Российская карта «Мир» будет защищена лучше, чем карты ведущих международных платежных систем
После появления EMV-чипов электронная коммерция стала излюбленным полем деятельности карточных мошенников. Злоумышленники заранее точат зубы на отечественную карту «Мир», эмиссия которой должна начаться в декабре этого года. Портал Банки.ру выяснил, как будет защищена наша карта: разработчики «Мира» подготовили потенциальным мошенникам несколько высокотехнологичных сюрпризов.
Известно, что операции электронной коммерции относятся к зоне повышенного риска. Сегодня, после миграции европейских банков на микропроцессорные карты, около 70% карточного мошенничества в Европе приходится на CNP-трансакции, значительную часть которых составляют удаленные платежи через Интернет. Такой высокий уровень мошенничества связан с тем, что в простейшем случае для совершения покупки через Интернет мошенникам достаточно знать ограниченный статический набор параметров карты (номер карты, срок ее действия, СVN2), который попадает в руки преступников многочисленными хорошо известными способами.
Существует несколько подходов к решению проблемы безопасности операций электронной коммерции. Сегодня все ведущие международные платежные системы, включая Visa и MasterCard, выбрали для защиты операций электронной коммерции технологию 3D Secure, разработанную и запущенную на рынок в 2001 году. Патент на эту технологию принадлежит Visa, определенные отчисления за его использование платят все использующие технологию международные платежные системы. Причем 3D Secure – лишь общий стандарт, и каждая платежная система разрабатывает по ней собственный конкретный протокол для поддержки интернет-платежей. Например, в Visa этот протокол называется Verified-by-Visa, а в MasterCard — MasterCard SecureCode.
Одним из приоритетов НСПК является обеспечение независимости нашей платежной системы от иностранной интеллектуальной собственности. Но начинать эмиссию карты «Мир» вообще без поддержки технологий защиты CNP-трансакций нельзя. Это заведомо ограничивает функциональность карты для ее первых держателей. Мы планируем предоставить держателям «Мира» возможность выполнения безопасных операций электронной коммерции с самого начала эмиссии. А в течение 2016 года должны быть реализованы две дополнительные технологии.
К моменту запуска карты «Мир» клиенты смогут использовать решение по спецификации 3D Secure. Это не внутренняя разработка, НСПК планирует использовать решение 3D Secure третьей стороны на условиях аутсорсинга. Ни магазинам, ни банкам ничего не придется менять со своей стороны – все будет работать точно так же, как сейчас с протоколами Visa и MasterCard. Но это временное решение, которое будет замещено новыми протоколами, разрабатываемыми параллельно.
Сделаем небольшой экскурс в технологию. 3D Secure работает так: вы через Интернет заходите в магазин, выбираете оплату покупки картой. Магазин (Merchant Plug-In) обращается к директории платежной системы, которая находит сервер аутентификации банка (Access Control Server, или ACS) – эмитента карты плательщика. Сервер ACS сообщает магазину, что клиент действительно подписан на сервис 3D Secure. Магазин перенаправляет клиента на страницу ACS, где тот опознается эмитентом с помощью определенной эмитентом технологии (пароля, статического или динамического). Сервер ACS генерирует криптограмму (токен), как минимум подтверждающую факт успешной аутентификации держателя карты, передает ее магазину. А магазин через свой обслуживающий банк передает ее эмитенту для авторизации. Не самая удобная для клиента схема. Часть пользователей перенаправление на сторонний сайт просто пугает. По некоторым данным, до 20% 3DS-трансакций заканчиваются отменой операции клиентом в случае возникновения на компьютере всплывающего окна, предназначенного для аутентификации держателя карты.
В 2016 году должна выйти спецификация 3D Secure версии 2.0, причем за авторством уже не Visa, а консорциума EMVCo, партнером которого является НСПК. Его идеология иная: в 3D Secure 2.0 уже не будет перенаправления покупателя на страницу сервера контроля доступа. Вместо этого у клиента на его смартфоне, планшете или РС должно быть установлено специальное приложение, используемое сервером ACS для аутентификации держателя карты. Протокол в первую очередь предназначен для выполнения операций электронной коммерции с мобильных устройств. Приложение на устройстве держателя карты позволяет не только опознать клиента банка, но и выполнить ему платежи по технологии in-app payments (непосредственно из приложения без использования веб-браузера).
Сейчас НСПК ведет разработку собственного протокола по спецификации 3D Secure 2.0. Это будет интеллектуальная собственность НСПК, без каких-либо лицензионных отчислений. Он постепенно заменит собой старый 3D Secure. Публикация протокола намечена на середину 2016 года.
Параллельно идет разработка совершенно иного способа проведения онлайн-платежей. Это отдельная история, основанная на организации защищенного обмена сообщениями между платежным приложением платежной системы «Мир» и интернет-шлюзом. Клиент должен иметь дешевый компактный USB-считыватель смарт-карт (они есть на рынке) или воспользоваться сотовым телефоном с поддержкой NFC-технологии.
При оплате покупки в интернет-магазине клиент устанавливает в считыватель свою карту «Мир» и вводит ПИН-код (специальный, для интернет-платежей). Программа формирует шифрованный канал между платежным шлюзом и платежным приложением карты. Причем шифрование производится аппаратно, в чипе карты. Фактически получается уже не CNP-трансакция, так как передается ровно тот же набор данных, что и при работе через обычный платежный терминал. Перехват данных, передающихся между картой и виртуальным терминалом, невозможен из-за использования стойкого шифрования.
С точки зрения магазина, реализовать такое взаимодействие совсем нетрудно: нужно лишь организовать стандартное подключение магазина к интернет-шлюзу НСПК (или эквайера), выступающему в роли виртуального терминала.
В этой технологии будет также заложена возможность надежной верификации держателя карты. В этом случае платежный шлюз считывает из платежного приложения чипа номер телефона, принадлежащий держателю карты, и высылает на него одноразовый пароль, который должен ввести плательщик. Этот СМС-пароль для обеспечения более высокой безопасности может вводиться вместе со статическим интернет-паролем держателя карты.
В данный момент разрабатывается реализация платежного шлюза для данной технологии. Полностью завершить разработку и дать к ней доступ пользователям НСПК планирует в первый половине 2016 года. Обязательной она не будет, это лишь более защищенная и, надеемся, удобная альтернатива протоколам 3D Secure и 3D Secure 2.0.
Игорь ГОЛДОВСКИЙ, член правления, главный архитектор АО «НСПК», для