POLITECHNIKA POZNAŃSKA - SYSTEMY INFORMATYCZNE W ZARZĄDZANIU Zastosowanie kart elektronicznych w systemach płatniczych. Kornelia Miklaś, Maria Pawlak 2013/2014
SPIS TREŚCI Wstęp... 3 1. Rodzaje systemów płatniczych... 4 1.1 EMV... 4 1.2 Internetowa Portmonetka... 4 2. Sposoby płatności... 6 2.1 Kontaktowy... 6 2.2 Bezkontaktowy... 6 3. System EMV... 7 3.1 Podstawowe zasady działania... 7 3.2 Struktura plików... 7 4. Proces realizacji płatności... 8 5. Podsumowanie... 9 Źródła... 10 2
WSTĘP Karty elektroniczne stały się nieodłącznym elementem codzienności człowieka żyjącego w XXI wieku. Używamy ich każdego dnia w tramwaju (karta biletowa), na uczelni (legitymacja studencka), rozmawiając przez telefon (karta SIM), czy dokonując płatności (karty bankomatowe, płatnicze, kredytowe). Szerokie spektrum zastosowania umacnia pozycję karty jako niezbędnej rzeczy, którą niezmiernie trudno będzie zastąpić. Historia kart sięga drugiej połowy XIX wieku, kiedy to Edward Bellamy 1 w swojej książce Looking forward(1887) roztoczył wizję karty, za pomocą której będzie można regulować płatności. Jednakże prawdziwy rozwój plastikowych kart płatniczych nastąpił po 1950 roku w Stanach Zjednoczonych prekursorem okazał się być Diners Club, który jako pierwszy wypuścił produkt. Za nim podążyli z biegiem czasu Visa i Master Card. Z biegiem czasu forma płatności kartą stawała się coraz bardziej popularna zarówno w USA, jak i innych częściach świata. Funkcjonalność pierwszych kart nie była zbyt skomplikowana głównym zadaniem było przechowanie danych i zabezpieczenie ich przed próbami fałszerstwa. Najważniejszymi informacjami zapisanymi na niej było imię i nazwisko posiadacza, oraz numer karty i podpis posiadacza. Pierwszym zabezpieczeniem, z perspektywy czasu dość naiwnym, była osoba, która przyjmowała kartę zakładano, że będzie sprawdzany podpis płacącego. Dopiero w późniejszych latach wprowadzono osobisty numer identyfikacyjny, skrótowo nazywany numerem PIN. Obecnie mamy do wyboru kilka rodzajów kart płatniczych, jednak najbardziej popularne są karty elektroniczne, które jako duża nowość wkroczyły na rynek kart w latach 70. Zaś w 1994 roku opublikowaną pierwszą wersję specyfikacji kart EMV, która obecnie jest głównym standardem kart płatniczych. 1 Edward Bellamy (26 marca 1850 w Chicopee Falls, Massachusetts - 22 marca 1898, Chicopee Falls) - amerykański pisarz. 3
1. RODZAJE SYSTEMÓW PŁATNICZYCH Karta płatnicza (bankowa) to elektroniczny instrument płatniczy, który wydawany jest przez bank lub instytucję finansowo. Stanowi on jedno z narzędzi zdalnego dostępu do pieniędzy przechowywanych na rachunku bankowym. Pozwala ona również na podejmowanie gotówki z bankomatu lub dokonywanie płatności bezgotówkowych. Spośród systemów płatniczych wybrano opisane zostaną dwa system karty z układem elektronicznym(chipowym standard EMV) oraz system wirtualny (internetowa/elektroniczna portmonetka). 1.1 EMV Nazwa EMV pochodzi od pierwszych liter nazw największych wydawców kart Europay, MasterCard, Visa. Jesto międzynarodowy standard, który odpowiada za autoryzację płatności kartą, głównie na zasadzie działania chipu i weryfikacji poprawności kodu PIN. Głównym powodem, dla którego standard EMV stał się najbardziej znaczącym wśród kart jest bezpieczeństwo przechowywania danych w układzie elektronicznym. Utrudnia to kopiowanie kart, a tym samym ogranicza przestępstwa z wykorzystaniem skradzionych, czy zgubionych kart elektronicznych. Mikroprocesor w standardzie EMV otworzył wiele nowych możliwości dla systemu płatniczego karta nie jest już tylko statycznym nośnikiem informacji i danych do personalizowania, lecz może ona również aktywnie przetwarzać informacje i zarządzać transakcją. 1.2 INTERNETOWA PORTMONETKA Alternatywą dla płatności kartą jest płatność wirtualna wciąż budząca wiele nieufności wśród klientów (szczególnie starszych). I choć z całą pewnością nic nie zastąpi karty i wpisywania pinu guzikami terminala, wygoda coraz częściej wygrywa, więc można spodziewać się szybkiego wzrostu zainteresowania i popularności internetową (lub elektroniczną) portmonetką. Może ona działać na zasadzie deponowania konkretnych sum pieniędzy na rachunku, które następnie są wydawane przy korzystaniu z płatnej usługi w sieci (oczywiście kwota na e-portfelu jest pomniejszana o wartość wykonanej operacji).
Elektroniczna portmonetka jest doskonałym skrótem procesu płatności w internecie i kwintesencją wygody klienta nie trzeba podawać numeru karty płatniczej, jak w przypadku karty kredytowej. Zmniejsza to także możliwość przejmowania numeru karty przez osoby niepożądane. 5
2. SPOSOBY PŁATNOŚCI Możemy wyróżnić trzy podstawowe sposoby płatności kontaktowe(stykowe), bezkontaktowe(zbliżeniowe) oraz wirtualne (karty przedpłacone). 2.1 KONTAKTOWY Każdy z posiadaczy karty płatniczej przechodził niejednokrotnie przez proces dokonywania zakupu sposobem kontaktowym. Karty magnetyczne wymagały przesunięcia przez czytnik w terminalu, bez użycia numeru PIN. Karty elektroniczne, w stronę których migrują niemalże wszyscy dostawcy, choć potrzebują uwierzytelnienia PINem, zapewniają o wiele większy stopień bezpieczeństwa. Specjalnie dla tych kart został opracowany wyżej wymieniony standard EMV. 2.2 BEZKONTAKTOWY Indukcja elektromagnetyczna pozwoliła na bezprzewodowy odczyt danych, bez konieczności wsuwania kart do terminala. W zależności od rodzaju karty (te z własnym zasilaniem umożliwiają na odczyt nawet z zasięgu kilku metrów) można dokonywać płatności bez kontaktu z czytnikiem, co jest wygodne dla użytkownika, lecz tym samym niebezpieczne już chwilę po popularyzacji płatności zbliżeniowych świat obiegły informacje o nowopowstałych urządzeniach, które są w stanie bezkontaktowość wykorzystać okradając pasażerów tramwaju, autobusu, czy pociągu. Warto również wspomnieć o zdecydowanie większej trwałości kart bezdotykowych (nie ulegają zużyciu tak szybko, jak kontaktowe). Należy też pamiętać, iż w Polsce karty zbliżeniowe mogą posłużyć jako forma płatności bez PINu tylko do kwoty 50zł. Od niedawna istnieje możliwość dokonywania płatności za pomocą telefonu komórkowego (tzw. m-banking - dostępne m. in. W sieci Orange i T-mobile). Dostęp do rachunku bankowego poprzez telefon(smartfon) jest możliwy za pomocą protokołu WAP, który zainstalowany w danym systemie mobilnym kwalifikuje urządzenie do nawiązania sesji ze stroną internetową banku. Dzięki temu korzystający może zarządzać swoimi finansami przez telefon.
3. SYSTEM EMV Standard EMV (przyp. Europay, MasterCard, Visa) jest standardem systemów płatniczych opartych o karty elektroniczne ISO/IEC-7816. Prace nad nim trwająod 1993 roku, zaś aktywny rozwój nad EMV rozpoczął się w 1996 roku. 3.1 PODSTAWOWE ZASADY DZIAŁANIA Podstawą EMV jest tzw. polecenie Answer to Reset. Jest ono odzwierciedleniem tego, jak karta i terminal komunikują się nawzajem. Drugą bardzo ważną kwestią jest struktura plików, oraz tzw. APDU(Application Protocol Data Unit), czyli jak komunikacja toczy się po tzw. Resecie. Pierwszym zdarzeniem po ATR jest wybranie aplikacji na karcie. Następnie inicjalizowany jest proces transakcyjny (zwrócenie wartości AIP i AFL), by w kolejnym kroku przejść do odczytu informacji z AFL. Czwartym krokiem jest autoryzacja użytkownika dynamiczna(dda) bądź statyczna(sda). Następnie, w zależności od rodzaju karty, następuje szereg procesów restrykcji i weryfikacji, a finalnie decyzja o przeprowadzeniu transakcji (w przypadku powodzenia) lub jej odwołaniu (np. brak środków na koncie). 3.2 STRUKTURA PLIKÓW Struktura plików w standardzie EMV ma postać drzewiastą. Najważniejszym z plików jest tzw. Master File (MF), który posiada jeden lub więcej Application Definition Files (ADR). Wewnątrz ADF znajdują się Application Elementary Files (AEF), które zawierają niezbędne informacje. Ciekawą możliwością jest dostęp do ADF za pomocą Application Identifier (AID). Możliwe jest również wybranie AEF za pomocą Short File Identifier (SFI). MF 1 n ADF AID AEF AEF SFI
4. PROCES REALIZACJI PŁATNOŚCI Proces realizacji płatności z perspektywy użytkownika jest stosunkowo łatwy po wybraniu przedmiotu zakupy (w przypadku kobiet nie taki łatwy proces ), podchodzimy do kasy, kartę wkładamy do czytnika, podajemy kod PIN i jeśli mamy wystarczająco dużo środków na koncie oraz kod PIN się zgadza transakcja jest akceptowana. Ze strony technicznej proces ten jest nieco bardziej skomplikowany: Inicjalizaja apliakcji Odczyt rekordów aplikacji Uwierzytelnianie danych karty Restrykcja wydawcy Restrykcja agenta rozliczeniowego w terminalu Uwierzytelnienie posiadacza Analiza ryzyka w terminalu Analiza ryzyka w karcie Decyzja Autoryzacja transakcji online + uwierzytelnienie transakcji przez kartę Offline KONIEC TRANSAKCJI Wykonanie skryptów wydawcy 8
5. PODSUMOWANIE Standard EMV jest nie tylko najczęściej stosowanym standardem w kartach elektronicznych, ale również najlepszym spośród nich. Jeśli kiedykolwiek zadalibyśmy sobie pytanie dlaczego warto stosować standard EMV? odpowiedź byłaby złożona. Ważną rzeczą, która przemawia zdecydowanie jako zaleta, jest wieloaplikacyjność EMV. Rożne rodzaje uwierzytelniania karty(m. in. Wspomniane SDA, DDA), czy zarządzanie ryzykiem w karcie. Warto również wspomnieć o możliwości wzajemnej weryfikacji w przypadku transakcji online (wykorzystanie szyfrów symetrycznych). EMV nie tylko zapewnia sprawne wykonanie procesu transakcyjne z użyciem plastikowej karty elektronicznej z chipem. Pozwala on również na bezpieczne korzystanie z karty, które dla nas kobiet jest niezmiernie ważne, szczególnie podczas niekończących się zakupów w zimowych wyprzedażach. 9
ŹRÓDŁA www.wikipedia.org materiały dotyczące kart elektronicznych Mateusz Leszner, Projekt i implementacja uniwersalnej aplikacji do obsługi kart elektronicznych www.emvco.com www.bankier.pl www.students.mimuw.edu.pl www.banki.elfin.pl www.cygnus.tele.pw.edu.pl www.openscdp.org/scripts/tutorial/emv