Вопрос первый: Зачем банку смарт-карты EMV? Трудно переоценить появление в 1996 году стандарта EMV. Разработанный совместно Europay, MasterCard и VISA он положил конец хаосу в развитии платежных приложений смарт-карт приведя процесс к общему знаменателю.
Максим Казаков ,
Генеральный директор
ООО "Открытые системы транзакций"
Этим стандартом регламентируется функциональность универсального приложения для дебетовой или кредитной карточки и устанавливаются соответствующие правила для карточки и терминала при реализации и обслуживании этого приложения. Согласно EMV, приложение может иметь некоторые возможности контроля за авторизациями в режиме off-line, но полноценным кошельком его назвать нельзя. Наряду со стандартизацией платежного приложения, в рамках EMV сделан огромный шаг вперед с точки зрения защиты от подделки по сравнению с общепринятой магнитной полосой.
К сожалению, EMV не настолько строг как этого хотелось бы разработчикам программного обеспечения. По всей видимости, создатели стандарта испытывали на себе серьезное давление со стороны производителй смарт-карт и пытались за счет смягчения требований обеспечить соответствие уже существовавших тогда карт разрабатываемому стандарту. Не получилось. И карты разрабатывали новые и программистам задали задачу требованиями вроде: "В данной ситуации карточка должна вернуть 'A', но может вернуть и 'B'. Но если она вернула 'C', то это не ошибка, необходимо попытаться продолжить выполнение транзакции с 'C'". Поэтому написание программного обеспечения, например, для POS-терминала превращается в нетривиальную задачу, что в конечном итоге явилось одним из факторов, достаточно долгое время сдерживавшим широкое внедрение EMV смарт-карт. Но об этом ниже.
По моему глубокому убеждению основная ценность смарт-карт стандарта EMV заключается не в самом EMV-приложении. Да, эти карты практически невозможно подделать или скопировать, да, есть возможности по контролю за количеством последовательных авторизаций в off-line, но эти неоспоримые преимущества актуальны для эмитентов с большой эмиссией у которых потери от мошенничества в разных формах составляют значительные суммы и заставляют задуматься над инвестированием в новые технологии для снижения этих потерь.
Главный плюс при использовании смарт-карт EMV заключается в новых бизнес-возможностях, открываемых дополнительными приложениями, которые могут размещаться совместно с EMV-приложением на чипе. Это могут быть и денежные кошельки (e-purse), разного рода товарные кошельки или бонусные схемы (loyalty), идентификационные приложения (ID) и другие приложения. В принципе, набор приложений ограничивается только объемом памяти карточки. Нужно только сразу оговориться, что VISA и MasterCard разрешают размещать на своих карточках не все приложения. С loyalty, идентификационными приложениями, приложениями для безопасного доступа в Интернет проблем нет. Ни VISA, ни MasterCard не хотят видеть по соседству со своим приложением, будь то VSDC или M-chip, конкурирующие приложения. В частности, получение разрешения на размещение собственного денежного кошелька на этих карточках мне видится весьма проблематичным.
Внедряя карточки EMV банк может предложить своим клиентам весьма привлекательный инструмент в виде смарт-карты с помощью которой можно оплачивать покупки в магазинах, получать деньги в банкоматах, совершать безопасные платежи в Интернет, накапливать очки для получения скидок в магазинах, иметь доступ к своему счету с домашнего компьютера и т.д. Эти возможности сейчас уже не только и не столько вопрос престижа, а вопрос удержания существующих и привлечения новых клиентов, если хотите - выживания и построения прибыльного бизнеса в новых условиях.
А изменения уже не за горами. Несколько лет внедрение EMV проходило достаточно вяло в силу, как мне кажется, двух основных причин. Первая заключается в революционном характере изменений в технологии, привносимых EMV. Производители карточек, оборудования и программного обеспечения в условиях низкого спроса со стороны банков не особенно торопились реально поддерживать EMV. Вторая причина - дороговизна смарт-карт и, как следствие, низкая их привлекательность с точки зрения бизнеса.
Тем не менее, реально 'процесс пошел' в 2000 году. Уже все производители смарт-карт предлагают сертифицированные VISA и MasterCard EMV смарт-карты с различными объемами памяти. Разработчики программного обеспечения один за другим объявляют о поддержке этих карточек в том или ином виде. Начались пилотные проекты по реализации универсального кошелька на базе спецификаций CEPS (Common Electronic Purse Specification). Американские банки вслед за английскими начали масштабную эмиссию EMV смарт-карт. На волне спроса карточки получают новые возможности и одновременно дешевеют становясь все более и более доступными.
Появились очень интересные чипы, использующие принцип так называемой "виртуальной машины" для выполнения приложений, разработанных на Java или C. Java Card и Multos реализуют принцип 'разработано один раз, работает везде', оттесняя в прошлое разработку приложений 'под заказчика' для какой-то конкретной карточки определенного производителя. В принципе, эмитент может выбирать из множества готовых приложений те, которые нужны его клиентам и загружать эти приложения в карту не заботясь об особенностях системы команд карты, правилах организации ее файловой системы и т.д. Загрузка дополнительных приложений может быть организована и в процессе использования карты клиентом, например, с помощью мобильного телефона, оборудованного соответствующим устройством. И хотя не все проблемы здесь еще окончательно решены, мне кажется, что дальнейшее развитие индустрии смарт-карт пойдет именно этим путем.
Ясно, что для реализации всех этих возможностей требуется соответствующее программное обеспечение. Поскольку технологические изменения носят радикальный характер, то и подходы в построении этого программного обеспечения должны быть соответствующими. Банку нужно получить не просто программный продукт для выпуска и обслуживания смарт-карт, а инструмент, позволяющий оперативно внедрять те или иные услуги. А вот как раз с этим у существующих систем, мягко говоря, определенные проблемы. Они просто не предназначены для работы в таком режиме. То, что было актуально при их проектировании и создании 20, 10 или даже 5 лет назад сейчас безнадежно устарело. Наиболее яркий пример - ситуация с BASE24. Действительно лучший в мире 'фронт' для обслуживания карточек с магнитной полосой стремительно утратил популярность. Кто бы мог себе такое представить три года назад? Клиентам уже недостаточно просто механизма авторизации, поддержки банкоматов и POS-терминалов. Им нужна полноценная работа с различными приложениями смарт-карт, поддержка электронной коммерции, доступа из Интернета и т.д. Причем эти возможности должны быть не просто 'прилеплены' кое-как сбоку по принципу 'лишь бы как-то работало и ладно', а органично вписаны в систему. Вывод напрашивается сам собой - наступает время качественно иных процессинговых систем следующего поколения, построенных на новых принципах.
Благодаря высоким темпам развития технологии то, что казалось сказкой вчера стало былью уже сегодня. Завтра откроет новые возможности о которых мы сегодня можем только мечтать. А поскольку подготовка и реализация самого простого проекта EMV требует, по моим оценкам, никак не меньше года напряженной работы, то задумываться о построении системы выпуска и обслуживания EMV смарт-карт заинтересованным банкам необходимо уже сейчас. Это с одной стороны. С другой - при грамотной реализации проекта затраты на его реализацию окупятся сторицей и выведут банк на качественно новый уровень работы как с пластиковыми картами, так и с клиентами вообще.
Комментарии: 2
Максим Казаков ,
Генеральный директор
ООО "Открытые системы транзакций"
Вопрос второй: Почему умрет SET?
Спецификации SET (Secure Electronic Transaction) версии 1.0 датированы 31 мая 1997 года. SET был призван положить конец мошенничеству с пластиковыми карточками при совершении покупок в Интернет. С тех пор утекло немало воды, но должного распространения SET так и не получил. Попробуем разобраться почему.
Если описывать в двух словах, то оригинальный SET подразумевает следующую схему взаимодействия между участниками процесса платежа в Интернете.
Владелец карточки и магазин устанавливают у себя программное обеспечение - Cardholder Wallet и Merchant Server соответственно. Эквайер должен установить себе Payment Gateway. Кроме того, необходимо чтобы все участники получили в Certificate Authority так называемые сертификаты, которые используются для формирования цифровых подписей и шифрования данных.
Владелец карточки, покупая в Интернет-магазине товар, выбирает в качестве средства платежа пластиковую карточку. Его Cardholder Wallet инициирует обмен с Merchant Server магазина по протоколу SET с соответствующим шифрованием и генерацией цифровых подписей. Авторизация операции проводится магазином через Payment Gateway эквайера. При этом очень важно, что номер карточки остается скрытым от магазина. Тем самым ставится заслон на пути хакеров и недобросовестных администраторов Интернет-магазинов, ворующих номера карточек.
Основная проблема SETа заключается в том, что он был создан людьми далекими от реального бизнеса в Интернете. Теоретически SET хорош. Им гарантируется надежная защита от мошенничества. Только внедрение этой защиты весьма дороге и сложное дело, влекущее за собой существенные изменения в уже работающем программном обеспечении магазинов и эквайеров. Очень существенный минус в том, что владельцу карточки требуется установить на свой компьютер довольно сложный в настройке Cardholder Wallet.
Как результат - SET 'не пошел' несмотря на всемерную поддержку со стороны VISA и MasterCard. Он оказался не выгодным экономически. Свою руку к этому приложили и поставщики программного обеспечения 'ломившие' многие сотни тысяч долларов за решения, поддерживающие SET. Даже учитывая необходимость отнюдь не дешевой сертификации этих решений в SETCo, мне не совсем понятно, что в этом программном обеспечении может стоить так дорого.
Поэтому оказалось глупо тратить, условно говоря, 20 долларов для предотвращения потерь в 10 долларов. В дополнение к этому, по крайней мере на начальном этапе, были выявлены проблемы с совместимостью Cardholder Wallet, Merchant Server и Payment Gateway различных фирм-разработчиков.
В 2000 году была сделана попытка вдохнуть новую жизнь в SET упростив для владельцев карточек и магазинов его использование. Это так назывемый '3-Domain SET' или '3D SET'. Его плюс в том, что владельцу карточки и магазину не нужно устанавливать у себя сложного программного обеспечения. Фактически, Cardholder Wallet перекачевывает на сервер эмитента, а Merchant Server - на сервер эквайера. Эмитент и эквайер обмениваются между собой по SET от имени владельца карточки и магазина. Эмитент при этом может на свое усмотрение использовать любые средства идентификации владельца карточки (пароль, смарт-карта и т.д.). Это же правило распространяется и на эквайера при идентификации магазина. Благодаря этому 3D SET более прост во внедрении и эксплуатации чем традиционный SET.
Но похоже, что продвижение SET все-таки обречено на неудачу. Рынок хочет еще более простого во внедрении решения, требущего минимальных изменений и дополнений в программном обеспечении магазинов и владельцев карточек и обеспечивающего надежную идентификацию участников проводимого платежа. Тем более, что проблема защита передаваемой информации в Интернете уже решена использованием протокола SSL (Secure Socket Layer), который уже стал стандартом де-факто.
В этой связи весьма показателен пример Дании. Именно в Дании была проведена первая в мире транзакция с использованием SET. К концу 2000 года датская национальная платежная система PBS заключила почти 2,000 контрактов с магазинами на прием карточек в Интернете. И только 10% из этих магазинов используют SET. Остальные предпочитают решение, основанное на SSL, несмотря на риск возможных потерь.
Соединенные Штаты, являясь крупнейшим рынком пластиковых карточек, уже окончательно отказались от внедрения 3D SET. Сейчас американцы экспериментируют с использованием протоколов на базе SSL.
VISA объявила о разработке нового протокола 3D Secure, который призван заменить SET и стать, ни много ни мало, универсальным средством борьбы с мошенничеством в Интернет. Первые спецификации этого протокола ожидаются в марте-апреле 2001 года.
MasterCard тоже не дремлет и создал свой протокол - Secure Payment Application (SPA) для работы в Интернет. И VISA и MasterCard понимают, что существование двух разных протоколов не может устроить ни магазины, ни банки. Поэтому, насколько я понимаю, между VISA и MasterCard ведутся активные консультации по выработке единого подхода к осуществлению безопасных операций в Интернет.
Что же делать банкам в сложившейся ситуации? Во-первых, не покупать SET. Инвестиции в данное решение разумными и выгодными в сложившейся ситуации назвать никак нельзя. Во-вторых, не дожидаясь пока все стандарты окончательно устоятся, начинать работать в условиях, сложившихся на рынке Интернет-эквайринга уже сейчас. Панацеи от мошенничества, увы, пока не существует, но соблюдая несложные правила предосторожности при работе с Интернет-магазинами, мошенничество можно свести к минимуму и сделать работу на этом рынке прибыльной. Может быть золотые горы сейчас там и не заработать, но приобрести ценнейший опыт практической работы и приготовиться к быстрому росту спроса на данные услуги можно и нужно.
Максим Казаков ,
Генеральный директор
ООО "Открытые системы транзакций" БBR>
Вопрос третий: Как организовать Интернет-бэнкинг?
Нет необходимости объяснять важность Интернета для повседневной жизни вообще и для предоставления банковских услуг в частности. На Западе уже существуют полностью виртуальные банки, не имеющие реальных отделений. В России ситуация несколько иная, но тем не менее количество пользователей Интернета исчисляется уже несколькими миллионами, причем большинство из них - не старые люди с относительно высокими доходами, являющиеся потенциальными потребителями услуг Интернет-бэнкинга.
При организации предоставления банковских услуг через Интернет есть два пути. Первый - максимально сложный и дорогой, но и самый правильный с технологической точки зрения. Правда с оговоркой, что потратив время и деньги удастся достичь поставленной цели. Заключается он в том, что банку необходимо установить мощный бэк-офис, способный в 'он-лайне' обрабатывать запросы от клиентов, поступающие через Интернет. К сожалению, подобный бэк-офис - недостижимая мечта для большинства банков. Его внедрение требует существенных материальных затрат на программное обеспечение и специалистов, способных его правильно выбрать, а затем поддерживать и развивать. Приобретение такого программного обеспечения для организации Интернет-бэнкинга вряд ли может быть экономически оправдано.
Второй путь - существенно проще и экономичнее. Главный его плюс в том, что при внедрении новой услуги максимально используется программное обеспечение уже имеющееся в банке. Данный путь заключается в установке системы, предназначенной для обработки транзакций в 'он-лайне' и несущей в себе элементы Интернет-бэнкинга. Будучи доступной 24 часа в сутки, эта система берет на себя обслуживание операций клиентов в реальном времени, а обмен с бэк-офисом банка осуществляется файлами в офф-лайне с периодичностью нужной данному конкретному банку. Другими словами, банк выстраивает прочный мост между своим виртуальным отделением в Интернете и бэк-офисом, позволяющий проводить основные банковские операции включая получение выписок, перевод средств со счета на счет, внесение денег на депозит и т.д. Таким образом, клиент получает возможность оперировать со своими счетами любыми способами - из отделения банка через кассу, через банкомат, делать покупки в магазинах как в России, так и за рубежом и иметь доступ к проведению операций по счетам со своего домашнего компьютера или мобильного телефона, а банк выходит на качественно новый уровень предоставления банковских услуг.
Нужно отметить, что ключевым моментом в Интернет-бэнкинге является надежная идентификация клиента при проведении им банковских операций и защита передаваемых данных. Здесь возможны различные варианты, но при всем многообразии решений в данной области наиболее эффективными, на мой взгляд, являются комбинация смарт-карты стандарта EMV и протокола SSL (Secure Socket Layer). Вне всяких сомнений будущее принадлежит смарт-картам EMV и их быстрое распространение вытеснит конкурирующие решения. Это в части идентификации клиента. SSL привлекает простотой внедрения и высокой степенью защиты данных при соответствующей длине используемого ключа шифрования. Он поддерживается всеми браузерами и фактически является стандартным средством для закрытия данных от несанкционированного доступа в Интернет.