Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Семь трендов ближайшего будущего

(Голосов: 1, Рейтинг: 5)

05.04.2013 Количество просмотров 2298 просмотров

Игорь Голдовский, генеральный директор компании «Платежные Технологии», о ключевых тенденциях платежной индустрии, которые будут определять сценарии развития рынка на десятилетия вперед

Несколько десятков лет назад наступила эпоха очень важных и быстрых перемен во всех сферах нашей жизни. Появление персональных компьютеров, Интернета, мобильной связи, смартфонов, планшетников, КПК и прочих гаджетов, содержащих разнообразные элементы безопасности (ЭБ), коренным образом меняют нашу жизнь и способы общения между людьми, а также между людьми и построенными ими информационными системами. Могли ли мы каких-то 30 лет тому назад представить себе сегодняшнюю жизнь со всем ее многообразием «электронных» возможностей? Вряд ли, хотя все физические принципы построения современных технических достижений в области информационных технологий уже тогда были давно и хорошо известны. Приходится еще раз констатировать: «Жизнь намного мудрее самых мудрых из нас».

Перемены в значительной мере коснулись и такой консервативной области человеческой деятельности, как банковская индустрия. Современный банк может быть автоматизирован настолько, что очная встреча с клиентом требуется только в момент подписания с ним договора. Многочисленные каналы дистанционного обслуживания (интернет-банк, мобильный банк, контакт-центр, пластиковые карты) предоставляют клиенту возможность давать банку поручения по управлению своими счетами, находясь далеко от ближайшего офиса банка. Во многом это стало реальностью благодаря появлению методов надежной аутентификации клиента банка, которые позволили банку доказывать равенство «Лицо, совершающее операцию со счетом в банке = Клиент банка – владелец счета», почти не ошибаясь в результатах доказательства.

История показывает, что бессмысленно делать долгосрочные предсказания относительно того, как дальше будет развиваться банковская индустрия, в том числе в части клиентского обслуживания. В то же время решусь предположить, что главный тренд этого развития будет связан с массовым внедрением разнообразных ЭБ, позволяющих банку дистанционно аутентифицировать своего клиента. ЭБ будут встроены в окружающие современного человека гаджеты (телефон, ПК, КПК и т. п.) и предметы (наручные часы, брелоки), оказываясь при необходимости всегда под рукой.

Сегодня многие из нас являются клиентами разнообразных информационных систем. Для доступа в эти системы требуется помнить соответствующие логины/пароли, а то и иметь более серьезные средства аутентификации (например, микропроцессорную карту, токены, генераторы одноразовых паролей). Поэтому каждый из нас мечтает пользоваться одним-единственным, но очень надежным ключом, открывающим двери во все системы. В этой связи функция универсальной аутентификации клиента становится ключевой и, как мне кажется, будет выделяться в отдельный сервис, предоставляемый банкам на условиях аутсорсинга компаниями, по роду своей деятельности имеющими устоявшиеся отношения с широкими группами клиентов. Клиенту удобно помнить один пароль и иметь карту с одним приложением для того, чтобы получить доступ к своим счетам в разных банках.

Идея универсального аутентификатора уже эксплуатируется сегодня такими компаниями-гигантами как Google, PayPal, Isis, Visa и MasterCard, когда они предлагают рынку свои кошельки, обеспечивающие аутентификацию клиента и предоставляющие возможность выполнения финансовой операции с использованием самых разных финансовых инструментов (платежных карт, электронных наличных и т. п.). Ожидается, что список таких аутентификаторов пополнится представителями социальных сетей (Facebook, Twitter и т. п.).

Вместо того чтобы продолжать фантазировать о стратегических долгосрочных на правлениях развития банковской индустрии, коротко перечислим главные, на наш взгляд, тенденции развития карточных технологий на ближайшее десятилетие.

Тренд № 1. Один из основных трендов – продолжение миграции банков на использование технологии микропроцессорных карт.

Наконец-то приступил к миграции на чип самый большой на планете карточный рынок – рынок США. С апреля 2013 г. все процессинговые системы американских эквайеров должны поддерживать прием контактных и бесконтактных микропроцессорных карт, а с октября 2015 г. начинает действовать глобальный перенос ответственности для поддельных карт (для автозаправочных станций аналогичное правило начинает действовать с октября 2017 г.).

Завершение мигра ции на чип в США (по разным показателям, на этот рынок приходится 30–40% мирового карточного рынка) изменит качество мирового карточного рынка (более 75% карт станут микропроцессорными), показатели его функционирования (уровень мошенничества, обороты, функциональность, себестоимость операции) и даже технологии (например, постепенно отомрет мода магнитной полосы для бесконтактных карт, «придуманная» специально для рынка США).

Очевидны тенденции в рамках миграции на микропроцессорные технологии. В связи с развитием технологий и, как следствие, уменьшением стоимости карты растет доля карт, поддерживающих более безопасные методы динамической аутентификации. Сегодня примерно 60% микропроцессорных карт в мире поддерживают методы офлайновой динамической аутентификации DDA/CDA, и их доля неукоснительно растет. Для Европы международные платежные системы даже ввели обязательное требование, в соответствии с которым все карты, эмитируемые начиная с 01 января 2011 г., должны поддерживать методы DDA/CDA.

Технология верификации держателя карты по методу PIN Offline (Chip&PIN) стала наиболее употребительной в мире при использовании контактных микропроцессорных карт. В Европе и Канаде более 70% всех транзакций производится с применением этой технологии. Исключением могут стать США, где в связи с повсеместным использованием онлайновой авторизации обсуждается применение только методов PIN Online и подтверждения транзакции подписью держателя карты.

Через 5–10 лет начнут внедряться технологии верификации держателя карты с использованием биометрических методов, тема, к которой мы еще вернемся чуть позже.

Технология EMV убедительно доказала свою эффективность с точки зрения повышения безопасности карточных операций. Даже при том, что сегодня доля микропроцессорных карт в ведущих платежных системах только приближается к планке 50%, уровень карточного мошенничества в 2011 г. в абсолютном выражении (!) уменьшился примерно в 1,5 раза в сравнении с 2008 г. Это произошло из-за значительного снижения фрода таких видов, как «Поддельные кар-ты» и «Украденные/Потерянные карты».

В течение всего времени существования стандарта EMV нападки на него не прекращались. Некоторые критические публикации действительно обнаруживали прорехи в транзакционной безопасности при использовании карт EMV. Однако все обнаруженные в подобных публикациях слабости стандарта не будут актуальны для рынка еще многие годы. В мире, где доля карт только с магнитной полосой все еще велика, к сожалению, существует масса других, существенно более простых и дешевых способов совершения карточного мошенничества.

В то же время платежные системы накопили значительный опыт применения микропроцессорных карт, изменились возможности последних, связанные с вычислительными способностями, появились новые требования к EMV-приложению со стороны бизнеса (новые типы операций, необходимость упрощения процедур сертификации карт и терминалов, кастомизация чека по требованию карты, усовершенствование процедуры выбора платежного инструмента держателем карты и магазином, и т. п.) и платежных технологий (новые элементы данных, увеличение пропускной способности платежного терминала, новая архитектура терминала, реализация единого механизма, обеспечивающего поддержку контактных и бесконтактных/мобильных платежей с онлайновой и офлайновой обработкой операций, более простые средства управления параметрами приложения (Issuer Script Processing), новые механизмы контроля верификации держателя карты, новые виды запасной авторизации, и т. п.). В результате компания EMVCo, держатель стандарта EMV, приступила к разработке новой версии стандарта EMV Next Generation, начало внедрения которой намечено на 2025 г., а завершение внедрения – на 2030 г.

В стандарте EMV Next Generation вопросы транзакционной безопасности будут решаться принципиально новым способом. Стандарт EMV навсегда расстанется с алгоритмом RSA, на смену которому придут асимметричные алгоритмы на эллиптических кривых, обеспечивающие при той же криптостойкости кратное уменьшение времени шифрования данных и экономию памяти карты за счет применения в разы более коротких ключей шифрования. Как результат, в самом начале обработки операции между платежными приложениями на карте и терминале будет устанавливаться защищенное соединение, закрывающее обмен данными между картой и терминалом.

Криптограмма операции также будет создаваться с использованием асимметричного алгоритма шифрования, что позволит третьей стороне (например, терминалу или администратору платежной системы) проверять целостность данных транзакции и факт ее совершения конкретной картой.

Тренд №2. Платежные системы будут по-прежнему уделять значительное внимание бесконтактным платежам по картам.

Безусловно, бесконтактные карты удобнее в использовании, обеспечивают более высокую скорость обработки транзакции и безопасность операции, позволяют снизить себестоимость транзакции, делая операцию по карте более выгодной в сравнении с расчетами наличными при размере транзакции примерно от 5 евро и выше. Снижение порога размера транзакции, при котором операция по бесконтактной карте становится выгоднее покупки наличными, и является главной причиной такого интереса к бесконтактным платежам со стороны платежных систем.

В то же время, несмотря на то, что платежные системы уделяют бесконтактным платежам повышенное внимание примерно с 2006 г., текущий уровень проникновения бесконтактных карт на рынке оставляет желать лучшего. Конечно, такому положению дел способствует существование проблемы «курицы и яйца», когда обслуживающие банки не уделяют должного внимания оснащению терминалов бесконтактными ридерами, потому что на рынке мало бесконтактных карт, а эмитенты не эмитируют бесконтактные карты, потому что их негде применять. Я уверен в том, что проблема «курицы и яйца» остается актуальной так долго, потому что банки не видят для себя очевидной выгоды от использования бесконтактных карт (как теперь говорят – не видят для себя бизнес-кейса).

Другое дело – бесконтактные платежи с использованием сотового телефона (так называемые NFC-платежи или мобильные бесконтактные платежи). Интерес к таким платежам со стороны банков понятен. Телефон позволяет банку не только организовать выполнение операций, но и быть постоянно на связи со своим клиентом, предоставляя ему информацию о новых продуктах/предложениях банка и т. д. и т. п., круглосуточно управлять приложением на карте клиента, участвовать в реализации новых продуктов (например, покупки электронных билетов) и программ (например, лояльности).

Однако экосистема мобильных бесконтактных платежей значительно сложнее экосистемы пластиковых карт. В нее помимо обычных игроков (банков, магазинов, платежных систем) входят сотовые операторы, TSM-операторы, поставщики телефонных аппаратов и другие субъекты, ранее в банковской индустрии не присутствовавшие (например, Controlling Authority). Такое усложнение экосистемы в свою очередь рождает новые проблемы для создания бизнес-модели, устраивающей всех участников экосистемы мобильных платежей. Результатом этих проблем является, например, слишком медленный рост количества NFC-телефонов.

По оценкам многих экспертов, уже в 2015–2017 гг. мы, вероятнее всего, станем свидетелями ощутимого роста сегмента NFC-платежей. К этому времени на рынке появится заметное количество NFC-телефонов, а также бесконтактных терминалов, что является необходимым условием для внедрения NFC-платежей. Последнее, несомненно, станет главным трендом развития карточных технологий, приводящим к вытеснению форм-фактора карты. Роль карты начинает играть телефон, снабженный элементом безопасности.

Тренд № 3. Бесконтактные мобильные платежи станут основой не только для Face-to-Face (F2F) платежей, но и позволят существенно более безопасным образом выполнять операции электронной/мобильной коммерции

Наличие платежного приложения в ЭБ телефона дает возможность перевести операции электронной/мобильной коммерции из области CNP-операций в область CAT-транзакций со всеми вытекающими отсюда последствиями: драматическим уменьшением размера фрода, восстановлением нормального распределения ответственности, уменьшением межбанковской комиссии и, в частности, торговой уступки магазина.

Конечно, у такого подхода есть свои проблемы: компьютер и телефон не предоставляют доверенную среду исполнения финансовых приложений. Вредоносное программное обеспечение, загруженное на ПК или телефон, способно украсть конфиденциальные реквизиты плательщика, изменить транзакционные данные, перехватить управление приложением ЭБ. В связи с этим консорциум GlobalPlatform разработал стандарты для создания доверенной среды исполнения Trusted Execution Environment на телефонах и ПК. Более того, были подготовлены методики тестирования устройств на соответствие спецификациям GlobalPlatform (программа сертификации GP TEE Compliance Program).

Значительный вклад в повышение безопасности операций на сотовом телефоне внесла ассоциация производителей SIM/ UICC-карт SIMalliance, разработавшая стандарт Open Mobile API: Secure Element Access Control. Реализация протокола Secure Element Access Control обеспечивает защиту от перехвата вредоносным ПО на телефоне управления приложениями ЭБ. Сегодня этот стандарт реализуется на ряде телефонов в виде открытого интерфейса SmartCard API, контролирующего доступ приложения телефона к приложению ЭБ телефона.

Сегодня в Европе в связи с миграцией на чип около 58% всего фрода приходится на CNP-операции. Платежным системам стало очевидно, что технология 3D Secure внедряется крайне медленно и ее фактическая эффективность значительно ниже ожидавшейся. Идеальным для выполнения операций электронной коммерции (ЭК) стало бы использование дешевых PC/SC-ридеров, подключаемых к компьютеру держателя карты. Когда клиент хочет совершить операцию ЭК, он просто вставляет чиповую карту в ридер и выполняет CNP-операцию как CAT-транзакцию. Примерно через 10 лет эта технология может стать доминантной.

На пути же к внедрению описанной выше технологии обработки операций ЭК с использованием персональных PC/ SC-ридеров будет продолжать использоваться технология 3D Secure с динамической аутентификацией держателя карты. Эта технология будет усиливаться средствами привязки операции к устройству клиента, с которого совершается операция ЭК (Device Binding). Реквизиты устройства (например, IP-адрес, MAC-адрес) будут храниться в БД карт эмитента и определяться в процессе авторизации операции.

Тренд № 4. Телефон радикально меняет технологии обработки безналичных операций не только на стороне эмиссии карт.

В последние 3–4 года бурное развитие получили новые терминалы, названные mPOS (mobile POS). Эти устройства подключаются к телефону (через аудио- порт, miniUSB, Bluetooth), на который устанавливается специальное приложение, и фактически выполняют функции ридера, а вместе с телефоном – POS-терминала.

Сегодня в мире наблюдается бум внедрения устройств mPOS в небольших торговых предприятиях (75% таких магазинов ранее карты не принимали). Известны проекты Square, Groupon, mPowa, iZettle, Swiff, PayPal Here. Некоторые из перечисленных проектов ожидают в 2013 г. превышение планки оборотов в 10 млрд долларов. Причем указанный уровень оборотов был достигнут всего за 3 года существования этих проектов. В большинстве проектов использовался mPOS, способный работать только с магнитной полосой. Исключение составляют проекты iZettle и Sniff. Недавно на европейском рынке появилось первое устройство Chip&PIN mPOS от компании Payleven, имеющее экран и клавиатуру для ввода ПИН-кода. Оно подключается к смартфону по Bluetooth.

В 2010–2011 гг. в мире было установлено 1,2 млн mPOS-терминалов (примерно 3% всех POS-терминалов, установленных за десятки лет работы платежных систем). Стартапная компания iZettle за два года увеличила парк POS-терминалов в скандинавских странах на 7,5%!

Тренд № 5. Сегодня стало понятно: на рынке B2C-платежей преимущество имеют компании, которые могут «дотянуться» до как можно большего числа своих пользователей, предлагая последним, в том числе, обслуживание их платежей.

Например, к таким компаниям относятся интернет-гиганты Google и PayPal, социальные сети (Facebook, Twitter и другие), ассоциации сотовых операторов (Isis), платежные системы (Visa, MasterCard). Механизм получения такого преимущества – распространение своим клиентам электронных кошельков (wallets), которые обеспечивают универсальное безопасное удобное для клиента средство платежа. Для проведения расчетов за разнообразные товары, услуги, сервисы кошелек обеспечивает надежные средства аутентификации своего владельца, предоставляя последнему возможность выбора в качестве платежного инструмента карты любых платежных систем, электронные наличные и т. п.

Сегодня на рынке имеется широкий выбор кошельков. Среди наиболее известных Google Wallet, Isis Wallet, V.me, PayPass Wallet и т. п. Вероятнее всего, борьба за клиента будет происходить именно на уровне кошельков. Чем удобнее, безо- паснее, функциональнее кошелек, тем в большей инфраструктуре обслуживания клиентов он будет использоваться.

Тренд № 6. Сегодня карточные пла-тежные системы ведут войну с наличными. В то же время очевидна потребность рынка в средствах расчета, которые, с одной стороны, являются анонимными, а с другой – обеспечивают единовременность и окончательность расчетов в момент совершения платежа.

В качестве примера необходимости таких систем можно привести длинные очереди к автозаправочным станциям на Восточном побережье США, возникшие после прохождения по нему урагана Сэнди. Нарушение коммуникаций привело к невозможности использования в качестве средства расчета пластиковой карты (в США практически все карточные операции авторизуются в онлайновом режиме). Спасались лишь те немногие, у кого в кармане оставались наличные или с собой были чековые книжки.

Распространение NFC-телефонов с ЭБ делает привлекательным и удобным для населения приложение электронных наличных, позволяющее в офлайновом режиме выполнять F2F-операции. Очевидно, что приложение может использоваться и для покупок в онлайновых магазинах, денежных переводов и т. п. Пополнять электронные наличные в приложении ЭБ возможно либо со счета в банке, либо наличными через терминалы моментальных платежей.

Помимо таких привлекательных для клиента свойств, как анонимность и единовременность расчетов, электронные наличные также интересны более низкой себестоимостью совершаемых с их использованием операций. Это связано с уходом от 4-сторонней модели платежей, используемой в пластиковых картах, и уменьшением за счет этого стоимости банковского обслуживания. В результате электронные наличные будут применяться для обслуживания микроплатежей.

Тренд № 7. Наконец, среди других трендов развития карточных технологий следует отметить внедрение биометрических методов аутентификации держателя карт. Это направление активно развивается.

Организован соответствующий консорциум (см. http:// www.biometrics.org/), активно ведутся работы по стандартизации разных аспектов технологии (формата обмена данными, прикладного программного интерфейса и т. п.), публикуется масса рекламных статей, в которых биометрия преподносится как средство обеспечения сверхбезопасности, ставшее доступным широким массам.

Однако к биометрии следует относиться весьма осторожно. Необходимо учитывать, что она подвержена тем же угрозам, что и другие методы аутентификации. Во-первых, биометрический шаблон сравнивается не с результатом первоначальной обработки характеристик пользователя, а с тем, что пришло к месту сравнения. А, как известно, за время пути... много чего может произойти. Во-вторых, биометрические методы не более надежны, чем база данных шаблонов. В-третьих, следует учитывать разницу между применением биометрии на контролируемой территории, под бдительным оком охраны, и в «полевых» условиях, когда, например, к устройству сканирования роговицы могут поднести муляж, и т. п. В-четвертых, биометрические данные человека меняются, так что база шаблонов нуждается в сопровождении, что создает определенные проблемы и для пользователей, и для администраторов.

Но главная опасность состоит в том, что любая компрометация данных при использовании биометрии оказывается фатальной. Пароли, при всей их ненадежности, в крайнем случае можно сменить. Утерянную аутентификационную карту можно аннулировать и завести новую. Палец же, кисть руки, глаз или голос сменить нельзя. Если биометрические данные окажутся скомпрометированы, придется как минимум производить существенную модернизацию всей системы (например, менять алгоритм обработки биометрических данных).

Именно поэтому в банковской индустрии биометрию будут применять только вместе с другими средствами аутентификации, такими, например, как микропроцессорные карты. При этом в идеальном варианте реализуется модель SOC (System-on-Card), в которой и биометрический шаблон, и сенсор для формирования текущего шаблона, и процедура обработки верификации текущего шаблона находятся на карте.

В то же время сегодня наиболее распространенными являются карты MOC (Match-on-Card), которые хранят биометрический шаблон субъекта и выполняют сравнение текущего шаблона с биометрическим шаблоном карты, на основании которого принимают решение о результате идентификации/аутентификации субъекта. В этом случае только сканирование субъекта и создание текущего шаблона выполняются внешней системой. Текущий шаблон субъекта карта получает от внешней системы.

Стандарты GlobalPlatform Device Specification, GlobalPlatform Smart Card Management System и GlobalPlatform Card Spe - cification v.2.2 позволяют создать надежную и безопасную систему биометрической идентификации/аутентификации на основе карт MOC. При этом обеспечивается управление биометрическим апплетом карты (программой, обеспечивающей сравнение текущего шаблона с биометрическим шаблоном карты и принимающей решение о результате аутентификации субъекта) на протяжении всего его жизненного цикла. Это управление включает в себя безопасную загрузку, инсталляцию, персонализацию апплета, изменение его биометрических шаблонов и прочих параметров в процессе использования карты. Кроме того, биометрический апплет может быть размещен в приложении Global Services Application платформы GlobalPlatform, что дает возможность различным авторизованным приложениям карты использовать метод биометрической аутентификации ее держателя.

Использование биометрических методов позволит строить трехфакторную модель аутентификации лица, совершающего операцию, что повышает безопасность карточных операций. Эта модель строится на основе следующих элементов аутентификации:

• карты, подтверждающей наличие у лица, совершающего операцию, некоторого инструмента, выданного авторизованным банком, подлинность которого доказывается в ходе выполнения операции;

• ПИН-кода – секрета, разделяемого держателем карты и эмитентом (эмитент может не знать секрета, но должен уметь проверить его корректность), знание которого лицом, совершающим операцию, верифицирует его как держателя карты;

• биометрической информации, полученной от лица, совершающего операцию, которая должна соответствовать биометрическим данным держателя карты.

Вместо описанной трехуровневой модели может использоваться двухуровневая модель, компонентами которой являются микропроцессорная карта и биометрическая информация. Такой подход может применяться в случае, когда карта используется малограмотными и/или пожилыми людьми, для которых ввод ПИН-кода при совершении операции представляет проблему.

Все вышесказанное говорит о том, что в достаточно короткой перспективе нас ожидают серьезные изменения платежных технологий.


Читать полную электронную версию Журнал ПЛАС № 4 (191) 2013

Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… предоплаченные платежные карты возникли как платежный инструмент в середине 1990-х гг., и первыми из них были карты Electronic Benefits Transfer (EBT) в США, на которые заменили ранее выдаваемые нуждающимся бумажные продовольственные сертификаты?