Бесконтактные платежи: история возникновения и безопасность

Библиографическое описание статьи для цитирования:
Никонец О. Е., Гринь И. А., Марченко А. В. Бесконтактные платежи: история возникновения и безопасность // Научно-методический электронный журнал «Концепт». – 2016. – Т. 15. – С. 2726–2730. – URL: http://e-koncept.ru/2016/96466.htm.
Аннотация. Статья посвящена вопросу использования карт международных платежных систем MasterCard и Visa c бесконтактной технологией оплаты MasterCard PayPass и Visa PayWave, истории их возникновения, принципу действия и безопасности проведения бесконтактных расчетов.
Комментарии
Нет комментариев
Оставить комментарий
Войдите или зарегистрируйтесь, чтобы комментировать.
Текст статьи
Никонец Олеся Евгеньевна,Кандидат экономических наук, доцент, профессор РАЕ, доцент кафедры «Финансы и статистика», ФГБОУ ВПО «Брянский государственный университет имени академика И.Г. Петровского», г. БрянскNikon4832@mail.ru

Гринь Ирина Александровна,магистр 2 курса финансовоэкономического факультета направления подготовки «Экономика», профиль «Финансы в банковской сфере» ФГБОУ ВПО «Брянский государственный университет имени академика И.Г. Петровского», г. Брянскgrinirina032@gmail.com

Марченко Алина Владимировна,магистр 2 курса финансовоэкономического факультета направления подготовки «Экономика», профиль «Финансы в банковской сфере» ФГБОУ ВПО «Брянский государственный университет имени академика И.Г. Петровского», г. БрянскNikon4832@mail.ru

Бесконтактные платежи: история возникновенияи безопасность

Аннотация. Статья посвящена вопросу использования карт международных платежных систем MasterCardи Visacбесконтактной технологией оплаты MasterCardPayPassи VisaPayWave. Истории их возникновения, принципу действия и безопасности проведения бесконтактных рассчетов.Ключевые слова:MasterCardPayPass, VisaPayWave, бесконтактный платеж, транзакция.

До возникновения карт с технологией бесконтактной оплаты, пластиковые карты прошли целые этапы своего совершенствования.Сначала были обыкновенные карты с магнитной полосой. Со временем многие банки, да и клиенты, осознали, насколько они уязвимы перед действиями мошенников. Появились скиммеры, которые считывают информацию при вставке карты в банкомат. ПИНкод тоже ухитряются подсмотреть с помощью скрытых камер или видео в торговых сетях. Хищений денег было много, поэтому решили улучшить безопасность карты.Результатом чего стало появление карт с чипом. Чип уже представляет из себя минипроцессор, который позволяет еще больше зашифровать передаваемые данные. Кроме того, он имеет специальные алгоритмы при вводе ПИНкода, что затрудняет сделать копию карты и снять с нее деньги в банкомате. Но такие карты тоженаучились «вскрывать». Да и к тому же есть методы оплаты покупок без ПИНкода, тот же интернет, к примеру.В связи с чем, пришло время для нового этапа –появление бесконтактных карт, которые могут передавать сигнал дистанционно . Для работы с банкоматами, они ничем не продвинулись, а вот оплата товаров и услуг –здесь они сделали большой шаг вперед на пути развития технологий. Оплачивать стало еще более безопаснее, ведь клиент всё время держит карту в руках. Попадание карты в чужие руки стало еще менее вероятно. К слову, безопасность работы картами в банкоматах лежит на улучшении технологий производства чипов. Полностью чиповые карты (а не комбинированные, чип+полоса) есть еще далеко не у всех [1].Первичное тестирование новинки происходило в Соединенных Штатах. После нее платежные терминалы PayPass появились в заведениях быстрого питания Макдоналдс –в Америке, Канаде, Японии и на Филиппинах. Постепенно к системе бесконтактных расчетов начали подключаться крупные банки, а платежные терминалы распространились на территории многих стран. Сегодня карточками

PayPass можно оплатить услугу или покупку в таких странах как Австралия и Канада, Мексика и Китай, Корея и Монголия, Арабские Эмираты и Таиланд, наТайване, Филиппинах,

в Турции, Малайзии, Ливане, Индонезии, и почти во всей Европе.В Россию новая система пришла в сентябре 2008го года. Первым «счастливчиком», испытавшем на себе его работу, стал московский ресторан под названием «Пять звезд» –здесьбыла произведена бесконтактная оплата по карточке MasterCard с функцией PayPass. Аналогами этой технологии являются payWave у платёжной системы Visa и

ExpressPay у American Express.Первым банком, выпустившим карточки PayPass

на российских просторах, стал Московский индустриальный. Ими были обеспечены преподаватели и студенты учебных заведений. Интересно, что для студентов такая карточка стала не только своеобразным «кошельком», позволяющим оплатить обед,

она вполне заменяет собой и студенческий билет, и даже зачетку. Предполагается дальнейшее распространение карточек PayPass на остальные вузы страны. Это не удивительно, Россия –это страна студенческой молодежи. В их среде как нигде больше совершается масса покупок и технология бесконтактных оплат здесь максимально уместна.У Московского индустриального банка появились последователи и теперь карточки с функцией PayPass выпускаются АльфаБанком, Райффайзенбанком, Петрокоммерцбанком, Ситибанком, банком «Русский стандарт», Тинькофф Кредитные Системы и другими банками [2].В России бесконтактная карточная технология от Visa появилась осенью 2011 года. Карту на российском рынке представил АльфаБанк, планируют выпускать Промсвязьбанк и банк «Возрождение» [3].Услуга PayPass активно используется в местах, где люди не задерживаются надолго. Это заведения быстрого питания, аптеки, вокзалы, аэропорты, кинотеатры. Терминалами бесконтактных платежей оснащены торговые автоматы, платные автодороги, турникеты, автозаправки, супермаркеты и кафе.Технология бесконтактных оплат –это комфортный метод, экономящий время покупателей и пользователей различных услуг, это сервис высокого уровня. Здесь нет необходимости носить с собой и доставать наличные деньги, тратить время на оплату и получение сдачи. Карточки с функциейPayPass и payWave универсальны, они могут успешно использоваться в любых терминалах и банкоматах всех стран мира. Чипы поддерживающие технологии бесконтактных платежей встраиваются даже в смартфоны, что весьма удобно –вы просто подносите свой телефон к считывателю и покупка оплачена [4].Согласно стандарту EMVCo, типовой цикл проведения EMVтранзакции состоит из 12 этапов:1. Выбор приложения; 2. Инициализация обработки приложения; 3. Чтение данных приложения; 4. Аутентификация эмитента в режиме офлайн; 5.Обработка ограничений; 6. Аутентификация держателя карты; 7. Проверка параметров управления рисками на стороне терминала; 8. Анализ действий терминала; 9. Проверка параметров управления рисками на стороне карты; 10. Анализ действий карт 11. Если требуется, то авторизация транзакции в режиме онлайн; 12. Завершение транзакции.Эти операции требуют интенсивного обмена и вычислений как на стороне карты, так и на стороне терминала и занимают по меркам онлайнсистем много времени. При этом карта постоянно находится в считывателе терминала, а клиент с нетерпением ждет вердикт системы.Для крупных торговых сетей дорога каждая секунда, да и современные клиенты хотят быстрее получить свой товар. Платежная система Visa предложила для магазинов и покупателей технологию бесконтактного обслуживания карт. Помимо скорости оплаты, клиенты получили еще одно ценное преимущество теперь стандартный кусок пластика может стать вообще лишним, данные для оплаты записываются в телефон с NFC

Приведенное в эпиграфе требование задает очень жесткие рамки для обработки бесконтактной транзакции 500 миллисекунд. Ровно столько времени есть у терминала и карты, чтобы познакомиться, обсудить и принять верное решение

Рис. 1. Схема взаимодействия участников

.

Чтобы сделать проведение бесконтактной транзакции реальным за такой короткий срок, разработчики предложили убрать из 12шагов EMVтранзакции максимум лишнего, а необходимые шаги объединить и сократить. Так появились спецификации qVSDC (quick Visa Smart Debit / Credit).

Фаза 1. Подготовка к бесконтактной транзакции. В этот момент терминал уже знает сумму к оплате и может определить возможность проведения транзакции по бесконтактному интерфейсу с учетом разрешенных банкомэквайрером лимитов. Терминал заполняет запись TTQ (TerminalTransaction Qualifier), которую он позже отдаст карте для принятия решения.Если проведение бесконтактной транзакции возможно, то терминал активирует бесконтактный считыватель.

Фаза 2.1. Выбор приложения Клиент подносит бесконтактную карту или телефон с NFC к считывателю. Считыватель запрашивает у карты список приложений, которые поддерживают бесконтактную оплату PPSE (Proximity Payment Systems Environment). Если приложение найдено, то оно автоматически выбирается для оплаты по идентификатору AID (Application ID). Если приложение не найдено, то транзакция завершается. При этом терминал предлагает использовать другой интерфейс для совершения оплаты.Фаза 2.2. Инициализация обработки приложения Терминал передает карте самую Главную Команду Get ProcessingOption. На основании анализа записи TTQ, суммы и валюты транзакции данных карта принимает решение о способе аутентификации клиента с учетом правил управления рисками, заданных эмитентом карты.Для бесконтактной оплаты реализован механизм ускоренной аутентификации fDDA (Fast Dynamic Data Authentication). Перед ответом на команду Get Processing Option карта подписывает с помощью сертификата ключа эмитента случайное число (unpredictable number), а также параметры переданной терминалом транзакции сумму и кодвалюты. В отличие от стандартного EMVпроцессинга, для сокращения времени вместо отдельного цикла обмена криптограмма транзакции (TC) передается сразу в ответе на команду Get Processing Option.Фаза 3. Аутентификация держателя карты. На основании информации, полученной от карты, терминал проводит аутентификацию держателя карты. Варианты могут быть следующие: Без аутентификации. Такое допустимо, например, при использовании сервиса VEPS (Visa Easy Payment Service); По подписи. Кассир должен запроситьу клиента подпись на чеке; ПИНкод. Терминал предлагает клиенту ввести ПИНкод; CDCVM (Consumer Device CVM). Специальный способ, придуманный для устройств клиента, таких как телефон. В этом случае клиент вводит отдельный код доступа к платежному приложению. Признак проведения такой аутентификации будет передан в терминал.Фаза 4. Авторизация транзакции в режиме онлайн. При необходимости, терминал формирует запрос авторизации и направляет его эмитенту. В запросе передаются стандартные поля EMVтранзакции, криптограмма транзакции, выбранное приложение и признак обслуживания карты по бесконтактному интерфейсу.Описанные выше технологии могут быть реализованы не только в микросхеме, имплантированной в кусочек пластика, но и в тех самых Consumer Devices, в частности в мобильных телефонах.С точки зрения платежной системы, взаимодействие участников не отличается от обычной оплаты по карте. POSтерминал подключен к хосту процессинговой системы банкаэквайрера и формирует запросы на авторизацию транзакций оплаты. Процессинговая система банкаэквайрера направляет запросы на авторизацию в платежную систему Visa, которая маршрутизирует запросы на процессинговую систему банкаэмитента. Полученный ответ по цепочке возвращается на терминал.Взаимодействие банкаэмитентасо смартфоном построено интереснее, остановимся на нем подробнее. Пользователь ставит на свой смартфон программуVisa QIWI Wallet. При первом запуске программа привязывается к смартфону с помощью сеансового пароля, отправляемого пользователю по SMS.

Далее пользователь должен создать пароль для доступа к платежному приложению. Этот пароль проверяется онлайн на сервере банкаэмитента, поэтому нужен доступ в сеть Интернет.Канал между смартфоном и сервером банкаэмитента защищен. В системе используется технология SSLpinning. Это означает, что SSLсертификат, используемый на сервере, внедрен непосредственно в приложение. Стандартное хранилище сертификатов Android не используется, поэтому риск подмены сертификата существенно снижается. Кроме того данные, передаваемые в приложение, шифруются ключом, загружаемым с сервера.По защищенному каналу связи между процессинговой системой банкаэмитента и телефоном в приложение загружаются детали банковской карты Visa. Если в телефоне есть чип NFC и режим HCE поддерживается, то дополнительно в приложение загружается ключ, которым будет подписана криптограмма транзакции (TC). Принятый ключ, так же как и детали карты, хранятся в защищенном хранилище в памяти смартфона. В целях безопасности ключ периодически меняется.Если сумма покупки не превышает 1 тыс. рублей, то срабатывает сервис VEPS и дополнительная аутентификация клиента не требуется.

Если сумма покупки больше порога и экран был разблокирован клиентом, то терминал попросит подписать чек транзакции (аутентификация по подписи). Факт разблокировки подтверждает владение телефоном. Признак CDCVM (Consumer Device CVM) будет передан на терминал.Если сумма покупки больше порога и на смартфоне не включена блокировка экрана, то приложение может запросить дополнительное подтверждение от клиента с помощью пароля доступа. Здесь потребуется выход в Интернет.Взаимодействие с терминалом производится согласно описанной выше схеме qVSDC. В отличие от аппаратной реализации на чипе, все вычисления, а также генерация криптограммы TC выполняется программно [5].По словам Директора Департамента Эквайринга ЗАО «Банк Русский Стандарт», Ивана Глазачева,безопасность проведения таких платежей гарантирована: с одной стороны, все эквайринговые решения банка полностью соответствует стандарту безопасности PCIDSS, с другой –технологии VisapayWave, основанной на международных стандартах EMVдля чиповых карт, а также на стандарте ISO/IEC14443 [6].Карточки с чипом PayPass защищены встроенным механизмом, который делает нежелательные покупки невозможными –для оплаты она должна быть поднесена к терминалу очень близко. Оставаясь на протяжении всей процедуры в руках покупателя и под его контролем, она защищена и от мошенников [2].Но есть и негативный опыт использования этих технологий. Результаты проведённых исследований показали о возможностях сканирования чипа на карте с PayPass с использованием недорогих сканеров прямо в толпе. Но защитные методы, применяемые технологией (шифрование и недоступность прямого считывания содержимого чипа) сильно усложняют возможность его клонирования. Кроме того, необходимость контакта с картой на очень близком расстоянии делает неудобным и практически невозможным доступ к ней [4].

Большинство таких меток пассивные, то естьсобственного питания не имеют. При попытке считывания метки чип активируется от изучения считывателя и выдает записанную на нем информацию. Стандарт подразумевает срабатывание RFIDметки в 3—5 см от считывателя, но уже существуют достаточно компактные устройства, способные работать с меткой на дистанции до 30 см.

Встроенная в карту RFIDметка содержит базовые сведения о карте, в частности ее номер и дату срока действия. Передаются они считывателю в открытом, незашифрованном виде. Как показывает практика, этими данными может воспользоваться злоумышленник для выполнения мошеннической трансакции.Средством защиты в данном случае является динамический CVVкод, то естькод, меняющийся при выполнении каждой трансакции. При этом данных об обычном CVV, позволяющем совершать покупки через Интернет, в RFIDметке не хранится.Базовая технология мошеннического снятия денег с таких карт крайне проста. Злоумышленник, вооруженный простейшим мобильным RFIDсканером (помещенным для маскировки в чехол для телефона или небольшую сумку), отправляется в торговый центр, заполненный посетителями, или на станцию метро в час пик. Пробираясь в толпе, он проводит сканером в непосредственной близости от сумок и внутренних карманов курток и пиджаков ничего не подозревающих граждан. Со всех попавших в зону действия карт сканер запрашивает данные и получает их вместе с очередным динамическим CVV. Сообщник злоумышленника, получив данные, с помощью специального устройства записывает их на белый пластик (картуклон) и отправляется совершать покупки стоимостью менее 1тыс. рублейкаждая (один динамическийCVVкодможно использовать только для одной трансакции, а следующего CVVбелый пластик не знает). Когда впоследствии держатели таких отсканированных бесконтактных карт попытаются совершить покупку с помощью пластика, система обнаружит повторное использование того же самого CVVи заблокирует карты.Данный способ позволяет массово «обрабатывать» бесконтактные карты, которых в России становится все больше, а многие зарубежные банки других уже и не выпускают. Кроме того, за этот лимитможно выйти, просто подсмотрев вводимыйПИНкоди отсканировав карту после того, как владелец совершит трансакцию. Также в связи с бесконтактными картами вызывает опасения практика многих банков рассылать свои карты по почте. Недобросовестный сотрудник почтовой службы, вооружившись RFIDсканером, может получить номер и дату срока действия карты, кроме того, он будет знать имя и почтовый адрес ее владельца —а ведь этих данных в некоторых случаях достаточно для совершения покупки через Интернет.Владельцу PayPassтакже стоит задуматься о том, в каком кармане он носит свой смартфон. Многие современные модели поддерживают технологию NFC, позволяющую считывать RFIDметки на близком расстоянии.Несмотря на то, что при определенных условиях можно считать данные карты бесконтактные карты, в силу ограничения на трансакции без ПИНкода суммой втысячурублей, привлекательной целью для мошенника не являются.Для предотвращения несанкционированного доступа к данным чипа банки рекомендуют экранировать карту (помещать её в фольгу или в портфель), а противникам технологии проще отказаться от чипа (отключив его при возможности) или его повредить/удалить [7].

Cсылки на источники1.БалдовД. В., Суслов С. А. Мировые продовольственные кризисы и производственные проблемы // Вестник НГИЭИ. 2014. 3 (34). С. 3–17.2.Буньковский Д.В. Инновации в управлении фондом оплаты труда компании (на примере предприятия трубопроводного транспорта)// Вопросы управления. 2015.№3(15). С. 149157.3.

Жахов Н.В. Почему слабый рубль не поможет аграриям / в сборнике: Актуальные проблемы и инновационная деятельность в агропромышленном производстве.материалы Международной научнопрактической конференции. Курская государственная сельскохозяйственная академия имени И.И. Иванова. 2015. С. 59.4.Никонец О.Е. Интеграция систем регулирования российского и мирового финансового рынка: теоретический и практический аспект/Вестник Брянского государственного университета. 2011. №3. С. 294296.5.Никонец О.Е. Венчурный бизнес как основа инновационного развития экономики России/ Научнометодический электронный журнал Концепт. 2014. Т. 20. С. 29412945.6.Никонец О.Е., Михалев С.И. Перспективы развития инновационноориентированных кредитных организаций// Стратегические коммуникации, теоретические знания и практические навыки в экономике, управлении проектами, педагогике, праве, политологии, природопользовании, психологии, медицине, философии, филологии, социологии, технике, математике, физике, химииСборник научных статей по итогам Международной заочной научнопрактической конференции. Негосударственное образовательное учреждение ДОПОЛНИТЕЛЬНОГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «СанктПетербургский Институт Проектного Менеджмента». г. СанктПетербург, 2013. С. 229.7.Мельникова О.В., Марченко А.В., Никонец О.Е. Стратегические направления развития деятельности комммерчсекого банка за счет реализации зарплатного проекта// В сборнике:Инновации в формировании стратегического вектора развития фундаментальных и прикладных научных исследованийсборник научных статей по итогам международной научнопрактической конференции. Негосударственное образовательное учреждение ДОПОЛНИТЕЛЬНОГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «СанктПетербургский Институт Проектного Менеджмента». 2015. С. 202205.8.Никонец О.Е., Чеснокова Е.М., Марковцова В.А. Пути совершенствования законодательного и нормативного обеспечения банковской деятельности в РФ в сфере кредитования// Научнометодический электронный журнал Концепт. 2015.№12. С. 191195.9.

Рулинская А.Г., Калиничев А.Анализ денежнокредитной политики Банка России//Вестник Брянского государственного университета. 2015.№2. С. 373377.10.Бесконтактные карты PayPass и PayWave –новый уровень безопасности и быстроты покупок в магазинах [электронный ресурс]//Финансовая onlineэнциклопеция [ офиц. Сайт] 13.03.2016г. URL: http://praviladeneg.ru11.Преимущества бесконтактной карты MasterCard [электронный ресурс]//MasterCard PayPass [офиц. Сайт] 10.03.2016г. URL: http://contactless.mastercard.ru/12.

Бесконтактные платежи PayWave[электронный ресурс]//Банки.ру[офиц.сайт] URL: http://www.banki.ru/wikibank/visa_paywave_/13.PayPassи PayWaveтехнологии бесконтактных платежей [электронный ресурс]//Финансы для людей. Авторские обзоры банковских продуктов [офиц. Сайт] 10.03.2016г. URL:http://www.privatbankrf.ru/karty/paypassipaywavetehnologiibeskontaktnyihplatezhey.html14.

Как платить телефоном по карте Visa. Бесконтактные платежи в деталях [электронный ресурс]//Хабрахабр [офиц. Сайт] 05.03.2016г. URL:https://habrahabr.ru/article/26799915.Технология VisapayWave: развитие и преимущество [электронный ресурс]// Русский Стандарт Банк [офиц. Сайт] 10.03.2016г. URL: http://acquiring.ru/firsthand/visa/158/