Терминальное управление рисками включает:
- проверку доавторизованного лимита;
- случайный выбор транзакции для онлайн-выполнения;
- проверку частоты онлайновых операций.
Проверка лимита выполняется практически так же, как и при использовании магнитных карт. В дополнение к значению лимита терминал хранит следующие параметры:
- целевой процент для случайного выбора (0-99);
- порог для случайного выбора (0 – доавторизационный лимит);
- максимальный целевой процент (0-99).
Терминал вычисляет так называемый процент транзакции.
Если сумма транзакции меньше, чем порог, ее процент совпадает с целевым. Если сумма транзакции не меньше, чем порог, но меньше, чем лимит, ее процент вычисляется с использованием случайного числа.
Цель проверки частоты онлайновых операций заключается в том, чтобы разрешить эмитенту устанавливать ограничение на количество последовательных офлайновых транзакций (Lower Consecutive Off-line Limit – нижний последовательный лимит офлайн). Тем не менее, если терминал не способен выполнять транзакции в режиме онлайн, остается возможность завершить транзакцию в режиме офлайн, если второй предел не достигнут. Если превышен второй предел, по установке эмитента транзакция, которая не может быть выполнена в режиме онлайн, отклоняется. Как только какая-либо онлайн-транзакция карты завершается удачно, счетчик офлайн-транзакций сбрасывается.
Наконец, терминал выполняет анализ действий, принимая решение по вопросу выбора режима транзакции: онлайн/офлайн. Это решение принимается на основе анализа всех ответов и прочитанной в профайле маски. Таким образом обеспечивается влияние эмитента (записавшего на карту маску) на принятие решения и, следовательно, на риски при выполнении транзакции (то, что раньше полностью зависело от только эквайрера).
Далее, если терминал принимает решение выполнять транзакцию в режиме офлайн, он запрашивает у карты счетчик транзакций; если принимается решение о выполнении транзакции в режиме онлайн, терминал запрашивает у карты криптограмму авторизационного запроса.
Данная криптограмма включается в авторизационное сообщение и отправляется в соответствии с обычным протоколом хост-компьютеру. Тот может добавить к процессу выполнения транзакции так называемый скрипт, включающий в данном случае посткоманды (посланные эквайрером или даже эмитентом, если он участвовал в генерации ответа на авторизационный запрос) – команды, выполняемые после всех других перед непосредственным завершением транзакции.
Представляется, что приведенное краткое описание процесса выполнения транзакции подтверждает уже высказанную мысль о том, что развитие технологии (в данном случае предложение в спецификациях довольно изощренного алгоритма выполнения транзакции) связано с поиском оптимального соотношения между безопасностью и эффективностью при выборе режима онлайн/офлайн.
__________________________________
Оперативный заказ цветов и цветочный магазин
Archive for Октябрь, 2008
Спецификации EMV – 4
Четверг, Октябрь 9th, 2008Спецификации EMV – 3
Четверг, Октябрь 9th, 2008В качестве первой “проверки” карты терминал выполняет ее аутентификацию.
Аутентификация предполагает использование криптографии с открытыми ключами и базируется на следующей идее. Существует назначенный платежными ассоциациями центр доверия (Certification Authority), осуществляющий в условиях высочайшей секретности подписывание открытых ключей эмитента. Всякий терминал содержит соответствующие открытые ключи, полученные из центра доверия и позволяющие распознать любое истинное приложение на карте.
Спецификации предусматривают два метода аутентификации – статическую (эмитентом подписываются одни и те же данные) и динамическую (картой после выполнения транзакции генерируется подпись каждый раз разных данных). Кроме того, предусмотрена миграция от одних ключей к другим и одних конкретных методов дешифрации к другим, хотя и имеющим одну основу – алгоритм RSA.
После осуществления аутентификации терминал выполняет ряд проверок, определяет соответствие номера версии приложения в терминале и на карте. Также проверяет ограничения на географию, записанные на карте, и дату (начала) действия приложения и срока действия карты.
Далее осуществляется верификация держателя карты. На карте может присутствовать CVM-список – список методов (правил) верификации держателя карты. Терминал обрабатывает каждое правило в том порядке, в котором они появляются в списке. Верификация завершается, когда один из методов успешно выполнится или список исчерпается. Обрабатываемые правила связаны со сравнением суммы транзакции с заданными в качестве параметров величинами. В зависимости от результата такого сравнения терминал осуществляет действия типа: “проверку ПИНа выполняет карта”; “шифрованный ПИН проверяется в режиме онлайн”; “проверку ПИНа выполняет карта + подпись” и т.п. Офлайн-проверка ПИНа завершается успешно только в одном случае – если карта вернет нормальный код возврата на команду VERIFY, выполняющую сравнение введенного держателем карты ПИНа и хранимого на карте ПИНа (строго говоря, сравнение ПИН-связанных данных, поскольку допускается, что возможно преобразование вводимого ПИНа).
Затем терминал осуществляет так называемое терминальное управление рисками с целью защитить эквайрера, эмитента и платежную систему от мошенничества. Оно обеспечивает авторизацию эмитентом транзакций с высокой стоимостью и гарантирует, что все карты периодически выходят на онлайн-связь для защиты от угроз, которые могут быть необнаруженными при офлайн-обработке.
________________________________________
Все о правильном страхование авто
Спецификации EMV
Среда, Октябрь 8th, 2008Международные платежные системы, понимая, что будущее за чиповыми картами, еще в начале 90-х гг. начали рассмотрение возможностей перевода своих основных карточных продуктов на новую технологию, основывающуюся на чиповых картах. Весьма важно то, что лидирующие платежные ассоциации объединили свои усилия в этом направлении. В 1994 г. Visa Int., MasterCard Int. и Europay Int. образовали рабочую группу, в которую вошли со временем более 20 известных компаний – поставщиков карт, оборудования и решений с целью разработать спецификации EMV на чиповую карту. После двухлетней работы всех заинтересованных сторон и выхода двух промежуточных версий в 1996 г. была выпущена версия спецификаций, названная EMV96, ставшая первым стандартом банковского сектора на чиповую карту. (Строго говоря, спецификации EMV, конечно, стандартом не являются, но они опираются на упомянутую выше группу стандартов ISO 7816.) Данные спецификации не являются застывшим документом, в будущем появятся новые их редакции. EMV включает спецификации:
- на чиповую карту (Integrated Circuit Card Specifications for Payment Systems);
- на приложение для чиповой карты (Integrated Circuit Card Application Specifications for Payment Systems);
- на терминал, работающий с чиповой картой (Integrated Circuit Card Terminal Specifications for Payment Systems).
Спецификации на чиповую карту состоят из четырех частей. В первой части, основанной на ISO 7816-1, 2, 3, описываются электромеханические характеристики, логический интерфейс и протоколы обмена.
Говоря о спецификациях на функциональном уровне, прежде всего следует определить их “область действия”. Образно ее можно обрисовать как взаимодействие “карта-терминал” с опосредственным влиянием эмитента, эквайрера и центра доверия.
Карта поддерживает файловую систему иерархической структуры. Файлы данных являются линейными, записи содержат объекты, которые могут быть простыми и составными. Объект имеет структуру TLV (tag-length-value, т.е. тэг – метка, длина, значение). Использование тэгов позволяет не заботиться о конкретном месторасположении данной величины в файле и записи, важно лишь, чтобы объект находился в файле, относящемся к предписанной группе. Проанализировав тэги, можно однозначно интерпретировать данные, хранимые картой.
______________________________
Хотите читать мудрые рассказы? Подпишитесь на блог “Страна тайного сказа” – не оставит читателя равнодушным
Типичная микропроцессорная карта
Среда, Октябрь 8th, 2008Микропроцессорная карта сделана из пластика и содержит микросхему с микропроцессором и различными запоминающими устройствами: ПЗУ – для хранения операционной системы, ОЗУ – для выполнения команд, ЭСППЗУ – электрически стираемое программируемое постоянное запоминающее устройство, энергонезависимая память для хранения прикладной информации. ЭСППЗУ разбито на две области: секретную и пользовательскую. Секретная область недоступна для прикладных программ и предназначена только для хранения ключей. Пользовательская область организована аналогично памяти на гибких дисках. При инициализации микросхемы карты формируется таблица определения файлов, размещаемая в начале пользовательской области. Файлы располагаются в памяти от конца к началу. Каждый файл разбит на определенное число записей фиксированной длины. В большинстве операционных систем каждый файл имеет следующие атрибуты: начальный адрес, метки защиты по чтению/записи, расширение защиты по чтению/записи, длина записи, число записей, тип и имя файла, текущая запись, указатель конца файла. Файлы могут быть последовательного и прямого доступа.
В операционной системе микропроцессора предусмотрены следующие команды: предъявление ключа, чтение массива атрибутов файла из таблицы определения, чтение информации, запись информации, поиск файла, очищение карточки, запись определения файла в таблицу, задание ключей.
Ключи хранятся в секретной области, предусмотрены три типа ключей: ключ банка, ключ владельца карты и ключи приложений. Файлы могут быть защищены этими ключами по чтению/записи.
Карты с криптографической логикой используются в системах защиты информации для принятия непосредственного участия в процессе шифрования данных или выработки криптографических ключей, электронных цифровых подписей и другой необходимой информации для работы системы.
Сфера применения чиповых карт гораздо шире по сравнению с финансовой сферой, они используются и в системах контроля доступа, и в здравоохранении (карты здоровья), и страховании. Существуют и телефонные карты, которые также применяются для оплаты, но в связи со специфичностью их, конечно, не следовало бы ставить в один ряд с платежными картами.
Говоря же о платежных чиповых картах, следует отметить, что они появились в 80-е гг. во Франции и получили широкое применение на своей родине. Большинство эмитируемых французскими банками карт с начала 90-х гг. помимо магнитной полосы несли также чип. На нем хранились данные, аналогичные содержащимся на магнитной полосе. Принципиальным преимуществом их было хранение ПИНа. Считать ПИН с чипа считается невозможным. В то же время чиповая карта автономно проверяет корректность представления ПИНа. Таким образом, использование чиповых карт позволило существенно повысить безопасность выполнения операций.
____________________________________
www.med-soft.net
Классификация чиповых карт, описание принципов и технологии работы – 2
Среда, Октябрь 8th, 2008Разграничение доступа к информации, хранимой на карте, определяется операционной системой в различных режимах:
- режим доступа, разрешающий чтение/запись информации без секретных кодов;
- режим доступа по чтению, доступ по записи возможен после предоставления секретного кода;
- режим доступа по чтению и записи после предоставления специального кода;
- режим, запрещающий чтение и запись информации. Информация может быть доступна только для внутренних команд карты.
Микропроцессорные карты поддерживают гораздо более интеллектуальное взаимодействие с платежным терминалом за счет расширения системы команд, обрабатываемых встроенной в карту микросхемой. Развитые операционные системы для карт поддерживают файловые системы, криптографические команды и команды работы с ключами. Специализированные операционные системы для платежных карт поддерживают также такие продвинутые понятия, как кошельки, с поддержкой соответствующих свойств доступа и соответствующих смыслу кошельков операций.
По типу взаимодействия с терминалом чиповые карты делятся на контактные, бесконтактные или с дуальным интерфейсом.
Обмен данными с контактной картой происходит при соприкосновении контактов терминала и металлической контактной площадки карты. Бесконтактные карты содержат встроенную обмотку индуктивности (антенну). При поднесении карты к терминалу антенна благодаря индуктивной связи обеспечивает в его электромагнитном поле питание микросхемы. Считывание и запись данных происходят при поднесении карты к терминалу на определенное расстояние, при этом не имеет значения расположение карты относительно терминала. В зависимости от дальности считывания бесконтактные карты различаются по следующим типам: карты с близкой связью (0-1 см), карты со связью типа proximity (0-10 см), карты со связью типа vicinity (0-1 м).
Дуальные карты имеют одновременно и контактную площадку, и встроенную катушку индуктивности. Эти карты осуществляют работу с разными типами считывателей.
_______________________________________
Недавно воспользовался услугами страховщиков, застраховали машину быстро и не очень дорого. Полис ОСАГО обошёлся мне на 30 процентов дешевле чем обычно. Теперь ОСАГО только у них
Классификация чиповых карт, описание принципов и технологии работы
Понедельник, Октябрь 6th, 2008Более привлекательными для реализации идей офлайн-авторизации оказались чиповые карты (или, как их еще называют, карты с микросхемой). Чиповая карта содержит микросхему, свойства которой и определяют функциональные возможности карты как технологического продукта (функциональные возможности карты как продукта, скажем, банковского, определяют соответствующие правила). Чиповые карты классифицируются по следующим признакам:
тип микросхемы;
способ считывания информации;
соответствие стандартам;
область применения.
В зависимости от встроенной микросхемы чиповые карты делятся на несколько типов, различающихся по выполняемым функциям:
карты с интегральной схемой памяти (карты памяти);
микропроцессорные карты;
карты с криптографической логикой.
Карты памяти предназначены для хранения информации и представляют собой микросхему, позволяющую только читать и записывать данные. В зависимости от условий доступа к областям памяти карты памяти делятся на карты открытой и защищенной памяти. Карты открытой памяти практически непригодны для применения в качестве платежных. Чаще они используются в специальных областях (например, транспортные) – для переноса данных.
Карты защищенной памяти предполагают разделение памяти на области с различными свойствами перезаписи и условиями доступа. Карты этого типа использовались в середине 90-х гг. для платежных приложений, но в конце десятилетия отступили на второй план, уступив микропроцессорным картам.
Микропроцессорные карты в отличие карт памяти кроме функции хранения информации содержат микроконтроллер со специальной программой или операционной системой. Операционная система обеспечивает набор сервисных операций, поддерживает файловую систему, преобразовывает данные по указанному алгоритму, обеспечивает защиту информации. Микропроцессоры на этих картах характеризуются по следующим параметрам: тактовая частота, емкость ОЗУ, емкость ПЗУ и емкость перезаписываемой энергонезависимой памяти.
__________________________________
Детальный обзор законопроектов
Карты с магнитной полосой и технология работы 2
Понедельник, Октябрь 6th, 2008Исторически первым (и широко распространенным до сих пор) способом авторизации является так называемая голосовая авторизация. При ее осуществлении кассир магазина звонит в банк или процессинговый центр банка и сообщает уже указанные выше номер и срок действия карты, идентифицирующие ее, сумму операции и номер точки приема (присвоенный банком-эквайрером перед началом обслуживания точки приема). Оператор центра авторизации (подразделение банка или процессингового центра) вводит запрос в систему и, получив от нее ответ, сообщает его кассиру.
Описанный способ авторизации является простейшим. Его достоинство – экономичность. К недостаткам можно отнести низкую эффективность и меньшую безопасность по сравнению с электронной авторизацией, о которой речь пойдет ниже. Эффективность низка (а время выполнения операции соответственно велико) вследствие необходимости дозвониться в центр авторизации и получить по телефону ответ. Обратим внимание читателя на то, что данные о платежной операции “вводятся” дважды: кассир по телефону сообщает номер и срок действия карты и сумму операции (которую, заметим, он ранее получил на кассовом аппарате), оператор центра авторизации вводит те же данные с клавиатуры компьютера в систему. Дублирование ввода (при котором повышается вероятность случайной ошибки), естественные временные задержки на соединение, передачу данных и получение ответа и обусловливают сравнительно низкую эффективность выполнения операции, что в ряде случаев делает просто неприемлемым прием карт в оплату.
Особенно досадна низкая эффективность голосовой авторизации при выполнении операций со сравнительно малыми суммами (вряд ли с точки зрения магазина приемлема ситуация, когда из-за долгой авторизации операции на небольшую сумму создается очередь и клиенты, желающие выполнить покупки на гораздо более высокие суммы, отказываются от стояния в очереди и уходят, не сделав покупок).
Механизмом, направленным на преодоление подобного противоречия, стала офлайновая авторизация “долимитных” операций, при которой связь с центром авторизации для получения разрешения на операции с суммой ниже лимита авторизации (floor limit), определенного для данной торговой точки, не осуществляется. Решение о проведении данной операции принимается кассиром самостоятельно (на основании договора между торговым предприятием и банком-эквайрером, определяющим правила офлайновой авторизации). Проверяются следующие условия: сумма операции не превышает установленный лимит, срок действия карты не истек, номер карты не находится в стоп-листе. Стоп-лист – это передаваемый из банка-эквайрера в торговую точку список номеров карт, запрещенных к приему. В этот список обычно включаются утерянные или украденные карты. В некоторых случаях эквайрер использует расширенное понятие стоп-листа.
Установление лимитов для разрешения офлайновой авторизации позволило оптимизировать процесс выполнения операций с точки зрения повышения его эффективности при условии поддержания определенного уровня безопасности совершения операций.
_____________________________
www.MACvsPC.ru – множество полезной информации
Карты с магнитной полосой и технология работы
Понедельник, Октябрь 6th, 2008Перед совершением операции с платежной картой осуществляется авторизация – получение разрешения на операцию. При использовании традиционной технологии минимально необходимыми данными для авторизации операции являются номер карты, срок действия (истечения действия) и сумма операции. Авторизацию по поручению точки приема карты запрашивает банк-эквайрер. Ответом на запрос авторизации, который дает эмитент, являются или положительный код авторизации, или сообщение об отказе (возможно, вместе с командой об изъятии карты). В случае положительного ответа на запрос авторизации выполняется собственно сама операция с картой. Ее результатом является первичный документ: либо полностью заполненный и подписанный слип, либо чек электронного кассового устройства или платежного терминала (POS-терминала), или банкомата.
Основным видом авторизации является онлайновая авторизация, требующая связи кассира с центром авторизации.
В локальных платежных системах все операции относятся к типу on us. В межрегиональных и международных платежных системах обычно только в небольшой части операции, принимаемые эквайрером, являются локальными. Система авторизации операций, как правило, имеет трехуровневую иерархическую структуру.
В региональной платежной системе операция инициируется в точке приема, запрос принимается региональным процессинговым центром. Если операция не локальная, запрос направляется по телекоммуникационной сети в головной процессинговый центр. В случае если карта выпущена банком, обслуживаемым данным центром, он дает авторизацию. Если же карта выпущена банком, обслуживаемым другим региональным процессинговым центром, запрос направляется туда.
В международной платежной системе операция также инициируется на нижнем уровне иерерахии. Запрос формируется в точке приема, передается эквайреру. Эквайрер через свой коммуникационный шлюз передает запрос в систему (специальный коммуникационный сервер). Шлюз эквайрера связывается со шлюзом, обслуживающим эмитента. Ответ на запрос авторизации перемещается в обратной последовательности.
________________________________
BuildYourself.ru – о жизни, саморазвитии, здоровье и психологии
Персонализация карт 2
Понедельник, Октябрь 6th, 2008При электрической персонализации кодируется магнитная полоса или осуществляется запись информации в микросхему. Магнитная полоса содержит 3 дорожки, но на практике используются или одна вторая дорожка, или две – первая и вторая.
В соответствии со стандартом ISO 7813 на первой дорожке записываются следующие данные: номер карты, фамилия и имя держателя, срок истечения действия карты, сервис-код (максимальная длина записи – 89 символов); на второй дорожке – номер карты, срок истечения действия, сервис-код (всего до 40 символов). Сервис-код – это код из трех цифр, определяющий допустимые для данной карты типы операций, например: первая цифра 1 – международная карта, вторая цифра 2 – операции требуют авторизации у эмитента, третья цифра 0 – подтверждение держателя с использованием ПИНа.
Помимо определенных в стандарте величин на магнитной полосе могут записываться некоторые другие коды, например PVV (PIN Verification Value) или CVC (Card Verification Code).
Вторая дорожка содержит номер карты, срок истечения действия карты, сервис-код (всего – до 40 символов), который представляет собой цифры, определяющие допустимые для данной карты типы операций.
Первые две дорожки содержат полный набор идентификационных данных. На третьей дорожке в соответствии со стандартом ISO 4909 предполагалось размещать данные об использовании карты (такие, как сумма), доступные к авторизации, и количество доступных попыток представления ПИНа. Однако если данные с первых двух дорожек считываются современными устройствами по приему карт, третью дорожку, зарезервированную авторами стандарта для будущего использования, так и не стали применять ввиду незащищенности данных на ней от фальсификации.
Физическая и электрическая персонализации выполняются обычно на специальном оборудовании – эмбоссере.
Все этапы подготовки карт к выпуску непосредственно связаны с безопасностью. На карте есть немало элементов, обеспечивающих безопасность: это и микротекст как элемент дизайна карт, и голограммы, и символы, видимые в ультрафиолетовых лучах, и специальные эмбоссируемые символы. Первым этапом подготовки карт к выпуску является их заказ. Если речь идет о картах какой-либо платежной системы, то последняя предоставляет эмитенту список сертифицированных производителей. Такие производители постоянно контролируются представителями платежных систем.
Доставка и хранение карт, контроль на всех этапах персонализации – также важные составляющие комплекса мероприятий служб безопасности эмитентов.
После того как карта выдана держателю, она привязывается к некоторому банковскому счету (часто называемому картсчетом). В любой момент времени карта имеет определенный платежный лимит. Всякая совершаемая с картой операция уменьшает платежный лимит на сумму операции. В зависимости от режима картсчета платежный лимит увеличивается при пополнении картсчета или погашении задолженности, или при наступлении нового периода, например месяца.
________________________
Физиотерапевтическое оборудование и медтехника
Туры и отдых в Силезия – лучшие курорты египта, Силезия отдых отель.
Туры и отдых в Умм-Аль-Кувейн – Умм-Аль-Кувейн отели отзывы, лучшие курорты египта.
Персонализация карт
Понедельник, Октябрь 6th, 2008В процессе подготовки к выпуску карта претерпевает персонализа-цию (персонификацию) – графическую, физическую и электрическую. Под графической персонализацией иногда понимают нанесение полиграфическим способом на карту логотипа финансового института-эмитента, чаще же – нанесение с помощью специальных принтеров персональной информации о держателе. В некоторых платежных системах разрешается в определенном поле (чаще на обратной стороне карты) помещать фото держателя. Для реализации подобной персонализации при изготовлении заготовок карт оставляют белое прямоугольное поле. Перед выпуском карты выполняется сканирование фотографии будущего держателя и с помощью специального графического принтера графический образ с фотографией помещается в упомянутое поле.
Физическая персонализация служит для нанесения на карту персональных данных: номера карты, имени и фамилии, срока действия (возможно в виде двух дат – начала и конца действия, возможно в виде одной даты – конца действия), а также иногда некоторой дополнительной информации (например, наименования организации, в которой работает держатель).
Для обозначения дат используются 4 цифры: 2 – для месяца, 2 – для года (например, 01/03 означает январь 2003 г.). Действие карты начинается с первого дня месяца года даты начала, заканчивается в последний день месяца года даты конца действия.
Номер платежной карты состоит из последовательности цифр, обычно от 13 до 19, чаще всего – 16. В платежных системах банковских карт номер карты начинается с 6 цифр, обозначающих BIN (идентификационный номер банка). Заканчивается номер карты контрольной цифрой, которая вычисляется исходя из предыдущих цифр с помощью несложного алгоритма (называемого Luhn-алгоритмом).
Физическая персонализация производится эмбоссированием (тиснением). Эмбоссированные символы – выпуклые, подкрашиваются специальной краской (обычно серебряной, черной или золотой). Эмбоссирование играет важную роль: оно необходимо не только для визуальной идентификации персональных данных о держателе лицом, совершающим операцию со стороны точки приема (например, кассиром), но и для переноса персональных данных с карты на первичный документ, называемый слипом (в случае голосовой авторизации операции по карте). Слип вместе с картой помещается в специальную прокатную машинку, называемую импринтером. После прокатывания эмбоссированные символы переносятся на слип.
Некоторые карты, называемые обычно электронными, могут в соответствии с правилами приниматься только в электронных устройствах (банкоматах, кассовых аппаратах, платежных терминалах). Именно в этой связи эмбоссирование таких карт производится специальным образом – так называемым индентированием, при котором символы получаются не выпуклыми, а как при печати на пишущей машинке на листе бумаги – практически плоскими. Импринтер не в состоянии перенести индентированный на карте текст на слип, что не позволяет совершать операцию без использования электронных устройств. Иногда вместо индентирования используется печать тех же данных графическим принтером.
_____________________
Качественная оптимизация сайта решит твои сложности
Научное “естественное” развитие
календарь католических праздников
турция измир