Министерство образования и науки Российской Федерации
Государственное образовательное учреждение высшего профессионального образования
Всероссийский заочный финансово-экономический институт
Филиал в г. Барнауле

Контрольная работа по дисциплине «Банковские электронные услуги»
Выполнил: студент гр. 5 ББп-1 О.С. Некрасова
Проверил: В.М. Никитин

Барнаул 2006
1. Основные типы смарт-карт
Смарт-карта – это карта, носителем информации в которой является интегральная микросхема. Когда стандарты и технология производства смарт-карт еще только разрабатывались, их надежности и высокой степени защиты данных уделялось самое пристальное внимание. В области защиты данных смарт-карты обладают целым рядом преимуществ по сравнению с традиционными магнитными картами.
Во-первых, поскольку процесс создания смарт-карт достаточно сложен, он под силу только крупной промышленной компании. Попытки «взломать» микросхему в кустарных условиях неминуемо приведут к ее разрушению.
Во-вторых, при производстве карт в каждую микросхему заносится уникальный код. Благодаря этому коду кодирование данных невозможно ни для кого, кроме производителя карт. Производитель, отправляя партию смарт-карт в адрес организации, выпускающей их в обращение, посылает коды отдельно, так что даже в случае «потери» всей партии карты оказываются непригодными для использования.
В-третьих, при выдаче карты пользователю на нее заносится один или несколько секретных кодов (паролей), так называемых PIN-кодов, известных только держателю карты. Если карта утеряна или украдена, клиент сообщает о случившемся в банк, и программа банка вносит эту карту в список недействительных карт, рассылаемый на все терминалы продаж. Любая попытка использовать потерянную или украденную карту будет немедленно пресечена. Это дает возможность осуществлять авторизацию в режиме off-line, что позволяет экономить значительные средства и время на организацию процедуры оплаты покупки картой.
Основное преимущество смарт-карт состоит в том, что они являются средством, которое в первую очередь позволяет увеличить и разнообразить пакет услуг, предоставляемый клиенту. При этом платежной системе и банкам, входящим в нее, технология на основе смарт-карт обойдется дешевле за счет сокращения потерь от мошенничества и снижения расходов на авторизацию и связь. Так, после перехода на смарт-карты потери в Великобритании сократились на 20 %, а в Малайзии – на 85 %. Поэтому нет никаких сомнений в том, что смарт-карты в итоге заменят магнитные карты.
Первый вопрос, которым задаются все желающие использовать пластиковую карту в виде платежного средства, - какой тип карты более всего подходит в качестве платежной. К сожалению, однозначного ответа на этот вопрос не существует (можно лишь сказать, какие типы карт не подходят). Эффективность платежной системы зависит не только от правильно выбранных технических средств, но и от тщательно отлаженной технологии, от грамотной финансовой политики эмитента, от многих других факторов, которые могут свести все преимущества того или иного типа карт к нулю.
Смарт-карты различают типом встроенной микросхемы. Степень «интеллектуальности» микросхемы может быть самой разной: от простейшего контроллера чтения/записи данных в электронную память карты, до микропроцессора, имеющего развитую систему команд, встроенную файловую систему и т.п. Очевидно, что самое главное отличие смарт-карт от других видов пластиковых карт (с магнитной полосой или со штриховым кодом) – это именно факт «интеллектуальности» карт с микросхемами.
При платежах по «магнитным» или «штриховым» картам применяется технология on-line. Разрешение на платеж дает компьютер банка или процессингового центра при связи с точкой платежа. Поэтому главная проблема, возникающая здесь, - обеспечение надежной, защищенной и недорогой связи; в наших условиях это крайне сложно. В случае смарт-карт применяется принципиально иная технология off-line – разрешение на платеж дает сама карта (точнее, встроенная в нее микросхема) при «общении» с торговым терминалом непосредственно в торговой точке. Накладные расходы по обеспечению платежей чрезвычайно малы, проблемы связи не играют той роли, как в технологиях on-line. Вместо них на первый план выступают проблемы безопасности – смарт-карта должна быть достаточно «интеллектуальной», чтобы самостоятельно принять решение о проведении платежа, и при этом обладать развитой системой защиты от несанкционированного использования. Поэтому самый первый вопрос, который возникает при выборе типа смарт-карт – какие карты позволяют создавать платежные системы, максимально обеспечивающие защиту от различных мошенничеств.
Второй вопрос, связанный с выбором платежных смарт-карт, состоит в проблеме реализации двух основных финансовых операций по карте - дебетования и кредитования счета в ее электронной памяти. Большинство известных смарт-карт позволяют это делать достаточно легко. Главное здесь другое – как соотносится механизм дебетования и кредитования карты с проблемой ее несанкционированного использования. Надежно ли защищены эти операции для того, чтобы кроме «законных» субъектов технологии платежей их не могло провести какое-нибудь иное лицо, даже не обязательно с преступными целями.
Итак, выбор конкретного типа смарт-карт в качестве средства платежа сводится в основном к решению двух указанных выше вопросов.
Смарт-карта является идеальным средством платежа, поскольку обладает функциями «электронного кошелька». Последний хранит в своей памяти сумму денежных средств, которыми клиент банка может расплатиться за покупку. «Электронный кошелек» удобен клиенту, поскольку последний легко контролирует свои активы на карте и при необходимости может их пополнить, кредитуя карту в банке. Память «электронного кошелька» защищена PIN-кодом, который клиент должен набрать на клавиатуре платежного терминала при проведении любой операции по карте. Таким образом, клиент может не опасаться использования смарт-карты без его санкции (если, разумеется, он хранит свой PIN-код в тайне от других). Но не всякая смарт-карта может быть «электронным кошельком».
Рассмотрим типологию смарт-карт. В зависимости от внутреннего устройства и выполняемых функций смарт-карты можно разделить на три типа:
Карты-счетчики;
Карты с памятью;
Микропроцессорные карты.
Практически любую карту любого типа можно использовать в качестве платежной. Однако лишь весьма ограниченное число карт будет удовлетворять всем требованиям, которыми должна обладать массовая платежная смарт-карта: невысокой стоимостью, возможностью проводить любые (а не только специфичные) платежи, хорошей защищенностью и необходимым уровнем «интеллектуальности» для обеспечения технологии off-line.
Карты-счетчики применяются для такого типа расчетов, когда требуется вычитание фиксированной суммы за каждую платежную операцию. такие карты еще называются картами с предварительно оплаченной суммой. Примером таких расчетов может быть плата за телефонный разговор. Обычно в телефонах-автоматах каждая единица времени разговора имеет фиксированную цену, ее абонент оплачивает монетами или специальными жетонами, которые подсчитывает соответствующее устройство телефона. При применении карт минимальной сумме платежа ставится в соответствие один бит памяти. В процессе разговора устанавливается связь между телефоном и картой, и за каждую единицу времени «сжигается» некоторое количество бит. Таким образом, карта заменяет монеты или жетоны. Аналогичным образом карты-счетчики применяются при подписке на платное телевидение, при оплате за проезд, автостоянку и т.п.
Первоначально использовались карты с однократно программируемой памятью. После полного использования карты ее приходилось выбрасывать. Современные карты такого типа позволяют после полного использования «восстанавливать» содержимое счетчика. Восстановление содержимого может быть выполнено только при знании определенного кода, разрешающего это действие. Помимо этого карты содержат область, в которую записываются идентификационные данные. Эти данные не могут быть изменены впоследствии. Карты, позволяющие перезаписывать информацию, относятся к типу карт с энергонезависимой перепрограммируемой памятью.
Еще одним типом смарт-карт являются карты с памятью. Название типа весьма условно – строго говоря, все смарт-карты имеют память.этот тип карт выделен как промежуточный при переходе от карт-счетчиков к микропроцессорным картам. Обычно карты промежуточного типа используются для хранения информации. Существуют два подтипа подобных карт: с незащищенной и с защищенной памятью. Карты второго подтипа отличаются от карт первого более высоким «интеллектом», направленным на предотвращение несанкционированного доступа к данным на карте. Однако той «интеллектуальности», которая характерна для карт с микропроцессорами, карты с защищенной памятью не имеют.
В картах с незащищенной памятью нет ограничений по чтению или записи данных, иногда их называют картами с полнодоступной памятью; работа с ними (с точки зрения логической структуры данных) напоминает работу с бинарным файлом. Можно произвольно структурировать карту на логическом уровне, рассматривая ее память как набор байтов, который можно скопировать в оперативную память или обновить с помощью специальных команд.
Карты с незащищенной памятью использовать в качестве платежных крайне опасно. Достаточно легально приобрести такую карту, скопировать ее память на диск, а дальше после каждой покупки восстанавливать ее память копированием начального состояния данных с диска, причем ничуть не интересуясь тем, какая информация хранится на карте (т.е. шифрование данных в памяти карты от мошенничества подобного рода не спасает). Разумеется, такую операцию может проделать лишь квалифицированный программист, но практика показывает, что в России достаточно много грамотных людей, способных на такое занятие чисто из хакерских побуждений.
В карточках с защищенной памятью используется специальный механизм для разрешения чтения/записи или стирания информации. Чтобы провести эти операции, надо предъявить карте специальный секретный код (а иногда и не один). Предъявление кода означает установление с ней связи и передачу кода «внутрь» карты – сравнение кода с ключом защиты чтения/записи (стирания) данных проведет сама карта и «сообщит» об этом устройству чтения/записи смарт-карт. Чтение записанных в память карты ключей защиты или копирование памяти карты невозможно. В то же время, зная секретный код (коды), можно прочитать или записать данные, организованные наиболее приемлемым для платежной системы логическим образом. таким образом, карты с защищенной памятью годятся для универсальных платежных применений, хорошо защищены и при этом недороги.
Как правило, карты с защищенной памятью содержат область, в которую записываются идентификационные данные. Эти данные не могут быть изменены впоследствии, что очень важно для обеспечения невозможности подлога карты. С этой целью идентификационные данные на карте «прожигаются».
Необходимо также, чтобы на платежной карте было, по меньшей мере, две защищенные области. Уже было сказано, что в технологии безналичных расчетов по картам участвуют, в общем случае, три юридически независимых лица: клиент, банк и магазин. Банк вносит деньги на карту (кредитует ее), магазин снимает деньги с карты (дебетует ее), и все эти операции должны делаться с санкции клиента. Таким образом, доступ к данным на карте и операции над ними надо разграничивать. Это достигается путем деления памяти карты на две защищенные разными ключами области – дебетовую и кредитовую. Каждый участник операции имеет свой секретный ключ. У клиента это PIN-код. Правильное его предъявление открывает доступ к карте (по чтению данных), однако не должно менять информацию, которой распоряжается кредитор карты (банк) или ее дебитор (магазин). Ключ записи информации в кредитовую область карты имеется только у банка; ключ записи информации в дебетовую область – у магазина. Только при предъявлении сразу двух ключей (PIN-кода клиента и ключа банка при кредитовании, PIN-кода клиента и ключа магазина при дебетовании) можно провести соответствующую финансовую операцию – внести деньги, либо списать сумму покупки с карты.
Если в качестве платежной используются карты с одной защищенной областью памяти, и банк, и магазин будут работать с одной и той же областью, применяя одинаковые ключи защиты. Если банк, как эмитент карты, может дебетовать (например, в банкоматах), то магазин права кредитовать карту не имеет. Однако такая возможность ему дана, поскольку в силу необходимости дебетования карты при покупках он знает ключ защищенной зоны. То обстоятельство, что и кредитор карты, и ее дебитор (в общем случае разные лица) пользуются одним ключом, нарушает сразу несколько основных принципов защиты информации (в частности, принципы разделения полномочий и минимальных полномочий). Это рано или поздно приведет к мошенничеству, даже если применяются криптографические способы защиты информации.
Микропроцессорные карты представляют собой последние достижения в области смарт-карт. Сфера применения весьма широка.
Микропроцессоры, установленные в этих картах, обладают следующими основными характеристиками:
разрядность процессора 8 (16);
емкость ОЗУ до 1280 байт;
емкость ПЗУ до 32 килобайт;
емкость перезаписываемой энергонезависимой памяти до 32 килобайт.
В карту встраивается специализированная операционная система, обеспечивающая большой набор сервисных операций и средств безопасности.
Эти карты обычно обеспечивают следующие типичные функции.
Файловая система. Операционная система карты поддерживает файловую систему, предусматривающую разграничение доступа к информации. Для информации, хранимой в любой записи (файла, группы файлов, каталога), могут быть установлены следующие режимы доступа:
Всегда доступна для чтения/записи. Этот режим разрешает чтение/запись информации без знания специальных секретных кодов;
Доступна для чтения, но требует специальных полномочий для записи. Этот режим разрешает свободное чтение информации, а запись только после предъявления специального секретного кода;
Есть специальные полномочия по чтению/записи. Этот режим разрешает доступ для чтения или записи после предъявления специального секретного кода, причем коды для чтения и записи могут быть различными;
Недоступна. Этот режим не разрешает читать или записывать информацию. Она доступна только для внутренних программ карты. Обычно этот режим устанавливается для записей, содержащих криптографические ключи.
Криптографические средства. Как правило, в такие карты встроены криптографические средства, обеспечивающие шифрование информации и выработку «цифровой» подписи. Традиционно в карточках для этих целей применяется криптографический алгоритм DES. Кроме того, в карточке имеются средства ведения ключевой системы.
Сервисные команды. Карты обеспечивают различный спектр сервисных команд. Для банковских целей наиболее интересны средства ведения электронных платежей. Вместо двух областей в карте для ведения электронных платежей создается специальный файл, недоступный для чтения/записи с помощью обычных команд управления файловой системой. Над этим файлом можно производить только операции зачисления (кредитование) или списания (дебетование) финансовых средств. Операция кредитования может быть проведена только при предъявлении двух секретных кодов – кода клиента и кода банка. Операция списания проводится только по предъявлению кода клиента. Очевидно, что в карте защищены операции, но не области, что впрочем, с точки зрения проведения финансовых транзакций, равнозначно. Кроме того, карта обеспечивает безопасное удаленное кредитование карты в режиме on-line, что, безусловно, очень удобно для клиентов – можно занести средства на карту в ближайшем магазине, не заходя в банк. удаленное кредитование возможно за счет встроенных криптографических средств.
Специальные средства. К специальным средствам относится возможность блокировки работы с картой. Различают два вида блокировки: при предъявлении неправильного транспортного кода и при несанкционированном доступе.
Суть транспортной блокировки состоит в том, что доступ к карточке невозможен без предъявления специального «транспортного» кода. Этот механизм необходим для защиты от нелегального использования карт при хищении во время пересылки карты от производителя к потребителю. Карточка может быть активизирована только при предъявлении правильного «транспортного» кода.
Суть блокировки при несанкционированном доступе состоит в том, что если при доступе к информации несколько раз неправильно был предъявлен код доступа, то карта вообще перестает быть работоспособной. При этом в зависимости от установленного режима карта может быть впоследствии либо активизирована при предъявлении специального кода, либо нет. В последнем случае карточка становится непригодной для дальнейшего использования.
Задача
Оценить прибыльность операций с кредитными картами банка, если известно, что он эмитировал 950 карт с кредитным лимитом 50 000 руб. и 150 «золотых» карт с лимитом 60 000 руб. Годовая плата за карты составляет 125 руб. и 250 руб., соответственно. Процент за пользование кредитом составляет 20 % в год. Льготный период - 20 дней. В среднем каждый клиент пользовался кредитом в течение 300 дней, при этом сумма кредита составляла 50 000 руб. по обычной карте и 60 000 руб. по «золотой». Оборот по картам составил 30 000 000 руб. Плата за кредитные ресурсы составляет 6 % это 40% всех расходов, связанных с картами. Проанализировать влияние на прибыльность по отношению к величине кредитного портфеля, лимита обычной карты при прочих равных условиях и при условии полного использования клиентом лимита.
Решение:



Вывод: Анализ результатов показывает, что при увеличении средней суммы кредита по обычной карте прибыльность по отношению к величине кредитного портфеля увеличивается для варианта А и варианта Б. Для вариантов В и Г увеличение средней суммы кредита по обычной карте ведет к незначительному снижению прибыльности. При этом они не становятся убыточными.