Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Развитие карточных технологий за последние 15 лет: Quo vadis?

(Нет голосов)

10.03.2010 Количество просмотров 1008 просмотров

Игорь Голдовский, член Операционного комитета MasterCard Europe (European Operations Advisory Committee) от России, генеральный директор компании "Платёжные Технологии"

Убежден, что существуют два основных движителя развития технологий платежных карт: во-первых, бизнес, пытающийся максимально использовать появляющиеся в мире IT-технологии для организации новых каналов обслуживания клиентов, а во-вторых – необходимость обеспечения все более высокого уровня безопасности карточных операций, без поддержки которого карты просто перестанут использоваться (таким образом, несколько утрируя, можно утверждать, что карточные мошенники сами пилят сук, на котором сидят).

Исторический экскурс

Если оглянуться на 15 лет назад, то мы попадем в эпоху, где не существовало электронной/мобильной коммерции, бесконтактных платежей, платежей через банкоматы и POS-терминалы. В середине 1990-х годов предпринимались отдельные робкие и неуклюжие попытки оплаты услуг предприятий ЖКХ через банкоматы, но это было скорее экзотикой. В России в то время не было даже настоящих револьверных кредитных карт – они стали массово применяться только в новом тысячелетии. Появление Интернета, сотовой связи и стремительное проникновение компьютеров и мобильных телефонов в широкие массы потребителей привели к революционным переменам во многих областях человеческой деятельности. Затронули они и карточный бизнес. Появились новые каналы доставки услуг, образовался колоссальный рынок оплаты услуг сотовых операторов, интернет-провайдеров и т. п. Доля покупок через Интернет в общем объеме расчетов B2C неуклонно растет со скоростью 25% в год. Карточные платежные системы пытаются расширить свои позиции и за счет сферы мобильных платежей, захватив здесь определенную нишу. Именно с этой целью они уделяют сегодня столь значительное внимание бесконтактным картам, являющимся первой ступенью к освоению мобильных бесконтактных платежей, при этом, на взгляд автора настоящей статьи, увеличение доли безналичных расчетов как таковое в данном случае отходит в списке приоритетов платежных систем на второй план.

Очевидно, что роль мобильного телефона в развитии безналичных платежей станет центральной уже в наступающем новом десятилетии. Мне кажется, что этот фактор принимается во внимание и американским рынком, который не торопится мигрировать на EMV. Все чаще в серьезных профессиональных журналах появляются статьи, указывающие на то, что банки США всерьез обсуждают перспективу использования бесконтактных карт для безналичных расчетов в совокупности с шифрованием данных карты при их считывании в терминалах с последующим расшифрованием у эмитента (End-to End Encryption). Согласитесь, все это хорошо укладывается в схему, где главным носителем банковского приложения является элемент безопасности сотового телефона, поддерживающего беспроводной протокол (сегодня главный претендент на роль такого протокола – NFC)!

Ну а кроме того, рассматриваемый подход имеет массу преимуществ для американских банков: • минимальные затраты на изменение инфраструктуры обслуживания карт: не требуются изменения на хосте обслуживающего банка, минимальные изменения на хосте эмитента и в системах Point-of-Sale (в частности, не требуется реализация офлайновой аутентификации приложения карты), дешевые бесконтактные карты (без криптографического сопроцессора на чипе);
• эффективный способ борьбы с поддельными картами, обеспечиваемый генерацией динамических величин CVC3 и dCVV и онлайновым характером обработки операций;
• защита данных держателей карт от компрометации в торговых предприятиях и процессорах благодаря их шифрованию в момент инициализации транзакции (при этом потребуется модернизация процессов авторизации, клиринга, расчетов, разрешения диспутов и отчетности). Другими словами, одним выстрелом можно убить двух зайцев: обеспечить безопасность операций минимальными вложениями, а также сразу заполучить мобильный телефон в качестве эффективного и максимально распространенного инструмента безналичных расчетов.
И все-таки главнейшим движителем развития карточной технологии остается безопасность. Приуменьшить значение обеспечения должного уровня безопасности в карточных технологиях невозможно. Карта – средство удаленного доступа клиента к своему счету при совершении разнообразных финансовых и информационных операций в третьих компаниях. Главная задача карточной технологии – предоставить (в первую очередь в распоряжение эмитента карты) средства, позволяющие с высоким уровнем достоверности проверить идентичность лица, совершающего операцию по карте, лицу, получившему карту от ее банка-эмитента – владельца карты. Как уже отмечалось, если этот уровень достоверности не поддерживать на нужном уровне, карточная технология просто выйдет из употребления. К ней потеряют доверие и ею перестанут пользоваться.
Проблема безопасности карточной технологии определяется угрозами, возникающими на рынке. Например, 15 лет назад на магнитной полосе карты отсутствовали даже значения величины CVC/CVV, ставшие обязательными в связи с ростом объемов мошенничества по поддельным картам (в первую очередь речь идет о CNP-транзакциях). Сегодня же в каждой ведущей платежной системе используется целых три дополнительных аналога величин CVC/CVV – CVC2/CVV2 (для CNP-операций), Chip CVC/iCVV (в данных магнитной полосы в приложении на чипе) и CVC3/dCVV (в бесконтактных приложениях)! В связи с распространением безналичных операций по картам через Интернет появился протокол SET, а за ним (и вместо него) – 3D Secure. Позже появились стандарты PCI DSS, PCI PA DSS, являющиеся средством борьбы с компрометацией данных держателей карт в процессинговых центрах, торговых точках, центрах хранения данных и т.д. и т.п.
За прошедшие годы многое было сделано и с точки зрения систематизации и формализации минимальных требований к управлению ключами и защиты PIN-кодов (PCI PIN Security Requirements, PCI POS PIN Entry Device Security Requirements, PCI Encrypting PIN Pad Security Requirements и др.).
В платежной технологии была совершена миграция с алгоритма DES на более криптографически стойкий протокол 3DES с двойным или тройным ключом.
И конечно же, революционным событием для карточных технологий стало внедрение микропроцессорных карт, позволяющее поднять безопасность карточных операций на качественно новый уровень.
При этом именно повышение безопасности остается главным стимулом для миграции банков на EMV-технологию.
И тем не менее обеспечение должного уровня безопасности – непрерывный состязательный процесс, в котором принимают участие, с одной стороны, банки и платежные системы, а с другой – мировое криминальное сообщество. Цена этого состязания – 10–15 млрд долл. США, прямо или косвенно теряемых в наше время банками ежегодно. Поэтому фактор безопасности, вне всяких сомнений, будет по-прежнему оставаться главным в развитии карточных технологий.

День нынешний


Теперь перейдем от исторического экскурса протяженностью в полтора десятка лет ко дню сегодняшнему. Если говорить о том, какие тенденции в развитии карточного рынка, проявившиеся в 2009 году, мне кажутся наиболее значимыми, отмечу, что главная из них – это переход от во многом экстенсивной методики развития карточного рынка к интенсивной. Сегодня, в условиях кризиса, при отсутствии средств, необходимых для запуска масштабных проектов, кредитно-финансовые институты стали серьезнее задумываться о том, как можно использовать уже имеющиеся в их распоряжении системы и продукты более эффективным образом. Оказывается, существует немало механизмов повышения доходности карточного бизнеса банка/платежной системы при весьма скромных расходах на их внедрение.
Например, платежная система MasterCard Worldwide начала предлагать финансовым институтам дополнительные услуги, связанные с использованием своей инфраструктуры приема карт. В частности, в Европе был запущен сервис MiGS (MasterCard Gateway Service), позволяющий банкам использовать в качестве хоста эквайера для обслуживания онлайновых и физических магазинов один из процессинговых центров MasterCard. Другой пример – MasterCard начала предлагать европейским финансовым институтам свою инфраструктуру для обслуживания предоплаченных карточных продуктов, не несущих бренд MasterCard/Maestro. Оба эти примера наглядно иллюстрируют способ получения MasterCard дополнительных доходов при минимальных затратах на запуск новых проектов.
Другая тенденция связана с осознанием того факта, что для радикального повышения безопасности карточных операций банкам необходимо больше работать со своими клиентами – держателями карт – и предоставлять им возможность самим участвовать в процессе борьбы с карточным мошенничеством. Исследования показывают, что предоставление клиенту возможности управлять своими лимитами через интернет- или мобильный банк позволяет радикально снизить уровень фрода. Платежные системы вооружают банки инструментами, позволяющими их клиентам участвовать в управлении рисками. Примером может служить решение InControl, внедренное в системе MasterCard и позволяющее клиенту через сайт своего банка устанавливать параметры расширенных проверок при обработке транзакции: учитываются технология (Chip&PIN, чип, магнитная полоса), категория торгово-сервисного предприятия, география расположения торговой точки и клиента, тип транзакции, лимиты использования карты с учетом разных временных периодов и многие другие факторы.
Еще одна тенденция, обусловленная кризисом, связана с упрощением платежными системами процедур сертификации банков и т.п. Платежные системы идут навстречу банкам, где это возможно, и пытаются минимизировать расходы последних на внедрение новых проектов.

День грядущий


Вспоминая о главных движителях развития карточных технологий, выражу уверенность, что обеспечение безопасности так или иначе заставит платежные системы работать в следующих направлениях:
• расширение миграции банков на микропроцессорные карты;
• повышение эффективности собственных систем мониторинга и контроля транзакций на предмет выявления карточного мошенничества в режиме реального времени;
• понимание того, что процесс миграции на чип растянется на долгие годы (не менее десятилетия), заставит защищать инвестиции эмитентов микропроцессорных карт. В частности, рассматривается возможность обязательного внедрения на банкоматах банков, не мигрировавших на чип, процедуры Offline CAM. Для этого банкомат должен быть оснащен ридером, работающим не только с магнитной полосой, но и с чипом, а также специальным программным обеспечением;
• активизация борьбы с мошенничеством по CNP-операциям. В Европе уровень CNPфрода составляет примерно 50% от всего мошенничества; для сравнения – в среднем по миру – около 38%! Планируется обязать всех европейских эмитентов поддерживать протокол 3D Secure (MasterCard SecureCode). Кроме того, будет проводиться политика замены статических паролей в протоколе 3D Secure на динамические.
Что касается другого – бизнес-движителя развития карточных технологий, то здесь платежными системами и EMVCo будет уделяться максимальное внимание технологиям бесконтактных и мобильных платежей. Это касается в первую очередь разработки единого бесконтактного приложения, а в отношении мобильных платежей – разработки архитектуры системы мобильных платежей, использования GlobalPlatform для загрузки, инсталляции, персонализации мобильных банковских приложений, использования ПИН-кода для подтверждения мобильных платежей на значительные суммы и т.п. Итак, впереди у нас путь, по своей революционности и многосторонности сравнимый с уже пройденными 15 годами, а возможно, и значительно превосходящий эти полтора десятилетия!

Полный текст статьи читайте в журнале "ПЛАС" 1 (153) ’2010 сс. 15 -17


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… первым в мире банкоматом с использованием технологии cash-ресайклинга был выпущенный на японский рынок в 1982 г. аппарат OKI AT 100?