Elektron to'lovlar bilan himoyalangan. Elektron to'lov tizimlarida axborot xavfsizligi. Elektron to'lov tizimlarining xavfsizligi

Uskuna echimlari

Bir muncha vaqt davomida WWWning rivojlanishi WWW asosi bo'lgan html sahifalari statik matn ekanligi bilan cheklandi, ya'ni. ularning yordami bilan foydalanuvchi va server o'rtasida interfaol ma'lumot almashishni tashkil etish qiyin. Ishlab chiquvchilar ushbu yo'nalishda HTML imkoniyatlarini kengaytirishning ko'plab usullarini taklif qilishdi, ularning ko'plari keng tarqalmagan. Internetning rivojlanishida yangi bosqich bo'lgan eng kuchli echimlardan biri bu Sun sahifalariga Java sahifalarini HTML sahifalariga ulanadigan interfaol komponentlar sifatida ishlatish taklifidir.

Java dasturiy ta'minoti - Java dasturlash tilida yozilgan va maxsus bayt kodlariga yig'ilgan, ba'zi virtual kompyuterlarning kodlari - Java mashinasi va Intel oilasining protsessor kodlaridan farq qiluvchi dastur. Appletlar Internetdagi serverga joylashtiriladi va HTML-sahifaga kirganda, ushbu ilovaga qo'ng'iroqni o'z ichiga olgan foydalanuvchi kompyuteriga yuklanadi.

Applet kodlarini bajarish uchun standart brauzer Java protsessorining protokollarini Intel (yoki boshqa oila) protsessorlarining mashina ko'rsatmalariga tarjima qiladigan Java dasturini o'z ichiga oladi. Bir tomondan, Java appletlari texnologiyasiga kiritilgan imkoniyatlar sizga kuchli foydalanuvchi interfeyslarini ishlab chiqish, har qanday tarmoq manbalariga kirish orqali kirishni tashkil qilish imkonini beradi, TCP / IP, FTP va hokazolarni ishlatish oson, va boshqa tomondan ularni amalga oshirishni imkonsiz qiladi. to'g'ridan-to'g'ri kompyuter resurslariga kirish. Masalan, appletlarda kompyuterning fayl tizimiga va unga ulangan qurilmalarga kirish imkoni yo'q.

WWW imkoniyatlarini kengaytirishga o'xshash yechim Microsoft Active X texnologiyasi.Bu texnologiya va Java o'rtasidagi eng muhim farq shundaki, tarkibiy qismlar (appletlarning analoglari) Intel protsessor kodlaridagi dasturlar va bu tarkibiy qismlar barcha kompyuter resurslariga kirish huquqiga ega. shuningdek Windows interfeyslari va xizmatlari.

WWW imkoniyatlarini kengaytirishning yana bir keng tarqalgan usuli bu Netscape Navigator plagin texnologiyasi uchun Netscape-ning Plug-inidan foydalanish. Aynan ushbu texnologiya Internet orqali elektron to'lovlar haqidagi ma'lumotni himoya qilish tizimlarini yaratish uchun eng maqbul asos bo'lib tuyuladi. Kelgusida muhokama qilish uchun ushbu texnologiya veb-server ma'lumotlarini himoya qilish muammosini qanday hal qilishini ko'rib chiqamiz.

Aytaylik, ba'zi bir veb-server mavjud va ushbu serverning ma'muri serverning ma'lumot qatoriga kirishni cheklashi kerak, ya'ni. shunday qilib tashkil etingki, ba'zi foydalanuvchilar ba'zi ma'lumotlarga kira oladilar, boshqalari esa ma'lumotga ega bo'lmaydilar.

Hozirgi vaqtda ushbu muammoni hal qilish uchun bir qator yondashuvlar taklif qilinmoqda, xususan, Internet-serverlarning nazorati ostida ishlaydigan ko'plab operatsion tizimlar, ularning ba'zi joylariga kirish uchun parol so'rashmoqda. autentifikatsiyani talab qiladi. Ushbu yondashuvning ikkita muhim kamchiliklari bor: birinchidan, ma'lumotlar serverning o'zida ochiq shaklda saqlanadi, ikkinchidan, ma'lumotlar tarmoq orqali ham ochiq shaklda uzatiladi. Shunday qilib, tajovuzkor ikkita hujumni tashkil qilishi mumkin: serverning o'zi (parolni aniqlash, parolni chetlab o'tish va boshqalar) va trafikka hujumlar. Bunday hujumlarni amalga oshirish faktlari Internet hamjamiyatiga ma'lum.

SSL (Secure Sockets Layer) texnologiyasiga asoslangan yondashuv axborot xavfsizligi muammosini hal qilish uchun yana bir taniqli yondashuvdir. SSL-dan foydalanganda, ma'lumotlar va ma'lumotlar uzatiladigan mijoz va server o'rtasida xavfsiz aloqa kanali yaratiladi. tarmoq orqali aniq ma'lumotlarni uzatish muammosi nisbatan hal qilingan deb hisoblanishi mumkin. SSL bilan bog'liq asosiy muammo bu kalit tizimini yaratish va boshqarishdir. Ma'lumotni serverda aniq saqlash muammosiga kelsak, u haligacha hal qilinmayapti.

Yuqorida tavsiflangan yondashuvlarning yana bir muhim kamchiliklari ularni har doim ham imkoni yo'q va qulay bo'lgan server va tarmoq mijozi dasturiy ta'minotidan qo'llab-quvvatlashga bo'lgan ehtiyojdir. Ayniqsa ommaviy va uyushmagan mijozlarga yo'naltirilgan tizimlarda.

Muallif taklif qilgan yondashuv Internetdagi asosiy axborot tashuvchisi bo'lgan to'g'ridan-to'g'ri html-sahifalarni himoya qilishga asoslangan. Himoyaning mohiyati shundaki, HTML sahifalarni o'z ichiga olgan fayllar serverda shifrlangan holda saqlanadi. Shu bilan birga, ular shifrlangan kalit faqat uni shifrlagan ma'murga (ma'murga) va mijozlarga ma'lum (umuman, kalit tizimini yaratish muammosi shaffof faylni shifrlash holatidagi kabi hal qilinadi).

Mijozlar xavfsiz ma'lumotlarga Netscape-ning Netscape plagin texnologiyasi uchun Plug-in orqali kirishadi. Ushbu modullar MIME standartidagi ba'zi turdagi fayllar bilan bog'liq bo'lgan dasturlar yoki aniqrog'i dasturiy komponentlardir. MIME Internetda fayl formatlarini belgilaydigan xalqaro standartdir. Masalan, quyidagi fayl turlari mavjud: text / html, matn / tekislik, image / jpg, image / bmp va boshqalar. Bundan tashqari, standart mustaqil ishlab chiquvchilar tomonidan aniqlanishi va ishlatilishi mumkin bo'lgan maxsus fayl turlarini aniqlash mexanizmini belgilaydi.

Shunday qilib, ma'lum MIME fayl turlari bilan bog'liq plaginlardan foydalaniladi. Ulanish shundan iboratki, foydalanuvchi tegishli turdagi fayllarga kirganda, brauzer u bilan bog'liq plaginni ishga tushiradi va ushbu modul fayl ma'lumotlarini vizual ravishda ko'rish va foydalanuvchi tomonidan ushbu fayllar bilan ishlov berish uchun barcha harakatlarni bajaradi.

Eng taniqli Plug-in modullari avi formatida videolarni o'ynaydigan modullarni o'z ichiga oladi. Ushbu fayllarni ko'rish brauzerlarning standart imkoniyatlariga kiritilmagan, ammo tegishli Plug-inni o'rnatib, siz ushbu fayllarni brauzerda osongina ko'rishingiz mumkin.

Bundan tashqari, o'rnatilgan xalqaro standart tartib bo'yicha barcha shifrlangan fayllar MIME tipidagi fayllar sifatida belgilanadi. "dastur / x-shp". Keyin, Netscape texnologiyasi va protokollariga muvofiq, ushbu fayl turi bilan aloqa qiladigan Plug-in ishlab chiqilgan. Ushbu modul ikkita funktsiyani bajaradi: birinchidan, parol va foydalanuvchi identifikatorini talab qiladi, ikkinchidan, brauzer oynasida faylni shifrlash va chiqarish ishlarini bajaradi. Netscape tomonidan o'rnatilgan standartga muvofiq ma'lumotlar moduli mijozning barcha kompyuterlarining brauzerlarida buyurtma qilinadi.

Ushbu tayyorgarlik bosqichida tugallangan tizim foydalanishga tayyor. Ishlayotganda, mijozlar standart manzilda (URL) shifrlangan html sahifalariga kirishadi. Brauzer ushbu sahifalarning turini aniqlaydi va avtomatik ravishda biz ishlab chiqqan modulni ishga tushiradi va unga shifrlangan fayl tarkibini yuboradi. Modul mijozni autentifikatsiya qiladi va muvaffaqiyatli tugallangach, sahifaning mazmunini ochadi va ko'rsatadi.

Ushbu protsedurani to'liq bajarishda mijoz sahifalarni "shaffof" shifrlash hissi yaratadi, chunki yuqorida tavsiflangan tizimning barcha ishlari uning ko'zidan yashiringan. Bu holda html-sahifalarga kiritilgan rasmlarning, Java-appletlarning, CGI-skriptlarning ishlatilishi kabi barcha standart funktsiyalar saqlanib qoladi.

Ushbu yondashuv yordamida ko'plab ma'lumotlarni himoya qilish muammolari hal qilinishini ko'rish oson, chunki ochiq shaklda, u faqat mijozlarning kompyuterlarida joylashgan; tarmoq orqali ma'lumotlar shifrlangan shaklda uzatiladi. Ma'lumot olishni maqsad qilgan tajovuzkor faqat ma'lum bir foydalanuvchiga hujumni amalga oshirishi mumkin va hech qanday server ma'lumotlarini himoya qilish tizimi ushbu hujumdan himoya qila olmaydi.

Hozirgi vaqtda muallif Netscape Navigator (3.x) brauzeri va Netscape Communicator 4.x uchun taklif qilingan yondashuv asosida ikkita ma'lumotni himoya qilish tizimini ishlab chiqdi. Dastlabki sinov davomida ishlab chiqilgan tizimlar MExplorer nazorati ostida normal ishlashi mumkin, ammo har doim ham shunday bo'lmaydi.

Shuni ta'kidlash kerakki, ushbu tizim versiyalari HTML sahifasi bilan bog'liq ob'ektlarni shifrlamaydi: rasmlar, skriptlar ilovalari va boshqalar.

1-tizim yagona ob'ekt sifatida har html sahifalarni himoya qilishni (shifrlashni) taklif qiladi. Siz sahifa yaratasiz, so'ng uni shifrlang va serverga nusxalashingiz kerak. Shifrlangan sahifaga kirishda u avtomatik ravishda shifrlangan va maxsus oynada ko'rsatiladi. Server dasturini himoya qilish uchun qo'llab-quvvatlash talab qilinmaydi. Barcha shifrlash va shifrlash ishlari mijozning ish stantsiyasida amalga oshiriladi. Ushbu tizim universaldir, ya'ni. sahifa tuzilishi va maqsadiga bog'liq emas.

2-tizim himoyaga boshqacha yondashuvni taklif qiladi. Ushbu tizim sizning sahifangizning himoyalangan ma'lumotlari ba'zi qismida ekranni namoyish qilishni ta'minlaydi. Ma'lumotlar serverda shifrlangan faylda (html formatida bo'lishi shart emas) joylashgan. O'z sahifangizga kirganingizda, himoya tizimi avtomatik ravishda ushbu faylga kirishga kirishadi, undan ma'lumotlarni o'qiydi va sahifaning ma'lum bir qismida namoyish qiladi. Ushbu yondashuv minimal samaradorlik va estetik go'zallikka, minimal ko'p qirrali imkoniyatlarga erishishga imkon beradi. Bular tizim ma'lum bir maqsadga yo'naltirilgan bo'lib chiqadi.

Ushbu yondashuv Internet orqali elektron to'lov tizimlarini qurishda qo'llanilishi mumkin. Bunday holda, veb-serverning ma'lum bir sahifasiga kirishda foydalanuvchiga to'lov buyurtmasi shaklini ko'rsatadigan Plug-in moduli ishga tushiriladi. Mijoz uni to'ldirgandan so'ng, modul to'lov ma'lumotlarini shifrlaydi va serverga yuboradi. Biroq, u foydalanuvchidan elektron imzo talab qilishi mumkin. Bundan tashqari, har qanday vositadan shifrlash kalitlari va imzolarni o'qish mumkin: disketalar, elektron planshetlar, smart-kartalar va boshqalar.

Xaridor kuzatishi kerak bo'lgan asosiy qoidalar

  1. Hech qachon parolingizni hech kimga, shu jumladan to'lov tizimi xodimlariga oshkor qilmang.
  2. Ulanish haqiqatan ham SSL himoyalangan rejimida amalga oshirilayotganligini tekshiring - yopiq qulfning belgisi brauzeringizning pastki o'ng burchagida ko'rinishi kerak;
  3. To'lov tizimi yoki Internet-bank manzili bilan ulanishni tekshiring;
  4. Hech qachon parolingiz haqidagi ma'lumotlarni har qanday ommaviy axborot vositalarida, shu jumladan kompyuterda saqlamang. Agar kimdir sizning shaxsiy qayd yozuvingizga kirishga muvaffaq bo'lganiga shubha qilsangiz, parolni o'zgartiring yoki o'z hisob qaydnomangizni / hisob qaydnomangizni blokirovka qiling;
  5. Ishni tugatgandan so'ng Chiqish tugmasini bosganingizga ishonch hosil qiling;
  6. Kompyuteringizda biron bir virus yuqmaganligiga ishonch hosil qiling. Antivirus dasturini o'rnating va yoqing. Ularni doimiy ravishda yangilab turishga harakat qiling, chunki viruslarning ta'siri parolingiz haqidagi ma'lumotlarni uchinchi tomonga uzatishga qaratilgan bo'lishi mumkin;
  7. Ishonchli va ishonchli manbalardan olingan dasturlardan foydalaning va muntazam yangilanishlarni amalga oshiring.

Statistika
Statistikaga ko'ra, eng tez-tez quyidagi tizimlarga hujum qilinadi: terminallar (32%), ma'lumotlar bazasi serverlari (30%), dastur serverlari (12%), veb-serverlar (10%). Ish stantsiyalari, autentifikatsiya serverlari, zaxira serverlari, fayllarni saqlash va boshqalar atigi 10% ni tashkil qiladi. Ushbu statistikalardan xavfsizlikning dolzarbligi aniq ko'rinadi saytlar va ilovalar, chunki ularning zaifliklari tufayli ko'pincha ma'lumotlarga kirish imkoni paydo bo'ladi.

To'lov tizimlarining xavfsizligini ta'minlaydigan narsa

Xavfsiz / shifrlangan Internet ulanishlari

  • Hozirgi vaqtda saytda SSL sertifikati mavjudligi Internet-to'lovlarni xavfsiz amalga oshirish uchun etarli shart emas. Faqat zamonaviy xalqaro standartlar bilan tasdiqlangan integratsiyalashgan yondashuv Internet-to'lovlarni qayta ishlash xavfsizligi eng yuqori darajada ta'minlanganligini aytishga imkon beradi.

Mijozlarni himoya qilish

  • Murakkabligi tekshirilayotgan tizimga kirish uchun login / parol;
  • Bank kartasi raqami, amal qilish muddati, karta egasining ismi, CVV / CVC kodlarining kombinatsiyasi;
  • Onlayn to'lovlar uchun asosiy kartani takrorlaydigan virtual kartani yaratish imkoniyati;

Texnik himoya

  • To'lov xizmatini mijozning IP-manziliga va telefon raqamiga bog'lash;
  • Shifrlangan HTTPS / SSL protokoli yordamida mijozning tizimga kirishini amalga oshirish;
  • Identifikatsiya ma'lumotlari to'plami uchun virtual klaviaturadan foydalanish imkoniyati (shaxsiy ma'lumotlarni ushlab olishga qarshi);
  • Tranzaksiya yaratish kanallarini va tranzaktsiyalarni avtorizatsiya qilish kanallarini ajratish:
    • tranzaktsiyalarni avtorizatsiya qilish maxsus kod orqali amalga oshiriladi, to'lovni amalga oshirishda mijoz tizimdan o'z mobil telefoniga SMS orqali oladi (tasodifiy harflar va raqamlarning kombinatsiyasi, atigi bir necha daqiqa amal qiladi).

Kartani himoya qilish
Hujumchilar ko'pincha karta ma'lumotlaridan foydalanishga harakat qilishadi. To'lov xavfsizligi sohasidagi mutaxassislar - Verizon va Trustwave kompaniyalari tomonidan o'tkazilgan tadqiqotlarning hisobotlarida statistik ma'lumotlar keltirilgan: 100 ta holatdan 85 tasida va 98 ta holatda, hujumning ismi karta ma'lumotlari bo'lgan.

To'lov tizimlarini sertifikatlash
Yiliga 6 milliondan ortiq tranzaktsiyalar bilan xizmat ko'rsatuvchi provayderlar va biznes egalarini (savdogarlarni) sertifikatlash Rossiyada IBM, NVision Group, Deiteriy, Digital Security, TrustWave, EVRAAS IT, Axborotni himoya qilish va boshqalar tomonidan berilgan Rossiyada berilgan Malakali Xavfsizlik Assessor (QSA) sertifikatiga ega. Jet infosistemalari, Crock Incorporated.

  1. Muvofiqlik sertifikati To'lov kartalari sanoat xavfsizligi standarti (PCI DSS);
  2. ISO / IEC 27001: 2005 dasturiy ta'minotini ishlab chiqish, joriy etish va texnik xizmat ko'rsatish sohasida axborot xavfsizligini boshqarishning xalqaro talablariga muvofiqligi uchun sertifikat;
  3. Elektron raqamli imzodan (ERI) foydalanish;
  4. Shifrlash (kriptografik) vositalarini taqdim etish, saqlash, tarqatish bo'yicha faoliyatni amalga oshirish huquqini beradigan litsenziyalar.

2012 yil 1 iyuldan boshlab PCI DSS standarti bilan qamrab olingan kompaniyalar tomonidan sertifikatlanmagan ilovalardan foydalanish taqiqlanadi.
To'lov kartalari sohasidagi ma'lumotlarni himoya qilish uchun PCI DSS standarti Visa va MasterCard xalqaro to'lov tizimlari tomonidan ishlab chiqilgan va tashkilotlarning axborot infratuzilmalarida uzatiladigan, saqlanadigan va ishlov beriladigan to'lov kartalari egalari to'g'risidagi ma'lumotlar xavfsizligini ta'minlashga oid 12 ta batafsil talablarni o'z ichiga oladi. Standart talablariga muvofiqligini ta'minlash uchun tegishli choralarni ko'rish to'lov kartalari ma'lumotlarining axborot xavfsizligini ta'minlashga kompleks yondashuvni anglatadi.

Zaifliklar va himoya qilish usullari
Elektron to'lov tizimlarida axborot xavfsizligi nuqtai nazaridan quyidagi zaifliklar mavjud:

  1. Bank va mijoz o'rtasida va banklar o'rtasida to'lov va boshqa xabarlarni yo'naltirish;
  2. Xabarlarni yuboruvchi va oluvchi tashkilotlarda ma'lumotlarni qayta ishlash;
  3. Mijozlarning hisobvaraqlarida to'plangan mablag'lardan foydalanish imkoniyati.
  4. Elektron to'lov tizimidagi eng zaif joylardan biri bu to'lovlar va boshqa xabarlarni banklar o'rtasida, bank va bankomatlar o'rtasida, bank va mijoz o'rtasida o'tkazishdir.

To'lov xabarlarini yuborish uchun himoya:

  1. Jo'natuvchi va oluvchi tashkilotlarning ichki tizimlari elektron hujjatlarni yuborish va qabul qilishga moslashtirilishi va ularni tashkilot ichida qayta ishlashda zarur himoya (terminallarni himoya qilish) bilan ta'minlashi kerak;
  2. Elektron hujjatni yuboruvchi va oluvchining o'zaro ta'siri bilvosita - aloqa kanali orqali amalga oshiriladi.

To'lovlarni himoya qilishni tashkil qilishda hal qilinishi kerak bo'lgan muammolar:

  • abonentlarni o'zaro identifikatsiyalash (ulanishni o'rnatishda o'zaro haqiqiylikni o'rnatish muammosi);
  • aloqa kanallari orqali uzatiladigan elektron hujjatlarni himoya qilish (hujjatlar maxfiyligi va butligini ta'minlash muammolari);
  • hujjatning bajarilishini ta'minlash (turli tashkilotlarga mansubligi va o'zaro mustaqillik tufayli jo'natuvchi va oluvchi o'rtasidagi o'zaro ishonchsizlik muammosi).

To'lov tizimlarining xavfsizligi

  • xabarlarni etkazib berish kafolatlari;
  • aloqa choralarini ko'rishdan bosh tortishning mumkin emasligi;

Yuqoridagi muammolarni hal qilish sifati ko'p jihatdan himoya mexanizmlarini amalga oshirishda kriptografik vositalarni oqilona tanlash bilan belgilanadi.

To'lov tizimi - bu ishtirokchilar o'rtasidagi o'zaro munosabatlar tizimi
Tashkiliy nuqtai nazardan to'lov tizimining asosini shartnoma majburiyatlari bilan birlashtirilgan banklar birlashmasi tashkil etadi. Bundan tashqari, elektron to'lov tizimiga xizmat ko'rsatish shahobchalari tarmog'ini tashkil etuvchi savdo va xizmat ko'rsatish korxonalari kiradi. To'lov tizimining muvaffaqiyatli ishlashi uchun karta xizmatlariga texnik yordam ko'rsatadigan ixtisoslashtirilgan tashkilotlar ham zarur: protsessing va aloqa markazlari, texnik xizmat ko'rsatish markazlari va boshqalar.


Elektron to'lov tizimlarining xavfsizligi

Plastik kartalar yordamida hisob-kitoblarisiz bank operatsiyalari, savdo operatsiyalari va o'zaro hisob-kitoblarning zamonaviy amaliyotini tasavvur qilib bo'lmaydi.

Plastik kartalar yordamida naqd pulsiz hisob-kitoblar tizimi chaqiriladi elektron to'lov tizimi .

Oddiy ishlashini ta'minlash uchun elektron to'lov tizimi ishonchli himoyalangan bo'lishi kerak.

Elektron to'lov tizimlarida axborot xavfsizligi nuqtai nazaridan quyidagi zaifliklar mavjud:

  • banklar va bankomatlar o'rtasida, bank va mijoz o'rtasida to'lovlar va boshqa xabarlarni yuborish;
  • xabarlarni yuboruvchi va oluvchi tashkilotlarda ma'lumotlarni qayta ishlash;
  • mijozlarning hisobvaraqlarida to'plangan mablag'lardan foydalanish imkoniyati.

To'lovni yuborish va boshqa xabarlarni yuborish ushbu xususiyatlar bilan bog'liq:

  • jo'natuvchi va oluvchi tashkilotlarning ichki tizimlari elektron hujjatlarni qayta ishlashda zaruriy himoya qilishni ta'minlashi kerak (terminal tizimlarini himoya qilish);
  • elektron hujjat yuboruvchisi va qabul qiluvchisi o'rtasidagi o'zaro aloqa bilvosita - aloqa kanali orqali amalga oshiriladi.

Ushbu xususiyatlar quyidagi muammolarni keltirib chiqaradi:

  • abonentlarni o'zaro identifikatsiyalash (ulanishni o'rnatishda o'zaro haqiqiylikni o'rnatish muammosi);
  • aloqa kanallari orqali uzatiladigan elektron hujjatlarni himoya qilish (hujjatlar maxfiyligi va yaxlitligini ta'minlash muammosi);
  • elektron hujjatlar almashinuvi jarayonini himoya qilish (hujjatni yuborish va etkazib berishni tasdiqlash muammosi);
  • hujjatning ijro etilishi (turli tashkilotlarga a'zoligi va o'zaro mustaqillik tufayli jo'natuvchi va oluvchi o'rtasidagi o'zaro ishonchsizlik muammosi).

Axborotni himoya qilish funktsiyalarini ta'minlash uchun elektron to'lov tizimining alohida tugunlarida quyidagi himoya mexanizmlari joriy etilishi kerak:

  • terminal tizimlarida erkin foydalanishni boshqarish;
  • xabarlarning yaxlitligini boshqarish;
  • xabarning maxfiyligini ta'minlash;
  • abonentlarni o'zaro autentifikatsiya qilish;
  • xabar muallifidan voz kechish imkoniyati yo'qligi;
  • xabarlarni etkazib berish kafolatlari;
  • aloqa choralarini ko'rishdan bosh tortishning mumkin emasligi;
  • xabarlar ketma-ketligini ro'yxatdan o'tkazish;
  • xabarlar ketma-ketligining yaxlitligini kuzatib borish.

Shunday qilib, elektron to'lov kartalari elektron to'lov tizimida to'lov vositasi sifatida ishlatiladi.

Elektron plastik karta - Bu egasini aniqlaydigan va ma'lum bir hisobga olish ma'lumotlarini saqlaydigan saqlash vositasidir.

Kredit va debet kartalarini farqlang.

Kredit kartalari plastik kartalarning eng keng tarqalgan turi hisoblanadi. Bularga AQShning Visa va MasterCard, American Express va boshqa bir qator tizimlarning kartalari kiradi. Ushbu kartalar tovarlar va xizmatlarni to'lash uchun taqdim etiladi. Kredit karta bilan to'lashda, xaridorning banki unga sotib olish summasi uchun kredit ochadi va bir muncha vaqt o'tgach (odatda 25 kun) hisob-fakturani pochta orqali yuboradi. Xaridor to'langan chekni (hisobni) bankka qaytarib berishi kerak. Tabiiyki, bank bunday sxemani faqat eng badavlat va ishonchli mijozlarga, bank bilan yaxshi kredit tarixiga ega yoki bankka omonatlar, qimmatbaho buyumlar yoki ko'chmas mulkka yaxshi sarmoyalar kiritishni taklif qilishi mumkin.

Egasi debit karta ma'lum miqdorni oldindan emitent bankdagi o'z hisob raqamiga kiritishi shart. Ushbu miqdorning miqdori mavjud mablag'larning chegarasini aniqlaydi. Ushbu kartadan foydalangan holda to'lovlarni amalga oshirishda limit muvofiq ravishda kamayadi. Limitni yangilash yoki oshirish uchun egasi yana o'z hisobiga pul mablag'larini kiritishi kerak. To'lovni amalga oshirish vaqti bilan bank tegishli ma'lumotlarni olgan payt o'rtasidagi vaqtinchalik bo'shliqni sug'urta qilish uchun mijozning hisobvarag'ida minimal qoldiq saqlanishi kerak.

Kredit va debet kartalari nafaqat shaxsiy, balki korporativ ham bo'lishi mumkin. Korporativ kartalar kompaniya tomonidan o'z xodimlariga sayohat yoki boshqa ish harajatlarini to'lash uchun taqdim etilgan. Kompaniyaning korporativ kartalari uning har qanday hisob raqamlari bilan bog'langan. Ushbu kartalarda bo'linish yoki bo'linmaslik chegarasi bo'lishi mumkin. Birinchi holda, korporativ karta egalarining har biriga individual cheklov belgilanadi. Ikkinchi variant kichik kompaniyalar uchun ko'proq mos keladi va chegarani delimitatsiyasini anglatmaydi.

Plastik karta - bu mexanik va termal ta'sirlarga chidamli maxsus plastmassadan tayyorlangan plastinka. Standart bo'yicha ISO 9001 barcha plastik kartalarning o'lchamlari 85,6 × 53.9 × 0.76 mm.

Plastik kartadagi egasini aniqlash uchun:

  • emitent bankning logotipi;
  • ushbu kartaga xizmat ko'rsatadigan to'lov tizimining logotipi;
  • karta egasining ismi;
  • karta egasining hisob raqami;
  • kartaning amal qilish muddati va boshqalar.

Bundan tashqari, kartada egasining fotosurati va uning imzosi bo'lishi mumkin.

Alfanumerik ma'lumotlar (ism, hisob raqami va boshqalar) bo'lishi mumkin kabartmalı, ya’ni kabartmalı shriftda. Bu to'lovlarni qabul qilish uchun qabul qilingan kartalarni qo'lda qayta ishlashda ma'lumotlarni maxsus moslama - kartani "aylantiruvchi" emprinter yordamida tekshirishga tezkor ravishda uzatish imkonini beradi.

Harakatlar printsipiga ko'ra, ular ajralib turadi passiv va faol plastik kartalar. Passiv plastik kartalar faqat ma'lumotlarni saqlaydi. Bularga magnit tasmasi bo'lgan plastik kartalar kiradi.

Magnit chiziqli kartalar hanuzgacha eng keng tarqalgan - muomalada ikki milliarddan ortiq ushbu turdagi kartalar mavjud. Magnit tasma kartaning orqa tomonida joylashgan va ISO 7811 ga muvofiq uchta yo'ldan iborat. Ulardan birinchi ikkitasi identifikatsiya ma'lumotlarini saqlash uchun mo'ljallangan va ma'lumotlar uchinchi trekka yozib olinishi mumkin (masalan, debet karta limitining joriy qiymati). Biroq, takroriy yozish / o'qish jarayonining ishonchliligi pastligi sababli, magnit tasmada yozib olish odatda amalda bo'lmaydi.

Magnit chiziqli kartalar firibgarlikka nisbatan zaifdir. Kartalar xavfsizligini oshirish uchun Visa va MasterCard / Europay tizimlari xavfsizlikning qo'shimcha grafik xususiyatlaridan foydalanadilar: gologrammalar va kabartmalar uchun maxsus shriftlar. Embosserlar (xaritada bo'rttirma naqshlar uchun asboblar) cheklangan ishlab chiqaruvchilar tomonidan ishlab chiqariladi. Bir qator G'arb mamlakatlarida bo'rttirma naqshlarni bepul sotish qonun bilan taqiqlangan. Kartaning ma'lum bir to'lov tizimiga tegishli ekanligini tasdiqlovchi maxsus belgilar naqshinkor egasiga faqat to'lov tizimining boshqaruv organining ruxsati bilan etkaziladi.

Bunday kartochkalarga ega bo'lgan to'lov tizimlari savdo nuqtalarida on-layn avtorizatsiyani talab qiladi, natijada tarmoqlangan, yuqori sifatli aloqa vositalari (telefon liniyalari).

Faol plastik kartaning o'ziga xos xususiyati unda o'rnatilgan elektron chipning mavjudligi. Elektron mikrosxemaga ega plastik karta printsipi 1974 yilda frantsiyalik Roland Moreno tomonidan patentlangan. Standart ISO 7816 integral mikrosxemalar yoki chip kartalardagi kartalar uchun asosiy talablarni belgilaydi.

Mikrosxemali kartalar ikki mezonga ko'ra tasniflanishi mumkin.

Birinchi belgi - o'quvchi bilan o'zaro munosabat printsipi. Asosiy turlari:

  • kontaktlarni o'qish kartalari;
  • kontaktsiz (indüksiyon) o'qiladigan kartalar.

Kontakt o'qish kartasi uning yuzasida 8 dan 10 tagacha aloqa plitalari mavjud. Kontakt plitalarini joylashtirish, ularning soni va pin belgilari turli ishlab chiqaruvchilar uchun farq qiladi va ushbu turdagi kartalar uchun o'quvchilar bir-biridan farq qilishi tabiiydir.

O'rtasida ma'lumot almashish kontaktsiz karta va o'quvchi induksiya orqali ishlab chiqariladi. Shubhasiz, bunday kartalar yanada ishonchli va bardoshlidir.

Ikkinchi belgi - bu kartaning ishlashi. Asosiy turlari:

  • hisoblagich kartalari;
  • xotira kartalari;
  • mikroprotsessorli kartalar.

Hisob-kitob kartalari qoida tariqasida, ma'lum bir to'lov operatsiyalari karta egasi hisobidagi qoldiqni ma'lum bir summaga kamaytirishni talab qiladigan hollarda qo'llaniladi. Bunday kartalar oldindan to'langan maxsus ilovalarda qo'llaniladi (to'lov telefonidan foydalanganlik uchun to'lov, avtoturargohni to'lash va boshqalar). Shubhasiz, hisoblagichli kartalardan foydalanish cheklangan va ko'p va'da bermaydi.

Xotira kartalari hisoblagich kartalari va mikroprosessor kartalari o'rtasida o'tish davri. Xotira kartasi - bu zararli hujumlardan himoyasini oshirish choralari ko'rilgan qayta yoziladigan hisoblagich kartasi. Eng oddiy xotira kartalarida 32 baytdan 16 Kbaytgacha bo'lgan xotira hajmi mavjud. Ushbu xotira quyidagicha tashkil etilishi mumkin:

  • dasturlash mumkin bo'lgan faqat o'qish uchun mo'ljallangan EEPROM (EPROM) xotirasi, bu bir martalik yozishni va ko'p marotaba o'qishga imkon beradi;
  • eEPROM elektr yordamida o'chirilishi mumkin, faqat o'qish uchun mo'ljallangan va faqat bir nechta o'qishni ta'minlaydigan o'qish uchun mo'ljallangan xotira (EEPROM).

Xotira kartalarini ikki turga bo'lish mumkin:

  • himoyalanmagan (to'liq kirish) xotira bilan;
  • himoyalangan xotira bilan.

Birinchi turdagi kartalarda ma'lumotlarni o'qish va yozishda hech qanday cheklovlar yo'q. Ushbu kartalarni to'lov kartalari sifatida ishlatish mumkin emas, chunki ularni “sindirish” juda oson.

Ikkinchi turdagi kartalar identifikatsiya ma'lumotlari maydoni va bir yoki bir nechta dastur maydonlariga ega. Identifikatsiya zonasi shaxsiylashtirish paytida faqat bir martalik yozishni amalga oshirishga imkon beradi va bundan keyin faqat o'qish uchun foydalanish mumkin. Qo'llash joylariga kirish faqat ba'zi operatsiyalarni bajarishda, xususan, maxfiy PIN-kodni kiritishda amalga oshiriladi.

Xotira kartalarini himoya qilish darajasi magnit kartalarga qaraganda yuqori. To'lov vositasi sifatida xotira kartalari jamoat ovozlarini to'lash, transport vositalarida sayohat qilish va mahalliy to'lov tizimlarida (klub kartalari) foydalaniladi. Xotira kartalari binolarga kirish va kompyuter tarmoqlari manbalariga kirish (identifikatsiya kartalari) tizimlarida ham qo'llaniladi.

Mikroprosessor kartalari Smart kartalar yoki smart-kartalar ham deyiladi. Bular asosan asosiy tarkibiy qismlarni o'z ichiga olgan mikrokompyuterlardir:

  • soat chastotasi 5 MGts bo'lgan mikroprosessor;
  • 256 baytgacha bo'lgan operativ xotira;
  • 10 Kbaytgacha doimiy xotira hajmi;
  • sig'imi 8 KB gacha bo'lgan uchmaydigan xotira.

Smart karta keng qamrovli funktsiyalarni bajaradi:

  • ichki manbalardan foydalanish vakolatlarini farqlash;
  • turli xil algoritmlar yordamida ma'lumotlarni shifrlash;
  • elektron raqamli imzoni shakllantirish;
  • kalit tizimni saqlash;
  • karta egasi, bank va savdogarning o'zaro munosabatlari bo'yicha barcha operatsiyalarni bajarish.

Ba'zi bir smart-kartalar ruxsatsiz kirishga urinishda "o'zini blokirovka qilish" rejimini ta'minlaydi.

Bularning barchasi smart-kartani axborot xavfsizligiga yuqori talablar qo'yadigan moliyaviy dasturlarda ishlatilishi mumkin bo'lgan juda ishonchli to'lov vositasiga aylantiradi. Shuning uchun smart-kartalar plastik kartalarning eng istiqbolli turidir.

Plastik kartani tayyorlash va qo'llashda muhim qadamlardir shaxsiylashtirish va avtorizatsiya.

Shaxsiylashtirish Bu karta mijozga berilganda amalga oshiriladi. Shu bilan birga, kartada karta va uning egasini aniqlash, shuningdek to'lov yoki naqd pul olish uchun qabul qilinganda to'lov qobiliyatini tekshirishga imkon beradigan ma'lumotlar kiritiladi. Shaxsiylashtirishning dastlabki usuli bo'rtma edi.

Shaxsiylashtirish, shuningdek, magnit chiziqlarni kodlash va mikrochip dasturlarini o'z ichiga oladi.

Magnit chiziqlarni kodlash Qoida tariqasida, kabartma bilan bir xil uskunada ishlab chiqariladi. Bunday holda, karta ma'lumotining karta raqamini va uning amal qilish muddatini o'z ichiga olgan qismi magnit tasmada ham relyefda bir xil bo'ladi. Biroq, dastlabki kodlashdan so'ng, magnit tasmasiga qo'shimcha ma'lumot kiritish talab qilinadigan holatlar mavjud. Bunday holda, o'qish-yozish funktsiyasiga ega maxsus qurilmalar qo'llaniladi. Bu, xususan, kartani ishlatish uchun PIN-kod maxsus dastur tomonidan yaratilmagan bo'lsa-da, lekin mijoz o'z xohishiga ko'ra tanlanganida mumkin.

Microchip dasturlash Bu maxsus texnologik texnikani talab qilmaydi, lekin u ba'zi tashkiliy xususiyatlarga ega. Shunday qilib, chipning alohida maydonlaridagi dasturiy operatsiyalar turli xodimlarning huquqlari bilan chegaralangan va ajratilgan. Odatda bu protsedura uch bosqichga bo'linadi:

  • birinchi ish joyida karta yoqilgan (uni kuchga kiritish);
  • ikkinchi ish joyida xavfsizlik bilan bog'liq operatsiyalar amalga oshiriladi;
  • shaxsiylashtirish uchinchi ish joyida amalga oshiriladi.

Bunday choralar xavfsizlikni oshiradi va mumkin bo'lgan suiiste'mollikni yo'q qiladi.

Kirish - Bu kartada naqd pul berish yoki berishni ma'qullash jarayoni. Avtorizatsiya qilish uchun xizmat ko'rsatish punkti to'lov tizimidan karta egasining vakolatini va uning moliyaviy imkoniyatlarini tasdiqlash uchun so'rov yuboradi. Avtorizatsiya texnologiyasi kartaning turiga, to'lov tizimining sxemasiga va xizmat ko'rsatish punktining texnik jihozlariga bog'liq.

Avtorizatsiya "qo'lda" yoki avtomatik ravishda amalga oshiriladi. Birinchi holda, ovozni avtorizatsiya qilish sotuvchi yoki kassir so'rovni telefon orqali operatorga yuborganda amalga oshiriladi. Ikkinchi holda, karta avtomatlashtirilgan savdoga qo'yiladi POS-terminal (Sotish nuqtasi - savdo nuqtasidagi to'lov), ma'lumotlar kartadan o'qiladi, kassir to'lov miqdorini kiritadi va karta egasi - PIN-kod (Shaxsiy identifikatsiya raqami - shaxsiy identifikatsiya raqami). Shundan so'ng, terminal to'lov tizimining ma'lumotlar bazasi bilan aloqa o'rnatgan holda avtorizatsiya qilishni amalga oshiradi (on-layn rejimida) yoki kartaning o'zi bilan qo'shimcha ma'lumot almashishni amalga oshiradi (off-line rejimida). Naqd pul berishda, jarayon xuddi shunday xarakterga ega, yagona xususiyati - pul avtomatik ravishda avtorizatsiyani amalga oshiradigan bankomat tomonidan chiqariladi.

Plastik karta egasini aniqlashning isbotlangan usuli bu shaxsiy shaxsiy identifikatsiya raqamidan foydalanish PIN-kod . PIN-kod qiymati faqat karta egasiga ma'lum bo'lishi kerak. Bir tomondan, PIN-kod etarlicha uzoq bo'lishi kerak, shunda to'liq ro'yxat bilan taxmin qilish ehtimoli juda past bo'ladi. Boshqa tomondan, PIN kod egasi uni eslab qolishi uchun etarlicha qisqa bo'lishi kerak. Odatda PIN-kod uzunligi 4 tadan 8 tagacha o'nta raqamgacha o'zgaradi, ammo 12 ga etishi mumkin.

PIN-kod qiymati plastik kartaning tegishli atributlari bilan noyob bog'liq, shuning uchun PIN-kod karta egasining imzosi sifatida talqin qilinishi mumkin.

Plastik karta uchun shaxsiy PIN-kodni himoya qilish butun to'lov tizimining xavfsizligi uchun juda muhimdir. Plastik kartalar yo'qolishi, o'g'irlanishi yoki buzilishi mumkin. Bunday hollarda, maxfiy PIN ruxsatsiz kirishga qarshi yagona chora hisoblanadi. Shu sababli, ochiq PIN-kod faqat tegishli karta egasiga ma'lum bo'lishi kerak. Hech qachon elektron to'lov tizimining bir qismi sifatida saqlanmaydi yoki uzatilmaydi.

PIN-kodni yaratish usuli elektron to'lov tizimining xavfsizligiga sezilarli ta'sir ko'rsatadi. Umuman olganda, shaxsiy identifikatsiya raqamlari bank tomonidan yoki karta egalari tomonidan yaratilishi mumkin.

Agar PIN kod bank tomonidan tayinlangan bo'lsa, odatda ikkita variantdan biri ishlatiladi.

Birinchi holda, PIN-kod karta egasining hisob raqamidan kriptografik tarzda yaratiladi. Shifrlash maxfiy kalit yordamida DES algoritmi yordamida amalga oshiriladi. Afzallik: PIN-kodni elektron to'lov tizimida saqlash shart emas. Kamchilik: agar PIN-kodni o'zgartirish kerak bo'lsa, siz mijozning hisob raqamini yoki kriptografik kalitni o'zgartirishingiz kerak. Ammo banklar mijozning hisob raqamini doimiy ravishda saqlashni afzal ko'rishadi. Boshqa tomondan, barcha PIN-kodlar bitta kalit yordamida hisoblab chiqilganligi sababli, mijoz hisobini yuritishda bitta PIN-kodning o'zgarishi barcha shaxsiy identifikatsiya raqamlarini o'zgartirishga olib keladi.

Ikkinchi variantda bank PIN-kodni tasodifiy tanlaydi va bu qiymatni kriptogramma shaklida saqlaydi. Tanlangan PIN qiymatlari karta egalariga xavfsiz kanal orqali uzatiladi.

Bank tomonidan tayinlangan PIN-kodni ishlatish, hatto kichik uzunlikdagi mijozlar uchun ham noqulaydir. Bunday PIN-kodni xotirada saqlash juda qiyin va shuning uchun karta egasi uni biron bir joyda yozishi mumkin. Asosiysi, PIN-kodni to'g'ridan-to'g'ri kartaga yoki boshqa taniqli joyga yozmaslik. Aks holda, tajovuzkorlarning vazifasi juda osonlashadi.

Mijozlarga qulaylik yaratish uchun mijoz tomonidan tanlangan PIN-koddan foydalaning. PIN-kodni aniqlashning ushbu usuli mijozga quyidagi imkoniyatlarni beradi:

  • bir xil PIN-kodni turli maqsadlarda foydalaning;
  • pIN-kodda nafaqat raqamlarni, balki harflarni (osongina eslab qolish uchun) sozlang.

Mijoz tomonidan tanlangan PIN-kod bankka ro'yxatdan o'tgan pochta orqali yuborilishi yoki uni darhol shifrlaydigan bank ofisining xavfsiz terminali orqali yuborilishi mumkin. Agar bank mijoz tomonidan tanlangan PIN-kodni ishlatishi kerak bo'lsa, quyidagilarni bajaring. Mijoz tomonidan tanlangan PIN-kodning har bir raqamiga 10-modul qo'shiladi (o'tkazmalar bundan mustasno), mijozning hisobvarag'idan bank tomonidan ko'rsatilgan tegishli PIN-kod bilan. Olingan o'nlik raqam "ofset" deb nomlanadi. Ushbu ofset mijoz xaritasida saqlanadi. Ko'rsatilgan PIN tasodifiy xarakterga ega bo'lganligi sababli, mijoz tomonidan tanlangan PIN kodni uning hisobidan aniqlab bo'lmaydi.

Xavfsizlikning asosiy sharti shundan iboratki, PIN-kod karta egasi tomonidan eslab qolinishi va hech qachon o'qib bo'lingan holda saqlanmasligi kerak. Ammo odamlar nomukammal va ko'pincha o'z PIN-kodini unutishadi. Shuning uchun bunday holatlar uchun maxsus protseduralar ishlab chiqilgan: unutilgan PIN-kodni tiklash yoki yangisini yaratish.

PIN-kod va taqdim etilgan karta yordamida mijozni aniqlashda PIN-kodni tekshirishning ikkita asosiy usuli qo'llaniladi: algoritmik va algoritmik.

Algoritmik bo'lmagan usul mijoz tomonidan kiritilgan PIN-kodni ma'lumotlar bazasida saqlanadigan qiymatlar bilan to'g'ridan-to'g'ri taqqoslash yo'li bilan amalga oshiriladi. Odatda, taqqoslash jarayonini murakkablashtirmasdan, uning xavfsizligini oshirish uchun mijozning PIN-kodlari bilan ma'lumotlar bazasi shaffof shifrlash yordamida shifrlanadi.

PIN-kodlarni tekshirishning algoritmik usuli shundaki, mijoz tomonidan kiritilgan PIN-kodlar maxfiy kalit yordamida ma'lum bir algoritmga muvofiq o'zgartiriladi va keyin kartada ma'lum bir shaklda saqlanadigan PIN-kod bilan taqqoslanadi. Ushbu tekshirish usulining afzalliklari:

  • pIN-kod nusxasi kompyuterda yo'qligi bank xodimlari tomonidan oshkor qilinishini istisno qiladi;
  • bankomat yoki POS-terminal va bankning asosiy kompyuteri o'rtasida PIN-kodni o'tkazishning yo'qligi uni ushlab qolish yoki taqqoslash natijalarini yuklashni istisno qiladi;
  • Tizimli dasturiy ta'minotni yaratish bo'yicha ishlarni soddalashtirish, chunki endi real vaqt rejimida harakatlarga ehtiyoj qolmaydi.

Elektron omonat mavjudligi bilan hech kimni ajablantirish qiyin, chunki ular allaqachon har bir kishining kundalik hayotiga kiritilgan va Internetda xaridlarni amalga oshirishda, pul o'tkazmalarini amalga oshirishda va mablag'larni aylantirishda ishlatilgan. Bunday valyutaning mashhurligi uning ishlatilish qulayligi, shuningdek minimal komissiya bilan izohlanadi. Pul xavfsizligi masalasi alohida e'tiborga loyiqdir. Virtual aktivlarni saqlash standartlari va mexanizmlarining to'g'ri ishlashini ta'minlash, odatda, to'lov xizmatlari tomonidan ta'minlanadi, ammo foydalanuvchilar ham ularni boshqarishda asosiy ehtiyotkorlik choralarini ko'rishlari kerak.

Internet-banking paydo bo'lishi bilan yanada ko'proq imkoniyatlar mavjud. Uydan chiqmasdan odamlar xarid qilish yoki boshqa operatsiyalarni amalga oshirish imkoniyatiga ega bo'lishdi. Har qanday operatsiyani bajarish uchun kompyuter, smartfon yoki boshqa qurilma, shuningdek, tarmoqqa barqaror ulanish etarli.

Bir qator afzalliklarga qaramay, elektron pul foydalanuvchidan qo'shimcha himoya talab qiladi. Bu shaxsiy hisoblarni buzishi va kerakli parollarni olishlari mumkin bo'lgan juda ko'p miqdordagi firibgarlarning paydo bo'lishi bilan bog'liq. Shuning uchun Internetda har qanday tranzaksiyaning xavfsizligini ta'minlashga qaratilgan ba'zi choralarni ko'rish muhimdir. Darhaqiqat, boshqa odamlarning virtual jamg'armalariga ruxsatsiz kirish sxemalari rivojlanib bormoqda va ko'pincha onlayn firibgarlar himoya mexanizmlarini ishlab chiquvchilaridan bir qadam oldinda.

Mavjud xatarlar va himoya qilishning asosiy usullari

Internetda tajovuzkorlarga odamlarni aldash, shaxsiy ma'lumotlarini o'g'irlash va keyinchalik pul ishlashga imkon beradigan ko'plab firibgarlik variantlari mavjud. Eng mashhur navlarga quyidagilar kiradi:

  • Fishing - bu shaxsiy ma'lumotlarni o'g'irlash, ya'ni parollar, bank hisoblari, login, plastik karta raqamlarini o'g'irlashni o'z ichiga olgan murakkab firibgarlik usuli. Usulning mohiyati vakolatli tashkilot, masalan, bank muassasasi nomidan elektron pochta orqali xat yuborishdir. Matnda, soxta tashkilot xodimlari har qanday bahonalar bilan har qanday ma'lumotni yangilash yoki uzatishni tavsiya qiladilar.Fishingning xususiyati firibgarlik sxemasini batafsil o'rganishdir. Ishonchliroq bo'lish uchun tajovuzkorlar qobiqli tashkilotning Internet-manbasini aniq nusxa ko'chiradigan saytlarni yaratadilar. Shunday qilib, odam firibgarlikdan shubhalanmaydi, "kanca" ustiga tushadi va pulni yo'qotadi. Bunday muammolardan qochish uchun juda hushyor bo'lish va soxta saytlarni aniqlashni o'rganish juda muhimdir.
  • Skimming - bu plastik kartaning magnit tasmasidan kerakli ma'lumotlarni o'qishga imkon beradigan maxsus qurilmalardan foydalanishni nazarda tutadigan yo'nalish. Harakatlar algoritmi quyidagicha. Birinchidan, tajovuzkor skimmerni ATM qabul qiluvchisiga o'rnatadi. Ushbu qurilmaning o'ziga xos xususiyati shundaki, u deyarli zavod ulagichidan farq qilmaydi. Qurilma ma'lumotlarni o'qishni ta'minlaydigan maxsus sxemaga asoslangan. Shu bilan birga, bankomatga videokamera biriktirilgan bo'lib, uning maqsadi PIN-kodni o'rnatishdir. So'nggi bosqichda firibgar kartaning nusxasini yaratadi va o'g'irlangan kod yordamida barcha mablag'larni olib tashlaydi.

Elektron pulning afzalliklaridan biri bu pulni qalbakilashtirishning mumkin emasligi (klassik ma'noda). Ularni bosib chiqarish mumkin emas va soxta banknotlardan foydalangan holda hech narsa sotib olmaysiz. Virtual valyuta elektron raqamli shaklga ega va faqat Internetda qo'llaniladi, ammo bu hatto mutlaq himoyani kafolatlaydi. Yuqorida aytib o'tilganidek, ishonchsiz odamlarni aldash uchun ko'plab firibgarlik usullari ishlab chiqilgan.

Ammo pul tejashning bir necha asosiy usullari mavjud, bu sizga elektron omonatlarni buzg'unchilardan himoya qilishga imkon beradi:

  • Parollar Global tarmoqning deyarli har bir foydalanuvchisi har kuni saytning shaxsiy hisobiga kirish uchun maxsus kodlarni kiritish zarurati bilan duch keladi. Shunga o'xshash tizim elektron to'lov xizmatlarida ham joriy qilingan, ularning aksariyati ushbu usuldan xavfsizlikni ta'minlashning asosiy usuli sifatida foydalanadi. Amalda, bitta emas, balki bir nechta parollardan foydalanish mumkin, ular doimiy yoki o'zgaruvchan bo'lishi mumkin. Ikkinchi holda, kod har safar manbaga tashrif buyurganingizda yangilanadi. Yangi kombinatsiya elektron pochta yoki mobil telefonga keladi.Tekshirish paroli odatda Internetdagi har qanday moliyaviy operatsiyalar paytida kiritiladi. Ushbu chora sizga tranzaktsiyani tugatgan va vaqtincha kompyuterdan uzoq bo'lgan foydalanuvchini yanada ko'proq himoya qilishga imkon beradi. Boshqa bir kishi hech qanday moliyaviy manipulyatsiyani amalga oshira olmaydi va nazorat kodini ko'rsatmasdan boshqa odamlarning pullaridan foydalana olmaydi. Ko'rib chiqilayotgan tizim ko'plab to'lov tizimlarida, shu jumladan Yandex.Money, Qiwi va boshqalarda ("To'lov paroli" deb nomlanadi) talabga ega. Pul ta'minoti masalasi boshqa xizmat - WebMoney-da yaxshi ko'rib chiqilgan. Bu erda hamyonni kiritish uchun bitta parol etarli emas - sizga kalitli fayl kerak bo'ladi. Himoya sifatida PIN-koddan foydalanish, shuningdek, maqolaning boshida aytib o'tilgan bank kartalariga xosdir. Odatda, har bir foydalanuvchi o'zi belgilaydigan to'rtta raqamdan iborat. Amaliyot shuni ko'rsatadiki, elektron pullarni himoya qilishning bu usuli juda ishonchli emas va xavfsizlik tizimining o'zi xakerlikka moyil. Agar buzg'unchi kartani o'g'irlagan bo'lsa va parolni topishga harakat qilsa, ketma-ket uchta xatodan so'ng "plastik" bloklanadi. Yuqoridagilardan xulosa qilishimiz mumkinki, parol elektron valyuta xavfsizligini ta'minlashning mashhur usuli bo'lib, deyarli barcha zamonaviy to'lov tizimlarida mavjud. Yagona kamchilik - bu ishonchlilikning etishmasligi, shuning uchun uni boshqa himoya usullari bilan birlashtirish tavsiya etiladi.
  • Asosiy fayllar Ushbu usul WebMoney-da qo'llaniladi va qo'shimcha ishonchlilikni ta'minlaydi. Uning mohiyati shundan iboratki, ro'yxatdan o'tgandan so'ng mijozga do'konning kalitlari bo'lgan maxsus fayl beriladi. Omonatlarga kirish uchun foydalanuvchi parol va yuqorida ko'rsatilgan hujjatga ega bo'lishi kerak. Bundan tashqari, hamyon fayli pulning xavfsizligini ta'minlaydigan o'z himoyasiga ega. Shuningdek, harflar, raqamlar va belgilarning ma'lum bir kombinatsiyasini kiritish kerak. Shaxsiy jamg'armalarni qo'shimcha himoya qilish uchun yuqorida ko'rsatilgan faylni kompyuterning qattiq diskidan tashqarida, masalan, USB flesh-diskida saqlash tavsiya etiladi. Boshqa vaziyatda, kompyuterga kirgandan so'ng, tajovuzkor hamyonni sindirish uchun barcha kerakli ma'lumotlarni oladi. Ushbu fayl yo'qolgan bo'lsa, uning nusxasini yaratish va tashqi muhitda saqlash tavsiya etiladi.
  • Ekranda belgilar to'plami. Turli xil qurtlar, troyanlar va viruslardan himoya qilish usullaridan biri ekrandagi klaviatura. Ushbu usul eng mashhur EasyPay tizimlaridan birida qo'llaniladi. Boshqa EPS-dan farqli o'laroq, kerakli belgilarni kiritish odatiy klaviaturadan emas, balki monitor ekranidagi maxsus rasm orqali amalga oshiriladi. Ushbu himoya usuli ikki tomonga ega. Parol bo'lsa, boshqa bir kishi ma'lumotlarga josuslik qilishi va keyinchalik uni buzish uchun ishlatishi mumkin. Agar siz ushbu lahzani diqqat bilan ko'rib chiqsangiz va begonalar yo'qligida to'plam tayyorlasangiz, deyarli barcha turdagi elektron pullarni keyloggerlardan himoya qilishingiz mumkin. Ikkinchisi - foydalanuvchining kompyuteriga kirib, maxsus jurnal faylini o'qiydigan dasturlar (u klaviatura orqali kiritilgan belgilar haqidagi ma'lumotlarni saqlaydi).Ammo foydalanuvchi tomonidan har qanday harakatlarni, shu jumladan sichqonchani harakatini ushlaydigan va keyinchalik takrorlaydigan boshqa dasturlar mavjud. Shu sababli, mavjud vaziyatni hisobga olgan holda, odatiy yoki displey klaviaturasini alohida-alohida ishlatish kerakligi to'g'risida qaror qabul qilish kerak.
  • Maxsus ibora. O'z mablag'larini himoya qilish darajasini oshirish uchun har bir foydalanuvchi bir yoki bir nechta so'zlarni o'ylab topishi kerak. Ushbu texnikadan foydalanish sizni hikoyamiz boshida aytib o'tilgan фишингdan himoya qilishga imkon beradi. Xizmatning operatsion sahifasini ochgandan so'ng, kishi belgilangan parolni ko'rishi kerak. Agar u asl nusxaga to'g'ri kelmasa yoki umuman mavjud bo'lmasa, firibgarlikka urinish haqida ishonchli gapirish mumkin.
  • Hisobni yopish. Yuqorida muhokama qilingan usullar ishlamagan yoki zarur himoya darajasini ta'minlay olmagan vaziyatda siz ushbu bosqichga o'tishingiz kerak. Bu parolni tasodifan yo'qotgan, kompyuterdan ma'lumotlarni o'g'irlash qurboni bo'lgan yoki plastik kartani topa olmaganida mumkin. Shunday qilib, agar asosiy himoya usullari ishlamasa, foydalanuvchi ma'lum bir raqamga SMS yuboradi yoki elektron hisobni blokirovka qilish buyrug'i bilan qo'ng'iroq qiladi. Ushbu chora haddan tashqari holatlar uchun javob beradi, ammo favqulodda vaziyatlarda elektron pullarni eng yaxshi himoyasini ta'minlaydi.

Yuqorida keltirilgan usullar alohida xavfsizlikka kafolat bermaydi va ulardan faqat kombinatsiyalangan holda foydalanish kerak. Bu masalada eng "zaif aloqa" bu hatto ishonchli tizimni himoyasiz qiladigan inson omilining mavjudligi.

Himoyaning oddiy usullari - asosiy usullarga kuchli qo'shimcha

Elektron pullarning xavfsizligi bevosita uning e'tiboriga va ba'zi tavsiyalarga bog'liqligiga hamma tushunishi kerak:

  • Hech qachon tushuntirishdan qat'iy nazar parollarni boshqa odamlarga bermang. Kartaning PIN-kodi yoki elektron to'lov tizimining hamyoniga kirish uchun o'rnatilgan belgilar bu shaxsiy ma'lumotlar bo'lib, ular hech kimga ishonib bo'lmaydi. Ushbu dalillarni aniqlashga bo'lgan har qanday urinishlar, hatto qo'llab-quvvatlash xizmatining vakili shaxsiy ma'lumotlarni so'rasa ham, tashvishga solishi kerak. Ushbu tavsiyani e'tiborsiz qoldirib, siz himoya qilishning asosiy usullarini samarasiz bo'lib qolasiz. Shaxsiy ma'lumotlar elektron pochta orqali aldashga urinish bo'lishi kerak. Bunday holda, yuqori ehtimollik bilan biz onlayn firibgarlik haqida gapirishimiz mumkin.
  • Agar onlayn xaridlar odatiy hol bo'lsa, alohida bank kartasini chiqarish va Internetda xizmatlar yoki tovarlar uchun to'lovlarni amalga oshirish uchun to'lov vositasi sifatida foydalanish tavsiya etiladi. Turli kartalar bilan to'lamang, chunki bu holda ularning maxfiylik darajasi kamayadi. Bundan tashqari, tajovuzkor tomonidan "darz ketgan" yoriqlar paydo bo'lganda katta miqdordagi yo'qotishlarni oldini olish uchun cheklovlarni belgilash tavsiya etiladi.
  • Bankomatdan pulni olishdan oldin, skimizm uchun maxsus qurilmalar yo'qligi uchun qurilmani diqqat bilan tekshirish tavsiya etiladi. Agar yomon biriktirilgan elementlar ko'rinadigan bo'lsa, muammoni bank vakillariga xabar qilish va naqd pul olish uchun boshqa qurilmani izlash kerak.
  • Internet-kafelarda yoki boshqa shunga o'xshash muassasalarda jamoat kompyuterlari orqali elektron to'lov tizimlarining hamyonidan foydalanmang. Bunday holda, tajovuzkorlar maxfiy ma'lumotlarni osongina egallab olishlari mumkin, shundan so'ng pulni himoya qilishning asosiy usullari foydasiz bo'ladi. Bunday muassasaning ma'muri har bir foydalanuvchining tarixini osongina tekshirishi va o'zi uchun zarur bo'lgan ma'lumotlarni olib tashlashi mumkin.
  • Agar siz ma'lumotlarning to'g'riligiga amin bo'lmasangiz va yuboruvchini bilmasangiz, elektron pochtaga keladigan havolalarni bosmang. Agar siz tavsiyalarni e'tiborsiz qoldirsangiz, maxfiy ma'lumotlarni to'playdigan va yaratuvchiga yuboradigan virus yoki troyanni "olishingiz" mumkin. Bundan tashqari, siz biladigan foydalanuvchilarga 100% ishonmasligingiz kerak, chunki pochta qutisi buzilgan bo'lishi mumkin. Agar havola shubhali bo'lsa, uning ahamiyatini alohida aniqlash yaxshidir.
  • Bank kartasi bilan istalgan muassasada to'lashda doimo "plastik" ni yodda tuting. Agar ofitsiant magnit tasmasini alohida o'quvchi orqali uzatsa, barcha kerakli ma'lumotlar uning qo'liga o'tadi.
  • Hech qachon bir xil parolni turli xil xizmatlarda ishlatmang, chunki xakerlik buzilganda, tajovuzkor barcha pullarni olish huquqiga ega bo'ladi. Bundan tashqari, tanlovni imkonsiz qilish uchun murakkab belgilar kombinatsiyasidan foydalanish maqsadga muvofiqdir.
  • Internetda EPS yoki kartadan foydalangan holda tovar sotib olayotganda, faqat nufuzli onlayn-do'konlar bilan ishlash tavsiya etiladi. Taqdim etilgan imtiyozlardan qat'i nazar, pulni shubhali shaxslarga o'tkazmang.
  • Yo'qotishni tezda aniqlash va qulfdan foydalanish uchun kartangiz yoki to'lov tizimingiz hisobini vaqti-vaqti bilan tekshirib turing.
  • Kompyuteringizga ishonchli antivirus o'rnating va uni doimiy ravishda yangilab turing. Shuningdek, xavfsizlik devorini yoqing, bu tajovuzkorlardan qo'shimcha himoya qiladi.

Elektron pullarning barcha turlari diqqatni talab qiladi. Bu faqat foydalanuvchidan topilgan pulni tejashga yoki scammers-ga o'tishga bog'liq.

Bugungi kunda Internetni o'z manbasi, sahifalarni sotish yoki Internet-do'kon ko'rinishida qo'llab-quvvatlamasdan turib jiddiy va unchalik katta bo'lmagan biznesni tasavvur qilish qiyin. Bu oddiy elektron katalogni mavjud virtual do'konga, sotuvchining veb-saytida tovarlarni olish va unga pul to'lash imkoniyatiga ega bo'lish imkonini beradi. Elektron to'lovlar xavfsizligini samarali tashkil etish masalasi moliyaviy hisob-kitoblarga ixtisoslashgan har qanday Internet xizmatining egasi uchun muhimligi ajablanarli emas.

Elektron to'lov tizimlarida axborot xavfsizligi quyidagi shartlarni o'z ichiga oladi:

  • maxfiylik - Internet orqali hisob-kitoblarni amalga oshirish jarayonida xaridor to'g'risidagi ma'lumotlar (plastik karta raqami yoki boshqa to'lov vositasi) faqat buni amalga oshirish uchun qonuniy huquqqa ega bo'lgan muassasalar va tuzilmalarga ma'lum bo'lishi kerak;
  • autentifikatsiya - ko'pincha PIN-kod yoki xabar, buning natijasida mijoz (yoki sotuvchi) bitimning ikkinchi tomoni u da'vo qilayotgan shaxs ekanligiga ishonch hosil qilishi mumkin;
  • avtorizatsiya - xaridor pulni o'tkazishni boshlashdan oldin buyurtmani to'lash uchun etarli pulga egaligini aniqlashga imkon beradi.

Bularning barchasi xaridor uchun ham, sotuvchi uchun ham elektron moliyaviy hisob-kitoblar xavfini minimallashtiradigan xavfsiz to'lov algoritmini yaratishga qaratilgan.

Elektron to'lov tizimlarini zamonaviy axborot bilan himoya qilish usullari

Bugungi kunda elektron to'lov tizimlarida axborotni himoya qilish asosan quyidagilar yordamida amalga oshiriladi.

  • to'lovchining bevosita vakolati;
  • internetda moliyaviy ma'lumotlarni shifrlash;
  • maxsus sertifikatlar.

Bir vaqtning o'zida minglab foydalanuvchilar bilan o'zaro aloqani ta'minlab, sof tijorat xususiyatidagi zamonaviy ilovalar faqat "ochiq" kalitlarda ishlaydigan va faqat shaxsiy kalitlarda ishlaydigan klassik "bir martalik" tizimlar bilan ishlay olmaydi. To'liq yopiq tizimning kamida bitta kalitiga hujum qilish avtomatik ravishda butun himoya zanjirining to'liq ochilishiga olib keladi. O'z navbatida, faqat ochiq kalitlardan foydalangan holda shifrlash katta hisoblash manbalarini talab qiladi.

Shu munosabat bilan, bugungi kunda elektron tijoratda to'lov tizimlarining xavfsizligi protokollar bir vaqtning o'zida shaxsiy va ochiq kalitlardan foydalanishni ta'minlaydi. Tarmoqlar orqali uzatiladigan ma'lumotlar shaxsiy kalit yordamida shifrlangan. Shu bilan birga, uni yaratish dinamik ravishda amalga oshiriladi va ochiq kalitga asoslangan shifr bilan bitimning ikkinchi tomoniga o'tkaziladi. Odatda, shifrlash Secure Sockets Layer (SSL) protokoli, shuningdek Secure Electronic Transaction (SET) protokoli yordamida amalga oshiriladi - MasterCard, VISA moliyaviy gigantlari. Birinchi protokol kanal darajasida shifrlaydi, ikkinchisi esa to'g'ridan-to'g'ri moliyaviy ma'lumotlarni shifrlaydi. SET protokoli bilan dasturlardan foydalanish jarayonida er-xotin elektron imzo algoritmi qo'llaniladi.

Bir qismi sotuvchiga, ikkinchisi esa bankka yuboriladi. Ushbu sxema tufayli xaridor buyurtmalar bo'yicha barcha ma'lumotlarga kirish huquqiga ega, ammo u sotuvchi tomonning hisob-kitob tafsilotlariga kirish huquqiga ega emas va bank, o'z navbatida, buyurtmaning tarkibi to'g'risida to'liq ma'lumot bo'lmaganda, bitim bo'yicha har ikki tomonning barcha moliyaviy ma'lumotlari uchun ochiqdir. Virtual sertifikatlashtirish markazlari, shuningdek, virtual tranzaktsiyalar himoyasini yaxshilashga chaqirilib, elektron tijorat vakillariga imzolangan shaxsiy ochiq kalit bilan elektron formatdagi noyob "sertifikatlar" beradi. Elektron sertifikat markaz tomonidan bitim tomonlarini tasdiqlovchi hujjatlar asosida beriladi va ma'lum vaqt davomida amal qiladi. Bunday sertifikat bilan tijorat bitimining ishtirokchisi boshqa ishtirokchilarning ochiq kalitlarining haqiqiyligini tekshirish orqali moliyaviy operatsiyalarni amalga oshirishi mumkin.

Plastik kartalar yordamida hisob-kitoblarsiz bank operatsiyalari, savdo operatsiyalari va o'zaro to'lovlarni tasavvur qilib bo'lmaydi. Plastik kartalar yordamida naqd pulsiz hisob-kitoblar tizimi elektron to'lov tizimi deb ataladi. Elektron to'lov tizimining normal ishlashini ta'minlash uchun uni ishonchli himoya qilish kerak.

Elektron to'lov tizimlarida axborot xavfsizligida zaifliklar mavjud deb ishoniladi:

Banklar va bankomatlar o'rtasida, bank va mijoz o'rtasida to'lovlar va boshqa xabarlarni boshqa banklarga yuborish;

Jo'natuvchi va oluvchi tashkilot tomonidan ma'lumotlarni qayta ishlash;

Xaridorlarning hisobvaraqlarda sarflangan mablag'lardan foydalanish imkoniyati.

To'lovni yuborish va boshqa xabarlarni yuborish quyidagi funktsiyalar bilan bog'liq:

Jo'natuvchi va oluvchi tashkilotlarning ichki tizimlari elektron hujjatlarni qayta ishlashda tegishli himoya qilishni ta'minlashi kerak (terminal tizimlarini himoya qilish);

Elektron hujjat yuboruvchisi va qabul qiluvchisi o'rtasidagi o'zaro aloqa to'g'ridan-to'g'ri aloqa kanali orqali amalga oshiriladi.

Ushbu xususiyatlar qiyinchiliklarga olib keladi:

Abonentlarni o'zaro identifikatsiya qilish (ulanishni o'rnatishda o'zaro haqiqiylikni o'rnatish muammosi);

Aloqa kanallari orqali uzatiladigan elektron hujjatlarni himoya qilish (maxfiylik va yaxlitlikni ta'minlash muammosi);

Elektron hujjatlar almashinuvi jarayonini himoya qilish (hujjatni yuborish va etkazib berishni tasdiqlash muammosi);

aktning bajarilishini ta'minlash (turli tashkilotlarga a'zoligi va o'zaro mustaqillik tufayli jo'natuvchi va oluvchi o'rtasidagi o'zaro ishonchsizlik muammosi).

Elektron to'lov tizimining ba'zi tugunlarida axborotni himoya qilish funktsiyalarini ta'minlash uchun himoya mexanizmlari joriy etilishi kerak:

Boshlang'ich tizimlarda erkin foydalanishni boshqarish;

Xabarlarning yaxlitligini kuzatib borish

Xabarning maxfiyligini ta'minlash;

Mijozlarni o'zaro tasdiqlash;

Xabarlarni yetkazib berish kafolati;

Aloqa choralarini ko'rishni rad etishning mumkin emasligi;

Xabarlar ketma-ketligini ro'yxatdan o'tkazish;

Xabarlar ketma-ketligining yaxlitligini kuzatib borish.

Elektron to'lov tizimlarida to'lov vositasi sifatida elektron plastik kartalardan foydalaniladi.

Elektron plastik karta - bu foydalanuvchini aniqlaydigan va ma'lum ma'lumotlarni saqlaydigan ma'lum bir ma'lumot vositasi.

Kredit va debet kartalarini farqlash.

Elektron kartalar plastik kartalarning eng keng tarqalgan turidir. Elektron kartalar turli xil tovarlar va xizmatlarni to'lash uchun ishlatiladi. Kredit karta orqali to'lovni amalga oshirayotganda, mijozning banki unga sotib olish summasi uchun kredit ochadi va bir muncha vaqt o'tgach, pochta orqali Xarid summasi uchun schyot-fakturani yuboradi. Xaridor to'langan chekni bankka qaytarib berishi kerak. Albatta, bank shunga o'xshash sxemani faqat ko'proq badavlat va o'z mijozlariga bankda yaxshi kredit tarixiga ega bo'lgan yoki bankdagi depozitlar, qimmatbaho buyumlar yoki ko'chmas mulk ko'rinishidagi katta miqdordagi omonatlarga ega bo'lgan mijozlarga tavsiya qilishi mumkin.

Plastik karta - bu mexanik va termal ta'sirlarga chidamli maxsus plastmassadan tayyorlangan plastinka. ISO 9001 ga binoan, barcha plastik kartalarning o'lchamlari 85,6 × 53.9 × 0.76 mm.

Plastik kartadagi egasini aniqlash uchun:

emitent bankning logotipi;

ushbu kartaga xizmat ko'rsatadigan to'lov tizimining logotipi;

karta egasining ismi;

karta egasining hisob raqami;

kartaning amal qilish muddati va boshqalar.

Bundan tashqari, kartada egasining fotosurati va imzosi bo'lishi mumkin.

Alfanumerik ma'lumotlar (ism, hisob raqami va boshqalar) kabartmalı, ya'ni. kabartmalı shriftda. Bu to'lovlarni qabul qilish uchun qabul qilingan kartalarni qo'lda qayta ishlashda ma'lumotlarni maxsus moslama - kartani "aylantiruvchi" emprinter yordamida tekshirishga tezkor ravishda uzatish imkonini beradi.

Harakatlar printsipiga ko'ra, passiv va faol plastik kartalar ajralib turadi. Passiv plastik kartalar shunchaki ma'lumotni saqlaydi. Bularga magnit tasmasi bo'lgan plastik kartalar kiradi.

Magnit tasma kartalari shu paytgacha keng tarqalgan - muomalada ikki milliarddan ortiq analog tipdagi kartalar mavjud. Magnit tasma kartaning orqa tomonida joylashgan va ISO 7811 ga muvofiq 3 ta yo'ldan iborat. Ulardan birinchi ikkitasi identifikatsiya ma'lumotlarini saqlash uchun taqdim etiladi va uchinchi yo'lga ma'lumot kiritishga ruxsat beriladi (masalan: debet karta limitining joriy qiymati). Biroq, takroriy takrorlash / yozish jarayonining ishonchliligi pastligi sababli, magnit tasmada yozib olish odatda amalda bo'lmaydi.

Magnit chiziqli kartalar firibgarlikka nisbatan zaifdir. Kartalar xavfsizligini oshirish uchun Visa va MasterCard / Europay tizimlari xavfsizlikning qo'shimcha grafik xususiyatlaridan foydalanadilar: gologrammalar va kabartmalar uchun maxsus shriftlar. Embosserlar (xaritada bo'rttirma naqshlar uchun asboblar) cheklangan ishlab chiqaruvchilar tomonidan ishlab chiqariladi. Bir qator G'arb mamlakatlarida bo'rttirma naqshlarni bepul sotish qonun bilan taqiqlangan. Kartaning ma'lum bir to'lov tizimiga tegishli ekanligini tasdiqlovchi maxsus belgilar naqshinkor egasiga faqat to'lov tizimining boshqaruv organining ruxsati bilan etkaziladi.

Bunday kartochkalarga ega bo'lgan to'lov tizimlari savdo nuqtalarida on-layn avtorizatsiyani talab qiladi, natijada tarmoqlangan, yuqori sifatli aloqa vositalari (telefon liniyalari).

Faol plastik kartaning o'ziga xos xususiyati unda o'rnatilgan elektron chipning mavjudligi. ISO 7816 standarti integral mikrosxemalar yoki chip kartalaridagi kartalarga qo'yiladigan asosiy talablarni belgilaydi.

Mikrosxemali kartalar ikki mezonga ko'ra tasniflanishi mumkin.

Birinchi belgi - o'quvchi bilan o'zaro munosabat printsipi. Asosiy turlari:

kontaktlarni o'qish kartalari;

kontaktsiz (indüksiyon) o'qiladigan kartalar.

Kontakt o'qish kartasida uning yuzasida 8 dan 10 tagacha aloqa plitalari mavjud. Kontakt plitalarini joylashtirish, ularning soni va pin belgilari turli ishlab chiqaruvchilar uchun farq qiladi va ushbu turdagi kartalar uchun o'quvchilar bir-biridan farq qilishi tabiiydir.

Kontaktsiz o'qish kartasi va o'quvchi o'rtasida ma'lumot almashinuvi indüksiya orqali amalga oshiriladi. Shubhasiz, bunday kartalar yanada ishonchli va bardoshlidir.

Ikkinchi belgi - bu kartaning ishlashi. Asosiy turlari:

hisoblagich kartalari;

xotira kartalari;

mikroprotsessorli kartalar.

Hisob-kitob kartalari, qoida tariqasida, ma'lum bir to'lov operatsiyalari karta egasi hisobidagi qoldiqni ma'lum bir summaga kamaytirishni talab qilganda qo'llaniladi. Bunday kartalar oldindan to'lanadigan ixtisoslashgan ilovalarda qo'llaniladi (to'lov telefonidan foydalanish, avtoturargohlar uchun to'lov va boshqalar). Shubhasiz, hisoblagichli kartalardan foydalanish cheklangan va ko'p va'da bermaydi.

Xotira kartalari hisoblagich va mikroprotsessorli kartalar o'rtasida o'tish davri hisoblanadi. Xotira kartasi - bu zararli hujumlardan himoyasini oshirish choralari ko'rilgan qayta yoziladigan hisoblagich kartasi. Eng oddiy xotira kartalarida 32 baytdan 16 Kbaytgacha bo'lgan xotira hajmi mavjud. Ushbu xotira quyidagicha tashkil etilishi mumkin:

dasturlash mumkin bo'lgan faqat o'qish uchun mo'ljallangan EEPROM (EPROM) xotirasi, bu bir martalik yozishni va ko'p marotaba o'qishga imkon beradi;

eEPROM elektr yordamida o'chirilishi mumkin, faqat o'qish uchun mo'ljallangan va faqat bir nechta o'qishni ta'minlaydigan o'qish uchun mo'ljallangan xotira (EEPROM).

Xotira kartalarini ikki turga bo'lish mumkin:

himoyalanmagan (to'liq kirish) xotira bilan;

himoyalangan xotira bilan.

Birinchi turdagi kartalarda ma'lumotlarni o'qish va yozishda hech qanday cheklovlar yo'q. Ushbu kartalarni to'lov kartalari sifatida ishlatish mumkin emas, chunki ularni “sindirish” juda oson.

Ikkinchi turdagi kartalar identifikatsiya ma'lumotlari maydoni va bir yoki bir nechta dastur maydonlariga ega. Identifikatsiya zonasi shaxsiylashtirish paytida faqat bir martalik yozishni amalga oshirishga imkon beradi va bundan keyin faqat o'qish uchun foydalanish mumkin. Qo'llash joylariga kirish faqat ba'zi operatsiyalarni bajarishda, xususan, maxfiy PIN-kodni kiritishda amalga oshiriladi.

Xotira kartalarini himoya qilish darajasi magnit kartalarga qaraganda yuqori. To'lov vositasi sifatida xotira kartalari jamoat ovozlarini to'lash, transport vositalarida sayohat qilish va mahalliy to'lov tizimlarida (klub kartalari) foydalaniladi. Xotira kartalari xonalarga kirish tizimlarida va kompyuter tarmoqlari manbalariga kirishda (identifikatsiya kartalarida) ishlatiladi.

Smart karta keng qamrovli funktsiyalarni bajaradi:

ichki manbalardan foydalanish vakolatlarini farqlash;

turli xil algoritmlar yordamida ma'lumotlarni shifrlash;

elektron raqamli imzoni shakllantirish;

kalit tizimni saqlash;

karta egasi, bank va savdogarning o'zaro munosabatlari bo'yicha barcha operatsiyalarni bajarish.

Ba'zi bir smart-kartalarda ruxsatsiz kirishni qo'lga kiritishda "o'zini blokirovka qilish" rejimi mavjud.

Shaxsiylashtirish va avtorizatsiya plastik kartani tayyorlash va qo'llashda muhim qadamlardir.

Shaxsiylashtirish karta mijozga berilganida amalga oshiriladi. Kartada karta va uning egasini aniqlash, shuningdek naqd pulni to'lash yoki berish paytida to'lov qobiliyatini tekshirish uchun ma'lumotlar kartada qayd etiladi. Shaxsiylashtirishning dastlabki usuli bo'rtma edi.

Shaxsiylashtirishga magnit tasma kodlash va mikrochip dasturlash kiradi.

Magnit chiziqni kodlash odatda kabartma bilan bir xil uskunada amalga oshiriladi. Shu bilan birga, karta raqamini va uning muddatini saqlaydigan karta ma'lumotlarining bir qismi magnit tasmada ham, relyefda ham bir xil. Ammo dastlabki kodlashdan so'ng magnit tasmasiga qo'shimcha ma'lumot kiritish kerak bo'lgan holatlar mavjud. Bunday holda, o'qish-yozish funktsiyasiga ega maxsus qurilmalar qo'llaniladi. Bu, xususan, kartani ishlatish uchun PIN-kod maxsus dastur tomonidan yaratilmagan bo'lsa-da, lekin mijoz o'z xohishiga ko'ra tanlanganida mumkin.

Chipni dasturlash uchun maxsus texnologik usullar kerak emas, ammo u ba'zi tashkiliy xususiyatlarga ega. Shunday qilib, chipning alohida maydonlaridagi dasturiy operatsiyalar turli xodimlarning huquqlari bilan chegaralangan va ajratilgan. Odatda bu protsedura uch bosqichga bo'linadi:

birinchi ish joyida karta yoqilgan (uni kuchga kiritish);

ikkinchi ish joyida xavfsizlik bilan bog'liq operatsiyalar amalga oshiriladi;

shaxsiylashtirish uchinchi ish joyida amalga oshiriladi.

Bunday choralar xavfsizlikni oshiradi va mumkin bo'lgan suiiste'mollikni yo'q qiladi.

Avtorizatsiya "qo'lda" yoki avtomatik ravishda amalga oshiriladi. Birinchi holda, ovozni avtorizatsiya qilish sotuvchi yoki kassir telefon orqali so'rovni operatorga yuborganda amalga oshiriladi. Ikkinchi holda, karta avtomatik ravishda sotiladigan POS-terminalga joylashtiriladi (sotuv nuqtasi - savdo nuqtasida to'lov), kartadan ma'lumotlar o'qiladi, kassir to'lov miqdorini kiritadi va karta egasi - PIN-kod (Shaxsiy identifikatsiya raqami - shaxsiy identifikatsiya raqami) . Shundan so'ng, terminal to'lov tizimining ma'lumotlar bazasi bilan aloqa o'rnatgan holda avtorizatsiya qilishni amalga oshiradi (on-layn rejimida) yoki kartaning o'zi bilan qo'shimcha ma'lumot almashishni amalga oshiradi (off-line rejimida). Naqd pul berishda, jarayon xuddi shunday xarakterga ega, yagona xususiyati - pul avtomatik ravishda avtorizatsiyani amalga oshiradigan bankomat tomonidan chiqariladi.

Plastik karta egasini aniqlashning isbotlangan usuli bu shaxsiy shaxsiy PIN-raqamdan foydalanish. PIN-kod qiymati faqat karta egasiga ma'lum bo'lishi kerak. Bir tomondan, PIN-kod etarlicha uzoq bo'lishi kerak, shunda to'liq ro'yxat bilan taxmin qilish ehtimoli juda past bo'ladi. Boshqa tomondan, PIN kod egasi uni eslab qolishi uchun etarlicha qisqa bo'lishi kerak. Odatda PIN-kod uzunligi 4 tadan 8 tagacha o'nta raqamgacha o'zgaradi, ammo 12 ga etishi mumkin.

PIN-kod qiymati plastik kartaning tegishli atributlari bilan noyob bog'liq, shuning uchun PIN-kod karta egasining imzosi sifatida talqin qilinishi mumkin.

Plastik karta uchun shaxsiy PIN-kodni himoya qilish butun to'lov tizimining xavfsizligi uchun juda muhimdir. Plastik kartalar yo'qolishi, o'g'irlanishi yoki buzilishi mumkin. Bunday hollarda, maxfiy PIN ruxsatsiz kirishga qarshi yagona chora hisoblanadi. Shu sababli, ochiq PIN-kod faqat tegishli karta egasiga ma'lum bo'lishi kerak. Hech qachon elektron to'lov tizimining bir qismi sifatida saqlanmaydi yoki uzatilmaydi.

PIN-kodni yaratish usuli elektron to'lov tizimining xavfsizligiga sezilarli ta'sir ko'rsatadi. Umuman olganda, shaxsiy identifikatsiya raqamlari bank tomonidan yoki karta egalari tomonidan yaratilishi mumkin.

Agar PIN kod bank tomonidan tayinlangan bo'lsa, odatda ikkita variantdan biri ishlatiladi.

Birinchi holda, PIN-kod karta egasining hisob raqamidan kriptografik tarzda yaratiladi. Shifrlash maxfiy kalit yordamida DES algoritmi yordamida amalga oshiriladi. Afzallik: PIN-kodni elektron to'lov tizimida saqlash shart emas. Kamchilik: agar PIN-kodni o'zgartirish kerak bo'lsa, siz mijozning hisob raqamini yoki kriptografik kalitni o'zgartirishingiz kerak. Ammo banklar mijozning hisob raqamini doimiy ravishda saqlashni afzal ko'rishadi. Boshqa tomondan, barcha PIN-kodlar bitta kalit yordamida hisoblab chiqilganligi sababli, mijoz hisobini yuritishda bitta PIN-kodning o'zgarishi barcha shaxsiy identifikatsiya raqamlarini o'zgartirishga olib keladi.

Ikkinchi variantda bank PIN-kodni tasodifiy tanlaydi va bu qiymatni kriptogramma shaklida saqlaydi. Tanlangan PIN qiymatlari karta egalariga xavfsiz kanal orqali uzatiladi.

Bank tomonidan tayinlangan PIN-kodni ishlatish, hatto kichik uzunlikdagi mijozlar uchun ham noqulaydir. Bunday PIN-kodni xotirada saqlash juda qiyin va shuning uchun karta egasi uni biron bir joyda yozishi mumkin. Asosiysi, PIN-kodni to'g'ridan-to'g'ri kartaga yoki boshqa taniqli joyga yozmaslik. Aks holda, tajovuzkorlarning vazifasi juda osonlashadi.

Mijozlarga qulaylik yaratish uchun mijoz tomonidan tanlangan PIN-koddan foydalaning. PIN-kodni aniqlashning ushbu usuli mijozga quyidagi imkoniyatlarni beradi:

bir xil PIN-kodni turli maqsadlarda foydalaning;

pIN-kodda nafaqat raqamlarni, balki harflarni (osongina eslab qolish uchun) sozlang.

Mijoz tomonidan tanlangan PIN-kod bankka ro'yxatdan o'tgan pochta orqali yuborilishi yoki uni darhol shifrlaydigan bank ofisining xavfsiz terminali orqali yuborilishi mumkin. Agar bank mijoz tomonidan tanlangan PIN-kodni ishlatishi kerak bo'lsa, quyidagilarni bajaring. Mijoz tomonidan tanlangan PIN-kodning har bir raqamiga 10-modul qo'shiladi (o'tkazmalar bundan mustasno), mijozning hisobvarag'idan bank tomonidan ko'rsatilgan tegishli PIN-kod bilan. Olingan o'nlik raqam "ofset" deb nomlanadi. Ushbu ofset mijoz xaritasida saqlanadi. Ko'rsatilgan PIN tasodifiy xarakterga ega bo'lganligi sababli, mijoz tomonidan tanlangan PIN kodni uning hisobidan aniqlab bo'lmaydi.

Xavfsizlikning asosiy sharti shundan iboratki, PIN-kod karta egasi tomonidan eslab qolinishi va hech qachon o'qib bo'lingan holda saqlanmasligi kerak. Ammo odamlar nomukammal va ko'pincha o'z PIN-kodini unutishadi. Ammo bunday holatlar uchun maxsus protseduralar mo'ljallangan: unutilgan PIN-kodni tiklash yoki yangisini yaratish.

PIN-kod va taqdim etilgan karta yordamida mijozni aniqlashda PIN-kodni tekshirishning ikkita asosiy usuli qo'llaniladi: algoritmik va algoritmik.

Algoritmik bo'lmagan usul mijoz tomonidan kiritilgan PIN-kodni ma'lumotlar bazasida saqlanadigan qiymatlar bilan to'g'ridan-to'g'ri taqqoslash yo'li bilan amalga oshiriladi. Odatda, taqqoslash jarayonini murakkablashtirmasdan, uning xavfsizligini oshirish uchun mijozning PIN-kodlari bilan ma'lumotlar bazasi shaffof shifrlash yordamida shifrlanadi.

PIN-kodlarni tekshirishning algoritmik usuli shundaki, mijoz tomonidan kiritilgan PIN-kodlar maxfiy kalit yordamida ma'lum bir algoritmga muvofiq o'zgartiriladi va keyin kartada ma'lum bir shaklda saqlanadigan PIN-kod bilan taqqoslanadi. Ushbu tekshirish usulining afzalliklari:

pIN-kod nusxasi kompyuterda yo'qligi bank xodimlari tomonidan oshkor qilinishini istisno qiladi;

bankomat yoki POS-terminal va bankning asosiy kompyuteri o'rtasida PIN-kodni o'tkazishning yo'qligi uni ushlab qolish yoki taqqoslash natijalarini yuklashni istisno qiladi;

Tizimli dasturiy ta'minotni yaratish bo'yicha ishlarni soddalashtirish, chunki endi real vaqt rejimida harakatlarga ehtiyoj qolmaydi.

Istiqbolli echimlar. Mobil banking

Mobil-ID + EDS SIM-kartasining asosiy sohasi ma'lumotlar va axborot o'zaro ta'sirining sub'ektlari uchun qat'iy autentifikatsiya protseduralarini amalga oshirishni talab qiladigan operatsiyalarni tasdiqlash uchun mobil telefondan foydalanish hisoblanadi. Uyali aloqa operatori uchun WirelessPKI xizmatlari maxsus xizmat ko'rsatuvchi provayder tomonidan taqdim etilishi kerak (mobil imzo xizmati provayderi (MSSP)).

Amalda, Mobil-ID + EDS SIM-kartaga asoslangan ikki kanalli ko'p faktorli mobil autentifikatsiya nafaqat elektron xizmatlar tizimidagi egasini aniqlabgina qolmay, balki butun aloqa sessiyasida yoki telefon qo'ng'irog'i tugaganidan keyin ham elektron imzolardan foydalanadi. Endi uning egasi barcha parollar va foydalanuvchi nomlarini eslab qolishi shart emas. U kod bank kartalari va PIN-kalkulyatorlardan butunlay voz kechishi mumkin. Agar turli xil xizmatlar uchun foydalanuvchi endi turli xil identifikatsiya ma'lumotlarini (parollar va foydalanuvchi nomlari) ishlatishga majbur bo'lsa, unda bunday SIM-karta barcha xizmatlarga bitta shaxsiy kod bilan kirishga imkon beradi. Funktsional jihatdan yangi SIM-karta egasi oddiy smart-kartalar egalari kabi bir xil elektron operatsiyalarni bajarishi mumkin - Internet-bankka, xizmat portallariga kirish, turli bitimlar imzolash va hk. Bundan tashqari, MSSP ko'plab omillarning kombinatsiyasiga asoslangan kuchli autentifikatsiya uchun ikki kanalli qo'llab-quvvatlaydi. , shu jumladan GOST R. 34.10-2001, GOST R. 34.11-94 (ochiq kalitlar kriptografiyasi), GOST 28147-89.

Sizga maqola yoqdimi? Do'stlar bilan baham ko'ring:
Siz ham qiziqishingiz mumkin.