"Человек - самое уязвимое место в системе безопасности.."

Безопасность электронных платежных систем

Общее

На сегодня не возможно представить мир без банковский операций, без онлайн платежей или без пластиковых карт. Система безналичных расчетов называют электронной платежной системой.
Для эффективной работы, и спокойствии платежников, такая система должна быть защищена. С точки зрения ИБ в таких системах есть следующие уязвимости:

  • Пересылка данных между банками, между банкоматом и банком, между банком и клиентом
  • обработана данных внутри системы отправителя и получателя
  • доступ пользователей к средствам на счетах

Особенности пересылки платежных и других сообщений:

  • Системы получателя и отправителя должны реализовывать нужную защиту при обработке электронных документов
  • Взаимодействие получателя и отправителя реализовано через канал связи

Такие особенности создают следующие проблемы:

  • Взаимное опознание абонентов. Проблема установки подлинности абонентов при соединении
  • Защита электронных документов транспортируются по каналам связи. Проблема конфиденциальности и целостности
  • Защита действия обмена электронными документами. Проблема доказательства доставки и отправления документа

Для реализации защиты данных на конкретных узлах платежных систем, должно быть реализовано следующее:

  • контроль целостности сообщения
  • управление доступом
  • реализации конфиденциальности сообщения
  • невозможность отказа от авторства сообщения
  • взаимная аутентификация пользователей
  • гарантия доставки данных
  • регистрация последовательности сообщений
  • контроль целостности последовательности данных

Электронная пластиковая карта — это носитель данных, который идентифицирует владельца и содержит учетные данные. Существует два вида карт, кредитная и дебетовая.

Кредитная карта самая распространенный вид карт. Такие карты используют для оплаты услуг и товаров. При оплате, на ваш счет заносят сумму кредита, которую вы должны погасить. Дебетовая карта же определяет то, что на вашей карте уже есть некая сумма денег, которой вы можете распоряжаться. Такие карты могут быть корпоративными.

Для идентификации владельца на карту наносят:

  • логотип банка, платежной системы
  • имя владельца, номер счета и срой действия карты

Пластиковые карты различают на пассивные и активные. Пассивные карты хранят информацию, и к ним относят карты с магнитной полосой. Полоса состоит из 3 дорожек. Первые две хранят идентификационные данные, третья же может хранить текущее значения лимита. Такие карты уязвимы к мошенничеству. Для повышения защиты таких карт, используют дополнительные методы защиты.

К активным можно отнести карты с микропроцессором. Такие карты имеют характеристики:

  • микропроцессор с частотой 5МГц
  • ОЗУ 256 байт
  • ПЗУ 10 Кбайт
  • энергозависимое ЗУ 8 Кбайт

Смарткарта имеет широкий список функций:

  • разграничение прав доступа к внутренним ресурсам
  • шифрование данных
  • ЭЦП
  • ведение ключевой системы
  • режим самоблокировки

Существует два этапа: подготовки и применения пластиковой карты. Персонализация этап выдачи карты клиенту. На карту заносят данные, которые будут идентифицировать карту и ее владельца. К данному этапу также относят кодирование магнитной полосы и настройка микросхемы. Авторизация этап утверждения выдачи или продажи наличных на карте. При авторизации стандартным механизмом защиты является пин код. Также возможны дополнительные механизмы, такие как подтверждение по СМС или по email.

Алгоритм генерации значения PIN оказывает прямое влияние на безопасность электронно платежной системы. Если пин код назначается банком, то он генерируется из номера счета владельца криптографически. Шифр используется DES с секретным ключом. Главное клиенту НЕ ЗАПИСЫВАТЬ пин на карту или другое видное место.

При процедуре восстановление забытого пин кода, или генерации нового есть специальные методы. При идентификации клиента по пин кода есть алгоритмический и неалгоритмические способы.

Смотрите также: