Naujoji atsiskaitymo tvarka bankų kortelėmis ir RFID

Nuotrauka pasiskolinta iš LOLBlog

Po įrašo apie netobulumus, pakeitus atsiskaitymo bankų kortelėmis tvarką, ir komentaruose kilusios diskusijos apie naująją bekontaktę RFID technologiją paprašiau, kad tai trumpai pakomentuotų šios srities žinovas, MRU lektorius Marius Laurinaitis. Kadangi dėstytojo komentaras ne toks jau trumpas ir su gana daug citatų, tai skelbiu jį kaip atskirą įrašą:

Dėl magnetinių kortelių tolimesnio aptarnavimo

Lietuvos bankų asociacija (LBA), vienijanti vienuolika bankų ir užsienio bankų skyrių, primena, kad nuo 2011 metų sausio 1 dienos visos su lustinėmis kortelėmis atliktos atsiskaitymo operacijos visuomet turės būti patvirtintos PIN kodu. Kartu LBA pabrėžia, kad visos rinkoje esančios magnetinės kortelės privalo būti aptarnaujamos iki jų galiojimo laikotarpio pabaigos.

Magnetinėmis mokėjimo kortelėmis atliktos operacijos turės būti patvirtintos arba PIN kodu, arba kortelės turėtojo parašu, priklausomai nuo atsiskaitymo vietoje įdiegtos įrangos.

Magnetinių mokamųjų kortelių, kurių nemažai turi išleidę Europos, kitų pasaulio šalių bankai ir beveik visi JAV bankai, pagal Visa ir MasterCard reikalavimus egzistuos dar keletą metų, taigi šiomis kortelėmis dar bus atsiskaitoma ne tik Lietuvoje, bet ir visame pasaulyje.

Be to, pagal Europos Sąjungoje nuo 2011 sausio 1 d. įsigaliojantį reikalavimą, visi korteles aptarnaujantys įrenginiai privalo turėti galimybę nuskaityti lustinės kortelės duomenis.

„Tačiau tai nereiškia, kad magnetinės kortelės nustoja galiojusios. Visa įranga turi būti pritaikyta aptarnauti abiejų tipų korteles, ir tikimės, kad prekybininkai nepamirš, kad magnetinės kortelės yra toks pats atsiskaitymo įrankis, kaip ir lustinės kortelės. Lietuvos bankų klientai tokių kortelių turės vis mažiau, tačiau turistai iš kitų valstybių magnetinių kortelių gali turėti dar keletą metų, todėl prekybos vietose derėtų išlaikyti universalias sistemas“, – sako Lietuvos bankų asociacijos prezidentas Stasys Kropas.“

Dėl EMV standarto

(Komentare mačiau, jog kažkas kaltina kompanijas dominuojant)

„Europay – MasterCard“ ir „Visa“ lyderiai kortelių atsiskaitymų srityje, todėl akivaizdu, jog jie ir pasiūlė pereiti prie mikroprocesorinių kortelių, Lietuvoje šių standartų kortelių taip pat yra daugiausia:

Visa ir MasterCard sistemų debeto kortelių rinkos dalis beveik nepasikeitė ir 2009 m. pabaigoje atitinkamai sudarė 69,7 ir 30,3 procento. Nepakito kredito kortelių skaičiaus didėjimo tendencijos, pastebimos jau kelerius metus. Palyginti su 2008 m., kredito kortelių skaičius padidėjo 13,0 procento ir 2009 m. pabaigoje sudarė 13,3 procento visų mokėjimo kortelių. Šalyje platinamų MasterCard, Visa ir American Express sistemų kredito kortelių rinkos dalis beveik nepasikeitė ir 2009 m. pabaigoje atitinkamai sudarė 59,5, 36,4 ir 4,2 procento.

Kaip sakoma – kas moka, tas ir muziką užsako.

EMV sudarytas iš šių sistemų pirmųjų raidžių. Europos bankai perėjo prie EMV, kaip ir likęs pasaulinis, dėl patikimumo, kuris nors ir sušlubavo kartelį, bet nebuvo paneigtas. Nes svarbiausia – EMV panaikino vieną iš dažniausių sukčiavimo būdų: SUKČIAVIMAS KORTELEI NESANT (skiminimas, baltojo plastiko apgavystės ir t.t.).

Dėl EMV standarto kortelių skaitymo: čia kortelinių atsiskaitymo centro bėda, jis neatliko visų parengiamų darbų, nes būtent jis turi užtikrinti EMV standarto kortelių aptarnavimą, nepriklausomai nuo emitento.

Dėl RFID saugumo

Aš nesu kriptografas, neišmanau asimetrinės kriptografijos matematinių algoritmų, bet viena man aišku:

  • Mes kalbame apie RFID technologijas, taikomas mokėjimų srityje, kurioje duomenų privatumą garantuoja naudojama koduotė, kuri savo veikimu prilygsta PKI sertifikatų veikimui. Naudojami tie patys elektroniniai viešieji ir slaptieji raktai, kurių nulaužimo kaštai viršytų gaunamą naudą. Kitas dalykas – mažos sumos, juk RFID mokėjimai įgalina atsiskaityti nedidelėmis sumomis ir tik sertifikuotuose terminaluose. Net jei ir pavyktų elektromagnetinės emisijos įrenginiais perimti RFID koduotus duomenis, ar nesankcionuotai nuskaityti kortelę, patirti nuostoliai būtų nedideli ir greitai atsekami.
  • Jeigu kalbame apie RFID technologijas naudojamas patekti į patalpas, kaip laiptinės ir t.t, ten gali būti naudojamos pigios, nekoduotos, tai tokias taip. Bet ar tai grėsmė?

Čia nuorodos į paprastus paaiškinimus apie RFID mokėjimų saugumą, taip pat galima rasti daug mokslinių straipsnių ta tema

Daugiau informacijos apie juos galima rasti:

8 komentarai

  1. Atgalinis pranešimas: Blog'ų metraštis

  2. Ramunas

    Viskas teisingai parašyta, tik RFID atsiskaitymams vadinasi NFC, kuriai tokie banginiai, kaip Visa ir Mastercard, dar nesusimetė i kartelį ir nesukūrė standarto. Todėl tai ir nepaplito, gal ir nepaplis artimiausiu metu, nes reikia is EMV ir PCI dar babkes susisemt, negali gi dviejų bizniu vienu metu varyt.

  3. Vytas

    Domejaus rfid kai isleido elektroninius transporto bilietus, kaip del galimybes juos kopijuoti. Juk tuomet su vienu papildymu galima vazineti keliese, nes turimos identiskos korteles. Ir deja teko nusivilti, nes net transporto korteles (kuri atrodo dar pakankamai paprasta ir ribotu galimybiu) nukopijuoti praktiskai neimanoma. Nes nuskaitoma yra ne tai ka reikia irasyt i kortele, kad gautum vel toki pati nuskaityma. Na nesiimsu cia aiskint subtilybiu, bet sitas reikalas jau dabar yra pakankamai gerai apsaugotas, o kai prie to prisides didieji zaidejai, galima sukurti tikrai rimta sistema.

  4. Laura

    Sekantis žingsnis – RFID čipai ANT DEŠINĖS RANKOS AR ANT KAKTOS, KAD NIEKAS NEGALĖTŲ NEI PIRKTI, NEI PARDUOTI.(Apr 13,16-17) Jau tokie dedami Amerikoje.

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *