Пластиковые карты с магнитной полосой давно являются частью повседневной жизни и получают все большее распространение, поскольку они становятся для покупателей все более знакомыми и удобными платежными инструментами. Эти карты очень просты в плане предоставляемых владельцу услуг, и на рынке банковских карт они обычно подразделяются на следующие категории:

• Кредитные карты
• Дебетовые карты
• Карты для получения наличности в банкоматах.
• Карты, гарантированные чеком

Выпуск магнитных карт является очень простой процедурой, поскольку карта содержит только базовую информацию об эмитенте и держателе карты. Например, карты таких известных платежных ассоциаций (Europay, MasterCard, Visa, American Express и т.д.) содержат следующие компоненты: -

• Магнитная полоса
• Рельефные (эмбоссированные) надписи
• Голограмма (необязательно)
• Фотография (необязательно)

Что касается обычных пластиковых карт, то занесение информации на магнитную полосу и эмбоссирование обычно выполняется организацией-эмитентом. Эта информация обычно включает: Имя пользователя - держателя (User Name), Номер счета (Account Number), Срок действия карты (Card Expiry Date), Проверочное значение PIN (PIN Verification Value - PVV), Проверочное значение карты (Card Verification Value - CVV) и Идентификационный номер банка (Bank Identification Number - BIN). Из всех данных, находящихся на карте, только PVV и CVV наносятся эмитентом криптографическим способом. Данная криптографическая обработка производственных систем организации-эмитента выполняется заранее до изготовления и выпуска самих карт.

Один из главных недостатков карт с магнитной полосой – ограниченная функциональность, предлагаемая владельцу карты, и обычно это одна или две функции. Поэтому организация-эмитент декларирует функции, поддерживаемые картой, вместо того, чтобы варьировать функциональность для удовлетворения потребностей конкретного клиента.

Другой недостаток банковских карт с магнитной полосой заключается в том, что они могут быть легко фальсифицированы и использованы мошенниками. Это огромная проблема для банковского карточного бизнеса во всем мире, связанная с миллионами украденных долларов, мошенничеством при розничных продажах, изъятием наличных в банкоматах и т.д.. Финансовое сообщество в течение многих лет ищет альтернативу картам с магнитной полосой, альтернативу, которая помогла бы в борьбе с постоянно растущим уровнем мошенничества.

Существуют значительные выгоды, обусловленные преимуществами использования смарт-карт, включая финансовые выгоды, улучшение безопасности и более ощутимые преимущества для владельца карты, и банки-эмитенты, находящиеся на переднем крае внедрения смарт-карт, будут пожинать плоды этих благоприятных перемен.

Гибкость использования и высокая безопасность смарт-карт привлекательна также для многих вертикальных сегментов рынка в промышленности и правительственных структурах, включая; -

• Финансовый сектор - Дебет, Кредит, Электронный Кошелек, Подтверждение подлинности и т.д.
• Правительственный сектор – Национальный ИД, Карточки медицинского и социального страхования, Водительские права и т.д.
• Telco’s – Stored Value Money, Value Added Applications и т.д.

Поскольку многие организации начинают осознавать и понимать выгоды смарт-карт, возможности их применения, и наблюдается конвергенция и стандартизация поддерживающих технологий, многие из этих организаций приступают к изучению возможности проведения пробных испытаний и в некоторых случаях - полномасштабных программ.

К сожалению немногие банки-эмитенты представляют, как превратить в капитал потенциал технологии смарт-карт. С точки зрения бизнес-перспективы банки-эмитенты могут использовать уже имеющиеся у них персональные данные клиента, поместив их в чип смарт-карты, что позволит им персонифицировать сервис и сделать его более качественным. В будущем клиенты будут иметь карты, отражающие образ жизни индивидуума. Это отличие новых карт позволит банкам- эмитентам захватить и удержать большую долю рынка, поскольку клиенты получат большую личную выгоду и, следовательно, пользу, что будет способствовать распространению карточек. Смарт-карты, содержащие микропроцессор, в состоянии обеспечивать более высокий уровень защищенности хранимых в них данных по сравнению с традиционными магнитными картами. Это позволит банкам-эмитентам снабжать клиентов высоко персонализированными картами, которые могут нести персональные и частные данные о владельце и использоваться в самых различных целях (удостоверение личности, водительские права и т.д.).

При переходе от карт с магнитной полосой к технологии смарт-карт имеется много как технических, так и бизнес-проблем, которые предстоит решить организации, выпускающей карты. Многие банки-эмитенты явились жертвами заблуждения, что выпуск смарт-карт это просто продвинутая версия процессов выпуска карт с магнитной полосой. Это результат неверного истолкования и игнорирования потенциала технологии смарт-карт.

Организации могут принять решение в пользу встраивания управления смарт-картами и реализовать процесс подготовки персонализации на существующих компьютерах, например на mainframe в рамках существующей системы управления карточками. У такого подхода много преимуществ, включая преимущества единого программного обеспечения для всех типов карт, приложений и интегрированное управление на единой аппаратной платформе.

Однако организация-эмитент должна тщательно проанализировать, является ли этот подход к выпуску карт прагматичным. Дело в том, что процесс выпуска смарт-карт очень отличается от выпуска традиционных карт. Кроме того, смарт карты – быстро расширяющийся рынок с новыми и развивающимися технологиями и приложениями. Независимо от того, какую стратегию примет эмитент, эта стратегия должна быть достаточно гибкой, чтобы поддерживать как унаследованные, так и новые технологии и приложения по мере их появления и по мере выявления бизнесом новых потребностей.

Организация-эмитент должна решить, имеет ли она возможность модифицировать существующую систему управления; может ли она себе позволить постоянно развивать систему управления картами в соответствии с развитием бизнес-потребностей и технологий смарт-карт.

Многие организации начинают деятельность в области смарт-карт с выпуска небольших объемов, реализации пилотных или пробных схем. Это позволяет проверить и понять технологию. Такой подход позволяет банку-эмитенту приобрести личный опыт и понять, какие выгоды можно извлечь из новой технологии. Этот подход предполагает немедленный запуск проекта небольшого масштаба, отвечающего требованиям пилотного/пробного проекта. Однако по мере перехода к этапу полномасштабного развертывания системы эмитент должен убедиться в достаточной гибкости систем управления смарт-картами и их способности удовлетворять растущий спрос на этот вид услуг. Подход, основанный на использовании отдельных серверов, отвечает этим требованиям.

Важнейшей особенностью любой системы управления смарт-картами будет управление жизненным циклом карты. Поскольку многофункциональные карты становятся общеупотребительными на рынке, где банки-эмитенты предлагают своим клиентам широкий выбор приложений, и поскольку отложенная персонализация приложений в уже выпущенные карты становится реальностью, банки-эмитенты должны отслеживать уже загруженные в каждую карту приложения. Потребность в восстановлении имеющихся приложений возникнет в случае, если владелец потеряет карту или потребует ее замены/обновления.

Управление многофункциональными смарт-картами - сложный процесс. Система управления смарт- картами должна обеспечить хранение и учет следующей информации: -

• Smart cards issued – тип/изготовитель, объем памяти, приложения, загруженные в ПЗУ и т.д..
• Card Application Profiles – приложения, которые должны поддерживаться на конкретных типах карт
• Card Production Data – криптограммы и/или элементы данных, необходимые для производства криптограмм для загрузки приложений и связанных с ними данных для всех типов поддерживаемых карт (в зависимости от карточной схемы и типа платформы);
• Application Parameters – параметры данных EMV для карты-финансового инструмента (т.е. классическая, золотая, платиновая и т.д.) и другие не “бренд”- параметры.

В целом, система управления жизненным циклом карты должна обеспечивать хранение информации о типах смарт-карт, данные о выпущенных в оборот карт, описание данных для выпуска приложений смарт-карт, а также полную детализацию типов продуктов, поддерживаемых организацией-эмитентом. Система управления жизненным циклом смарт-карт является уникальным приложением в том смысле, что она должна понимать не только профили и параметры смарт-карт используемых типов, но и подробности их бизнес-применения. Это одна из немногих областей, где технология и требования бизнеса должны идти «рука об руку».

Вне зависимости от принятой стратегии перехода, процесс персонализации приложений и данных владельца карточки является критическим фактором в выпуске смарт-карт. В отличие от традиционных карт с магнитной полосой криптографическая структура для генерации и персонализации данных владельца в смарт-картах может быть различной в зависимости от используемой глобальной платежной системы и типа платформы смарт-карты.

Иногда требования к персонализации формулируются в процессе выпуска смарт-карты, при этом архитектура предлагается разработчиками бренда/смарт-карты. Однако в большинстве случаев это не так, и банк-эмитент имеет дело с широким диапазоном карточных платформ, предъявляющих различные требования к процессу генерации и создания данных. Со временем ситуация будет осложняться, поскольку на рынке появляется все больше приложений смарт-карт различных разработчиков.

Создание и форматирование персонализационных данных требуют особого внимания. В зависимости от поддерживаемой схемы, каждый тип платформы смарт-карт (например, MULTOS, Java, SmartCard for WINDOWS, карты собственной структуры и т.д.), требуют, чтобы данные были уже определенным образом форматированы до запуска механизмов криптографической защиты, до защищенной передачи данных в персонализационную систему. Эта область требует должного обсуждения, поскольку только после того как данные загружены в карту, эмитент сможет проверить работоспособность карты и ее приложений. Если при персонализации произошел сбой, то с картой больше ничего нельзя сделать, остается ее только выбросить.

Тип персонализационных данных для одного и того же приложения может меняться. С одной стороны для приложения смарт-карты может потребоваться базовая информация для инициализации приложений (например, достоверность без подписи), для других приложений могут потребоваться секретные данные банка-эмитента и специфические данные владельца карты (например, EMV совместимые финансовые приложения). Независимо от типов требуемых приложений для смарт-карт важно, чтобы эмитент использовал стандартизованные процессы.

Важно, чтобы организация-эмитент использовала процессы, поддерживающие различные типы смарт карт, являющихся коммерчески доступными, и предусматривала объединенную структуру подготовки персонализации. Инфраструктура подготовки персонализации организации-эмитента должна давать ей возможность получения информации из любого источника (глобальных платежных организаций, разработчиков приложений для смарт-карт, собственных разработчиков и т.д.), и обеспечивать организации-эмитенту инструмент стандартизации процесса подготовки персонализации смарт-карточных приложений и данных держателя карты.

Если организация-эмитент не принимает данный подход, то потенциально это заканчивается тиражированием ПО персонализации необходимого для каждого приложения, его версии и типа карточки, которую намерены выпускать, и т.д. В то время как на начальных этапах это может не вызывать проблем, благодаря небольшому количеству поддерживаемых платформ, по мере увеличения числа типов платформ и дополнительных приложений это может стать основной проблемой управления.

Каждая организация, собирающаяся выпускать смарт-карты, должна решить: развивать ли собственные приложения для подготовки персонализации или купить готовое решение из имеющихся на рынке. Вне зависимости от принятого организацией-эмитентом решения, следует учитывать следующее:

Неотъемлемая часть системы подготовки персонализации - это безопасное управление ключами. Криптографическая структура генерации данных и выпуск смарт-карт очень отличаются от структуры, используемой для выпуска традиционных карт с магнитной полосой. Любой банк- эмитент, в особенности работающий с финансовыми приложениями широко известных платежных ассоциаций, вынужден будет использовать аппаратно реализованную безопасную систему управления ключами. В зависимости от используемых приложений и поддерживаемых платформ смарт-карт от организации-эмитента обычно требуется выполнение следующих функций и процессов управления ключами: -

Разработка открытых материалов о ключе и соответствующих данных для сертификации поставщиком схемы/марки

• Генерация открытого ключа для карточных приложений
• Генерация секретного ключа для карточных приложений
• Генерация и внутренняя сертификация карточных сертификатов
• Безопасное распространение ключей среди других объектов в пределах схемы
• Импорт и экспорт ключевых материалов.

Система управления ключами безопасности должна обеспечить интерфейс между банком- эмитентом и карточной ассоциацией для сертификации эмитента, позволяющей ему выпускать карточки по принятой схеме. Это особенно уместно для финансовых карт известных марок. Кроме того, банк эмитент должен обеспечивать генерацию всех криптографических ключевых материалов для используемых приложений и в случае необходимости разделять ключевые материалы с другими участниками схемы.

Очень важно, чтобы банк-эмитент разработал свою стратегию на перспективу. Многие банки- эмитенты сегодня обсуждают смарт-карты с фиксированной функциональностью, но будущее очевидно за многофункциональными смарт-картами. С точки зрения бизнеса они обеспечивают существенно больше возможностей, поддерживая несколько приложений. Это приносит дополнительные выгоды не только банку-эмитенту, но и владельцу карты.

Банк-эмитент должен быть уверен в том, что независимо от принятого решения, от будет обладать достаточной гибкостью для поддержки сегодняшних и будущих требований бизнеса. Это весьма непросто, поскольку рынок находится в постоянном движении. Появляются новые финансовые приложения, новые схемы управления ключами, новые персонализационные процессы, различные организации постоянно выводят на рынок новые платформы смарт-карт.

До настоящего времени большинство карт выпускалось централизовано, однако с появлением многофункциональных смарт-карт все стало не столь однозначно. Сегодня многие банки-эмитенты обсуждают возможности безопасного выпуска карт в удаленных точках, а также обеспечение пост-персонализационных услуг для клиентов.

Многие банки-эмитенты понимают, что сходство между традиционными магнитными картами и смарт картам – минимальное. Приложения, которые могут располагаться на смарт-картах и процесс их выпуска существенно сложнее, и это положение все более усугубляется с выпуском платформ для многофункциональных смарт-карт. Если банки-эмитетны рассматривают возможность выпуска карт на чипах впервые и, вероятнее всего, в качестве пилотных проетов, то у них будет реальный выбор. Первый вариант - заказать проведение подготовки персонализации и саму персонализацию сторонней фирме для централизованного выпуска карт. Второй - внедрить процесс подготовки персонализации у себя.

Сторонние фирмы предлагают услуги по персонализации «под ключ» Это привлекательный путь для тех, кто впервые собирается выпускать смарт-карты. Однако имеется ряд факторов, которые следует учитывать, делая выбор:

• Обеспечивает ли сторонняя фирма, предлагающая услуги по выпуску, гарантии по выпуску и замене смарт-карт, и если это так, то приемлемы ли эти гарантии и отвечают ли они требованиям бизнеса.
• Приемлема ли стоимость карт, особенно в случае небольших объемов.
• Будет ли такой вариант приносить максимальную выгоду эмитенту, будет ли выгода от получения информации о выпуске смарт-карт в управляемой среде в процессе пилотного проекта, по сравнению с полномасштабным развертыванием выпуска у себя.
• Может ли банк-эмитент позволить себе передать чувствительную (т.е. финансовую) информацию о себе и своих клиентах сторонней организации.

Второй вариант – развертывание системы подготовки персонализации у себя может на первый взгляд показаться непривлекательным, особенно в случае небольших объемов предполагаемого выпуска. Однако необходимо, как и в предыдущем случае, учесть следующие обстоятельства.

• Может ли планируемый небольшой объем выпуска карт оправдать (окупить) внедрение системы у себя.
• Имеется ли бизнес-основание ждать, пока будет выпущен большой объем карт.
• Может ли эмитент позволить сторонней организации управлять всеми своими чувствительными данными.
• Будет ли для эмитента ценным опыт, полученный при внутреннем выпуске карт, даже в случае, если их объем будет невелик.
• Имеются ли бизнес-основания в поддержку аргументов об обязательном получении прибыли на экспериментальной стадии внедрения собственного персонализационного процесса, особенно, если речь идет об управляемой среде и проблемы могут решаться по мере возникновения.

Для того чтобы внедрение новой технологии было успешным, организации-эмитенты должны разобраться как можно быстрее во всех сопутствующих процессу выпуска проблемах: управлении ассортиментом карт, управлении ключами, собственно процессом персонализации, управлении жизненным циклом карт. Обстоятельства бизнеса для каждого эмитента диктуют свои условия и, естественно, влияют на выбор какого-либо из двух вышеуказанных вариантов.

Персонализация традиционных карт с магнитной полосой, осуществляющаяся эмитентами в течение многих лет – простой и понятный процесс. Обычно персонализационная система получает от эмитента пакет (файл), содержащий индивидуальные записи всех карт. Карточные записи обычно содержат информацию, записываемую на магнитную полосу, эмбоссируемые данные, информацию о владельце (имя, адрес) и опционально другие данные (фотографию и т.п.). При производстве карт с магнитной полосой основные требования по безопасности зависят от управления и сохранности запасов карт. Здесь не используются процессы криптографической защиты, поскольку все чувствительные данные (PVV, CVV и т.п.) вычислены заранее, до того как эмитент передает карточные данные.

Картина персонализации смарт-карт выглядит совершенно иначе. Чтобы обеспечить персонализацию чиповых карт, существующее персонализационное оборудование должно быть модернизировано. В большинстве случаев это означает добавление/встраивание в персонализационную систему модуля программирования смарт-карт. Сам процесс персонализации смарт-карт требует обеспечения безопасности. В отличие от персонализации традиционных магнитных карт здесь, на завершающей стадии процесса, используются криптографические операции необходимые для загрузки приложений, информации о эмитенте и владельце карты. Когда информация для смарт-карт поступает в систему персонализации от процесса подготовки персонализации, эти данные зашифрованы и снабжены Message Authentication Code (MAC) для обеспечения целостности. Шифрование данных и построение MAC выполнены с ключом, известным только персонализационной системе и процессу подготовки персонализации.

Карты, ожидающие персонализации, блокированы в процессе производства и инициализации с использованием так называемого транспортного ключа(-ей). Смарт-карты воспримут для загрузки только те данные, которые были предварительно зашифрованы с использованием этого транспортного ключа. Этот процесс часто называется ‘secure messaging’. Это заключительный этап обработки, выполняемой в персонализационной системе. Как и в процессе подготовки персонализации, криптографическая обработка должна быть выполнена в пределах модуля, защищенного от вмешательства, таким образом, гарантируя, что никакой ключевой материал не фигурировал в открытом - незашифрованном виде вне безопасных пределов модуля.

Каждый тип карты или схемы имеет тенденцию использовать слегка различающиеся процессы обеспечения безопасности при загрузке данных. Описанная выше картина показывает процесс только в общих чертах. Эмитент же нуждается в гарантиях, что персонализационная система в состоянии поддержать все типы и схемы карточек, планируемые к выпуску эмитентом.

В будущем многие организации будут предлагать клиентам новые изделия и услуги. Поскольку сегодня требуется время для выпуска и персонализации новой карты для клиента, оперативность предоставления услуги станет мощным маркетинговым инструментом в арсенале большинства организаций. Одной из важных особенностей станет способность мгновенной выдачи карточки пользователям в случае их обращения за новыми продуктами и услугами. Чтобы достичь быстроты предоставления услуги в отдаленных точках, будь то отделение банка или киоск, требуются рентабельные, а также безопасные системы выпуска карт. У организаций-эмитентов, желающих предоставлять оперативные слуги, будет возникать множество разнообразных проблем. Часть из них перечислена ниже: -

Смарт-карта, представляя собою устройство, использующее микропроцессор, может не только хранить значительно больше информации, нежели магнитная карта, но и способна воспринимать новые приложения, загружаемые после выпуска (то есть это устройство с изменяемыми функциональными возможностями). Это дает эмитенту уникальные возможности по настройке финансовых инструментов в соответствии с образом жизни владельца в процессе использования карты, таким образом, увеличивая полезность (субъективную ценность) карты для держателя.

Для поддержки такой деловой модели эмитент должен построить инфраструктуру, которая позволит генерировать и безопасно поставлять персональные данные в формате, пригодном для целевой карты на удаленные устройства в режиме реального времени. Эмитенту следует рассмотреть множество проблем. Вот только некоторые из них: -

• Централизованная или удаленная персонализация данных (см. предыдущий комментарий))
• Уровень доставки сервиса – время генерации персонализационных данных и время их записи на целевую карту.
• On-line проверка и разрешение запроса на загрузку приложения.
• Подтверждение успешной загрузки или неудачи загрузки приложения и соответствующие изменения в системах front и back office.

Смарт-карты становятся реальностью жизни. Они обеспечивают эффективные механизмы построения множественных приложений для держателя карт, позволяющие настраивать финансовые механизмы в соответствии с образом жизни индивидуума. Смарт-карты с множественными приложениями уже положительно зарекомендовали себя на ряде вертикальных рынков, в то же время они переходят на новые сегменты рынка, и это будет становиться все больше привычным, поскольку эмитенты начинают торговать недвижимостью по своим карточкам.

Многие организации по различным причинам сопротивлялись выпуску смарт-карт, однако, на сегодняшний день потребности бизнеса, особенно банковского сектора, в смарт-картах перекрывают это сопротивление. Основная причина - возросший уровень ущерба от мошенничества - требует поднятия уровня безопасности транзакций. С другой стороны, технологический прогресс вызывает драматичное снижение стоимости самих смарт-карт и в целом их выпуска и обслуживания.

Организации, желающие получить максимальную выгоду от этой новой технологии, посредством предоставления своим клиентам удобных и выгодных финансовых инструментов, должны тщательно продумать вопросы выпуска и управления картами, рассматривать как текущие вопросы, так и развитие на будущее. Технология смарт-карт предоставляет множество дополнительных возможностей и потенциальных выгод по сравнению с традиционными магнитными картами, и только ограничения эмитента и недостаток творческого потенциала являются сдерживающими факторами. Чем дольше эмитенты традиционных карт медлят, ожидая массового развертывания смарт-карт, тем больше шансов выхода на этот рынок получают другие организации.

Многие из таких организаций не являются типичными карточными эмитентами, и существующие бизнес-модели их не ограничивают. Для таких организаций это - время инвестирования новой технологии, предложения новых приложений и атак на традиционно закрытую консервативную клиентскую базу пользователей карточек.