Аутентификация лица, совершающего карточную операцию

Что такое аутентификация
Многофакторная модель аутентификации ЛСО
Пластиковая карта как средство идентификации (аутентификации) ЛСО
Аутентификация ЛСО на примере операции покупки с помощью платежной карт

Удаленный доступ клиента к своему банковскому счету (счетам) для выполнения расчетов с предприятием торговли (сервиса) при совершении безналичной покупки или с целью получения наличных в банкомате (отделении банка) или с какой-либо иной целью невозможен без надежной аутентификации клиента его банком. Любое лицо, запрашивающее доступ к банковскому счету с целью выполнения финансовой операции и (или) для получения информации о статусе счета, на момент запроса доступа к счету является для банка, в котором открыт счет, только лицом, совершающим операцию (ЛСО). Первоочередная задача банка состоит в том, чтобы в момент обращения ЛСО к банковскому счету X проверить права ЛСО на доступ к счету X с целью его использования для совершения различных операций. Другими словами, банк должен проверить справедливость равенства "ЛСО = Клиент банка A, имеющий право на доступ к счету X". Проверка этого равенства состоит из двух частей: 1) проверки того, что ЛСО = Клиент банка A, и 2) проверки того, что клиент A имеет право на доступ к счету X. Проверка выполнения первой части и есть не что иное, как решение задачи аутентификации банком ЛСО. Проверка второй части производится на основе данных учетной записи клиента в информационной системе банка, определяющей, к каким ресурсам и с какими правами клиент имеет доступ.

Существуют различные средства и связанные с ними технологии аутентификации ЛСО. Пластиковая карта является апробированным и широко используемым средством идентификации (аутентификации) лица, совершающего операцию. Пластиковая карта позволяет банку идентифицировать счет X, к которому обращается ЛСО, а также с хорошей достоверностью (как показывает практика, с вероятностью не ниже 99,92%) решить задачу проверки равенства "ЛСО = Клиент банка, имеющий доступ к счету X". Значение 99,92% выводится из того факта, что на сегодняшний день средний уровень карточного мошенничества в мире не превышает 8 б. п.

Достоверность аутентификации лица, совершающего операцию с использованием пластиковой карты, является краеугольным камнем технологии пластиковых карт. От того, насколько технология позволяет банку - эмитенту карты быть уверенным в том, что операция выполнена с использованием его (банка-эмитента) карты и операция совершается законным держателем карты - клиентом банка-эмитента, которому карта была выдана банком на основе договора банка с клиентом, зависит жизнеспособность карточной технологии в целом. Именно поэтому платежные системы и банки уделяют так много внимания вопросам карточной безопасности и выделяют колоссальные средства на обеспечение высокого уровня безопасности карточных операций. Главным образом в результате осознания того факта, что технология аутентификации ЛСО при использовании карт с магнитной полосой уже не обеспечивает необходимый уровень достоверности, сегодня происходит массовая миграция банков на существенно более безопасную технологию, в основе которой лежат микропроцессорные карты.

При использовании карт аутентификация ЛСО является в общем случае распределенной процедурой, в которой заняты все участники операции: торговое предприятие, обслуживающий торговое предприятие банк, платежная сеть и, наконец, банк, к счету клиента в котором обращаются для проведения оплаты. Роли каждого участника процедуры аутентификации ЛСО важны (например, сеть аутентифицирует обслуживающий банк, обслуживающий банк, в свою очередь, аутентифицирует торговое предприятие, последнее выполняет важные функции для аутентификации ЛСО, делегированные ему эмитентом (платежной системой)). Однако окончательное решающее слово - заключение по поводу справедливости равенства "ЛСО = Клиент банка, имеющий доступ к счету" - произносится банком - эмитентом карты, а потому и ответственность за принятое решение в большинстве случаев (исключение составляют CNP-транзакции, не использующие протокол 3D-secure, и карты с магнитной полосой, обслуживаемые в терминалах, умеющих работать по чипу) несет эмитент карты.

Примечание. CNP - Card Not Present - тип транзакций по платежным картам, совершаемых в отсутствие держателя карты, т.е. без физического предъявления карты продавцу (как правило, при покупках через Интернет).

Многофакторная модель аутентификации ЛСО

Когда речь идет о картах, для аутентификации ЛСО банком в общем случае используется трехфакторная модель аутентификации.

Фактор 1. Проверка чего-то, что имеется у ЛСО и что указывает на его связь с банком. В нашем случае это проверка наличия у ЛСО пластиковой карты и подтверждение того факта, что карта была эмитирована банком.

Фактор 2. Проверка чего-то, что должно знать только ЛСО и может быть проверено банком (возможно, опосредованно, с использованием других участников операции, в рамках которой производится аутентификация ЛСО). В нашем случае это PIN-код, известный только ЛСО (может быть проверен банком-эмитентом, возможно с использованием карты эмитента, если карта является микропроцессорной и эмитент делегировал ей эту функцию), и (или) подпись ЛСО (подпись клиента изначально удостоверяется банком при выдаче карты клиенту и проверяется эмитентом опосредованно, через торговую точку). Для соответствия законодательству некоторых стран при использовании микропроцессорных карт иногда одновременно применяется проверка PIN-кода и подписи клиента.

Фактор 3. Проверка чего-то, что присуще только клиенту банка (физически не может быть передано иному лицу) и связано с выданной ему картой. В случае безналичных расчетов - это биометрическая информация клиента банка, записанная для хранения в чипе карты. Проверяется соответствие биометрической информации клиента банка, записанной в чипе карты, биометрической информации, относящейся к ЛСО.

Сегодня, как правило, используется двухфакторная модель (факторы 1 и 2). Биометрические методы верификации только начинают внедряться для держателей микропроцессорных карт.

Отметим, что логика многофакторной модели аутентификации очевидна. В первую очередь банк должен понять, что карта, по которой собираются выполнить операцию, действительно его карта, т.е. карта была эмитирована банком (фактор 1). Поскольку реквизиты карты определяют ее держателя, то, очевидно, следующий вопрос, на который должен ответить эмитент, - моя карта находится в руках моего клиента, которому я выдал карту для обеспечения удаленного доступа клиента к своему счету? Для ответа на этот вопрос используется фактор 2.

Проверка наличия у ЛСО карты, выданной банком (фактор 1), выполняется в несколько этапов с помощью:

осмотра продавцом торгового предприятия внешнего вида карты (проверка логотипов банка и платежной системы, голограммы, специальной микропечати, нанесенной на карту, тисненных секретных символов (сегодня практически не используются) и т.п.), а также в случае микропроцессорной карты - с помощью офлайновой динамической аутентификации карты;
проверки обслуживающим банком того факта, что торговое предприятие, в котором совершается операция, действительно обслуживается этим банком (банк имеет с торговым предприятием договор на обслуживание карты, предъявленной к оплате);
проверки эмитентом номера карты, ее срока действия, секретных величин CVC/CVV (CVC2/CVV2), а в случае микропроцессорной карты - выполнение онлайновой динамической аутентификации карты.

Безусловно, динамическая аутентификация микропроцессорной карты (офлайновая и (или) онлайновая) подняла уровень достоверности аутентификации ЛСО по фактору 1 (и, как следствие, аутентификации ЛСО в целом) на качественно новый, гораздо более высокий уровень. Подделка микропроцессорной карты, поддерживающей процедуры динамической аутентификации, является весьма дорогостоящим мероприятием.

На сегодняшний день наиболее надежным и универсальным способом аутентификации ЛСО в соответствии с фактором 2 является проверка PIN-кода. Это связано с тем, что PIN-код является самым труднодоступным для мошенников секретом среди всех реквизитов карты с магнитной полосой, поскольку он на карте не хранится. Потому применение PIN-кода - наиболее надежное средство безопасности операций, выполняемых с использованием карт с магнитной полосой. В общем случае PIN-код представляет собой последовательность десятичных цифр, вводимых ЛСО во время совершения операции по карте. Размер PIN-кода варьируется от 4 до 12 цифр (на практике в большинстве случаев - четыре цифры). PIN-код вводится с помощью специального криптографического модуля, входящего в состав терминального устройства (банкомата, POS-терминала и т.п.), - PIN-Pad или PIN Entry Device (PED), - и должен быть передан на хост эмитента, где он проверяется. Знание ЛСО секрета, известного держателю карты, по которой производится транзакция, является веским основанием считать, что ЛСО и держатель карты являются одним лицом.

Платежные системы предъявляют жесткие требования к процедурам управления и передачи PIN-кода (требования PIN Security Requirements), а также к устройствам ввода PIN-кода, сформулированные в стандарте PCI PTS (Payment Card Industry PIN Transaction Security).

Пластиковая карта как средство идентификации (аутентификации) ЛСО

Пластиковая карта является носителем информации, которая:

идентифицирует платежную систему (ассоциацию банков, к которой принадлежит эмитент карты), эмитента карты, карточный продукт, держателя карты - клиента банка;
определяет условия применения карты (онлайновый (офлайновый) режим обработки транзакции, необходимость выполнения транзакции только с использованием электронного терминала, необходимость ввода PIN-кода, география приема, срок действия карты и т.п.);
содержит элементы защиты карты от подделки и информацию, используемую для аутентификации карты и ее держателя (логотип и голограмму платежной системы, логотип эмитента карты, фотографию держателя карты, специальные проверочные значения CVV/CVC, CVV2/CVC2, обеспечивающие целостность данных карты, подпись держателя карты и т.п., в микропроцессорных картах - секретные ключи и, возможно, PIN-код держателя карты). Следует отметить, что многие ранее использовавшиеся для визуальной проверки в торговом предприятии реквизиты карты больше не применяются. К таким утратившим действие реквизитам относятся, например, эмбоссируемые секретные символы платежной системы, микропечать и т.п. Это связано с невысокой эффективностью названных элементов защиты карты и миграцией карточной технологии на новые электронные средства обработки операций, в которых роль продавца торгового предприятия в процессе аутентификации держателя карты снижается до минимума.

Карта содержит логотипы платежной системы и банка-эмитента, а также информацию, называемую реквизитами карты: номер карты, срок действия карты, код обслуживания, имя держателя, специальную информацию, генерируемую эмитентом и используемую им для удаленной проверки подлинности карты. Часть этой информации наносится на пластик карты с помощью специальной печати или тиснения и считывается в процессе совершения транзакции визуально и осязательно. Эта информация используется продавцом торгового предприятия для проведения так называемой голосовой авторизации, при которой торговое предприятие связывается по телефону со службой голосовой авторизации банка и сообщает ей информацию о реквизитах торгового предприятия, карты, держателя карты и совершаемой операции. Сегодня голосовая авторизация используется крайне редко и в мире преобладают электронные средства приема карт. Для точек приема карт, в которых совершается всего несколько операций в месяц, в качестве альтернативы достаточно дорогим электронным POS-терминалам появились мобильные терминалы (mobile POS, или mPOS), представляющие собой ридер, подключенный к сотовому телефону, на котором устанавливается программа, управляющая обменом данных между таким терминалом и хостом его обслуживающего банка.

Часть информации наносится на магнитную полосу и (или) в микропроцессор (чип), расположенные на карте. Информация с магнитной полосы или чипа считывается с помощью специальных устройств, называемых считывателями карты, или картридерами. Электронные терминалы в торговом предприятии (так называемые POS-терминалы), а также автоматические устройства выдачи наличных (банкоматы) оснащены подобными картридерами, или просто ридерами.

Примечание. POS - Point of Sale, букв. - точка продажи.

Обслуживающий банк обеспечивает поддержку инфраструктуры приема пластиковых карт, к которой в общем случае относятся банкоматы, пункты выдачи наличных и предприятия торговли и сервиса. Обслуживающий банк заключает договоры с торговыми предприятиями на обслуживание в них пластиковых карт, гарантируя торговому предприятию возврат средств за операции, совершенные в нем по картам любого банка - участника платежной системы.

Некоторые платежные системы (например, VISA и MasterCard) дополнительно гарантируют торговому предприятию возмещение средств по транзакциям, выполненным с использованием карт этой платежной системы. Дополнительная гарантия выдается на случай финансового краха обслуживающего банка и его неспособности возместить торговому предприятию средства по покупкам, совершенным с использованием пластиковых карт. В этом случае платежная система рассчитывается с торговым предприятием по выполненным в нем карточным операциям вместо потерпевшего крах банка. Гарантия платежной системы повышает уверенность торгового предприятия в возмещении ему средств по безналичной покупке. Эта уверенность лежит в основе технологии расчетов с использованием пластиковых карт.

Одна из важнейших задач любой платежной системы состоит в создании широкой географически распределенной инфраструктуры приема карт. Подобная инфраструктура приема карт делает применение карты привлекательным для ее держателя и эмитента. Именно для создания развитой инфраструктуры приема карт и требуются усилия многих банков - участников платежной системы.

Примечание. Очевидно, что задача создания инфраструктуры приема карт в математической терминологии является обратной задаче эмиссии карт. Чем больше карт циркулирует в платежной системе, тем интереснее торговому предприятию принимать карты этой платежной системы и, следовательно, тем проще создавать инфраструктуру приема карт. Наоборот, чем более развита инфраструктура приема карт, тем легче банкам привлекать своих клиентов эмиссией карт платежной системы.

Аутентификация ЛСО на примере операции покупки с помощью платежной карты

Уже отмечалось, что в карточной технологии аутентификация ЛСО в общем случае имеет распределенный характер. В аутентификации ЛСО принимают участие все участники обработки транзакции, включая торговое предприятие, обслуживающий банк, эмитента карты и, наконец, самого держателя карты. Проиллюстрируем это на примере операции безналичной покупки по карте в торговом предприятии.

Когда клиент банка A для оплаты покупки предъявляет пластиковую карту в торговом предприятии обслуживающего банка B, то торговое предприятие в первую очередь должно убедиться в том, что в соответствии с договором с обслуживающим банком B операция по предъявляемой для оплаты карте будет возмещена - магазин получит от обслуживающего банка деньги за совершенную клиентом банка A покупку. Другими словами, торговое предприятие должно убедиться в том, что эмитент A и обслуживающий банк B являются участниками одной платежной системы. Визуально это устанавливается по логотипу платежной системы, нанесенному на пластиковой карте клиента.

Процесс оплаты услуги в общем случае состоит из двух частей. Первая часть - авторизация транзакции (рис. 1).

Покупка с помощью пластиковой карты

Рис. 1

Кассир торгового предприятия в первую очередь визуально осматривает предъявляемую для оплаты карту, проверяя наличие на ней чипа и обязательных атрибутов карты (логотипа и голограммы системы, номера карты, срока ее действия и т.п.). Далее с пластиковой карты считывается необходимая для авторизации операции информация (с помощью ридера POS-терминала или визуально, если речь идет о голосовой авторизации), а также, возможно, у клиента запрашивается дополнительная аутентифицирующая его информация (персональный идентификационный номер (подпись) клиента, имя клиента, другая верифицирующая его информация). К полученной информации кассир добавляет информацию о покупке - размер и валюта операции, иногда ее тип.

На основе собранной информации торговое предприятие принимает решение о технологии выполнения операции (по магнитной полосе или чипу), а также о режиме авторизации транзакции - онлайновом или офлайновом. При офлайновом режиме решение о разрешении или отклонении операции принимается только терминалом в случае карты с магнитной полосой или терминалом и картой (эмитент определяет в приложении карты свои правила принятия решения) в случае микропроцессорной карты. В онлайновом режиме такое решение принимается эмитентом карты на основе данных, полученных от терминала, обслуживающего банка и карты.

Торговое предприятие также проверяет наличие карты в стоп-листе, загружаемом обслуживающим банком на терминал, способный работать в офлайновом режиме. Иногда для повышения скорости проверки эта функция выполняется торговым предприятием вместе с обслуживающим банком в распределенном режиме.

В случае онлайновой авторизации полученная от клиента и считанная с карты информация, а также информация о покупке и торговом предприятии (идентификаторы торгового предприятия и устройства приема карты, способ ввода информации карты в платежную сеть, описание возможностей терминала по обработке транзакции и т.п.) передаются торговым предприятием своему обслуживающему банку в форме авторизационного запроса. С помощью авторизационного запроса торговое предприятие спрашивает у обслуживающего банка, может ли оно предоставить данному клиенту запрашиваемую им услугу. Обслуживающий банк должен проверить полученные в запросе данные:

существование торгового предприятия с указанными в запросе реквизитами и его авторизацию на выполнение запрашиваемой операции;
целостность полученных от терминала данных;
наличие карты в стоп-листах платежной системы;
ограничения на обработку операции (например, карта предназначена только для выполнения внутристрановых покупок, карта должна использоваться с обязательной проверкой PIN-кода ее держателя, операция должна быть обслужена в режиме реального времени и т.п.), установленные эмитентом карты; ограничения записываются эмитентом во время персонализации карты на магнитной полосе в элементе данных "Код обслуживания" и в приложении чипа карты (элементы данных Application Usage Control, CVM List и т.п.), если карта микропроцессорная.

В случае офлайновой авторизации два последних пункта из приведенного выше списка должны проверяться средствами электронного терминала.

В случае онлайновой авторизации обслуживающий банк обращается за разрешением на оказание услуги по пластиковой карте к банку-эмитенту A. При этом банки A и B обмениваются сообщениями в соответствии с правилами, установленными платежной системой, поэтому синтаксис и семантика сообщений понятны обоим банкам.

Эмитент A, получив запрос от обслуживающего банка B, проверяет достоверность информации о карте и ее держателе: правильность реквизитов карты и идентификатора держателя карты, статус карты в системе эмитента (активная или заблокированная), ограничения на использование карты, PIN-код, если он представлен в транзакции, величины CVC/CVV (Chip CVC/iCVV в случае микропроцессорной карты или CVC3/dCVV в случае бесконтактной карты), криптограмму ARQC для аутентификации микропроцессорной карты и т.п. После этого банк A определяет достаточность средств на счете клиента для оплаты запрашиваемой им услуги. Если все проверки завершились успешно, банк A отвечает на запрос банка B разрешением на совершение покупки, предварительно списав со счета клиента (или только "заморозив" на счете) размер покупки, возможно вместе с некоторыми установленными им комиссиями (в случае операции покупки снятие комиссии со счета держателя карты обычно запрещено правилами платежных систем. В последнее время наблюдается отход от данного правила).

Поскольку разрешение банка A по правилам любой платежной системы является гарантией возмещения средств банку B от банка A, обслуживающий банк, в свою очередь, разрешает операцию покупки своему торговому предприятию, тем самым гарантируя последнему возмещение средств за выполненную с использованием карточки операцию. В большинстве случаев, если обслуживающий банк представил эмитенту достоверную и достаточную (по правилам системы) для авторизации информацию, ответственность за транзакцию в случае возникновения спора (диспута) ложится на эмитента.

Здесь требуются более подробные разъяснения. Каждая платежная система поддерживает несколько технологий обработки транзакции. Сегодня к этим технологиям в порядке убывания их надежности с точки зрения аутентификации держателя карты относятся:

технология микропроцессорной карты (МПК);
технология карты с магнитной полосой;
технология CNP (Card Not Present) операций.

В платежных системах принято правило: если технология, поддерживаемая терминалом, менее надежна в сравнении с технологией, поддерживаемой картой, то ответственность за мошенничество возлагается на обслуживающий банк. Это правило еще называется сдвигом ответственности. Во всех случаях, когда торговое предприятие обеспечивает максимально надежную технологию обработки операции, поддерживаемую эмитентом карты, вся ответственность за результат авторизации операции лежится на эмитента карты. Сегодня платежные системы поддерживают сдвиги ответственности для операций по микропроцессорным картам (Chip Liability Shift, Chip & PIN Liability Shift) и электронной коммерции (Merchant Only Liability Shift).

Вторая часть безналичной оплаты товаров (услуг) заключается в расчетах между всеми участниками транзакции. Как уже отмечалось, торговое предприятие получает возмещение за операцию покупки от своего обслуживающего банка. Обслуживающий банк, в свою очередь, получает возмещение с банка-эмитента. Гарантом расчетов между банками выступает платежная система, и в этом состоит ее важнейшая функция. Расчеты, как правило, производятся безакцептно (т.е. без получения специального разрешения их участников) через специальные счета, открываемые банками в расчетных банках платежной системы.

Наконец, банк-эмитент списывает средства по операции со счета своего клиента. Таким образом, при участии и гарантии платежной системы реализуется передача средств со счета клиента на счет торгового предприятия.

Основанием для расчетов между участниками транзакции могут быть авторизационные сообщения, которыми обменялись в процессе совершения транзакции обслуживающий банк и банк-эмитент. В этом случае по окончании бизнес-дня платежная система на основании имеющейся у нее информации осуществляет расчеты за прошедший бизнес-день между всеми своими банками-участниками. Системы, в которых расчеты производятся на основании авторизационного трафика, называются Single Message System (SMS).

Иногда правила платежной системы таковы, что для инициализации расчетов между участниками транзакции обслуживающий банк должен отправить в платежную систему специальное финансовое сообщение, которое далее передается банку-эмитенту. Только на основании этого сообщения платежная система осуществит расчеты между своими банками-участниками по выполненной операции. Специальное сообщение называется "презентментом" (presentment), а системы, производящие расчеты на основе презентментов, - Dual Message System (DMS).

Сегодня международные платежные системы поддерживают оба типа систем расчетов - SMS и DMS, отдавая предпочтение в расчетах по безналичным покупкам системам DMS.

В платежной системе время от времени по различным причинам, связанным с техническими проблемами при выполнении отдельных транзакций (например, дублирование обслуживающим банком авторизационного запроса) или совершением мошенничеств, могут возникать споры (диспуты) между банком-эмитентом и обслуживающим банком. Например, держатель карты может утверждать, что никогда не совершал транзакции, за которую с его счета были списаны деньги, или совершал транзакцию, но на другую сумму. Жизнь многогранна, и подобных "или" может быть много. Для разрешения возникающих споров платежные системы разрабатывают правила, предусматривающие использование специальных сообщений, которыми в случае возникновения диспутов обмениваются банки - участники системы.

В частности, если банк-эмитент в результате проведенного расследования, инициированного держателем карты, приходит к выводу о том, что некоторая транзакция, выполненная по карте этого клиента, является по установленным им причинам некорректной, эмитент направляет обслуживающему банку специальное сообщение, называемое chargeback (отказ от платежа), с указанием причины отказа от платежа. На основании этого сообщения платежная сеть переводит денежные средства, связанные с операцией, по которой произошел отказ, с корреспондентского счета обслуживающего банка на счет банка-эмитента. Возвращенные деньги эмитент далее переводит на счет клиента.

Обычно в соответствии с правилами платежной системы, если обслуживающий банк не согласен с мнением эмитента, он может направить ему повторный презентмент. В этом случае эмитент понимает, что его следующий повторный отказ от платежа будет означать начало арбитражного процесса между банками - участниками транзакции. Арбитром по возникшему диспуту, как правило, является администратор платежной системы. Банк может пытаться опротестовать и решение администратора системы, обратившись для этого в суд.

К оглавлению энциклопедии "Платежные карты"

0 Комментария