17 августа 2012, 16:17
Количество просмотров 153

Итоги года сквозь призму технологий. 3D Secure.

Игорь Голдовский, генеральный директор ЗАО "Платежные технологии Согласно прогнозам экспертов, 2007 год связывался с целым рядом...
Итоги года сквозь призму технологий. 3D Secure.


Игорь Голдовский, генеральный директор ЗАО "Платежные технологии
Согласно прогнозам экспертов, 2007 год связывался с целым рядом ожиданий, прежде всего технологического характера, реализация которых в той или иной мере могла бы стать поворотным событием для мировой индустрии безналичных платежей в целом и карточного бизнеса в частности. При этом наиболее заметные прорывы ожидались в таких направлениях, как EMV-миграция и электронная коммерция. И сегодня, анализируя итоги прошедшего года «по горячим следам», хотелось бы попытаться уяснить для себя, в какой мере эти прогнозы себя оправдали. А также разобраться в причинах того, почему к началу нового 2008 года мы имеем именно то, что имеем.
Итак, начнем с EMV-миграции. Продолжается постепенная миграция эмиссии и эквайринга банков на микропроцессорные карты ведущих международных платежных систем. Ко II кварталу прошедшего года в среднем по миру 17% карт содержали чип с платежным приложением той или иной международной системы, обслуживание чиповых карт поддерживали 27% установленных POS-терминалов и 16% банкоматов. Миграция на EMV происходит крайне неравномерно. Непререкаемым лидером в этом процессе является Европа, на рынке которой к весне 2007г. 42% карт, 52% POS-терминалов и 40% банкоматов являлись EMV совместимыми.

Неравномерность перехода на EMVкарты (в той же Европе наряду с Великобританией, Люксембургом, Ирландией, Францией, практически завершившими миграцию, имеются и явные аутсайдеры в лице стран Восточной Европы, Италии, Испании и Португалии) наносит серьезный удар по самому процессу миграции, снижая заинтересованность участия банков в переводе своей эмиссии на EMVплатформу. Действительно, основной стимул миграции для эмитентов – т. н. перенос ответственности – все еще носит преимущественно внутрирегиональный характер. Например, если в терминале, установленном в США, произойдет мошенничество типа «Подделка» по микропроцессорной карте британского банка-эмитента, то ответственность за это мошенничество по-прежнему будет нести британский банк, несмотря на то что этот банк потратил немалые средства на модернизацию своего процессинга и выпуск микропроцессорных карт.

Не решен полностью и вопрос с имеющейся на сегодняшней день «дырой» в модели обеспечения безопасности операций по микропроцессорной карте. Так, если мошенниками будет осуществляться транзакция на «чиповом» терминале по поддельной (фальсифицированной) карте, содержащей только магнитную полосу с информацией, скопированной с магнитной полосы действительной «чиповой» кредитной карты, и при этом на магнитной полосе подделки первая цифра кода обслуживания будет заменена мошенниками со значения «2» на значение «1», то при обработке подлимитной операции в офлайновом режиме (размер операции меньше лимита Floor Limit терминала) такая мошенническая транзакция будет успешно проведена.

Итак, несмотря на то что и скомпрометированная действительная кредитная карта, и терминал – «чиповые», налицо реальная возможность подделки данной карты и успешного использования этой подделки в чиповом терминале! И все это – за счет эмитента чиповой карты! Чтобы исключить возможность подобного мошенничества, платежные системы вводят правило: в терминалах, способных выполнять операции в онлайновом режиме, все операции по нечиповым картам (картам с магнитной полосой) должны выполняться исключительно в online. Тем не менее на сегодняшний день это правило введено далеко не во всех регионах (а точнее, только в Европе); кроме того, неясно, как избежать подобного мошенничества в случае только «офлайнового» терминала.

Говоря о миграции эмиссии на чиповые карты, следует также отметить, что благодаря технологическому прогрессу в области создания микросхем (широко используются проектные нормы 0,25 мкм и освоены нормы 0,1 мкм и даже 0,08 мкм) сегодня по относительно невысокой цене (порядка 1,5–2 евро) можно получить весьма «продвинутую» чиповую карту с полнографическим дизайном. Такая «продвинутая» карта является картой Global Platform/Java Card с оперативной памятью 8 Кб (!), ПЗУ 384 Кб, EEPROM около 40 Кб (!), с криптографическим сопроцессором для выполнения операций асимметричного шифрования.

Кроме того, в ПЗУ чипа карты изначально установлены апплеты обеих ведущих платежных систем VSDC 2.5.1 и M/Chip 4.1 v.1.1, а также приложение лояльности XLS, приложение выбора приложений через Payment System Environment и ряд других апплетов.

Следует отметить, что столь заметный прогресс в характеристиках чипа произошел после начала миграции банков на EMV буквально в последние 3–4 года. До этого момента для того, чтобы достигнуть размера памяти EEPROM в 4 Кб, потребовалось порядка 10 лет! При этом отмечается постоянное снижение стоимости микропроцессоров для банковских карт.

В числе важных событий 2007г. необходимо отметить и начало внедрения банками (пока только на рынке Германии) универсального EMV-приложения CPA (Common Payment Application), поддерживаемого ведущими международными платежными системами.

Использование приложения CPA позволяет банку унифицировать и развить процедуры управления рисками (8 офлайновых счетчиков, две дополнительные проверки и т. п.) и персонализации микропроцессорной карты (как опция может использоваться стандарт Common Personalization Specification с определенными в рамках CPA параметрами Digital Group Identifier для новых элементов данных CPA), а также значительно расширить функциональность карты. Использование CPA дает возможность различным образом обрабатывать транзакции в зависимости от параметров операции (например, от суммы и валюты транзакции, категории торгового предприятия, страны, резидентом которой является торговое предприятие, и т. п.). Это существенно расширяет функциональность приложения. Например, протокол CAP может быть реализован в рамках всего лишь одного профиля приложения CPA, а не отдельного EMV-приложения.

На сегодняшний день главным стимулом для миграции на карты EMV в подавляющем большинстве случаев остается борьба с фродом


Российские банки, только приступающие к миграции на EMV-карты, пока еще не успели осознать все преимущества CPA. Но со временем ситуация изменится. Имеется и еще одно препятствие для широкого внедрения CPA. Держателю спецификаций CPA – компании EMVCo – пока не удалось согласовать свой договор между EMVCo и поставщиками карт/апплетов CPA. В результате сегодня нет ни одного сертифицированного EMVCo апплета CPA (сертификация необходима для использования апплета в картах Visa Int. и MasterCard Worldwide). Ожидается, что первые сертифицированные апплеты CPA появятся только в апреле–мае 2008 г.

На сегодняшний день главным стимулом для миграции на карты EMV в подавляющем большинстве случаев остается борьба с фродом. Эффективность этой борьбы действительно очевидна. В Великобритании уровень фрода (за исключением CNP) уменьшился в 2005г. на 28% (по поддельным картам – на 25%, по украденным/утерянным картам – на 22%)! Особенно ярким примером здесь может выступить Малайзия, где по прошествии всего двух лет с начала миграции на EMV уровень фрода снизился с примерно 25 до 3 базисных пунктов.

В то же время нельзя не признать, что вклад чиповых карт в борьбу с мошенничеством по операциям CNP пока не слишком существен. До настоящего времени все, чем могут быть полезны микропроцессорные карты для борьбы с фродом при выполнении CNP-транзакций, – это реализация двухфакторной аутентификации держателя карты с использованием специальных ридеров (предложенная MasterCard схема CAP – Chip Authentication Program, признанная также Visa Int. и используемая в этой системе под брендом DPA – Dynamic Passcode Authentication).

В результате сегодня в странах, в значительной мере мигрировавших на чиповые карты, отмечается значительный рост мошенничества в области электронной коммерции (ЭК).

В то же время крупнейший мировой карточный рынок – североамериканский – к миграции практически не приступал. Ожидавшегося в 2007 г. объявления о начале миграции на микропроцессорную технологию банков США так и не произошло (канадские банки еще раньше заявили о готовности к миграции, и для них был даже объявлен срок ввода переноса ответственности (liability shift). Однако влияние этих банков на мировое банковское сообщество в целом, очевидно, гораздо менее значительно, нежели аналогичное влияние банков США).

Переходя к анализу сегмента электронной коммерции, к сожалению, приходится признать, что в области ЭК в 2007г. радикальных улучшений в части повышения уровня безопасности операций не произошло. Ведется весьма вялое внедрение протокола 3D Secure. Количество онлайновых магазинов, поддерживающих этот протокол, уже перевалило за 100 тысяч, а вот число держателей карт, зарегистрировавшихся в программе 3D Secure, все еще насчитывает десятки миллионов человек, что является крайне низким показателем.

В последнее время у экспертов складывается убеждение, что действующего сегодня правила переноса ответственности merchant only liability shift для расширения применения 3D Secure явно не хватает. Узким местом здесь стали эмитенты. С одной стороны, магазин готов поддерживать протокол 3D Secure, чтобы снять с себя ответственность за фрод. С другой стороны, если магазин не поддерживает 3D Secure, ответственность за мошенничество несет не эмитент, а обслуживающий банк (который, как правило, переносит ее на онлайновый магазин). Поэтому эмитенты, не поддерживающие схему 3D Secure, завели практику отклонять операции, которые были инициированы в торговых точках, поддерживающих протокол 3D Secure. И хотя за подобный «саботаж» эмитенты наказываются, отследить все случаи нарушения правил на практике весьма затруднительно. Как следствие, чтобы сохранить бизнес, некоторые торговые точки отказываются от использования протокола 3D Secure.

В 2007 г. было запущено несколько новых пилотных проектов бесконтактных платежей


Наиболее радикальный подход к выходу из создавшейся ситуации, предлагаемый экспертами, – это принудить эмитентов, желающих оказывать своим клиентам услуги выполнения операций электронной коммерции, регистрироваться в программе 3D Secure и отклонять операции ЭК в тех случаях, когда онлайновый магазин поддерживает протокол 3D Secure и отсутствует аналогичная поддержка на стороне держателя карты. При этом, разумеется, держателю карты эмитентом должна быть предоставлена возможность выполнить несколько незащищенных операций с предупреждением о необходимости зарегистрироваться в программе, прежде чем его дальнейшие операции ЭК начнут отвергаться эмитентом.

Наиболее значительным на сегодняшний день результатом прогресса в области безопасности платежей ЭК следует признать повсеместное внедрение платежными системами стандарта PCI Data Security Standard, направленного на обеспечение надежного и безопасного хранения и передачи данных, содержащих карточные реквизиты. Несмотря на то что процедуры сертификации и аудита в соответствии с PCI Data Security Standard «раздражают» руководство и персонал процессинговых компаний, онлайновых магазинов, поставщиков терминалов и процессинговых решений, необходимость внедрения и эффективность данного стандарта для борьбы с карточным мошенничеством очевидны.

В прошедшем году продолжился «подогрев» темы бесконтактных платежей. Скорость и удобство выполнения бесконтактной операции (tap and go), а также их низкая себестоимость позволяют карточной технологии занять значительную нишу в сегменте платежей на небольшие суммы (примерно от 5 до 20 евро).

По оценке экспертов, только в Европе это позволит увеличить долю карточных операций с нынешних 6% до 14%! В 2007г. было запущено несколько новых пилотных проектов бесконтактных платежей. Все они продемонстрировали положительные результаты – держатели карт и торгово-сервисные предприятия по достоинству оценили бесконтактный способ оплаты товаров и услуг.

В то же время в конце 2007 г. EMVCo приняла решение отложить разработку единой бесконтактной моды для приложения CPA. Это связано с тем, что по результатам пилотных проектов, а также в соответствии с наметившимися технологическими тенденциями в ближайшем будущем возможны уточнения подходов, используемых для бесконтактных платежей.

Наряду с бесконтактными платежами с помощью банковских карт большой интерес проявляется к платежам с использованием сотовых телефонов, поддерживающих радиоинтерфейс NFC. С точки зрения платежных систем, эти платежи относят к области мобильной коммерции, в которой остается еще много открытых вопросов. Главные из них:

Отсутствие инфраструктуры для бесконтактных платежей (так, например, из приблизительно 24 миллионов торговых предприятий, принимающих карты МПС, только несколько десятков тысяч способны принимать бесконтактные карты платежной системы). При этом в настоящее время главное преимущество бесконтактной карты перед телефоном с NFC-интерфейсом заключается в том, что карта обладает сразу несколькими интерфейсами – магнитная полоса, эмбоссирование, а также контактный и бесконтактный чиповые интерфейсы. В результате сеть приема карт неизмеримо шире аналогичной сети для сотовых телефонов. Но это все справедливо только применительно к текущей ситуации. В течение нескольких лет все может радикально измениться, и главная тому причина – беспрецедентная распространенность сотовых телефонов (более 2,5 млрд. аппаратов на руках населения планеты!).

Отсутствие внятной модели для загрузки приложения в защищенный модуль (под защищенным модулем понимается микросхема, предназначенная для безопасного хранения строго конфиденциальных данных платежного приложения, например, ключей и ПИН-кода). На сегодняшний день рассматриваются две наиболее популярные модели. Первая модель, т. н. SIM-centric модель, предполагает, что в качестве защищенного элемента используется SIMкарта. В этой модели должен быть решен вопрос с удаленной загрузкой банковского приложения на SIM-карту. В апреле 2007г. была озвучена инициатива международной ассоциации сотовых операторов GSMA, которая декларировала готовность сотовых операторов отказаться от полного контроля за SIM-картой и передать эту функцию некоторому посреднику (Trusted Provider), пользующемуся доверием как со стороны банков, так и со стороны сотовых операторов.

Вторая модель базируется на использовании в сотовом телефоне отдельного от SIM-карты защищенного модуля для хранения банковского приложения. В этом случае банки становятся независимыми от сотовых операторов. Вопрос лишь в том, готовы ли будут производители мобильных телефонов, традиционно имеющие более тесные отношения с сотовыми операторами, нежели с кредитными организациями, следовать по этому пути. Пока явное предпочтение отдается первой модели.

Распределение доходов. Банки хотели бы выплачивать фиксированное вознаграждение операторам за загрузку и поддержку платежных приложений, операторы стремятся участвовать в распределении доходов банков от мобильной коммерции.

В результате сегодня мобильная коммерция/мобильный банкинг все чаще реализуются на основе загружаемых на телефон мидлетов (Java-приложений). MasterCard даже разработала стандарт MasterCard Mobile Authentication (MMA), с помощью которого возможно надежно аутентифицировать клиента банка (мобильный аналог CAP). Используя MMA, можно также обеспечить целостность и конфиденциальность обмена данными между банком и сотовым телефоном.

Технология мидлетов является надежной и достаточно безопасной (теоретически возможна компрометация данных при использовании специального spyware на сотовом телефоне, но вероятность этой компрометации гораздо ниже, чем, например, вероятность компрометации статического пароля в протоколе 3D Secure на персональном компьютере держателя карты).

Итак, мы кратко рассмотрели основные, наиболее знаковые, на наш взгляд, технологические итоги прошедшего 2007 г. с точки зрения мировой индустрии безналичных платежей в целом. Назвать их впечатляющими весьма трудно. Однако тот факт, что рассмотренные технологические и бизнес-тенденции найдут свое продолжение в наступившем году, уже сегодня представляется абсолютно очевидным.

О том, чем ознаменовался 2007 год для рынка России и ряда других стран постсоветского пространства, читайте в ближайшем номере журнала «ПЛАС» – «ПЛАС» №1/2008.


Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube