность приложения. Например, протокол CAP может быть реализован в рамках всего лишь одного профиля приложения CPA, а не отдельного EMV-приложения.

На сегодняшний день главным стимулом для миграции на карты EMV в подавляющем большинстве случаев остается борьба с фродом


Российские банки, только приступающие к миграции на EMV-карты, пока еще не успели осознать все преимущества CPA. Но со временем ситуация изменится. Имеется и еще одно препятствие для широкого внедрения CPA. Держателю спецификаций CPA – компании EMVCo – пока не удалось согласовать свой договор между EMVCo и поставщиками карт/апплетов CPA. В результате сегодня нет ни одного сертифицированного EMVCo апплета CPA (сертификация необходима для использования апплета в картах Visa Int. и MasterCard Worldwide). Ожидается, что первые сертифицированные апплеты CPA появятся только в апреле–мае 2008 г.

На сегодняшний день главным стимулом для миграции на карты EMV в подавляющем большинстве случаев остается борьба с фродом. Эффективность этой борьбы действительно очевидна. В Великобритании уровень фрода (за исключением CNP) уменьшился в 2005г. на 28% (по поддельным картам – на 25%, по украденным/утерянным картам – на 22%)! Особенно ярким примером здесь может выступить Малайзия, где по прошествии всего двух лет с начала миграции на EMV уровень фрода снизился с примерно 25 до 3 базисных пунктов.

В то же время нельзя не признать, что вклад чиповых карт в борьбу с мошенничеством по операциям CNP пока не слишком существен. До настоящего времени все, чем могут быть полезны микропроцессорные карты для борьбы с фродом при выполнении CNP-транзакций, – это реализация двухфакторной аутентификации держателя карты с использованием специальных ридеров (предложенная MasterCard схема CAP – Chip Authentication Program, признанная также Visa Int. и используемая в этой системе под брендом DPA – Dynamic Passcode Authentication).

В результате сегодня в странах, в значительной мере мигрировавших на чиповые карты, отмечается значительный рост мошенничества в области электронной коммерции (ЭК).

В то же время крупнейший мировой карточный рынок – североамериканский – к миграции практически не приступал. Ожидавшегося в 2007 г. объявления о начале миграции на микропроцессорную технологию банков США так и не произошло (канадские банки еще раньше заявили о готовности к миграции, и для них был даже объявлен срок ввода переноса ответственности (liability shift). Однако влияние этих банков на мировое банковское сообщество в целом, очевидно, гораздо менее значительно, нежели аналогичное влияние банков США).

Переходя к анализу сегмента электронной коммерции, к сожалению, приходится признать, что в области ЭК в 2007г. радикальных улучшений в части повышения уровня безопасности операций не произошло. Ведется весьма вялое внедрение протокола 3D Secure. Количество онлайновых магазинов, поддерживающих этот протокол, уже перевалило за 100 тысяч, а вот число держателей карт, зарегистрировавшихся в программе 3D Secure, все еще насчитывает десятки миллионов человек, что является крайне низким показателем.

В последнее время у экспертов складывается убеждение, что действующего сегодня правила переноса ответственности merchant only liability shift для расширения применения 3D Secure явно не хватает. Узким местом здесь стали эмитенты. С одной стороны, магазин готов поддерживать протокол 3D Secure, чтобы снять с себя ответственность за фрод. С другой стороны, если магазин не поддерживает 3D Secure, ответственность за мошенничество несет не эмитент, а обслуживающий банк (который, как правило, переносит ее на онлайновый магазин). Поэтому эмитенты, не поддерживающие схему 3D Secure, завели практику отклонять операции, которые были инициированы в торговых точках, поддерживающих протокол 3D Secure. И хотя за подобный «саботаж» эмитенты наказываются, отследить все случаи нарушения правил на практике весьма затруднительно. Как следствие, чтобы сохранить бизнес, некоторые торговые точки отказываются от использования протокола 3D Secure.

В 2007 г. было запущено несколько новых пилотных проектов бесконтактных платежей


Наиболее радикальный подход к выходу из создавшейся ситуации, предлагаемый экспертами, – это принудить эмитентов, желающих оказывать своим клиентам услуги выполнения операций электронной коммерции, регистрироваться в программе 3D Secure и отклонять операции ЭК в тех случаях, когда онлайновый магазин поддерживает протокол 3D Secure и отсутствует аналогичная поддержка на стороне держателя карты. При этом, разумеется, держателю карты эмитентом должна быть предоставлена возможность выполнить несколько незащищенных операций с предупреждением о необходимости зарегистрироваться в программе, прежде чем его дальнейшие операции ЭК начнут отвергаться эмитентом.

Наиболее значительным на сегодняшний день результатом прогресса в области безопасности платежей ЭК следует признать повсеместное внедрение платежными системами стандарта PCI Data Security Standard, направленного на обеспечение надежного и безопасного хранения и передачи данных, содержащих карточные реквизиты. Несмотря на то что процедуры сертификации и аудита в соответствии с PCI Data Security Standard «раздражают» руководство и персонал процессинговых компаний, онлайновых магазинов, поставщиков терминалов и процессинговых решений, необходимость внедрения и эффективность данного стандарта для борьбы с карточным мошенничеством очевидны.

В прошедшем году продолжился «подогрев» темы бесконтактных платежей. Скорость и удобство выполнения бесконтактной операции (tap and go), а также их низкая себестоимость позволяют карточной технологии занять значительную нишу в сегменте платежей на небольшие суммы (примерно от 5 до 20 евро).

По оценке экспертов, только в Европе это позволит увеличить долю карточных операций с нынешних 6% до 14%! В 2007г. было запущено несколько новых пилотных проектов бесконтактных платежей. Все они продемонстрировали положительные результаты – держатели карт и торгово-сервисные предприятия по достоинству оценили бесконтактный способ оплаты товаров и услуг.

В то же время в конце 2007 г. EMVCo приняла решение отложить разработку единой бесконтактной моды для приложения CPA. Это связано с тем, что по результатам пилотных проектов, а также в соответствии с наметившимися технологическими тенденциями в ближайшем будущем возможны уточнения подходов, используемых для бесконтактных платежей.

Наряду с бесконтактными платежами с помощью банковских карт большой интерес проявляется к платежам с использованием сотовых телефонов, поддерживающих радиоинтерфейс NFC. С точки зрения платежных систем, эти платежи относят к области мобильной коммерции, в которой остается еще много открытых вопросов. Главные из них:

Отсутствие инфраструктуры для бесконтактных платежей (так, например, из приблизительно 24 миллионов торговых предприятий, принимающих карты МПС, только несколько десятков тысяч способны принимать бесконтактные карты платежной системы). При этом в настоящее время главное преимущество бесконтактной карты перед телефоном с NFC-интерфейсом заключается в том, что карта обладает сразу несколькими интерфейсами – магнитная полоса, эмбоссирование, а также контактный и бесконтактный чиповые интерфейсы. В результате сеть приема карт неизмеримо шире аналогичной сети для сотовых телефонов. Но это все справедливо только применительно к текущей ситуации. В течение нескольких лет все может радикально измениться, и главная тому причина – беспрецедентная распространенность сотовых телефонов (более 2,5 млрд. аппаратов на руках населения планеты!).

Отсутствие внятной модели для загрузки приложения в защищенный модуль (под защищенным модулем понимается микросхема, предназначенная для безопасного хранения строго конфиденциальных данных платежного приложения, например, ключей и ПИН-кода). На сегодняшний день рассматриваются две наиболее популярные модели. Первая модель, т. н. SIM-centric модель, предполагает, что в качестве защищенного элемента используется SIMкарта. В этой модели должен быть решен вопрос с удаленной загрузкой банковского приложения на SIM-карту. В апреле 2007г. была озвучена инициатива международной ассоциации сотовых операторов GSMA, которая декларировала готовность сотовых операторов отказаться от полного контроля за SIM-картой и передать эту функцию некоторому посреднику (Trusted Provider), пользующемуся доверием как со стороны банков, так и со стороны сотовых операторов.

Вторая модель базируется на использовании в сотовом телефоне отдельного от SIM-карты защищенного модуля для хранения банковского приложения. В этом случае банки становятся независимыми от сотовых операторов. Вопрос лишь в том, готовы ли будут производители мобильных телефонов, традиционно имеющие более тесные отношения с сотовыми операторами, нежели с кредитными организациями, следовать по этому пути. Пока явное предпочтение отдается первой модели.

Распределение доходов. Банки хотели бы выплачивать фиксированное вознаграждение операторам за загрузку и поддержку платежных приложений, операторы стремятся участвовать в распределении доходов банков от мобильной коммерции.

В результате сегодня мобильная коммерция/мобильный банкинг все чаще реализуются на основе загружаемых на телефон мидлетов (Java-приложений). MasterCard даже разработала стандарт MasterCard Mobile Authentication (MMA), с помощью которого возможно надежно аутентифицировать клиента банка (мобильный аналог CAP). Используя MMA, можно также обеспечить целостность и конфиденциальность обмена данными между банком и сотовым телефоном.

Технология мидлетов является надежной и достаточно безопасной (теоретически возможна компрометация данных при использовании специального spyware на сотовом телефоне, но вероятность этой компрометации гораздо ниже, чем, например, вероятность компрометации статического пароля в протоколе 3D Secure на персональном компьютере держателя карты).

Итак, мы кратко рассмотрели основные, наиболее знаковые, на наш взгляд, технологические итоги прошедшего 2007 г. с точки зрения мировой индустрии безналичных платежей в целом. Назвать их впечатляющими весьма трудно. Однако тот факт, что рассмотренные технологические и бизнес-тенденции найдут свое продолжение в наступившем году, уже сегодня представляется абсолютно очевидным.

О том, чем ознаменовался 2007 год для рынка России и ряда других стран постсоветского пространства, читайте в ближайшем номере журнала «ПЛАС» – «ПЛАС» №1/2008.



Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… в Океании раковины каури (моллюсков) сохранились как платежное средство ограниченного оборота до наших дней? В настоящее время среди всех архипелагов Океании раковины моллюсков действительно распространены в качестве не декоративной, а реальной расчетной единицы на Соломоновых островах.