Bezpieczeństwo i autoryzacja kart płatniczych

Posługując się karta płatniczą chcemy być pewni, że nasze środki finansowe są odpowiednio zabezpieczone i tylko my możemy z nich korzystać. Bezpieczeństwo kart płatniczych zależy od sposobu zapisu danych dotyczących karty, czyli albo przy użyciu paska magnetycznego, albo układu elektronicznego (tzw. chipa). Na bezpieczeństwo wpływają również działania autoryzacyjne, które zostaną wskazane poniżej.

Bezpieczeństwo

Podstawowym sposobem zapewnienia bezpieczeństwa podczas używania kart magnetycznych jest numer PIN. Służy on przede wszystkim do uwierzytelnienia osoby posługującej się daną kartą. Urządzenie obsługujące transakcję realizowaną przy użyciu karty z paskiem magnetycznym odczytuje z karty informacje dotyczące banku (wydawcy karty), numeru rachunku związanego z kartą oraz numeru karty i przesyła je do banku. W systemie informatycznym banku na podstawie otrzymanych danych generowana jest 15-bitowa liczba, która jest następnie szyfrowana za pomocą algorytmu DES przy zastosowaniu tajnego klucza banku. Z otrzymanego szyfrogramu przy użyciu odpowiedniego algorytmu wyznaczana jest wartość PIN, którą porównuje się z wartością wprowadzoną przez użytkownika karty.

Większym bezpieczeństwem charakteryzują się karty z układem elektronicznym, czyli karty chipowe. Zapewniają one kontrolę dostępu do przechowywanych informacji, umożliwiają szyfrowanie danych oraz generowanie i weryfikowanie podpisów cyfrowych.

Artykuł powstał we współpracy z portalem biznesowym http://michal-gorecki.pl/

Autoryzacja

Możliwe są dwa typy autoryzacji kart płatniczych: autoryzacja on-line oraz autoryzacja off-line.

W Polsce systemy autoryzacji kart płatniczych oferują głównie dwie firmy: eCard SA i PolCard SA. Rozwiązania zastosowane przy tworzeniu usługi dają gwarancję bezpieczeństwa sklepom internetowym współpracującym z autoryzującą firmą i klientom tych sklepów. Bezpieczeństwo transakcji poświadczone jest certyfikatem SET, stworzonym do przeprowadzania transakcji elektronicznych i wydawanym dla sklepów przez autoryzowane centrum certyfikatów. Wszystkie połączenia, w których występują jakiekolwiek dane klienta, są realizowane przez szyfrowane połączenie 128-bitowym kluczem za pomocą protokołu SSL.

Autoryzacja on-line odbywa się poza samym sklepem. Po podjęciu decyzji o zakupie i przesłaniu zamówienia do sklepu klient jest automatycznie kierowany na strony centrum autoryzacji, gdzie podaje swoje dane. Jeżeli dane są poprawne, do sklepu trafia tylko potwierdzenie autoryzacji, bez żadnych szczegółowych danych dotyczących klienta. Nie jest jednak możliwe sprawdzenie, czy osoba podająca dane dotyczące danej karty jest jej właścicielem.

Autoryzacja off-line obecnie jest wykorzystywana coraz rzadziej, gdyż jest mniej bezpieczna. W trakcie tego typu autoryzacji dane klienta, łącznie z numerem karty kredytowej, trafiają najpierw do sklepu. Proces autoryzacji może odbywać się automatycznie za pomocą wirtualnego terminala POS (fizyczne przeciąganie karty przez elektroniczny terminal) lub ręcznie (korzysta się z tradycyjnego terminala POS, a pracownik sklepu ręcznie wpisuje dane dotyczące zakupu oraz karty). Autoryzacja transakcji odbywa się telefonicznie i jest dokonywana przez pracownika centrum autoryzacji.