Аутентификация карты что это
Аутентификация карточки Сбербанка: достоинства защитной системы
В современную жизнь прочно вошла система безналичных расчетов и оплаты покупок с помощью банковской карточки. Это удобно, быстро и не требует специальных навыков. Однако новые технологии подразумевают многообразие незнакомых терминов и понятий, в которых легко запутаться. Вникнув в их суть, можно легко применять все новшества.
Что такое аутентификация
В любой программе, особенно такой серьезной, как банковская, существует защита на программном уровне. Информация, хранимая на сервере или в другой системе, имеет свой уникальный id – код и защищена с помощью идентификатора и пароля. Эта информация известна только пользователю, поэтому, прежде чем он попадет на этот сервер, произойдет две операции:
В случаях с банковскими картами аутентификация подразумевает подтверждение принадлежности карточки держателю. Идет проверка персональных данных, указанных на лицевой и обратной стороне карточки.
Процедура аутентификации проходит быстро и, как правило, не вызывает неудобств. Здесь важно понимать, что только таким образом можно защитить свою карту. Сегодня существует огромное количество различных интернет площадок, предлагающих быстро купить товар с использованием пластиковой карточки. К сожалению, этим не могли не воспользоваться мошенники, и площадки стали для них простором для преступной деятельности. Человек, решивший совершить покупку, может быстро лишиться своих собственных средств. В целях борьбы с мошенниками была создана специальная система 3D-Secure.
Эта система – разработка компании Visa, позже ею стала пользоваться и MasterCard. Однако, несмотря на то, что система была создана давно, далеко не все банки стремятся к ней подключиться. «Сбербанк» относится к компаниям, клиенты которой подключены к этой системе. Для работы с системой 3D Secure, обязательно подключается мобильный банк – без этого пользование системой невозможно.
Суть 3D Secure – это применение индивидуальных одноразовых кодов, которые становятся известными в нужное время (в период транзакции) только владельцу карточки. Отсутствие системы 3D Secure обязует покупателя при заказах в интернет – магазинах вводить данные с карточки:
3D Secure поступает гораздо проще: идет перенаправление на страницу «Сбербанка» и перед покупкой проводится быстрая процедура 3DS аутентификации. Пользователь сразу получает на привязанный номер телефона код, который вводится в указанное место на сайте. Если все сделано правильно и своевременно, оформление покупки благополучно продолжится и завершится.
3D Secure и безопасность
Использование технологии во много раз повысило безопасность переводов денежных средств. Это объясняется просто – код, получаемый человеком на телефон, доступен исключительно пользователю и сотруднику банка. Продавцы с интернет площадок не имеют доступа к этой информации. Помимо этого, каждый код имеет строгое ограничение по времени – оно составляет 10 минут и это дополнительно повышает безопасность операции. Получается, что для незаконного присвоения средств, хранящихся на карте, мошеннику нужен также телефон владельца. Ранее человек получал распечатку списка одноразовых кодов у сотрудников банка, либо в банкомате. При каждой покупке он вводил один из них. Сейчас все гораздо проще – индивидуальный код приходит в момент оформления покупки.
Держатель карточки и покупатель и не подозревает, что внедрение этой технологии – достаточно затратный проект. Затраты претерпели и сами торговые площадки – по этой причине не все из них подключены к системе 3D Secure.
Но, как и в любой самой совершенной системе, существуют лазейки, которыми пользуются мошенники. Поэтому, прежде чем что-то приобретать в интернете, убедитесь в надежности сервиса.
Для того чтобы минимизировать риск потери денежных средств, соблюдайте следующие рекомендации:
Подключение
Тем, кто пользуется пластиковыми картами «Сбербанка» недавно, нет необходимости что-то делать дополнительно – система 3D Secure автоматически подключается на все новые выпущенные карточки. Если же карта находится в обращении уже давно, активация выполняется самостоятельно. Для этого используют один из двух вариантов:
Банк тратит немалые средства на использование системы, но клиенту это ровно ничего не стоит: деньги не снимаются ни за подключение, ни за пользование.
Важно. Услугу пользователь не отключает после активации, так как она направлена на безопасное хранение средств клиента в «Сбербанке». Отключение не предусмотрено правилами.
Достоинства защитной системы
«Сбербанк» готов нести расходы ради повышения безопасности средств, и в целях привлечения новых клиентов. Чем больше народу пользуются пластиковыми картами банка, тем выше доходность финансового учреждения.
Услуга автоматически подключается на новые выпущенные карточки. Если же карта находится в обращении давно, активация должна выполняется самостоятельно. Для этого используют один из двух вариантов:
Важно. Деньги не снимаются ни за подключение, ни за пользование.
Отказ в аутентификации
Бывают ситуации, когда аутентификация вызывает затруднения. Как правило, при попытке произвести расчет с помощью карточки «Сбербанка» высвечиваются следующие слова: «к сожалению, нет данных для вашей аутентификации».
Такое случается при использовании одноразовых паролей. Практика с использованием одноразовых паролей отменена с 22.06.2016 года. Аутентификация с помощью одноразового пароля, пришедшего в сообщении на телефон, проходит без заминок.
Бывает пароль не приходит в течение положенного времени. Причиной неполадок может стать проблема с оператором сотовой связи, в частности, при доставке SMS- сообщений.
Чтобы получить одноразовый пароль еще раз, запросите его вновь, и через время он придет, если, конечно, сотовый оператор не дает сбоев.
Что такое аутентификация? Почему она завершена неуспешно?
Сейчас оплата банковской картой каких-либо услуг или товаров в интернете – привычное дело. Однако не всегда она проходит успешно. Иногда держателю пластика приходит сообщение о незавершенной аутентификации. Что это такое и почему она проходит неуспешно, будет рассмотрено в статье.
Что такое аутентификация?
Оплата услуг и товаров в интернете должна быть защищена от мошенничества, как и личные данные. Банковская карта проходит несколько процессов перед тем, как будет совершен расчет. Аутентификация – это проверка платежного средства на принадлежность определенному пользователю, а также информации о номере карты, CVС-коде, сроке окончания обслуживания.
Чтобы защитить процесс оплаты, для аутентификации используется система 3D-Secure. Она позволяет избежать утомительного ввода вышеназванных данных, однако отсылает одноразовый пароль на телефон по СМС, который нужно вставить в форму.
Почему аутентификация завершается неуспешно?
Оплата услуги или товара в интернете посредством карты останавливается на этапе аутентификации, если произошел какой-либо сбой при отправке пароля в СМС. Возможна техническая ошибка на стороне оператора мобильной связи, либо на сервере. Тогда необходимо повторить процедуру отправки пароля и введение его в соответствующее поле.
Аутентификация 3DS – что это такое и как работает?
3DS является системой безопасности, которая защищает карту от доступа к ней мошенников. Её использование подразумевает введение одноразового пароля, и с этим действием иногда возникают сложности, приводящие к ошибке операции. В статье осветим тему 3DS аутентификации и причин её сбоев. Также ответим в общем на вопрос, что это за сервис – 3D Secure.
Что такое 3D Secure?
Что же такое аутентификация 3DS? Во-первых, это защищённый протокол, позволяющий безопасно оплачивать товары и услуги на просторах сети.
Во-вторых, это защитная технология, противодействующая мошенничеству.
Название 3DS расшифровывается как Three-Domain Secure. Наименование объясняется просто – проведение транзакций подразумевает использование трёх доменов:
Процесс оплаты
Кодовая комбинация может приходить на телефон в SMS (встречается чаще всего). В то же время она бывает и постоянной. Самый экзотичный вариант – использование карты разовых кодовых значений.
Важно! Если пользователь ввел неверный код безопасности банковской карты, операция может быть прервана системой.
Примечание 1. Сведения, указываемые пользователем внутри сервиса эмитента карточки, к интернет-магазину не уходит. Всё, что может торговая площадка, – сохранить некоторые реквизиты пластика.
Когда идентификация завершается, появляется доступ к оплате, которую и проводит покупатель.
Распространённость технологии
Не все банки и далеко не все торговые интернет-площадки работают с 3D Secure. Однако сервис постоянно расширяет ареал своего применения.
Существует такая информация: кредитно-финансовые учреждения 195 государств сегодня подключены к технологии.
Чтобы узнать, работает ли Ваша банковская компания с сервисом, зайдите на её сайт или позвоните на горячую линию и узнайте у оператора.
Плюсы и минусы
Чтобы лучше понять суть и характер работы технологии, следует уделить внимание её достоинствам и недостаткам.
Также нельзя не отметить, что часто процесс покупки срывается из-за усложнённой идентификации личности. Это приводит к явлению т.н. “брошенных корзин”: люди заходят на сайт, выбирают товар, отправляют его в корзину, переходят к оплате, сталкиваются с необходимостью указывать множество разных данных и завершают процесс, не доведя его до логичного конца.
Подключение карты к 3DS
Сегодня очень большая часть российских банков выпускает карты, которые уже имеют подключенную службу 3DS. Однако иногда пластик не имеет подобной услуги. Нередко бывает и так, что сам платёжный инструмент не новый, а потому возникает вопрос: можно ли подключить 3D Secure?
Ответ – да. Вариантов тут два:
Примечание 2. Названия разделов/опций в терминалах и АТМ могут разниться – причём даже у одних тех же банков. Однако при этом смысл их сохраняется. Ищите близкое по назначению действие.
Протокол, обеспечивающий безопасность онлайн-транзакций, активируется безвозмездно. Когда Вы впервые перейдёте к оплате какой-то покупки по карте, придёт SMS-сообщение по поводу эксплуатации 3D Secure.
Как отключить?
Если ввиду каких-либо причин клиент решил деактивировать 3DS, он может столкнуться с трудностями. Многие банки отказывают в этом, т.к. считается, что в результате будет сильно понижен уровень безопасности эксплуатации платёжного инструмента.
Можно проявить упорство и настоять на отключении 3D Secure. Для этого посетите банковский офис и обратитесь к сотруднику. Он даст бланк для написания соответствующего заявления. Дальше всё зависит от политики конкретного кредитно-финансового учреждения. Часто своему клиенту идут навстречу и отключают ненужный ему сервис.
Не пришёл одноразовый код – что делать?
Проведение мероприятий по идентификации клиента, при которых используются одноразовые пароли, время от времени сопровождаются некоторыми сложностями.
Наиболее распространённая внештатная ситуация – код не пришёл на телефон картодержателя. Что тогда нужно делать?
Первая мера – ввести и отправить одноразовую комбинацию ещё раз на странице со специально предназначенным для этого полем.
Вторая мера – проверить следующие обстоятельства:
При тщетности всех попыток определить причину отсутствия сообщения с одноразовым кодом обратитесь в Вашу кредитно-финансовую организацию. Для этого лучше всего позвонить на горячую линию.
Ошибка авторизации
Бывают ситуации, что при проведении платёжной операции в сети картодержатель получает сообщение вида “Ошибка авторизации” (не пройдена идентификация). Отчего это может происходить? Есть две проблемы, являющиеся причинами такой ситуации с окном информирования о сбое:
Как видно, ничего страшного под этой ошибкой не подразумевается, а неприятные последствия довольно просто преодолеть.
Примечание 3. Рекомендуется при появлении уведомления о сбое всю платёжную операцию начать с самого начала. Это нужно, чтобы одноразовый код можно было ввести сразу, как только система его отправит клиенту. При корректном указании комбинации и одобрении платежа со стороны банковской компании онлайн-операция успешно завершится.
Действия при переезде в другую страну
Сервис можно не отключать, если Вы переезжаете в другое государство. Даже если за границей происходит смена телефона, это не беда: многие банки дают возможность указывать иностранные телефонные контакты для получения паролей одноразового действия.
Проще всего заранее составить в офисе банка заявление на замену номера, с тем чтобы всё информирование приходило на актуальный телефон.
Риски
Главная угроза для 3D Secure – это вирусы. Вне зависимости от того, на какой операционной системе работает смартфон, рекомендуется скачать и установить антивирусное программное обеспечение.
Никогда не сохраняйте карточные данные на мобильном устройстве, в браузере и т.д. 3DS применяется не для всех операций, так что при таком раскладе злоумышленники способны заполучить реквизиты Вашего пластика, а одноразовые коды им и вовсе не потребуются для кражи средств!
Пример 1. Возможен такой сценарий: мошенники крадут карту и с её помощью проводят оплату. Когда дело доходит до этапа подтверждения транзакции с помощью кода из SMS, они звонят владельцу платёжного инструмента и представляются сотрудниками банка. Разумеется, сразу запрашивается пришедший пользователю пароль – многие наивно его сообщают, чего делать нельзя категорически. Итог один: деньги уводятся подчистую. Причём всё сильно хуже, если пластик – кредитный, ведь тогда банковские утерянные деньги придётся возвращать в любом случае.
Подытоживая, можно сказать следующее: на 3DS надейтесь, но сами не плошайте.
Заключение
3D Secure – это технология, созданная для защиты финансовых средств пользователя, хранящихся на его банковской карте. Бывает, что при эксплуатации сервиса возникает ошибка авторизации (аутентификации). Разумеется, это вызывает у владельца пластика некоторое непонимание. Однако тут нет ничего страшного, т.к. причин обычно две: ошибка в набранном коде или его истекший срок действия.
Карта не прошла 3DS-аутентификацию, либо отклонена платежной системой — что это значит
Торговля через интернет становится все более популярной, как и инструменты онлайн платежей. Созданные механизмы обеспечивают надежность и безопасность проведения финансовых операций, но и в них возможны сбои. Все чаще при онлайн оплате пользователи получают сообщение «Ваша карта не прошла 3DS-аутентификацию, либо отклонена платежной системой». Сбой возникает с картами Сбербанка, ВТБ24, Альфа банк. В статье мы расскажем что это за ошибка и почему она появляется.
Что это за аутентификация?
3DS аутентификация – специальный защитный протокол пользователей, путем ввода двухфакторной авторизации. Главное назначение разработанной технологии – повысить безопасность проведения сделки, снизить вероятность использования карты без ведома владельца путем дополнительного этапа подтверждения. Первой платежной системой, которая начала использовать эту функцию, является VISA, а остальные, оценив надежность технологии, подключили ее позднее.
Не все магазины используют 3DS Secure, позволяющую защитить пользователя, торговую точку и банк во время проведения оплаты. Об использовании технологии говорят логотипы:
Суть технологии в том, что при оформлении покупки добавляется дополнительный этап — подтверждение кода. Стандартно, схема приобретения товара через интернет в этом случае выглядит так.
Обратите внимание, что магазины не получают полные данные о карте, имея доступ лишь к части информации.
3DS Secure представлена отправкой защитного кода со стороны держателя карты. Он имеет несколько вариантов:
Таким образом, для проведения операции требуется карта, мобильный телефон, но если кодовое число выбрано владельцем пластикового носителя, то использование мобильного не требуется. Опция активируется в момент привязки данных карты и оплаты с нее.
Причины ошибки «Карта не прошла 3DS-аутентификацию»
Существует несколько основных факторов, которые приводят к появлению оповещения о неудачной транзакции:
Как исправить?
Начать нужно с проверки счета, если с этим не возникло проблем, то наиболее простой и оперативный способ решения – позвонить на горячую линию вашего банка. Например, в случае со Сбербанком звоните на 900, либо +7 495 500-55-50. Сотрудник кол-центра проверит настройки и подскажет, как решить проблему и вероятные причины возникновения. Если речь идет не о неполадках со стороны банка или платежной системы, то с помощью оператора решение проблемы займет 5-10 минут. Нет возможности разговаривать по телефону – все современные банковские структуры имеют штат онлайн-консультантов, с которыми можно связаться через форму чата на сайте.
Звонок оператору поддержки — самый оптимальный вариант
Если же вы хотите решить проблему самостоятельно, то начать нужно с проверки подключения функции. Для этого нужно сделать следующее.
Для подключения 3DS аутентификации оператор попросит предоставить:
Подключение занимает не более 1-2 суток. Услуга 3DS аутентификации в большинстве случаев платная, но есть банки, предлагающие бесплатное подключение.
Подведем итоги
3DS Secure – дополнительная мера защиты для повышения безопасности онлайн платежей. Пройти ее без наличия карты, владельца и номера телефона крайне проблематично, что снижает вероятность мошенничества. В обычных условиях этот этап включается в схему оплаты покупок от 3000 рублей и выше. Если карта не проходит 3DS-аутентификацию — обязательно проверьте активные опции у себя в кабинете, либо прозвоните оператору за прояснением.
Однако не стоит надеяться, что защитный протокол обеспечит 100% гарантию безопасности. Еще есть много магазинов, которые работают без этой технологии. Таким образом можно сказать, что эта функция полезна в комплексе с другими защитными средствами.
Платежная EMV-карта. Механизмы обеспечения безопасности платежа
Платежные карты прочно вошли в нашу жизнь. Еще совсем недавно повсеместно использовались только карты с магнитной полосой. Сегодня же никого не удивишь картой с чипом. Всем известно, что чиповая, микропроцессорная или, созвучнее, платежная EMV-карта – современный и надежный способ доступа к расчетному счету. Она безопаснее карты с магнитной полосой и ее практически невозможно подделать. Однако детали реализации «внутренностей» EMV-карты мало известны. Всем кому интересно как работает EMV-карта, почему технология EMV обеспечивает безопасность платежей и насколько стоит всему этому доверять – добро пожаловать под кат.
1. Введение
О каких картах пойдет речь?
Сегодня международные платежные системы (МПС) используют стандарт EMV для проведения операций по банковским картам. Одними из наиболее известных МПС, стоящих у истоков разработки этой технологии, являются компании «VISA Inc» и «MasterCard Worldwide». Поскольку в основе микропроцессорных карт этих компаний лежит общая технология EMV, мы будем рассматривать обобщенную EMV-карту, не вдаваясь в детали реализации той или иной компании.
Стоит сразу отметить, что спецификация EMV достаточно большая, поэтому статья не претендует на полное описание стандарта. Многие вещи будут представлены в упрощенной форме без использования специфической терминологии. Так как стандарт является открытым, при желании всегда можно ознакомиться и разобраться в деталях на сайте EMVCo.
Описывая платежные транзакции и функциональность EMV-карты, мы будем ссылаться на других участников системы. Помимо самой платежной системы в процессе проведения транзакции участвуют:
Рассматривая подробнее платежную EMV-карту, мы будем концентрировать внимание не только на возможностях микропроцессора. Технология EMV подвергла изменениям как сами карты, так и сообщения, которыми обмениваются участники системы; расширила функциональность приложений для терминалов, банков-эквайров и эмитентов.
2. Аутентификация магнитной и EMV-карты
Одна из основных задач банка, выпустившего карту – это аутентификация карты в ходе ее использования. В данном случае под аутентификацией понимается процесс доказательства того, что данная карта (или приложение на карте) выпущена банком, авторизированным на это соответствующей платежной системой.
Как происходит процесс аутентификации карты?
В общем случае, прочитав данные карты, терминал отправляет их через банк-эквайер и платежную систему банку-эмитенту. Эмитент на основании данных карты определяет ее подлинность.
В этом процессе заключается одна из основных проблем безопасности платежей по магнитным картам. С одной стороны, целостность данных магнитной карты надежно защищена кодом CVV/CVC (CVC – Card Verification Code, CVV – Card Verification Value) и модифицировать их бесполезно. С другой стороны, довольно просто скопировать всю карту целиком.
2.1 Аутентификация магнитной карты на основе статических данных
Для аутентификации в транзакциях по магнитной карте используются статические данные карты. Эти данные карты каждый раз передаются в банк-эмитент и не меняются на протяжении всего срока действия карты. Вдобавок, платежный терминал практически не оценивает риски транзакций по картам с магнитной полосой. В итоге – в случае полного копирования карты – банк-эмитент не сможет достоверно определить подлинность такой карты. Соответственно, вероятность проведения мошеннической операции достаточно высока.
2.2 Аутентификация EMV-карты на основе динамических данных
Как этот вопрос решают EMV-карты?
Решением вышеописанной проблемы является цифровая подпись статических данных карты и данных транзакции, которые отправляются эмитенту. Поскольку цифровая подпись является уникальной для каждой транзакции, подделка или копирование EMV-карты является нетривиальной задачей.
Рассмотрим подробнее, как происходит динамическая аутентификация карты в ходе EMV-транзакции. Процесс транзакции начинается в момент установки карты в терминал. Терминал передает карте данные транзакции (сумма, валюта, страна и т.д.). Затем карта и терминал производят взаимную проверку рисков транзакции. Если оба устройства все «устраивает» то карта подписывает данные транзакции, а терминал заполняет полученными данными поле (таг или тэг) «DE 55» и отправляет его в банк-эквайер. Тот, в свою очередь, отправляет сообщение банку-эмитенту.
Эмитент, получив поле «DE 55», проверяет подлинность подписи (далее криптограммы) карты, которая рассчитана на основании динамических данных текущей транзакции, тем самым проверяя подлинность самой карты.
Описанный выше процесс является сильно упрощенной моделью EVM-транзакции. Однако он раскрывает главный аспект безопасности EVM-платежей – использование для аутентификации карты динамических данных вместо статических.
Стоит отметить, что у эмитента появляются новые возможности:
3. Внутренняя структура и безопасность EMV-карты
По большему счету, микропроцессорная карта стандарта EMV является обычной смарт-картой (почитать раз, два, три), в основе которой лежат стандарты ISO/IEC 7816 или ISO/IEC 14443 (для бесконтактной).
Реализация EMV-карты может быть выполнена как на базе JavaCard и GlobalPlatform, так и с помощью нативных методов смарт-карты. Аналогично обычными операционными системами (ОС), карточные ОС также имеют файловую структуру и приложения. В контексте этой статьи, наиболее интересны именно платежные приложения EMV-карты. Поэтому будем рассматривать именно их.
Что представляет собой платежное EMV- приложение?
C точки зрения пользователя (терминала или банкомата), платежное EMV-приложение – это программный продукт с интерфейсом, детально описанным в стандарте EMV.
Интерфейс представляет собой серию команд для проведения транзакций и управления EMV-приложениями. Подробную информацию можно найти в «EMV Book 3 Application Specification». Несмотря на существование стандарта, платежные приложения компаний Visa и MasterСard имеют отличия в реализации. Также могут отличаться и разные приложения одной компании. Например, «M/Chip 4» и «M/Chip Advance» компании MasterСard.
Вне зависимости от реализации, каждое приложение имеет свой собственный идентификатор, так называемый AID (Application Identifier). Он указывает к какому типу платежной системы относится приложение. По идентификатору приложения AID терминал определяет возможность проведения транзакции или, в случае нескольких приложений строит список поддерживаемых приложений и предлагает выбрать одно из них.
Если на карте реализована файловая структура и управление приложениями, какие же механизмы обеспечивают безопасность данных от доступа извне?
Тут стоит разделить время жизни карты до момента выпуска банком, и после.
Первичный доступ к чистой карте обычно регламентируется производителем чипов. Чаще всего каждая партия карт имеет свой ключ карты, с помощью которого необходимо аутентифицироваться с картой в ходе ее прошивки.
На следующем этапе доступ к файловой системе и приложениям обычно регулируется операционной системой. Она также имеет свой собственный ключ, и, соответственно, для доступа требуется аутентификация.
Далее установленное приложение проходит процесс персонализации карты. Персонализация представляет собой загрузку параметров и ключей приложения, которые определяют безопасность EMV-транзакций. Для доступа к этому процессу также требуется аутентификация с помощью ключа приложения.
После установки приложения и его персонализации вышеперечисленные доступы обычно закрываются навсегда. Что исключает возможность проникновения «внутрь» после выпуска карты.
Итого: ключ карты, ключ ОС и ключ приложения защищают карту от стороннего вмешательства на различных стадиях ее производства. В случае если в ходе изготовления часть карт будет дискредитирована (например, украдена), эти ключи защитят карты от вмешательства извне. А без знания ключей карты становится практически полностью бесполезными.
Некоторые данные приложения могут быть модифицированы и после выпуска карты. Изменения могут быть выполнены так называемыми скриптовыми командами. Исключительные права на внедрение изменений принадлежат эмитенту. Такая возможность предусмотрена, чтобы в любой момент времени, эмитент мог заблокировать или разблокировать карту, обновить лимиты или настройки карты. Обновление данных производится терминалом или банкоматом только после успешной онлайн транзакции (аутентификации с банком). Данные приходят на карту от эмитента в чистом виде, однако имеют в себе аналог цифровой подписи – MAC, который гарантирует целостность данных. Для расчета MAC используется соответствующий ключ приложения (один из трех DES ключей загружаемых в приложение).
Отдельными пунктами являются модификация оффлайн пин-кода (offline PIN) и счетчика лимита неудачных вводов пин-кода (PinTryLimit). Эти изменения также выполняются скриптовой командой с MAC-подписью. Однако, при смене пин-кода эти команды дополнительно шифруются с помощью специального ключа, предназначенного исключительно для выполнения описанного процесса.
4. Данные EMV-приложения
Аналогично картам с магнитной полосой, EMV-приложения также имеют открытые данные доступные для чтения. И хотя само приложение прочитать невозможно, как невозможно добраться и до ключей и пин-кода – доступ к открытым данным приложения всегда открыт.
Данные EMV приложения
О каких данных идет речь?
На картинке выше приведен ориентировочный список данных, хранящихся внутри EMV-приложения. Конечно, для каждого конкретного приложения он может несколько отличаться. На данном этапе важно отметить, что персональная информация клиента не хранится в EMV-приложении. Действительно, больший объем памяти чипа позволяет платежным системам и банкам хранить на карте больше информации – однако персональной информации клиента там нет.
Предыдущая картинка наглядно иллюстрирует факт того, что на карте хранится множество технических данных, необходимых для эффективного проведения операций и доступа к счету. Данные EMV-приложения размещаются в записях (рекордах или треках). Их список можно получить в ответ на команду «Get Processing Options». Конкретную запись можно прочитать с помощью команды «Read Record». Внутри могут находиться: сертификаты ключей, номер карты (PAN – Primary Account Number), списки методов проверки карты (CVM list– Card Verification Methods list) и множество другой информации. Чтение этих записей очень похоже на чтение треков с магнитной полосы. Данные технических настроек карты, счетчики и лимиты можно получить командой «Get Data», указав требуемый тип.
Интересно, что практически все данные о счете держателя карты и настройках приложения можно вычитать из карты без каких либо трудностей. Единственное до чего не добраться – это ключи приложения и значение пин-кода.
Можно ли скопировать данные на с одной чиповой карты на другую?
Если у вас есть карта с «чистым» (не персонализированным) приложением, то технически это реализуемо. Однако за счет отсутствия возможности сделать копию ключей карты – приложение будет генерировать неверные подписи транзакции. В результате – эмитент будет отклонять любые онлайн-операции. Также отсутствие ключей не позволит провести CDA /DDA аутентификацию. Единственная брешь — это SDA офлайн. Однако на данный момент этот метод в виде единственного метода аутентификации считается устаревшим. Далее будет детально рассмотрено, как защищена EMV-транзакция.
Можно ли скопировать данные EMV-приложения на магнитную полосу?
Из данных EMV-приложения можно составить треки для карты с магнитной полосой, за исключением одного небольшого параметра – кода обслуживания (Service Code). В качестве данных для EMV-приложения, код обслуживания указывает терминалу, что транзакция должна быть проведена с использованием приложения карты. Если взять этот код «как есть» и скопировать на магнитную дорожку – терминал будет пытаться выполнить транзакцию с помощью приложения. Казалось бы, можно отредактировать код обслуживания, но целостность данных защищена кодом CVV/CVC кодом. Он является ближайшим аналогом цифровой подписи.
Создается ощущение, что EMV-карта защищена от копирования со всех сторон. Хотя все-таки известна одна тривиальная возможность. Для режима совместимости производители выпускают EMV-карты комбинированного типа – то есть с микропроцессором и магнитной полосой. Существует возможность скопировать данные магнитной полосы на другую комбинированную карту с нерабочим чипом (чистым или сожженным) и попытаться провести так называемый fallback (при невозможности считать чип, терминал проводит операцию по магнитной полосе). В данный момент такие операции не приветствуется платежными системами, а риск по этим операциям ложится на эквайра или эмитента.
5. Безопасность EMV-транзакции
Существует два разных (хотя и выполняющих одну и ту же функцию) варианта проведения платежной транзакции – онлайн и офлайн. Выше мы в общих чертах рассматривали онлайн-транзакцию, которую эмитент подтверждает в режиме реального времени. Офлайн-транзакция проводится терминалом без моментального подтверждения банком. Такие транзакции используются для операций с низким уровнем риска или в случае, например, отсутствия связи с банком-эмитентом.
Для этих двух видов транзакций существует соответственно два вида аутентификаций – онлайн и офлайн. В случае выполнения онлайн-аутентификации, операция производится с участием эмитента, а офлайн-аутентификация подтверждается платежным терминалом. Стоит уточнить, что во время проведения онлайн- транзакции может выполняться как онлайн-, так и офлайн-аутентификация одновременно (если и карта, и терминал это поддерживают). Несмотря на избыточность схемы, на этапе аутентификации не всегда понятно в каком режиме будет проходить транзакция.
Порядок выполнения транзакции карта – терминал
Функции безопасности, рассматриваемые ниже, являются только частью EMV-транзакции. Помимо аутентификации, к функциям безопасности можно отнести: оценку рисков проведения транзакции и верификацию держателя карты (онлайн и офлайн-пин, размер суммы транзакции, страна, валюта, прочее).
5.1 Онлайн EMV-транзакция
Основным методом подтверждения подлинности карты в онлайн-транзакциях является аутентификация карты онлайн. В основе данного метода лежит генерация картой криптограммы ARQC (Authorisation Request Cryptogram) для каждой платежной операции. Давайте рассмотрим этот процесс подробнее.
Онлайн EMV-транзакция
В основе генераций и проверок криптограмм лежит алгоритм 3DES. Эмитент и карта владеют общим секретным ключом MKac (Application Cryptogram Master Key). В начале транзакции карта генерирует на основе MKac сессионный ключ SKac (Application Cryptogram Session Key). Криптограмма ARQC длинной 8 байт генерируется картой с помощью алгоритма MAC, на сессионном ключе SKac с использованием данных транзакции.
В процессе транзакции, сгенерированная картой криптограмма ARQC, отправляется в банк-эмитент, Банк сверят пришедшую ARQC с криптограммой которую, рассчитал самостоятельно. Для этой операции банком генерируется сессионный ключ, затем на основании пришедших данных транзакции, рассчитывается собственный ARQC. Если собственный (сгенерированный эмитентом) ARQC и ARQC карты сходятся – карта подлинная.
Далее эмитент по похожему алгоритму на основе динамических данных транзакции и данных ответа генерирует ARPC (Authorisation Response Cryptogram) и отсылает эту криптограмму назад карте. В тот момент, когда карта подтвердит пришедший ARPC, взаимная аутентификация карты и эмитента – выполнена.
Выше описан основной механизм аутентификации карты, который используется для онлайн-транзакций. Как уже было сказано, в онлайн-транзакции может присутствовать офлайн-аутентификация. Однако, чтобы не усложнять, рассмотрим детальное описание офлайн-аутентификации в контексте офлайн-транзакции.
Следующим методом безопасности являются расширенные данные в Field/DE 55 которые передаются в банк-эмитент. Field/DE 55 содержит результаты работы карты и терминала, оценки рисков и анализа транзакции.
Как показано на изображении выше, в Field/DE 55 содержится важная информация. Например, Terminal Verification Result, Сard Verification Result, которые в сумме с остальными данными помогают понять эмитенту и платежной системе как происходит транзакция и предоставляют множество дополнительных деталей для оценки рисков транзакции.
5.2 Офлайн EMV-транзакция
Особенность офлайн-транзакции заключается в том, что транзакция проводится картой и терминалом без обращения к банку и платежной системе. В процессе такой транзакции карта может одобрить транзакцию в пределах установленного лимита, а терминал, в свою очередь, отправляет информацию в банк позже по расписанию, либо когда появится связь с банком. Такие офлайн-транзакции предоставляют дополнительные преимущества как банку-эмитенту, так и владельцу карты. Например, владелец может расплатиться даже, если связи с банком нет. Либо же, если сумма небольшая – операция пройдет намного быстрее.
Как происходит аутентификация карты при офлайн-транзакции?
Ранее упоминалось, что онлайн- и офлайн-аутентификации используют разные технологии. Если онлайн использует криптографический алгоритм 3DES, то в случае с офлайн используется RSA c ассиметричными ключами. Зачем же использовать такие разные технологии? Все дело в том, что при онлайн-аутентификации, ключи хранят только карта и банк. В случае же офлайна – ключ нужно доверить терминалу. Учитывая наличие большого количества терминалов, существует вероятность, что секретный ключ доверенный терминалам недолго останется секретным.
Т.к. детальное описание офлайн-аутентификации карты достаточно большое, рассмотрим упрощенную модель.
Static Data Authentication
Во главе всего стоит платежная система (точнее центр сертификации), которая выпускает пару ключей: приватный ключ (красный) и публичный ключ (синий). Банк-эмитент также имеет свою пару ключей. Для своих ключей эмитент специальным образом генерирует сертификат (Issuer Public Key Certificate), который содержит в себе публичный ключ эмитента. Этот сертификат подписан (зашифрован) приватным ключом платежной системы. В процессе персонализации этот сертификат загружается на карту.
Когда платежный терминал устанавливают в торговую точку и подключают к системе, публичный ключ платежной системы через банк-эквайер загружается в терминал.
В процессе офлайн-транзакции терминал производит офлайн-аутентификацию карты. Сначала терминал вычитывает из карты Issuer Public Key Certificate, и с помощью публичного ключа платежной системы проверяет правильность подписи сертификата (т.е. расшифровывает). Если подпись верна – извлекается публичный ключ эмитента. Далее, с помощью публичного ключа эмитента, проверяется подпись критических данных карты, чем и подтверждается ее подлинность.
Описанный выше метод относится к статической аутентификации SDA (Static Data Authentication). В настоящее время чаще используются динамические аутентификации: DDA (Dynamic Data Authentication) и CDA (Combined Data Authentication), которые включают в себя SDA и дополнительно, по аналогии с онлайн, подписывают данные, которые курсируют между терминалом и картой. Данные подписываются приватным ключом карты, который загружается на карту в процессе персонализации. Подпись проверяется терминалом с помощью публичного ключа, восстановленного из соответствующего сертификата.
Технология SDA позволяет терминалу проверить, что данные на карте не модифицированы. Однако, она не позволяет полностью идентифицировать подлинность карты (существует возможность скопировать SDA-данные). В свою очередь, технологии DDA и CDA позволяют подтвердить подлинность карты, потому что карта является носителем уникального приватного ключа, чей сертификат (публичный ключ) подписан приватным ключом эмитента (сертификат эмитента (его публичный ключ) подписан приватным ключом платежной системы).
Диаграмма SDA
Диаграмма DDA/CDA
Технологии DDA и CDA уже содержат в себе SDA и в целом сходны. Оба алгоритма используют уникальный ключ карты и динамические данные. DDA-аутентификация является отдельной операцией и выполняется до основного цикла процесса транзакции. CDA выполняется в основном цикле транзакции, а в качестве подписываемых данных дополнительно используется криптограмма карты. В целом, сегодня, технология DDA более распространена, хотя CDA является более предпочтительной в использовании.
Помимо цифровой подписи, терминал и карта умеют оценивать риски транзакции. Для офлайн-транзакции карта может оперировать несколькими видами счетчиков транзакций и аккумуляторов офлайн-сумм, валютами и странами, офлайн-пином и его лимитами, а также дополнительными правилами. В процессе персонализации карты эмитент имеет возможность ограничить максимальное количество последовательных офлайн-транзакций и/ или максимальную сумму транзакции (нижними и верхними лимитами), таким образом определяя уровень риска.
Для каждой из реализаций приложения конкретной платежной системы существует свой набор правил, на основании которых карта может принимать решения проводить офлайн, онлайн или отклонять транзакцию. Список этих правил достаточно гибкий и может по-разному настраиваться эмитентом для каждого карточного продукта. В процессе решения могут участвовать результаты предыдущих транзакций, офлайн-счетчики, результаты проверки пина и т.д.
6. Проверка держателя карты CVM (Cardholder verification method)
Практически вся статья была посвящена транзакциям и процессу аутентификации карты, а пользователю карты уделялось мало внимания. С появлением технологии EMV проверка держателя карты не слишком видоизменились. В данный момент наиболее популярными методами проверки являются: проверка пин-кода (онлайнового и/или офлайнового) и подпись владельца карты. Так сложилось, что с приходом EMV не все платежные терминалы обладают одинаковыми возможностями проверки держателя карты (например, по причине возраста оборудования). В свою очередь, разные EMV приложения также могут быть ограничены в возможностях. Поэтому терминалу и карте приходится выбирать подходящий метод проверки держателя карты. Для этого используются так называемые CVM-списки. В CVM-списке определены методы проверки держателя карты и их приоритеты. И платежное приложение, и терминал имеют свои собственные списки. Итоговый список определяется путем объединения списков терминала и приложения. Из полученного итогового списка терминал выбирает общий CVM- метод с наибольшим приоритетом и осуществляет проверку держателя карты.
Пример такого списка представлен на картинке выше. Например, если карта вставлена в банкомат – будет запрошен онлайн-пин, если в терминал – офлайн-пин. В случае, если устройство не имеет пин-пада – будет запрошена проверка подписи. Во всех остальных случаях проверка держателя карты производиться не будет.
Заключение
В данной статье былы поверхностно рассмотрены платежное EMV-приложение и хранимые в нем данные, описаны основные отличия в процессах проведения транзакций по магнитным и EMV-картам. Также были рассмотрены процедуры проведения онлайн и офлайн-транзакций и механизмы обеспечения их безопасности. Конечно же, каждый аспект технологии EMV, имеет гораздо большую глубину и степень сложности. Однако, надеюсь, что статья дала общее понимание принципа работы платежных EMV-карт и проведения платежей с их помощью.
В заключении можно сказать, что платежная EMV-карта сложный и высокотехнологичный продукт, надежно защищающий доступ к вашему счету в банке. Микропроцессорную EMV-карту практически невозможно скопировать, а каждая транзакция защищена уникальной цифровой подписью. Любые действия, происходящие внутри карты, регламентируются строгим набором правил с указаниями как поступать в каждом конкретном случае. В процессе создания платежные EMV-приложения проходят обязательную многоуровневую сертификацию и получают разрешение от платежной системы на их использование. Программировать такие карты сложно и интересно. Впрочем, описание этого процесса может растянуться еще не на одну статью.